Configurar SCIM con OneLogin


Puede configurar la administración de usuarios mediante OneLogin, aprovisionar grupos y asignar roles en el sitio de Tableau Cloud. Si aún no está familiarizado con los roles de sitio de Tableau y las capacidades que cada uno permite, consulte Establecer los roles de sitio de los usuarios.

A medida que vaya completando estos pasos, también puede ayudar tener la documentación de OneLogin a la mano. Comience con Introducción al aprovisionamiento de usuarios(El enlace se abre en una ventana nueva) en la documentación de OneLogin.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

  1. Complete las siguientes secciones en Configurar SAML con OneLogin(El enlace se abre en una ventana nueva):

  2. Una vez que haya seguido los pasos de estas dos secciones, siga con la sesión iniciada del portal de OneLogin y de Tableau Cloud, mostrando las siguientes páginas:

    • En Tableau Cloud, la página Configuración > Autenticación.

    • En el portal de OneLogin, la página Configuración.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con OneLogin. Consulte también la sección Notas y limitaciones de la compatibilidad de SCIM con OneLogin a continuación.

Nota: Recuerde hacer clic en Guardar en la esquina superior derecha del portal de OneLogin después de realizar cambios en la configuración.

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. Haga lo siguiente:

    1. En la página Autenticación, en Aprovisionamiento automático y sincronización de grupos (SCIM), active la casilla de verificación Habilitar SCIM.

      Se rellenarán los cuadros URL base y Secreto con los valores que utilizará en la configuración de SCIM del IdP.

      Importante: el token secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede seleccionar Generar nuevo secreto. Además, el token secreto está vinculado a la cuenta de usuario de Tableau Cloud del administrador de sitio que habilita el soporte de SCIM. Si el rol en el sitio de ese usuario cambia o se elimina el usuario del sitio, el token secreto quedará invalidado y otro administrador de sitio deberá generar otro token secreto y aplicarlo a su IdP.

  3. Copie el valor del token secreto.

  4. En el portal de OneLogin, la página Configuración, haga lo siguiente:

    • En Estado de API, haga clic en Habilitar.

    • En el token de SCIM Bearer, pegue el token secreto de SCIM de Tableau Cloud que ha copiado anteriormente.

    • En Base URL de SCIM, copie y pegue la Base URL que se muestra en la configuración de SCIM de Tableau Cloud.

      Imagen de la página Configuración del portal OneLogin

  5. En la página Aprovisionamiento, haga lo siguiente:

    • Seleccione Habilitar aprovisionamiento.

    • Seleccione Suspender para Cuando los usuarios se eliminen en OneLogin, o se elimine el acceso a la aplicación del usuario, realizar la siguiente acción.

      Imagen del conjunto de páginas de aprovisionamiento del portal OneLogin para Tableau Cloud

  6. Haga clic en Guardar.

  7. (Opcional) En la página Parámetros, asigne el Nombre de usuario de SCIM al atributo Correo electrónico. Si no asigna el nombre de usuario de SCIM a un atributo en formato de dirección de correo electrónico, deberá completar manualmente este campo para cada usuario como parte del proceso de aprovisionamiento.

    Se muestra un error al aprovisionar usuarios si el valor asignado no contiene la dirección de correo electrónico del usuario.

Si quiere completar los pasos para grupos de aprovisionamiento de usuarios y grupos, continúe conectado en el portal de OneLogin y proceda con la siguiente sección.

Paso 3: Aprovisionar usuarios y grupos

OneLogin ofrece distintas formas de asignar los atributos de usuario, como grupos o roles en el sitio. Puede implementarlos en el nivel de aplicación Tableau Cloud, crear reglas de asignaciones o aplicarlos manualmente a usuarios individuales.

Antes de comenzar, es importante tener en cuenta que el concepto de grupos de OneLogin funciona de manera diferente al concepto de grupos de Tableau. En OneLogin, los grupos funcionan como límites de seguridad para aplicar políticas de seguridad específicas a los usuarios. Debido a esto, los usuarios solo pueden pertenecer a un grupo a la vez.

