Configurar SAML con Okta

Puede configurar la administración de usuarios mediante Okta, aprovisionar grupos y asignar roles en el sitio de Tableau Cloud. Si aún no está familiarizado con los roles de sitio de Tableau y las capacidades que cada uno permite, consulte Establecer los roles de sitio de los usuarios.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

  1. Complete las siguientes secciones en Configurar SAML con Okta:

  2. Una vez que haya seguido los pasos de estas dos secciones, siga con la sesión iniciada de la consola de administración de Okta y de Tableau Cloud, mostrando las siguientes páginas:

    • En Tableau Cloud, la página Configuración > Autenticación.

    • En la consola de administración de Okta, AplicacionesAplicacionesTableau Cloud > Aprovisionamiento.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con Okta. Consulte también Notas y limitaciones de la compatibilidad de SCIM con Azure Active Directory en la sección a continuación.

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.
  2. Haga lo siguiente:

    1. En la página Autenticación, en Aprovisionamiento automático y sincronización de grupos (SCIM), active la casilla de verificación Habilitar SCIM.

      Se rellenarán los cuadros URL base y Secreto con los valores que utilizará en la configuración de SCIM del IdP.

      Importante: el token secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede seleccionar Generar nuevo secreto. Además, el token secreto está vinculado a la cuenta de usuario de Tableau Cloud del administrador de sitio que habilita el soporte de SCIM. Si el rol en el sitio de ese usuario cambia o se elimina el usuario del sitio, el token secreto quedará invalidado y otro administrador de sitio deberá generar otro token secreto y aplicarlo a su IdP.

  3. Copie el valor del token secreto.

  4. En la consola de administración de Okta, debe realizar lo siguiente:

    1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Aprovisionamiento.

    2. Haga clic en el botón Habilitar la integración de API.

    3. Seleccione la casilla de verificación Habilitar la integración de API y haga clic en Guardar.

    4. Haga lo siguiente:

      1. En el token de API, pegue el token secreto de SCIM de Tableau Cloud que ha copiado en el paso anterior.

      2. Para URL base, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.

  5. Haga clic en el botón Probar credenciales del API para garantizar que la configuración se haya realizado correctamente. Si la configuración se realizó correctamente, verá el mensaje "Tableau Cloud se verificó correctamente".

  6. Cuando acabe, haga clic en Guardar.

Paso 3: Asignar usuarios y grupos a Tableau

En Okta, debe asignar usuarios y grupos a la aplicación Tableau para que los usuarios puedan aprovisionarse en Tableau.

Nota: Okta recomienda tener un grupo separado para la asignación y para el envío de grupos. Para obtener más información, consulte About Group Push(El enlace se abre en una ventana nueva) en la documentación de Okta.

  1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Asignaciones.

  2. Haga clic en el menú desplegable Asignar y seleccione Asignar a personas o Asignar a grupos.

  3. Haga lo siguiente:

    1. Seleccione el usuario o grupo relevante.

    2. Seleccione el rol en el sitio al que desea que se aprovisione a los usuarios en Tableau. Las opciones son:

      • Sin licencia

      • Viewer

      • Explorer

      • Explorer (puede publicar)

      • Creator

      • Explorer del administrador de sitio

      • Creator del administrador de sitio

  4. Cuando termine, haga clic en el botón Guardar y volver.

  5. Repita los pasos 3 y 4 según sea necesario y luego haga clic en el botón Listo.

Paso 4: Habilitar el aprovisionamiento grupal

Okta le permite mejorar los grupos existentes y sus membresías a Tableau Cloud. Una vez que se envía un grupo, puede administrar la membresía del grupo en Okta para actualizar automáticamente el grupo correspondiente en Tableau Cloud. Antes de seguir estos pasos, le recomendamos consultar Requisitos previos de envío grupal(El enlace se abre en una ventana nueva) y Acerca del envío grupal(El enlace se abre en una ventana nueva) en la documentación de Okta.

Importante: Después de habilitar SCIM, los usuarios y sus atributos deben administrarse a través del IdP. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.

Los siguientes pasos continúan a partir de la sesión anterior y se asume que ha iniciado sesión en la consola de administración de Okta.

  1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Enviar grupos.

  2. Haga clic en el botón Enviar grupos y, luego, seleccione una de las siguientes opciones del menú desplegable:

    • Buscar grupos por nombre: seleccione esta opción para buscar grupos por nombre.

    • Buscar grupos por regla: seleccione esta opción para crear una regla de búsqueda que envíe cualquier grupo que coincida con la regla.

    Puede desactivar el envío del grupo, desvincular grupos enviados o enviar la pertenencia a un grupo inmediatamente haciendo clic en Activo o Inactivo en la columna Estado de envío. Para eliminar, desactivar o activar varios grupos, haga clic en Edición masiva. Para obtener más información, consulte Habilitar envíos de grupo(El enlace se abre en una ventana nueva) en la documentación de Okta.

  3. (Opcional) Si envía a varios grupos, haga clic en Guardar y agregar otro y repita el paso anterior.

  4. Cuando acabe, haga clic en Guardar.

Notas sobre la compatibilidad de SCIM con Okta

  • En la configuración de asignación de usuarios de Okta, los valores de Nombre de usuario y Correo electrónico principal han de ser idénticos.

  • Deberá añadir otra aplicación de Okta de Tableau Cloud por cada sitio que quiera administrar con SCIM.

  • Para migrar un sitio, necesitará volver a configurar el aprovisionamiento de SCIM para el nuevo sitio.

  • Al aprovisionar nuevos usuarios, los atributos de nombre y apellidos en Okta no se sincronizan con Tableau Cloud. Los nuevos usuarios deben establecer esos campos al iniciar sesión por primera vez en Tableau Cloud.

  • Cuando se cancela la asignación de un usuario de la aplicación Tableau Cloud en Okta o se desactiva o elimina por completo el usuario de Okta, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud. Si el usuario es propietario de algún contenido, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.

  • Puede establecer un rol en el sitio para un usuario (como Creator, Explorer o Viewer) en Okta a nivel de usuario o de grupo. Se recomienda asignar los roles en el sitio en el nivel de grupo. Si al usuario se le asigna un rol en el sitio directamente, se ignorará cualquier configuración de grupo.

  • Un usuario puede ser miembro de muchos grupos. Los grupos pueden tener diferentes roles en el sitio. Si a un usuario se le asignan grupos con diferentes roles en el sitio, recibirá el más permisivo de todos en Tableau Cloud. Por ejemplo, si elige Viewer y Creator, Tableau asignará el rol en el sitio Creator.

    A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:

    • Creator del administrador de sitio

    • Explorer del administrador de sitio

    • Creator

    • Explorer (puede publicar)

    • Explorer

    • Viewer

  • Puede actualizar el atributo de rol en el sitio de un usuario en Okta; el cambio se propagará a Tableau Cloud. Otros atributos, como el nombre de usuario y el correo electrónico principal, no se pueden actualizar. Para modificar estos atributos, elimine el usuario, modifique el atributo y, a continuación, vuelva a añadir el usuario.

  • A partir de febrero de 2024 (Tableau 2023.3), se admite el uso de SCIM con Conceder licencias al iniciar sesión (GLSI). GLSI requiere habilitar manualmente la opción para un grupo y seleccionar el rol mínimo en el sitio para los usuarios que son miembros del grupo en Tableau Cloud. No es posible configurar un grupo con el atributo GLSI en Okta, pero puede configurar el atributo para el grupo que aprovisionó desde Okta en Tableau Cloud.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!