Configurar SAML con Okta

Puede configurar la administración de usuarios mediante Okta, aprovisionar grupos y asignar roles en el sitio de Tableau Cloud. Si aún no está familiarizado con los roles de sitio de Tableau y las capacidades que cada uno permite, consulte Establecer los roles de sitio de los usuarios.

Notas:

Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento. Si los pasos descritos aquí no coinciden con las pantallas que ve en la cuenta del IdP, puede usar el tema general SCIM junto con la documentación del IdP.
Los pasos de configuración en el IdP pueden estar en un orden diferente al que ve en Tableau.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

Complete las siguientes secciones en Configurar SAML con Okta:
- Paso 1: Comenzar
- Paso 3. Configurar la aplicación Tableau Cloud en su IdP
Una vez que haya seguido los pasos de estas dos secciones, siga con la sesión iniciada de la consola de administración de Okta y de Tableau Cloud, mostrando las siguientes páginas:
- En Tableau Cloud, la página Configuración > Autenticación.
- En la consola de administración de Okta, Aplicaciones > Aplicaciones > Tableau Cloud > Aprovisionamiento.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con Okta. Consulte también las Notas sobre la compatibilidad de SCIM con Okta a continuación.

En Tableau Cloud

Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.
Haga lo siguiente:
1. En la página Autenticación, en Sistema para la administración de identidades entre dominios (SCIM), haga clic en el botón Nueva configuración.
2. En el cuadro de diálogo Nueva configuración de SCIM, haga lo siguiente:
  1. Escriba un nombre para la configuración de SCIM.
  2. Copie la URL base que utilizará en la configuración SCIM de su IdP.
  3. En el menú desplegable Autenticación, seleccione la configuración de autenticación SAML para asociarla con SCIM.
  4. Haga clic en Guardar.
    Nota: Se rellena la sección Token de SCIM.
3. En Token de SCIM, haga lo siguiente:
  1. Haga clic en el botón Nuevo secreto.
  2. En el cuadro de diálogo Nuevo secreto, haga clic de nuevo en el botón Nuevo secreto. Aparecerá un secreto recién generado.
  3. Pegue el secreto y guárdelo en un lugar seguro.
    Importante:
    - Si cierra la configuración de SCIM de antes de añadir el secreto a la configuración de SCIM de su IdP, puede editar la configuración de SCIM, pero se le pedirá que vuelva a hacer clic en Nuevo secreto para generar un secreto nuevo.
    - El secreto está vinculado al usuario administrador del sitio de Tableau que creó la configuración SCIM. Si el rol en el sitio de ese usuario cambia o el usuario ya no es miembro del sitio, el secreto quedará invalidado. En este caso, otro administrador de sitio puede generar un nuevo secreto para la configuración de SCIM existente y agregarlo a la configuración de SCIM del IdP, o crear una nueva configuración de SCIM asegurándose de que la URL base y el secreto se agregan a la configuración SCIM del IdP.
  4. Haga clic en Cerrar.

En Okta

En la consola de administración de Okta, debe realizar lo siguiente:
1. En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Aprovisionamiento.
2. Haga clic en el botón Habilitar la integración de API.
3. Seleccione la casilla de verificación Habilitar la integración de API y haga clic en Guardar.
4. Haga lo siguiente:
  1. En el token de API, pegue el token secreto de SCIM de Tableau Cloud que ha copiado en el paso anterior.
  2. Para URL base, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.
Haga clic en el botón Probar credenciales del API para garantizar que la configuración se haya realizado correctamente. Si la configuración se realizó correctamente, verá el mensaje "Tableau Cloud se verificó correctamente".
Cuando acabe, haga clic en Guardar.

Paso 3: Asignar grupos a la aplicación de Tableau Cloud

Para el aprovisionamiento de usuarios en Tableau, le recomendamos administrar usuarios en grupos para facilitar la administración en Tableau.

En Okta, asigne grupos a la aplicación Tableau Cloud para que los usuarios puedan aprovisionarse en Tableau Cloud. Más específicamente, necesita dos grupos distintos, un grupo asignado a la pestaña Asignación y un grupo asignado a la pestaña Envío grupal. El grupo de la pestaña Asignaciones se utiliza para crear usuarios en Tableau Cloud. El grupo en la pestaña Envío grupal se utiliza para crear el grupo y administrar la pertenencia del grupo en Tableau Cloud.

