Registre EAS para habilitar SSO para contenido insertado
Como administrador de Tableau Server, puede registrar un servidor de autorización externo (EAS) para establecer una relación de confianza entre Tableau Server y el EAS usando el protocolo estándar OAuth 2.0. Al establecer una relación de confianza, puede:
- Proporcione a sus usuarios una experiencia de inicio de sesión único (SSO) para el contenido de Tableau insertado en sus aplicaciones externas a través del proveedor de identidades (IdP) que ya ha configurado para Tableau Server.
- Autorice mediante programación el acceso a la API de REST de Tableau (y a la API de metadatos a partir de Tableau Server octubre de 2023) en nombre de los usuarios utilizando un JSON Web Token (JWT)
Cuando se carga contenido de Tableau insertado en su aplicación externa, se utiliza un flujo de OAuth estándar. Cuando los usuarios inicien sesión correctamente en el IdP, iniciarán sesión automáticamente en Tableau Server. Siga los pasos que se describen a continuación para registrar su EAS con Tableau Server.
Importante:
- Algunos de los procedimientos de este tema requieren configuración con software y servicios de terceros. Hemos hecho todo lo posible por verificar los procedimientos para habilitar la funcionalidad EAS en Tableau Server. Sin embargo, el software y los servicios de terceros pueden cambiar o su organización puede ser diferente. Si tiene problemas, consulte la documentación de terceros para obtener detalles de configuración autorizados y asistencia.
- Para habilitar la integración a través de EAS, Tableau Server debe estar configurado para usar SSL para el tráfico HTTP.
- Para que el token de sesión sea válido, los relojes de la aplicación externa y el servidor que aloja la aplicación externa deben configurarse en hora universal coordinada (UTC). Si alguno de los relojes usa un estándar diferente, no se confiará en la aplicación conectada.
Paso 1: Antes de comenzar
Para registrar un EAS con de Tableau Server, debe tener un EAS ya configurado. Además, el EAS debe enviar un JSON Web Token (JWT) válido que contenga los reclamos registrados y el encabezado que se enumeran en la siguiente tabla.
| Notificación | Nombre | Descripción o valor requerido |
"kid" | ID de clave | Obligatorio (en el encabezado). Un identificador de clave único del proveedor de identidad. |
"iss" | Emisor | Requerido (en encabezado o como notificación). URI de emisor único, , que identifica la aplicación de conexión de confianza y su clave de firma. |
"alg" | Algoritmo | Obligatorio (en el encabezado). Algoritmo de firma JWT. Los nombres de algoritmos admitidos aparecen enumerados en la página Class JWSAlgorithm(El enlace se abre en una ventana nueva), en la documentación de javadoc.io. |
"sub" | Asunto | Nombre de usuario del usuario de Tableau Server autenticado. |
"aud" | Audiencia | El valor debe ser: " |
"exp" | Tiempo de expiración | |
"jti" | ID de JWT | La notificación de ID de JWT proporciona un identificador único para el JWT y distingue entre mayúsculas y minúsculas. |
"scp" | Ámbito | Para insertar flujos de trabajo, los valores admitidos incluyen: " Notas:
Para conocer los flujos de trabajo de autorización de la API de REST, consulte Métodos de la API de REST que admiten la autorización JWT. Para Flujos de trabajo de la API de metadatos que utilizan la API de REST para la autenticación, el único alcance admitido es |
Nota: Las notificaciones de JWT anteriores están documentadas en la sección Nombres de notificaciones registradas(El enlace se abre en una ventana nueva), en la documentación distribuida por la organización Internet Engineering Task Force (IETF).
Paso 2: Registrar su EAS con Tableau Server
Al registrar su EAS con Tableau Server, establece una relación de confianza entre el EAS y de Tableau Server. Esto significa que cuando los usuarios acceden al contenido de Tableau insertado en su aplicación externa, se les redirige para autenticarse con el IdP. El EAS genera el token de autenticación, que se pasa a Tableau Server para su verificación. Una vez que se verifica la relación de confianza, se otorga a los usuarios acceso al contenido insertado.
Después de registrar el EAS, la relación de confianza establecida se aplica a todos los sitios de Tableau Server.
Nota: Algunos EAS admiten la opción de mostrar un cuadro de diálogo de consentimiento que solicita la aprobación de los usuarios para que la aplicación acceda al contenido de Tableau. Para garantizar la mejor experiencia para sus usuarios, le recomendamos que configure su EAS para que dé su consentimiento automáticamente a la solicitud de la aplicación externa en nombre de los usuarios.
