tsm authentication

Puede utilizar los comandos tsm authentication para habilitar, deshabilitar y configurar opciones de autenticación de usuario de Tableau Server.

configuración de identity-migration con tsm authentication

Cambie la configuración de trabajo predeterminada para la migración de identidad. Para obtener más información, consulte Administrar la migración de identidades.

Sinopsis

tsm authentication identity-migration configure –job-run-time

tsm authentication identity-migration configure –rate

Opciones

-j,--job-run-time <number>

Opcional.

Determina el tiempo máximo permitido, en minutos, que puede ejecutarse el trabajo de migración programada. El valor predeterminado es 120 minutos.

-r,--rate <number>

Opcional.

Determina el número de solicitudes durante un trabajo de migración que se pueden ejecutar por segundo. El valor predeterminado es 5 solicitudes por segundo.

tsm authentication kerberos <comandos>

Sirven para habilitar, deshabilitar y configurar la autenticación de usuario Kerberos en Tableau Server. Consulte Configurar Kerberos.

Sinopsis

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options].

tsm authentication kerberos enable [global options].

tsm authentication kerberos disable [global options].

Opciones para la configuración de Kerberos

-kt, --keytab-file <keytab_file.keytab>

Requerido.

Especifica el archivo .keytab de servicio utilizado en las solicitudes al KDC.

tsm authentication legacy-identity-mode <commands>

Habilite o deshabilite el modo de almacén de identidades heredadas que podría ser necesario durante la migración de identidad. Revise la sección No se puede restaurar la copia de seguridad para determinar cuándo debe utilizar este comando.

Para obtener más información, consulte Acerca de la migración de identidades.

Sinopsis

tsm authentication legacy-identity-mode enable

tsm authentication legacy-identity-mode disable

tsm authentication list

Enumera las opciones de configuración existentes relativas a la autenticación del servidor.

Sinopsis

tsm authentication list [--verbose][global options].

Opciones

v, --verbose

Opcional.

Muestra todos los parámetros configurados.

tsm authentication mutual-ssl <comandos>

Sirven para habilitar, deshabilitar y configurar la SSL mutua para la autenticación de usuario en Tableau Server. Para obtener más información sobre la SSL mutua, consulte Configurar la autenticación SSL mutua.

Para poder habilitar la SSL mutua, hay que habilitar y configurar la SSL para las comunicaciones externas. Para obtener información, consulte Configurar SSL para tráfico HTTP externo a y desde Tableau Server.

Sinopsis

tsm authentication mutual-ssl configure [options] [global options].

tsm authentication mutual-ssl disable [global options].

tsm authentication mutual-ssl enable [global options].

Opciones

-cf, --ca-cert <certificate-file.crt>

Opcional.

Especifica la ubicación y el nombre de archivo del archivo de certificado. El archivo debe ser un certificado de confianza válido procedente de una autoridad de certificación (por ejemplo, Verisign).

-fb, --fallback-to-basic <true | false>

Opcional.

Especifica si Tableau Server debe aceptar el nombre de usuario y la contraseña para la autenticación si la autenticación SSL fracasa.

El valor predeterminado es false para indicar que, cuando está configurado para SSL mutua, Tableau Server no permite una conexión si la autenticación SSL fracasa. Sin embargo, Tableau Server acepta la autenticación de nombre de usuario y contraseña de los clientes de API de REST, aunque esta opción esté establecida en false.

-m, --user-name-mapping <upn | ldap | cn>

Opcional.

Especifica la sintaxis del nombre de usuario (UPN, LDAP o CN) que se va a recuperar del directorio o almacén de identidades. La sintaxis debe coincidir con el formato del nombre de sujeto o del nombre alternativo de sujeto que consta en el certificado de usuario.

-rf, --revocation-file <revoke-file.pem>

Opcional.

Especifica la ubicación y el nombre de archivo de lista de revocación de certificados. Este archivo puede tener la extensión .pem o .der.

tsm authentication openid <comandos>

Sirven para habilitar, deshabilitar y configurar la autenticación de usuario de OpenID Connect (OIDC) en Tableau Server.

Sinopsis

tsm authentication openid configure [options] [global options].

tsm authentication openid disable [global options].

tsm authentication openid enable [global options].

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options].

Opciones para la configuración de openid

Nota: Las opciones se deben establecer durante la configuración inicial o durante la reconfiguración. Las opciones individuales no se pueden establecer por separado.

-a, --client-authentication <string>

Requerido.

Especifica el método de autenticación de cliente personalizado para OpenID Connect.

Para configurar Tableau Server para usar el IdP de Salesforce, establezca este valor en client_secret_post.

-cs, --client-secret <string>

Requerido.