Además, OneLogin usa roles como un contenedor para aplicaciones a las que pueden acceder diferentes cohortes de usuarios. Una vez que asigna un rol a los usuarios, les otorga acceso a todas las aplicaciones incluidas en el rol. Esto es similar al concepto de grupos de Tableau. Los usuarios pueden tener varios roles en OneLogin, que se pueden asignar a un grupo de aplicaciones de destino, como Tableau Cloud.

Nota: Los siguientes pasos asumen que ha iniciado sesión en el portal OneLogin y la aplicación Tableau Cloud. Estos pasos proporcionan información específica de Tableau que puede usar con la documentación de OneLogin para asignar grupos y atributos de rol de sitio a usuarios.

Aprovisionar un usuario

Use los siguientes pasos para aprovisionar usuarios individuales para Tableau Cloud a través del portal OneLogin.

  1. Vaya a la pestaña Usuarios y seleccione el usuario que desea aprovisionar. Esto abre la página de configuración del usuario.

  2. En el menú de navegación izquierdo, seleccione Aplicaciones.

  3. En la página Aplicaciones, haga clic en el icono más (+) para proporcionar al usuario su aplicacion de Tableau Cloud y luego haga clic en Continuar.

  4. Especifique el rol en el sitio apropiado de Tableau Cloud para el usuario en el campo Rol en el sitio. Para obtener más información sobre los roles de sitio, consulte Establecer los roles de sitio de los usuarios(El enlace se abre en una ventana nueva).

  5. Haga clic en Guardar.

Aprovisionar múltiples usuarios con roles de OneLogin

Puede aprovisionar múltiples usuarios para Tableau Cloud asignando roles en OneLogin. Los usuarios se pueden agregar a roles de forma manual o automática mediante asignaciones.

Para agregar usuarios a un rol:

  1. Vaya a Usuarios > Funciones y seleccione una función existente o cree una función nueva. Para obtener más información, el artículo de OneLogin Roles(El enlace se abre en una ventana nueva).

    El siguiente ejemplo muestra el rol "Ventas" que usaremos como grupo en Tableau Cloud más tarde.

  2. En la página Aplicaciones, asigne el acceso de rol a la aplicación Tableau Cloud. Esto debería aprovisionar a los usuarios asociados a la aplicación automáticamente.

  3. En la página Usuarios, puede agregar usuarios a una función manualmente indicando su nombre y apellido, o agregar un mapeo para agregar automáticamente usuarios a una función de acuerdo con atributos específicos, como su grupo de Active Directory, por ejemplo.

  4. Después de agregar usuarios a roles, le recomendamos que cree reglas dentro de la aplicación para asignar los roles apropiados. Rol en el sitio de Tableau Cloud basado en el rol de OneLogin. Para obtener más información, consulte el artículo de OneLogin Configurar aplicaciones(El enlace se abre en una ventana nueva).

    En la captura de pantalla a continuación, a los usuarios con el rol "Ventas" se les asignará el rol en el sitio Creator en Tableau Cloud. Asimismo, a los usuarios con el rol de “Marketing” se les asignará el rol en el sitio Viewer.

Añadir usuarios a grupos de Tableau Cloud existentes

Importe grupos de Tableau Cloud en OneLogin y especifique los grupos que desea seleccionar de forma predeterminada en el diálogo de aprovisionamiento de usuarios.

  1. En la página Parámetros, haga clic en Grupos y seleccione la casilla de selección Incluir en aprovisionamiento de usuarios.

  2. Vaya a la página Aprovisionamiento y en la sección Atributos, haga clic en Actualizar.

    Esto importa los grupos de Tableau Cloud.

  3. Regrese a la página Parámetros y seleccione los grupos que quiere mostrar como valores seleccionados en el diálogo de aprovisionamiento de usuarios.

  4. Para cambiar la suscripción del grupo, vaya a la página Usuarios, seleccione un usuario y en la sección Grupos modifique los valores seleccionados y disponibles.