Como administrador de Tableau Server, inicie sesión en la interfaz de usuario web de Tableau Services Manager (TSM). Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
- Vaya a Identidad y acceso de usuario > Servidor de autorización y haga lo siguiente:
Seleccione la casilla de verificación Habilitar acceso OAuth para contenido insertado.
En el cuadro de texto URL del emisor, pegue la URL del emisor del EAS.
Haga clic en el botón Guardar cambios pendientes.
- Cuando termine, haga lo siguiente:
En la esquina superior derecha de la página, haga clic en el botón Cambios pendientes.
En la esquina inferior derecha de la página, haga clic en el botón Aplicar cambios y reiniciar para detener y reiniciar Tableau Server.
- Abra un símbolo del sistema como administrador en el nodo inicial (nodo en el que esté instalado TSM).
Ejecute los comandos siguientes:
tsm configuration set -k vizportal.oauth.external_authorization.enabled -v true tsm configuration set -k vizportal.oauth.external_authorization_server.issuer -v "<issuer_url_of_EAS>" tsm restart
Paso 3: Siguientes pasos
Para insertar flujos de trabajo
Después de configurar de Tableau Server para usar su EAS, debe añadir el código de inserción a su aplicación externa. Asegúrese de incluir el JWT válido generado por su EAS, como se describe en el paso 1, en el componente web al que llama su aplicación externa.
Para obtener más información sobre cómo incorporar contenido de Tableau, consulte una o ambas de las siguientes opciones:
- Incrustar métricas, consulte el tema Incrustar métricas en páginas web(El enlace se abre en una ventana nueva) en la ayuda de Tableau. (En
- Incruste vistas y métricas con la API v3 de integración de Tableau(El enlace se abre en una ventana nueva) .
Nota: Para que los usuarios se autentiquen correctamente cuando accedan a contenido incrustado, los navegadores deben estar configurados para permitir cookies de terceros.
Controle dónde se puede insertar el contenido utilizando la lista de admisión de dominios para insertar
A partir de
De forma predeterminada, la configuración del sitio unrestrictedEmbedding para insertar está establecida en true para permitir la inserción sin restricciones. Alternativamente, usted y sus usuarios pueden establecer la configuración en false y especificar los dominios donde el contenido de Tableau en aplicaciones externas se puede insertar usando el parámetro allowList.
Para obtener más información, consulte uno de los siguientes artículos:
- Actualizar configuración de incrustación para el sitio(El enlace se abre en una ventana nueva) en la ayuda de la API de REST de Tableau
- Configuración del sitio de Tableau para insertar(El enlace se abre en una ventana nueva) en la ayuda de Tableau Embedding API v3.
Para flujos de trabajo de autorización de API de REST
Una vez configurado el JWT, debe agregar el JWT válido a la solicitud de inicio de sesión de la API de REST para obtener acceso autorizado. Para obtener más información, consulte Alcances del acceso para aplicaciones conectadas.
Para flujos de trabajo de la API de metadatos
Una vez configurado el JWT, debe agregar el JWT válido a la solicitud de inicio de sesión de la API de REST. Para obtener más información, consulte Alcances del acceso para aplicaciones conectadas.
Problemas conocidos (solo para insertar flujos de trabajo)
Hay un par de problemas conocidos al usar aplicaciones conectadas que se tratarán en una versión futura.
Funciones de la barra de herramientas: cuando el contenido incrustado tenga definido el parámetro de la barra de herramientas, no todas las funciones de la barra de herramientas funcionarán. Para solucionar este problema, le recomendamos que oculte el parámetro de la barra de herramientas como en el siguiente ejemplo.
<tableau-viz id='tab-viz' src='https://<your_server>/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- Fuentes de datos publicadas: las fuentes de datos publicadas que se hayan configurado para Preguntar al usuario las credenciales de la base de datos no se mostrarán. Para solucionar este problema, si es posible, recomendamos a los propietarios de fuentes de datos que incorporen sus credenciales de base de datos.
Solución de problemas
Cuando el contenido insertado no se muestra en su aplicación externa o si falla la autorización de la API de REST de Tableau, puede usar las herramientas del desarrollador de un navegador para inspeccionar e identificar los códigos de error que podrían estar asociados con la función EAS habilitada en de Tableau Server.