Especifica el secreto de cliente del proveedor. Se trata de un token que Tableau usa para verificar la autenticidad de la respuesta por parte del IdP. Este valor es un secreto y se debe proteger.

-cu, --config-url <url>

Requerido.

Especifica la ubicación del documento de detección de la configuración del proveedor que contiene los metadatos del proveedor de OpenID. Si el proveedor aloja un archivo JSON público, use --config-url. En caso contrario, especifique una ruta en el equipo local y un nombre de archivo usando --metadata-file.

-mf, --metadata-file <file-path>, --config-file <config-file.json>

Opcional.

Especifica la ruta de acceso local al documento JSON de detección de OIDC estático.

-i, --client-id <client-id>

Requerido.

Especifica el ID de cliente del proveedor que el IdP ha asignado a su aplicación.

-id, --ignore-domain <true | false>

Opcional. Predeterminado: false

Establezca esta opción en true si se cumplen las afirmaciones siguientes:

  • Usa direcciones de correo electrónico como nombres de usuario en Tableau Server.

  • Aprovisionó usuarios en el IdP con varios nombres de dominio.

  • Desea omitir la parte del nombre de dominio de la notificación de email del IdP.

Antes de continuar, revise los nombres de usuario que se usarán después de establecer esta opción en true. Pueden producirse conflictos de nombres de usuario. Si se produce un conflicto de nombre de usuario, el riesgo de divulgación de información es elevado. Consulte Requisitos para usar OpenID Connect.

-if, --iframed-idp-enabled <true | false>

Opcional. Predeterminado: false

Especifica si el IdP está permitido dentro de un iFrame. El IdP debe desactivar la protección contra secuestro de clics para permitir la presentación en iFrame.

-ij, --ignore-jwk <true | false>

Opcional. Predeterminado: false

Establezca esta opción en true si el IdP no admite la validación de JWK. En este caso, le recomendamos autenticar la comunicación con el IdP a través de un TLS mutuo u otro protocolo de seguridad de nivel de red.

-r, --return-url <return-url>

La URL del servidor. Suele ser el nombre público de su servidor, por ejemplo, "http://example.tableau.com".

-sn, --custom-scope-name <string>

Opcional.

Especifica un valor relativo al usuario de ámbito personalizado que se puede usar para consultar el IdP. Consulte Requisitos para usar OpenID Connect.

Opciones de openid map-claims

Use estas opciones para cambiar las reclamaciones OIDC predeterminadas que Tableau Server utilizará al comunicarse con su IdP. Consulte Requisitos para usar OpenID Connect.

-i, --id <string>

Opcional. Predeterminado: sub

Cambie este valor si el IdP no usa la notificación sub para identificar de forma única a los usuarios en el token del identificador. La notificación de IdP que especifique debe contener una única cadena.

-un, --user-name <string>

Opcional. Predeterminado: email

Cambie este valor a la notificación de IdP que usará la organización para buscar coincidencias de los nombres de usuario con los almacenados en Tableau Server.

tsm authentication pat-impersonation <comandos>

Habilite y deshabilite la suplantación del token de acceso personal para administradores en Tableau Server.

Para obtener información sobre la suplantación del token de acceso personal, consulte Tokens de acceso personal.

Sinopsis

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

Para comprobar si la suplantación del token de acceso personal está habilitada, ejecute el siguiente comando:

tsm authentication list

tsm authentication saml <comandos>

Sirven para configurar Tableau Server de forma que admita el inicio de sesión único al usar el estándar SAML 2.0, para habilitar o deshabilitar SAML en un sitio y para mapear nombres de atributo de aserción entre Tableau Server y el proveedor de identidades (IdP).

Comandos disponibles

tsm authentication saml configure [options] [global options].

tsm authentication saml disable [options] [global options].

tsm authentication saml enable [options] [global options].

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options].

tsm authentication saml configure

Establezca la configuración de SAML en el servidor. Especifique los archivos de metadatos y el certificado SAML, proporcione más información necesaria y establezca opciones adicionales.

Si está configurando SAML por primera vez o lo había deshabilitado, debe ejecutar este comando con tsm authentication saml enable. Para obtener más información, consulte Configurar SAML en todo el servidor.

Sinopsis

tsm authentication saml configure [options] [global options].

Opciones

-e, --idp-entity-id <id>

Necesario para la configuración SAML inicial; en caso contrario, es opcional. Valor de ID de entidad del IdP.