También puede crear asignaciones que coloquen a los usuarios en grupos automáticamente en función de las condiciones que defina. Para obtener más información, el artículo de OneLogin Asignaciones(El enlace se abre en una ventana nueva).

Crear grupos en Tableau Cloud desde OneLogin

Utilice los siguientes pasos para crear grupos de Tableau Cloud basados en atributos en las asignaciones de OneLogin. Por ejemplo, cree un grupo en Tableau Cloud en función de los roles de los usuarios.

  1. Vaya a Aplicaciones, seleccione la aplicación Tableau Cloud y luego Reglas.

  2. En la página Reglas, haga clic en Agregar regla para abrir la ventana de edición de asignación.

  3. En Acciones, seleccione Establecer grupos en el menú desplegable y luego seleccione Asignar desde OneLogin.

    El campo de condiciones con un valor que coincide utiliza expresiones regulares. Si desea crear un grupo en Tableau Cloud que coincida con el nombre del rol en OneLogin, escriba .* en el campo de texto.

Roles de sitio en Tableau

De forma predeterminada, a los usuarios se les asigna el rol en el sitio Observador, que necesita el tipo de licencia de Observador.

Independientemente del método que use en OneLogin para asignar roles en el sitio, en algún momento necesita indicar el nombre del rol en el sitio en una casilla de texto. Para los valores permitidos que se pueden escribir, consulte Valores válidos de rol en el sitio de Tableau.

Aquí presentamos algunas de las formas en las que puede asignar roles:

Para usuarios individuales:

  1. En la página Usuarios, seleccione el usuario y luego vaya a la pestaña Aplicaciones. Seleccione la aplicación correspondiente de Tableau Cloud.

  2. En la configuración del usuario, escriba el nombre del rol en el sitio en el cuadro de texto Rol en el sitio.

Para un conjunto de usuarios:

  1. En la página Parámetros, haga clic en Rol en el sitio y, a continuación, en Valor seleccione una de las opciones para asignar el atributo de rol en el sitio.

    Por ejemplo:

    • Si todos los usuarios tienen el mismo rol en el sitio, seleccione Macro e ingrese el nombre del rol en el sitio.

    • Si el directorio de usuario de OneLogin contiene el siguiente rol, seleccione el atributo correspondiente.

  2. En la página Reglas, cree una regla que asigne un rol a un rol particular en Tableau Cloud.

Una vez haya asignado el rol en el sitio, haga clic en Guardar.

Valores válidos de rol en el sitio de Tableau

En la página Aprovisionamiento en el portal de OneLogin, los valores de Rol en el sitio que puede introducir dependen de los roles de licencia actuales o heredados.

  • Los roles de licencia actuales incluye los siguientes valores de rol en el sitio:

    Creador, Explorador, Explorador (puede publicar), Solo lectura, Administrador del servidor, Administrador de sitio Explorador, Administrador de sitio Creador, Sin licencia u Observador.

  • Los tipos de licencia heredadas (anteriores a la versión v2018.1) vienen con los siguientes roles en el sitio:

    Interaccionador, Publicador, Administrador del servidor, Administrador de sitio, Sin licencia (puede publicar), Observador u Observador (puede publicar).

Para conocer los efectos de cambiar los atributos de usuario o sobre cómo restablecer los atributos individuales del usuario que se cambió de forma manual, consulte el artículo de OneLogin Atributos de aprovisionamiento: el Efecto de valores predeterminados, reglas y entrada manual(El enlace se abre en una ventana nueva).

Notas y limitaciones conocidas de la compatibilidad de SCIM con OneLogin

  • Deberá añadir otra aplicación de Tableau Cloud por cada sitio que quiera administrar con SCIM.

  • Al desaprovisionar o eliminar usuarios existentes de la aplicación Tableau Cloud en OneLogin, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud en caso de que posean algún recurso de contenido. En el caso de que tenga, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.

  • El uso de SCIM con Conceder licencias al iniciar sesión no es compatible y puede resultar en roles de sitio aprovisionados incorrectamente para usuarios o grupos.

Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!