Requisitos de SAML para Tableau Cloud

Antes de configurar SAML para Tableau Cloud, asegúrese de cumplir los requisitos.

Requisitos de proveedor de identidades (IdP) para la configuración de Tableau

Para configurar Tableau Cloud para usar SAML, siga este procedimiento:

  • Acceso de administrador al sitio de Tableau Cloud. Debe tener acceso de administrador al sitio de Tableau Cloud donde desee habilitar SAML.

  • Lista de usuarios que usarán SSO para obtener acceso a Tableau Cloud. Debe recopilar los nombres de usuario a los que desea permitir el acceso de inicio de sesión único a Tableau Cloud.

  • Cuenta de IdP que admite SAML 2.0. Necesita una cuenta con un proveedor de identidades externo. Algunos ejemplos son PingFederate, SiteMinder y OpenAM. El IdP debe ser compatible con SAML 2.0. Debe tener acceso de administrador a esa cuenta.

  • SHA256 se utiliza como algoritmo de firma. A partir de mayo de 2020, Tableau Cloud bloquea las aserciones de IdP y los certificados firmados con el algoritmo SHA-1.

  • El proveedor de IdP que admite la importación y exportación de metadatos XML. Aunque un archivo de metadatos creado manualmente podría funcionar, el soporte técnico de Tableau no puede ayudarle a generar el archivo ni en la solución de problemas de este.

  • Proveedor de IdP que hace cumplir una edad máxima de 24 días o menos (2073600 segundos) para el token. Si el IdP permite una edad máxima de los tokens que es superior a la edad máxima establecida en Tableau Cloud (2073600 segundos), entonces Tableau Cloud no reconocerá el token como válido. En este escenario, los usuarios recibirán mensajes de error (No se pudo iniciar sesión. Inténtelo de nuevo.) cuando intente acceder a Tableau Cloud.

  • SSO con MFA está habilitado. A partir de febrero del 2022, la autenticación multifactor (MFA) a través de su proveedor de identidad (IdP) de SSO SAML es un requisito de Tableau Cloud.

    Importante: Además de estos requisitos, le recomendamos que tenga una cuenta de administrador de sitio dedicada que esté siempre configurada para la TableauID con MFA(El enlace se abre en una ventana nueva). Si se produce un problema con SAML o el IdP, una cuenta dedicada de Tableau con MFA garantiza que siempre tenga acceso al sitio.

     

Requisitos y notas de compatibilidad con SAML

  • Inicio en el SP o en el IdP: Tableau Cloud admite la autenticación SAML que empieza en el proveedor de identidades (IdP) o en el proveedor de servicios (SP).

  • Cierre de sesión único (SLO): Tableau Cloud admite SLO iniciado por el proveedor de servicios (SP) y SLO iniciado por el proveedor de identidades (IdP).

    Nota: Para obtener la URL de SLO de su sitio, descargue y consulte el archivo XML de metadatos que genera su sitio de Tableau Cloud. Para encontrarlo, vaya a Configuración > Autenticación. En el tipo de autenticación SAML, haga clic en Configuraicón (obligatoria) y luego haga clic en el botón Exportar metadatos en el paso 1, método 1.

  • tabcmd y API de REST: para utilizar tabcmd o la API de REST(El enlace se abre en una ventana nueva), los usuarios deben iniciar sesión en Tableau Cloud mediante una cuenta de TableauID.

  • Confirmaciones cifradas: Tableau Cloud admite confirmaciones en texto simple o cifradas.

  • Se requiere la reconfiguración de Tableau Bridge: Tableau Bridge es compatible con la autenticación SAML, pero un cambio en la autenticación requiere la reconfiguración del cliente de Bridge. Para obtener más información, consulte Efectos de cambiar el tipo de autenticación en Tableau Bridge.

  • Algoritmo de firma requerido: para todos los certificados SAML nuevos, Tableau Cloud requiere el algoritmo de firma SHA256 (o superior).

  • Tamaños de clave RSA y curva ECDSA: El certificado IdP debe tener una fuerza de clave RSA de 2048 o un tamaño de curva ECDSA de 256.
  • Atributo NameID: Tableau Cloud requiere el atributo NameID en la respuesta SAML.