Suele ser el mismo que la URL de devolución de Tableau Server (que se especifica en el parámetro --idp-return-url). El ID de entidad que escriba se utilizará como base para generar distintos ID de entidad específicos de los sitios. Por ejemplo, si escribe lo siguiente:

http://tableau-server

Un sitio configurado para SAML podría mostrar el siguiente ID de entidad:

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

Para buscar el ID de entidad de un sitio, vaya a la página Configuración de un sitio y seleccione la pestaña Autenticación. Cuando SAML está habilitado, el ID de entidad se muestra debajo del primer paso para configurar el SAML específico de un sitio, con la exportación de metadatos.

-r, --idp-return-url <idp-return-url>

Necesario para la configuración SAML inicial; en caso contrario, es opcional. La URL de devolución SAML configurada en el IdP. Suele ser la URL externa de Tableau Server; por ejemplo, https://tableau-server.

Notas

  • http://localhost no funciona para servidores externos.

  • No se puede añadir una barra final a la URL (https://tableau-server/).

-i, --idp-metadata <idp-metadata.xml>

Necesario para la configuración SAML inicial; en caso contrario, es opcional. Proporciona la ubicación y el nombre del archivo de metadatos XML que ha exportado de la configuración del IdP.

Por ejemplo, /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

-cf, --cert-file <certificate.crt>

Necesario para la configuración SAML inicial; en caso contrario, es opcional. Ubicación y nombre del archivo de certificado x509 para SAML. Para conocer los requisitos del archivo de certificado, consulte Requisitos de SAML.

Por ejemplo, /var/opt/tableau/tableau_server/data/saml/<file.crt>

-kf, --key-file <certificate.key>

Necesario para la configuración SAML inicial; en caso contrario, es opcional. Ubicación y nombre del archivo de clave que acompaña al certificado.

Por ejemplo, /var/opt/tableau/tableau_server/data/saml/<file.key>

-a, --max-auth-age <max-auth-age>

Opcional. El valor predeterminado es -1 (a partir de las versiones 2020.4.15, 2021.1.12, 2021.2.9, 2021.3.8, 20214.4, 2022 de Tableau Server y posteriores). El valor predeterminado anterior era 7200 (2 horas).

Número máximo de segundos permitidos entre la autenticación de un usuario y el procesamiento del mensaje AuthNResponse.

Le recomendamos que mantenga este valor predeterminado que deshabilita la verificación de la antigüedad máxima de autenticación. Si este valor es diferente de su IdP, es posible que se produzca un error de inicio de sesión cuando los usuarios intenten iniciar sesión en Tableau Server. Para obtener más información sobre este error, consulte el artículo Error intermitente “Unable to Sign In” (No se puede iniciar sesión) con el SSO de SAML en Tableau Server(El enlace se abre en una ventana nueva) de la base de conocimientos de Tableau.

-d, --desktop-access <enable | disable>

Opcional. El valor predeterminado es enable.

Esta opción solo afecta a SAML aplicado en todo el sitio. Use SAML para iniciar sesión en el servidor desde Tableau Desktop. Si el inicio de sesión único de las aplicaciones cliente de Tableau no funciona con su proveedor de identidad (IdP), puede definir el valor disable.

-m, --mobile-access <enable | disable>

Opcional. El valor predeterminado es enable.

Permitir usar SAML para iniciar sesión desde las versiones anteriores de la aplicación Tableau Mobile. Los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, ignoran esta opción. Para deshabilitar los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, deshabilite SAML como opción de inicio de sesión de cliente en Tableau Server.

-so, --signout <enable | disable>

Opcional. Opción habilitada de manera predeterminada.

Habilite o deshabilite el cierre de sesión de SAML para Tableau Server.

-su, --signout-url <url>

Opcional. Escriba la URL que se debe utilizar para el redireccionamiento después de que los usuarios hayan cerrado la sesión en el servidor. De forma predeterminada, es la página de inicio de sesión de Tableau Server. Puede especificar una URL absoluta o relativa.

Ejemplo

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

tsm authentication saml enable y saml disable

Habilita o deshabilita la autenticación SAML en todo el servidor. En este contexto, todos los sitios y usuarios que habilite para SAML pasan por un solo proveedor de identidad.

Sinopsis

tsm authentication saml enable [global options].

tsm authentication saml disable [global options].

tsm authentication saml export-metadata

Exporte el archivo de metadatos .xml de Tableau Server que utilizará para configurar el SAML IdP.

Sinopsis

tsm authentication saml export-metadata [options] [global options].

Opciones

-f, --file [/path/to/file.xml]

Opcional.

Especifica la ubicación y el nombre de archivo del archivo en el que se van a escribir los metadatos. Si no incluye esta opción, export-metadata guarda el archivo en el directorio actual y lo denomina samlmetadata.xml.

-o, --overwrite

Opcional.

