Requisitos de SAML para Tableau Online

Antes de configurar SAML para Tableau Online, asegúrese de cumplir los requisitos.

Requisitos de proveedor de identidades (IdP) para la configuración de Tableau

Requisitos y notas de compatibilidad con SAML

Usar SSO de SAML en las aplicaciones de cliente de Tableau

Efectos en Tableau Bridge del cambio del tipo de autenticación

Requisitos de datos XML

Requisitos de proveedor de identidades (IdP) para la configuración de Tableau

Para configurar Tableau Online para usar SAML, siga este procedimiento:

  • Acceso de administrador al sitio de Tableau Online. Debe tener acceso de administrador al sitio de Tableau Online donde desee habilitar SAML.

  • Lista de usuarios que usarán SSO para obtener acceso a Tableau Online. Debe recopilar las direcciones de correo electrónico de los usuarios a los que desea permitir el acceso de inicio de sesión único a Tableau Online.

  • Cuenta de IdP que admite SAML 2.0. Necesita una cuenta con un proveedor de identidades externo. Algunos ejemplos son PingFederate, SiteMinder y OpenAM. El IdP debe ser compatible con SAML 2.0. Debe tener acceso de administrador a esa cuenta.

  • SHA256 se utiliza como algoritmo de firma. A partir de mayo de 2020, Tableau Online bloquea las aserciones de IdP y los certificados firmados con el algoritmo SHA-1.

  • El proveedor de IdP que admite la importación y exportación de metadatos XML. Aunque un archivo de metadatos creado manualmente podría funcionar, el soporte técnico de Tableau no puede ayudarle a generar el archivo ni en la solución de problemas de este.

  • Proveedor de IdP que hace cumplir una edad máxima de 24 días o menos (2073600 segundos) para el token. Si el IdP permite una edad máxima de los tokens que es superior a la edad máxima establecida en Tableau Online (2073600 segundos), entonces Tableau Online no reconocerá el token como válido. En este escenario, los usuarios recibirán mensajes de error (No se pudo iniciar sesión. Inténtelo de nuevo.) cuando intente acceder a Tableau Online.

Importante: Además de estos requisitos, le recomendamos que tenga una cuenta de administrador de sitio dedicada que esté siempre configurada para la autenticación de TableauID. Si se produce un problema con SAML o el IdP, una cuenta dedicada de TableauID garantiza que siempre tenga acceso al sitio.

Requisitos y notas de compatibilidad con SAML

  • Inicio en el SP o en el IdP: Tableau Online admite la autenticación SAML que empieza en el proveedor de identidades (IdP) o en el proveedor de servicios (SP).

  • tabcmd y API de REST: para utilizar tabcmd o la API de REST(Link opens in a new window), los usuarios deben iniciar sesión en Tableau Online mediante una cuenta de TableauID.

  • Afirmaciones de texto claro: Tableau Online no admite afirmaciones cifradas.

  • Se requiere la reconfiguración de Tableau Bridge: Tableau Bridge es compatible con la autenticación SAML, pero un cambio en la autenticación requiere la reconfiguración del cliente de Bridge. Para obtener más información, consulte Efectos en Tableau Bridge del cambio del tipo de autenticación.

  • Algoritmo de firma requerido: para todos los certificados SAML nuevos, Tableau Online requiere el algoritmo de firma SHA256 (o superior).

Usar SSO de SAML en las aplicaciones de cliente de Tableau

Tableau Online Los usuarios de que dispongan de credenciales SAML también pueden iniciar sesión en su sitio desde Tableau Desktop o desde la aplicación de Tableau Mobile. Para garantizar una compatibilidad óptima, le recomendamos que la versión de la aplicación cliente de Tableau coincida con la versión de Tableau Online.

Si se conecta a Tableau Online desde Tableau Desktop o Tableau Mobile, se utiliza una conexión iniciada por el proveedor de servicios.

Volver a redirigir los usuarios autenticados a los clientes de Tableau

Cuando un usuario inicia sesión en Tableau Online, Tableau Online envía una solicitud SAML (AuthnRequest) al IdP, que incluye el valor RelayState de la aplicación de Tableau. Si el usuario ha iniciado sesión en Tableau Online desde un cliente de Tableau como Tableau Desktop o Tableau Mobile, es importante que el valor RelayState se devuelva a Tableau dentro de la respuesta SAML del IdP.

Si el valor RelayState no se indica correctamente en esta situación, el usuario es redirigido a su página de inicio de Tableau Online en el navegador web en lugar de regresar a la aplicación en la que ha iniciado sesión.

Póngase en contacto con su proveedor de identidad y con su equipo interno de TI para confirmar que este valor se incluirá en la respuesta SAML del IdP.

Efectos en Tableau Bridge del cambio del tipo de autenticación

Cuando cambia el tipo de autenticación del sitio, los publicadores que utilizan Tableau Bridge para la actualización de extracciones programada deberán desvincular su cliente Bridge y volver a autenticarlo siguiendo la nueva metodología. 

Desvincular el cliente Bridge elimina todas las fuentes de datos, de modo que los usuarios también deberán configurar todos los programas de actualización de nuevo. El cambio en el tipo de autenticación no afecta a las consultas activas o actualizaciones que se ejecutan directamente desde el sitio de Tableau Online de Bridge (como en los datos subyacentes en la nube).

Le recomendamos que alerte a los usuarios de Bridge acerca de los cambios en la autenticación del sitio antes de realizarlos. De otra forma, se darán cuenta a través de los errores de autenticación que obtendrán del cliente de Bridge o cuando el cliente abra con un área de fuente de datos en blanco.

Requisitos de datos XML

Puede configurar SAML mediante documentos de metadatos XML generados por Tableau Online y por el IdP. Durante el proceso de autenticación, el IdP y Tableau Online intercambian información de autenticación utilizando dichos documentos XML. Si el XML no cumple estos requisitos, puede que se produzcan errores al configurar SAML o cuando los usuarios intenten iniciar sesión.

Tableau Online solo acepta las solicitudes HTTP POST para las comunicaciones SAML. No se admite la redirección HTTP. En el documento XML de metadatos de SAML exportado por el IdP, el atributo Binding debe establecerse en HTTP-POST.

¡Gracias por sus comentarios!