Configurar SAML con Okta

Puede configurar la administración de usuarios mediante Okta, aprovisionar grupos y asignar roles en el sitio de Tableau Cloud. Si aún no está familiarizado con los roles de sitio de Tableau y las capacidades que cada uno permite, consulte Establecer los roles de sitio de los usuarios.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

  1. Complete las siguientes secciones en Configurar SAML con Okta:

  2. Una vez que haya seguido los pasos de estas dos secciones, siga con la sesión iniciada de la consola de administración de Okta y de Tableau Cloud, mostrando las siguientes páginas:

    • En Tableau Cloud, la página Configuración > Autenticación.

    • En la consola de administración de Okta, AplicacionesAplicacionesTableau Cloud > Aprovisionamiento.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con Okta. Consulte también las Notas sobre la compatibilidad de SCIM con Okta a continuación.

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.
  2. Haga lo siguiente:

    1. En la página Autenticación, en Aprovisionamiento automático y sincronización de grupos (SCIM), active la casilla de verificación Habilitar SCIM.

      Se rellenarán los cuadros URL base y Secreto con los valores que utilizará en la configuración de SCIM del IdP.

      Importante: el token secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede seleccionar Generar nuevo secreto. Además, el token secreto está vinculado a la cuenta de usuario de Tableau Cloud del administrador de sitio que habilita el soporte de SCIM. Si el rol en el sitio de ese usuario cambia o se elimina el usuario del sitio, el token secreto quedará invalidado y otro administrador de sitio deberá generar otro token secreto y aplicarlo a su IdP.

  3. Copie el valor del token secreto.

  4. En la consola de administración de Okta, debe realizar lo siguiente:

    1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Aprovisionamiento.

    2. Haga clic en el botón Habilitar la integración de API.

    3. Seleccione la casilla de verificación Habilitar la integración de API y haga clic en Guardar.

    4. Haga lo siguiente:

      1. En el token de API, pegue el token secreto de SCIM de Tableau Cloud que ha copiado en el paso anterior.

      2. Para URL base, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.

  5. Haga clic en el botón Probar credenciales del API para garantizar que la configuración se haya realizado correctamente. Si la configuración se realizó correctamente, verá el mensaje "Tableau Cloud se verificó correctamente".

  6. Cuando acabe, haga clic en Guardar.

Paso 3: asignar grupos a la aplicación de Tableau

Para el aprovisionamiento de usuarios en Tableau, le recomendamos administrar usuarios en grupos para facilitar la administración en Tableau.

En Okta, asigne grupos a la aplicación Tableau para que los usuarios puedan aprovisionarse en Tableau Cloud. Más específicamente, necesita dos grupos distintos, un grupo asignado a la pestaña Asignación y un grupo asignado a la pestaña Envío grupal. El grupo de la pestaña Asignaciones se utiliza para crear usuarios en Tableau Cloud. El grupo en la pestaña Envío grupal se utiliza para crear el grupo y administrar la pertenencia del grupo en Tableau Cloud.

Notas:

Puede utilizar el procedimiento siguiente para agregar un grupo y asignarlo a la aplicación de Tableau.

  1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Asignaciones.

  2. Haga clic en el menú desplegable Asignar y seleccione Asignar a grupos.

  3. Haga lo siguiente:

    1. Seleccione el grupo relevante.

    2. Seleccione el rol en el sitio al que desea que se aprovisione a los usuarios en Tableau. Las opciones son:

      • Sin licencia

      • Viewer

      • Explorer

      • Explorer (puede publicar)

      • Creator

      • Explorer del administrador de sitio

      • Creator del administrador de sitio

  4. Cuando termine, haga clic en el botón Guardar y volver.

  5. Repita los pasos 1-4 en la pestaña Envío grupal y luego haga clic en el botón Listo.

Paso 4: Habilitar el aprovisionamiento grupal

Okta le permite mejorar los grupos existentes y sus membresías a Tableau Cloud. Una vez que se envía un grupo, puede administrar la membresía del grupo en Okta para actualizar automáticamente el grupo correspondiente en Tableau Cloud. Antes de seguir estos pasos, le recomendamos consultar Requisitos previos de envío grupal(El enlace se abre en una ventana nueva) y Acerca del envío grupal(El enlace se abre en una ventana nueva) en la documentación de Okta.

Importante: Después de habilitar SCIM, los usuarios y sus atributos deben administrarse a través de Okta. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.

Los siguientes pasos continúan a partir de la sesión anterior y se asume que ha iniciado sesión en la consola de administración de Okta.

  1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Enviar grupos.

  2. Haga clic en el botón Enviar grupos y, luego, seleccione una de las siguientes opciones del menú desplegable:

    • Buscar grupos por nombre: seleccione esta opción para buscar grupos por nombre.

    • Buscar grupos por regla: seleccione esta opción para crear una regla de búsqueda que envíe cualquier grupo que coincida con la regla.

    Puede desactivar el envío del grupo, desvincular grupos enviados o enviar la pertenencia a un grupo inmediatamente haciendo clic en Activo o Inactivo en la columna Estado de envío. Para eliminar, desactivar o activar varios grupos, haga clic en Edición masiva. Para obtener más información, consulte Habilitar envíos de grupo(El enlace se abre en una ventana nueva) en la documentación de Okta.

  3. (Opcional) Si envía a varios grupos, haga clic en Guardar y agregar otro y repita el paso anterior.