Usar SSO de SAML en las aplicaciones de cliente de Tableau

Tableau Cloud Los usuarios de que dispongan de credenciales SAML también pueden iniciar sesión en su sitio desde Tableau Desktop o desde la aplicación de Tableau Mobile. Para garantizar una compatibilidad óptima, le recomendamos que la versión de la aplicación cliente de Tableau coincida con la versión de Tableau Cloud.

Si se conecta a Tableau Cloud desde Tableau Desktop o Tableau Mobile, se utiliza una conexión iniciada por el proveedor de servicios.

Volver a redirigir los usuarios autenticados a los clientes de Tableau

Cuando un usuario inicia sesión en Tableau Cloud, Tableau Cloud envía una solicitud SAML (AuthnRequest) al IdP, que incluye el valor RelayState de la aplicación de Tableau. Si el usuario ha iniciado sesión en Tableau Cloud desde un cliente de Tableau como Tableau Desktop o Tableau Mobile, es importante que el valor RelayState se devuelva a Tableau dentro de la respuesta SAML del IdP.

Si el valor RelayState no se indica correctamente en esta situación, el usuario es redirigido a su página de inicio de Tableau Cloud en el navegador web en lugar de regresar a la aplicación en la que ha iniciado sesión.

Póngase en contacto con su proveedor de identidad y con su equipo interno de TI para confirmar que este valor se incluirá en la respuesta SAML del IdP.

Efectos de cambiar el tipo de autenticación en Tableau Bridge

Cuando cambia el tipo de autenticación del sitio o modifica el IdP, los publicadores que utilizan Tableau Bridge para la actualización de extracciones programada deberán desvincular su cliente Bridge, vuelva a vincularlo y vuelva a autenticarlo siguiendo la nueva metodología o la configuración del IdP.

Para los programas heredados, al desvincular el cliente de Bridge se eliminan todas las fuentes de datos, por lo que debe volver a configurar los programas de actualización. Para programas en línea, después de volver a vincular el cliente, debe volver a configurar el grupo de clientes de Bridge.

El cambio en el tipo de autenticación no afecta a las consultas activas o actualizaciones que se ejecutan directamente desde el sitio de Tableau Cloud (como en los datos subyacentes en la nube).

Le recomendamos que alerte a los usuarios de Bridge acerca de los cambios en la autenticación del sitio antes de realizarlos. De otra forma, se darán cuenta a través de los errores de autenticación que obtendrán del cliente de Bridge o cuando el cliente abra con un área de fuente de datos en blanco.

Requisitos de datos XML

Puede configurar SAML mediante documentos de metadatos XML generados por Tableau Cloud y por el IdP. Durante el proceso de autenticación, el IdP y Tableau Cloud intercambian información de autenticación utilizando dichos documentos XML. Si el XML no cumple estos requisitos, puede que se produzcan errores al configurar SAML o cuando los usuarios intenten iniciar sesión.

HTTP POST y HTTP REDIRECT: Tableau Cloud admite solicitudes HTTP POST y REDIRECT para comunicaciones SAML. En el documento XML de metadatos de SAML exportado por el IdP, el atributo Binding debe establecerse en:

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Pertenencia a grupos dinámicos mediante confirmaciones SAML:

A partir de junio de 2024 (Tableau 2024.2), si SAML está configurado y la configuración de la capacidad habilitada, puede controlar dinámicamente la pertenencia del grupo a través de notificaciones personalizadas incluidas en la respuesta XML SAML enviada por el proveedor de identidad (IdP).

Cuando se configura, durante la autenticación del usuario, el IdP envía la confirmación SAML que contiene dos declaraciones de pertenencia de grupo personalizadas: grupo (https://tableau.com/groups) y nombres de grupos (por ejemplo, "Grupo1" y "Grupo2") para incluir al usuario. Tableau valida la confirmación y luego habilita el acceso a los grupos y al contenido cuyos permisos dependen de esos grupos.

Para obtener más información, consulte Pertenencia a grupos dinámicos mediante confirmaciones .

Ejemplo de respuesta SAML XML 

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!