Notas:

Okta requiere que tenga un grupo en la pestaña Asignaciones y un grupo para la pestaña Envío grupal para evitar una condición de carrera. Para obtener más información, consulte Asignaciones de aplicaciones y envío grupal(El enlace se abre en una ventana nueva) y Acerca del envío grupal(El enlace se abre en una ventana nueva) en la documentación de Okta.

Los pasos de este procedimiento suponen que ya ha creado al menos dos grupos. Para obtener más información sobre la creación de grupos en Okta, consulte Crear un grupo(El enlace se abre en una ventana nueva) en la documentación de Okta.

Puede utilizar el procedimiento siguiente para agregar un grupo y asignarlo a la aplicación de Tableau Cloud.

En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Asignaciones.
Haga clic en el menú desplegable Asignar y seleccione Asignar a grupos.
Haga lo siguiente:
1. Seleccione el grupo relevante.
2. Seleccione el rol en el sitio al que desea que se aprovisione a los usuarios en Tableau. Las opciones son:
  - Sin licencia
  - Viewer
  - Explorer
  - Explorer (puede publicar)
  - Creator
  - Explorer del administrador de sitio
  - Creator del administrador de sitio
Cuando termine, haga clic en el botón Guardar y volver.
Repita los pasos 1-4 en la pestaña Envío grupal y luego haga clic en el botón Listo.

Paso 4: Habilitar el aprovisionamiento grupal

Okta le permite mejorar los grupos existentes y sus membresías a Tableau Cloud. Una vez que se envía un grupo, puede administrar la membresía del grupo en Okta para actualizar automáticamente el grupo correspondiente en Tableau Cloud. Antes de seguir estos pasos, le recomendamos consultar Requisitos previos de envío grupal(El enlace se abre en una ventana nueva) y Acerca del envío grupal(El enlace se abre en una ventana nueva) en la documentación de Okta.

Importante: Después de habilitar SCIM, los usuarios y sus atributos deben administrarse a través de Okta. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.

Los siguientes pasos continúan a partir de la sesión anterior y se asume que ha iniciado sesión en la consola de administración de Okta.

En el panel izquierdo, seleccione Aplicación > Aplicación, haga clic en la aplicación Tableau Cloud y luego haga clic en la pestaña Enviar grupos.
Haga clic en el botón Enviar grupos y, luego, seleccione una de las siguientes opciones del menú desplegable:

Buscar grupos por nombre: seleccione esta opción para buscar grupos por nombre.
Buscar grupos por regla: seleccione esta opción para crear una regla de búsqueda que envíe cualquier grupo que coincida con la regla.

Puede desactivar el envío del grupo, desvincular grupos enviados o enviar la pertenencia a un grupo inmediatamente haciendo clic en Activo o Inactivo en la columna Estado de envío. Para eliminar, desactivar o activar varios grupos, haga clic en Edición masiva. Para obtener más información, consulte Habilitar envíos de grupo(El enlace se abre en una ventana nueva) en la documentación de Okta.

(Opcional) Si envía a varios grupos, haga clic en Guardar y agregar otro y repita el paso anterior.
Cuando acabe, haga clic en Guardar.

SCIM y otorgar licencia al iniciar sesión

A partir de febrero de 2024 (Tableau 2023.3), puede usar SCIM con Conceder licencias al iniciar sesión (GLSI) con Okta.

El uso de SCIM con GLSI para Okta requiere lo siguiente:

En Okta, agregar usuarios a los grupos en las pestañas Asignación y Envío grupal de la aplicación de Tableau Cloud.
En Tableau Cloud, habilitar la opción GLSI para grupos y seleccionar el rol mínimo en el sitio para los usuarios que son miembros de los grupos.
Nota: No es posible configurar un grupo con el atributo GLSI en Okta.
Los usuarios se aprovisionarán como "sin licencia" en Okta.

Habilitar GLSI

Para configurar y habilitar GLSI, consulte Conceder licencias al iniciar sesión.

Eliminar usuarios SCIM con GLSI

Primero debe eliminar a los usuarios SCIM de sus grupos habilitados para GLSI en Okta antes de intentar desactivarlos en Okta. Al desactivar usuarios, se les asignará el rol "Sin licencia" en Tableau Cloud. Sin embargo, los usuarios no pueden obtener el rol "Sin licencia" en Tableau Cloud hasta que ya no sean miembros de ningún grupo habilitado para GLSI.

