Configurar SAML con Okta
Puede configurar la administración de usuarios mediante Okta, aprovisionar grupos y asignar roles en el sitio de Tableau Cloud. Si aún no está familiarizado con los roles de sitio de Tableau y las capacidades que cada uno permite, consulte Establecer los roles de sitio de los usuarios.
A medida que vaya completando estos pasos, también puede ayudar tener la documentación de Okta a la mano.
Habilitar soporte de SCIM
Siga estos pasos para habilitar la compatibilidad de SCIM con Okta. Consulte también Notas y limitaciones conocidas de la compatibilidad de SCIM con Okta.
Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML. Si no ha realizado esto, complete las siguientes secciones en Configurar SAML con Okta:
Una vez que haya seguido los pasos de estas dos secciones, siga con la sesión iniciada de la consola de Okta y de Tableau Cloud, mostrando las siguientes páginas:
En Tableau Cloud, la página Configuración > Autenticación.
En la Consola del desarrollador Okta, Aplicaciones > Tableau Cloud > Aprovisionamiento.
En la página Autenticación de Tableau Cloud, en Sincronización de grupo y aprovisionamiento automático (SCIM), active la casilla de verificación Activar SCIM.
Se rellenarán los cuadros URL base y Secreto con los valores que utilizará en la configuración de SCIM del IdP.
Importante: el token secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede seleccionar Generar nuevo secreto. Además, el token secreto está vinculado a la cuenta de usuario de Tableau Cloud del administrador de sitio que habilita el soporte de SCIM. Si el rol en el sitio de ese usuario cambia o se elimina el usuario del sitio, el token secreto quedará invalidado y otro administrador de sitio deberá generar otro token secreto y aplicarlo a su IdP.
Copie el valor del token secreto y, a continuación, en la página Aprovisionamiento de la consola de administrador de Okta, seleccione Integración de API en la columna Configuración.
Seleccione Editar y haga lo siguiente:
Seleccione la casilla de verificación Habilitar la integración de API.
En el token de API, pegue el token secreto de SCIM de Tableau Cloud que ha copiado en el paso anterior.
Para URL base, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.
Habilitar el aprovisionamiento grupal
Okta le permite enviar grupos existentes a Tableau Cloud para asignar atributos de usuario, como roles de grupo o sitio. Una vez que se envía un grupo, puede administrar la membresía del grupo en Okta para actualizar automáticamente el grupo correspondiente en Tableau Cloud.
Nota: Después de habilitar SCIM, los usuarios y sus atributos deben administrarse a través del IdP. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.
Los siguientes pasos continúan a partir de la sesión anterior y se asume que ha iniciado sesión en la consola de administración de Okta.
En la pestaña Aplicación, seleccione la aplicación Tableau Cloud.
Seleccione la pestaña Enviar grupos.
Haga clic en Enviar grupos y, luego, seleccione una de las opciones del menú desplegable:
Buscar grupos por nombre: seleccione esta opción para buscar grupos por nombre.
Buscar grupos por regla: seleccione esta opción para crear una regla de búsqueda que envíe cualquier grupo que coincida con la regla.
Puede desactivar el envío del grupo, desvincular grupos enviados o enviar la pertenencia a un grupo inmediatamente haciendo clic en Activo o Inactivo en la columna Estado de envío. Para eliminar, desactivar o activar varios grupos, haga clic en Edición masiva.
Para obtener más información, consulte Habilitar envíos de grupo(El enlace se abre en una ventana nueva) en la documentación de Okta.
Notas y limitaciones conocidas de la compatibilidad de SCIM con Okta
En la configuración de asignación de usuarios de Okta, los valores de Nombre de usuario y Correo electrónico principal han de ser idénticos.
Deberá añadir otra aplicación de Okta de Tableau Cloud por cada sitio que quiera administrar con SCIM.
Para migrar un sitio, necesitará volver a configurar el aprovisionamiento de SCIM para el nuevo sitio.
Al aprovisionar nuevos usuarios, los atributos de nombre y apellidos en Okta no se sincronizan con Tableau Cloud. Los nuevos usuarios deben establecer esos campos al iniciar sesión por primera vez en Tableau Cloud.
Puede establecer un rol en el sitio para un usuario (como Creator, Explorer o Viewer) en Okta a nivel de usuario o de grupo. Se recomienda asignar los roles en el sitio en el nivel de grupo. Si al usuario se le asigna un rol en el sitio directamente, se ignorará cualquier configuración de grupo.
Un usuario puede ser miembro de muchos grupos. Los grupos pueden tener diferentes roles en el sitio. Si a un usuario se le asignan grupos con diferentes roles en el sitio, recibirá el más permisivo de todos en Tableau Cloud. Por ejemplo, si elige Viewer y Creator, Tableau asignará el rol en el sitio Creator.
A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:
Administrador de sitio Creator
Explorer del administrador de sitio
Creator
Explorer (puede publicar)
Explorer
Viewer
Puede actualizar el atributo de rol en el sitio de un usuario en Okta; el cambio se propagará a Tableau Cloud. Otros atributos, como el nombre de usuario y el correo electrónico principal, no se pueden actualizar. Para modificar estos atributos, elimine el usuario, modifique el atributo y, a continuación, vuelva a añadir el usuario.
El uso de SCIM con Conceder licencias al iniciar sesión no es compatible y puede resultar en roles de sitio aprovisionados incorrectamente para usuarios o grupos.