Consulte la tabla a continuación para revisar la descripción del código de error y la posible resolución.
| Código de error | Resumen | Descripción | Posible resolución o explicación |
| 5 | SYSTEM_USER_NOT_FOUND | No se ha podido encontrar al usuario de Tableau | sub' (sujeto) en JWT sea "nombre de usuario" para el Tableau Server autenticado. Este valor diferencia entre mayúsculas y minúsculas. |
| 16 | LOGIN_FAILED | Error al iniciar sesión | Este error suele deberse a uno de los siguientes problemas de notificaciones en JWT:
|
| 67 | FEATURE_NOT_ENABLED | El acceso bajo demanda no es compatible | El acceso bajo demanda está disponible únicamente a través de sitios con licencia de Tableau Cloud. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | Falta el extremo de los metadatos de EAS | Para resolver este problema, verifique que EAS se haya configurado correctamente y que se llame al emisor correcto. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Falta el emisor | Para resolver este problema, verifique que se llame al emisor correcto. |
| 10083 | BAD_JWT | El encabezado JWT contiene problemas | Faltan las notificaciones de 'kid' (ID secreta) o 'clientId' (emisor) en el encabezado JWT. Para resolver este problema, asegúrese de incluir esta información. |
| 10084 | JWT_PARSE_ERROR | JWT contiene problemas | Para resolver este problema, verifique lo siguiente:
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT no ha podido encontrar las claves | No se ha podido encontrar el secreto. Para resolver este problema, verifique que se llame al emisor correcto. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Problema con el algoritmo de firma JWT | Para resolver el problema, puede eliminar el algoritmo de firma. |
| 10088 | RSA_KEY_SIZE_INVALID | Problema con los requisitos de firma JWT | Para resolver este problema, verifique con EAS o IdP que el JWT se firme con un tamaño de clave RSA de 2048. |
| 10091 | JTI_ALREADY_USED | Se requiere JWT único | JWT ya se ha utilizado en el proceso de autenticación. Para resolver este problema, EAS o IdP debe generar un nuevo JWT. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | No se especifica el dominio del contenido insertado | Para resolver este problema, asegúrese de que el ajuste unrestrictedEmbedding se establece en true o que el parámetro domainAllowlist incluye los dominios donde el contenido de Tableau está insertado mediante Actualizar configuración de inserción para el sitio(El enlace se abre en una ventana nueva) en la API de REST de Tableau. |
| 10094 | MISSING_REQUIRED_JTI | Missing JWT ID | Para resolver este problema, verifique que el valor 'jti' (JWT ID) esté incluido en el JWT. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp' (tiempo de caducidad) excede el período de validez máximo predeterminado. Para resolver este problema, revise las notificaciones registradas(El enlace se abre en una ventana nueva) necesarias para JWT con validez y asegúrese de que se utiliza el valor correcto. Para cambiar el período de validez máximo, puede utilizar el comando vizportal.oauth.external_authorization_server.max_expiration_period_in_minutes. | |
| 10097 | SCOPES_MALFORMED | Problemas con la reclamación de ámbitos | Este error puede ocurrir cuando la reclamación "scp" (Ámbito) no se encuentra en el JWT o no se ha pasado como un tipo de lista. Para resolver este problema, compruebe que "scp" se incluye en el JWT y se pasa como un tipo de lista. Para obtener ayuda con la resolución de problemas con un JWT, consulte Depurador(El enlace se abre en una ventana nueva) en el sitio de auth0. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | JWT no está firmado o está cifrado | Tableau no admite JWT sin firmar o cifrados. |
| 10099 | SCOPES_MISSING_IN_JWT | Reclamación de ámbitos faltantes | Al JWT le falta la reclamación requerida "scp" (Ámbito). Para resolver este problema, verifique que el valor 'scp' esté incluido en el JWT. Para obtener ayuda con la resolución de problemas con un JWT, consulte Depurador(El enlace se abre en una ventana nueva) en el sitio de auth0. |
| 10100 | JTI_PERSISTENCE_FAILED | Error de ID de JWT inesperado | Hubo un error inesperado con el "jti" (ID de JWT). Para resolver este problema, se debe generar un nuevo JWT con un nuevo valor 'jti'. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT supera el tamaño máximo | Este error puede ocurrir cuando el tamaño de JWT excede los 8000 bytes. Para resolver este problema, asegúrese de que solo se transmitan las reclamaciones necesarias a Tableau Server. |