En Okta, primero elimine al usuario del grupo habilitado para GLSI asignado a la pestaña Envío grupal.
Aún en Okta, anule al usuario eliminándolo del grupo habilitado para GLSI asignado a la pestaña Asignaciones o eliminando al usuario en Okta. Después de hacer esto, el usuario se convertirá en "Sin licencia" en Tableau Cloud. Dar de baja a un usuario en Okta solo hace que el usuario se convierta en "Sin licencia" en Tableau Cloud y no lo elimina.
Notas:
- Si desea eliminar un usuario en Okta, consulte Desactivar y eliminar cuentas de usuario(El enlace se abre en una ventana nueva) en la documentación de Okta.
- Si desea eliminar el usuario SCIM en Tableau Cloud (consulte Eliminar usuarios SCIM, a continuación), elimine manualmente al usuario de Tableau Cloud.

Si tiene problemas, consulte el artículo Error "El rol del usuario no se actualizó a: Sin licencia (código de error = 10079)" al intentar dar de baja a los usuarios a través de SCIM(El enlace se abre en una ventana nueva).

Acerca del grupo "Todos los usuarios" de Tableau Cloud

Si ha habilitado el grupo predeterminado "Todos los usuarios" con GLSI, no puede dar de baja a los usuarios en Okta y, por lo tanto, no puede obtener el rol "Sin licencia" para ninguno de los usuarios que pertenecen al grupo habilitado para GLSI en Tableau Cloud. . Para eliminar usuarios SCIM en el grupo "Todos los usuarios" habilitado para GLSI, debe eliminar manualmente los usuarios de Tableau Cloud.

Nota: Si los usuarios tienen contenido asociado a ellos, deberá reasignar la propiedad del contenido a otros usuarios antes de poder eliminarlos.

Eliminar usuarios SCIM

La eliminación de usuarios SCIM en Okta solo los convertirá en el rol "Sin licencia" y no los eliminará en Tableau Cloud. Si desea eliminar usuarios, debe eliminarlos manualmente en Tableau Cloud.

Para obtener más información sobre cómo eliminar usuarios, consulte la opción Quitar usuarios de un sitio en el tema de ayuda Ver, administrar o eliminar usuarios.

Notas sobre la compatibilidad de SCIM con Okta

En la configuración de asignación de usuarios de Okta, los valores de Nombre de usuario y Correo electrónico principal han de ser idénticos.
Deberá añadir otra aplicación de Okta de Tableau Cloud por cada sitio que quiera administrar con SCIM.
Para migrar un sitio, necesitará volver a configurar el aprovisionamiento de SCIM para el nuevo sitio.
Al aprovisionar nuevos usuarios, los atributos de nombre y apellidos en Okta no se sincronizan con Tableau Cloud. Los nuevos usuarios deben establecer esos campos al iniciar sesión por primera vez en Tableau Cloud.
Cuando se cancela la asignación de un usuario de la aplicación Tableau Cloud en Okta o se desactiva o elimina por completo el usuario de Okta, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud. Si el usuario es propietario de algún contenido, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.
Puede establecer un rol en el sitio para un usuario (como Creator, Explorer o Viewer) en Okta a nivel de usuario o de grupo. Se recomienda asignar los roles en el sitio en el nivel de grupo. Si al usuario se le asigna un rol en el sitio directamente, se ignorará cualquier configuración de grupo.
Un usuario puede ser miembro de muchos grupos. Los grupos pueden tener diferentes roles en el sitio. Si a un usuario se le asignan grupos con diferentes roles en el sitio, recibirá el más permisivo de todos en Tableau Cloud. Por ejemplo, si elige Viewer y Creator, Tableau asignará el rol en el sitio Creator.
A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:
- Creator del administrador de sitio
- Explorer del administrador de sitio
- Creator
- Explorer (puede publicar)
- Explorer
- Viewer
Puede actualizar el atributo de rol en el sitio de un usuario en Okta; el cambio se propagará a Tableau Cloud. Otros atributos, como el nombre de usuario y el correo electrónico principal, no se pueden actualizar. Para modificar estos atributos, elimine el usuario, modifique el atributo y, a continuación, vuelva a añadir el usuario.
A partir de febrero de 2024 (Tableau 2023.3), se admite el uso de SCIM con Conceder licencias al iniciar sesión (GLSI). Para obtener más información, consulte SCIM y otorgar licencia al iniciar sesión.

Volver arriba

¡Gracias por sus comentarios!

Sus comentarios se han enviado correctamente. ¡Gracias!

Ayuda de Tableau Cloud