  4. Cuando acabe, haga clic en Guardar.

SCIM y otorgar licencia al iniciar sesión

A partir de febrero de 2024 (Tableau 2023.3), puede usar SCIM con Conceder licencias al iniciar sesión (GLSI) con Okta.

El uso de SCIM con GLSI para Okta requiere lo siguiente:

  1. En Okta, agregar usuarios a los grupos en las pestañas Asignación y Envío grupal de la aplicación de Tableau.

  2. En Tableau Cloud, habilitar la opción GLSI para grupos y seleccionar el rol mínimo en el sitio para los usuarios que son miembros de los grupos.

    Nota: No es posible configurar un grupo con el atributo GLSI en Okta.

  3. Los usuarios se aprovisionarán como "sin licencia" en Okta.

Habilitar GLSI

Para configurar y habilitar GLSI, consulte Conceder licencias al iniciar sesión.

Eliminar usuarios SCIM con GLSI

Primero debe eliminar a los usuarios SCIM de sus grupos habilitados para GLSI en Okta antes de intentar desactivarlos en Okta. Al desactivar usuarios, se les asignará el rol "Sin licencia" en Tableau Cloud. Sin embargo, los usuarios no pueden obtener el rol "Sin licencia" en Tableau Cloud hasta que ya no sean miembros de ningún grupo habilitado para GLSI.

  1. En Okta, primero elimine al usuario del grupo habilitado para GLSI asignado a la pestaña Envío grupal.

  2. En Okta, anule al usuario eliminándolo del grupo habilitado para GLSI asignado a la pestaña Asignaciones o eliminando al usuario en Okta. Después de hacer esto, el usuario se convertirá en "Sin licencia" en Tableau Cloud. Dar de baja a un usuario en Okta solo hace que el usuario se convierta en "Sin licencia" en Tableau Cloud y no lo elimina.

    Notas: 

Si tiene problemas, consulte el artículo Error "El rol del usuario no se actualizó a: Sin licencia (código de error = 10079)" al intentar dar de baja a los usuarios a través de SCIM(El enlace se abre en una ventana nueva).

Acerca del grupo "Todos los usuarios" de Tableau Cloud

Si ha habilitado el grupo predeterminado "Todos los usuarios" con GLSI, no puede dar de baja a los usuarios en Okta y, por lo tanto, no puede obtener el rol "Sin licencia" para ninguno de los usuarios que pertenecen al grupo habilitado para GLSI en Tableau Cloud. . Para eliminar usuarios SCIM en el grupo "Todos los usuarios" habilitado para GLSI, debe eliminar manualmente los usuarios de Tableau Cloud.

Nota: Si los usuarios tienen contenido asociado a ellos, deberá reasignar la propiedad del contenido a otros usuarios antes de poder eliminarlos.

Eliminar usuarios SCIM

La eliminación de usuarios SCIM en Okta solo los convertirá en el rol "Sin licencia" y no los eliminará en Tableau Cloud. Si desea eliminar usuarios, debe eliminarlos manualmente en Tableau Cloud.

Para obtener más información sobre cómo eliminar usuarios, consulte la opción Quitar usuarios de un sitio en el tema de ayuda Ver, administrar o eliminar usuarios.

Notas sobre la compatibilidad de SCIM con Okta

  • En la configuración de asignación de usuarios de Okta, los valores de Nombre de usuario y Correo electrónico principal han de ser idénticos.

  • Deberá añadir otra aplicación de Okta de Tableau Cloud por cada sitio que quiera administrar con SCIM.

  • Para migrar un sitio, necesitará volver a configurar el aprovisionamiento de SCIM para el nuevo sitio.

  • Al aprovisionar nuevos usuarios, los atributos de nombre y apellidos en Okta no se sincronizan con Tableau Cloud. Los nuevos usuarios deben establecer esos campos al iniciar sesión por primera vez en Tableau Cloud.

  • Cuando se cancela la asignación de un usuario de la aplicación Tableau Cloud en Okta o se desactiva o elimina por completo el usuario de Okta, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud. Si el usuario es propietario de algún contenido, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.

  • Puede establecer un rol en el sitio para un usuario (como Creator, Explorer o Viewer) en Okta a nivel de usuario o de grupo. Se recomienda asignar los roles en el sitio en el nivel de grupo. Si al usuario se le asigna un rol en el sitio directamente, se ignorará cualquier configuración de grupo.

  • Un usuario puede ser miembro de muchos grupos. Los grupos pueden tener diferentes roles en el sitio. Si a un usuario se le asignan grupos con diferentes roles en el sitio, recibirá el más permisivo de todos en Tableau Cloud. Por ejemplo, si elige Viewer y Creator, Tableau asignará el rol en el sitio Creator.

    A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:

    • Creator del administrador de sitio

    • Explorer del administrador de sitio

    • Creator

    • Explorer (puede publicar)

    • Explorer

    • Viewer

  • Puede actualizar el atributo de rol en el sitio de un usuario en Okta; el cambio se propagará a Tableau Cloud. Otros atributos, como el nombre de usuario y el correo electrónico principal, no se pueden actualizar. Para modificar estos atributos, elimine el usuario, modifique el atributo y, a continuación, vuelva a añadir el usuario.

  • A partir de febrero de 2024 (Tableau 2023.3), se admite el uso de SCIM con Conceder licencias al iniciar sesión (GLSI). Para obtener más información, consulte SCIM y otorgar licencia al iniciar sesión.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!