Sobrescribe un archivo existente que tenga el mismo nombre especificado en -f o el nombre predeterminado si no se incluye -f. Si existe un archivo especificado en -f y no se incluye -o, el comando no sobrescribirá el archivo existente.

tsm authentication saml map-assertions

Mapea atributos entre el IdP y Tableau Server. Indique el nombre que el IdP usa para el atributo especificado en cada argumento.

Sinopsis

tsm authentication saml map-assertions --user-name <user-name> [global options]

Opciones

-r, --user-name <user-name-attribute>

Opcional. Atributo en el que el IdP almacena el nombre de usuario. En Tableau Server, este es el mismo nombre que el nombre de visualización.

-e, --email <email-name-attribute>

No usar. Esta opción no es compatible con Tableau.

-o, --domain <domain-name-attribute>

Opcional. Atributo en el que el IdP almacena el nombre de dominio. Use esta opción si quiere añadir usuarios desde un dominio distinto del dominio del equipo de Tableau Server. Para obtener más información, consulte Ejecutar varios dominios.

-d --display-name <display-name-attribute>

No usar. Esta opción no es compatible con Tableau.

Ejemplo de saml map-assertions

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> o tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable y sitesaml disable

Configure el servidor para permitir o denegar la autenticación SAML en el nivel de sitio. Si habilita el SAML específico de un sitio, podrá acceder a la pestaña Configuración > Autenticación de la interfaz de usuario web de Tableau Server. La pestaña Autenticación contiene opciones de configuración de SAML específico de un sitio.

Use el comando sitesaml enable con saml configure si todavía no ha configurado el servidor para que admita el SAML específico de un sitio. Para obtener más información, consulte Configurar el SAML específico de un sitio.

Sinopsis

tsm authentication sitesaml enable [global options].

tsm authentication sitesaml disable [global options].

tsm authentication sspi <comandos>

Este comando solo funcionará en Tableau Server en Windows. Si trata de habilitar SSPI en Tableau Server en Linux, se generará un error.

Sirven para habilitar o deshabilitar el inicio de sesión automático mediante Microsoft SSPI.

Si utiliza Active Directory para la autenticación, puede optar por habilitar el inicio de sesión automático, que usa Microsoft SSPI para iniciar sesión automáticamente basándose en el nombre de usuario y contraseña de Windows. Esto crea una experiencia similar a un inicio de sesión único (SSO).

No habilite SSPI si tiene previsto configurar Tableau Server para SAML, autenticación de confianza, un equilibrador de carga o para un servidor proxy. En estos casos no se admite el uso de SSPI.

Sinopsis

tsm authentication sspi disable [global options].

tsm authentication sspi enable [global options].

Al igual que con todos los comandos de autenticación, debe ejecutarse tsm pending-changes apply después de ejecutar este comando.

tsm authentication trusted <comandos>

Configure una autenticación de confianza (vales de confianza) para la autenticación de usuario de Tableau Server.

Sinopsis

tsm authentication trusted configure [options] [global options].

Opciones

-th, --hosts <string>

Opcional.

Especifica los nombres de host de confianza (o direcciones IPv4) de los servidores web que hospedarán las páginas con contenido de Tableau.

Para varios valores, introduzca los nombres en una lista separada por comas en la que cada valor esté rodeado por comillas dobles.

Por ejemplo:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 
.

o

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

Opcional.

Determina el número de caracteres en cada vale de confianza. La configuración predeterminada de 24 caracteres proporciona 144 bits de aleatoriedad. El valor se puede configurar a cualquier entero entre 9 y 255, incluidos.

Opciones globales

-h, --help

Opcional.

Muestra la ayuda relativa al comando.

-p, --password <password>

Obligatoria junto con -u o --username si no hay ninguna sesión activa.

Indica la contraseña del usuario especificado en -u o --username.

Si la contraseña incluye espacios o caracteres especiales, escríbala entre comillas:

--password 'my password'

-s, --server https://<hostname>:8850

Opcional.

Utiliza la dirección especificada para Tableau Services Manager. La dirección URL debe comenzar con https, incluir el puerto 8850 y usar el nombre del servidor en lugar de la dirección IP. Por ejemplo: https://<tsm_hostname>:8850. Si no se especifica ningún servidor, se da por hecho que es https://<localhost | dnsname>:8850.

--trust-admin-controller-cert

Opcional.

Use esta marca para confiar en el certificado autofirmado en el controlador SM. Para obtener más información acerca de la confianza de certificados y las conexiones CLI, consulte Conectar clientes de TSM.

-u, --username <user>

Obligatoria si no hay ninguna sesión activa, junto con -p o --password.

Indica una cuenta de usuario. Si no se incluye esta opción, el comando se ejecuta con las credenciales con las que se haya iniciado sesión.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!