Entidad samlSettings


Este artículo contiene una plantilla e instrucciones para configurar el SAML de todo el servidor en Tableau Server mediante un archivo de configuración con claves y valores para la entidad samlSettings. Esta información complementa los pasos de configuración de SAML de Configurar SAML en todo el servidor.

Para crear una plantilla de configuración de SAML y aplicarla a Tableau Server, debe llevar a cabo los siguientes pasos:

  1. Consulte las dos secciones siguientes, en las que se describe la plantilla y cómo se estructura (Categorías y definiciones de plantilla y Plantilla de configuración samlSettings).

  2. Pegue el código JSON que aparece en la plantilla en un archivo de texto nuevo y guárdelo con la extensión .json.

  3. Consulte la Referencia de entidad de configuración de SAML para saber qué valores debe proporcionar según el caso.

  4. Añada pares opcionales de clave y valor específicos para su entorno. Por ejemplo, si el archivo de clave de certificado SAML necesita una frase de contraseña, tendrá que especificarla en el parámetro wgserver.saml.key.passphrase usando el comando tsm configuration set.

  5. Pasar el archivo de configuración a Tableau Server.

Categorías y definiciones de plantilla

La plantilla utiliza marcadores de posición para cada valor de clave. Estos marcadores de posición se clasifican del siguiente modo:

  • Requerido: los atributos con el valor "required" se deben sustituir con datos válidos antes de ejecutar el comando de configuración. Consulte la referencia del archivo de configuración para ver los valores válidos.

  • Codificación rígida: los nombres de atributo precedidos con un guion bajo (_), como "_type" tienen valores de codificación rígida. No cambie estos valores.

  • Valores predeterminados: los atributos establecidos en un valor diferente de "required" son valores predeterminados. Estos son atributos necesarios que puede cambiar como corresponda a su entorno.

  • Conjuntos vacíos: puede pasar los valores vacíos ("") tal cual o proporcionar un valor para su instalación.

Importante: Todas las opciones de entidad distinguen entre mayúsculas y minúsculas.

Plantilla de configuración samlSettings

Pegue este código en un archivo de texto y adáptelo a su entorno siguiendo la referencia que se describe a continuación.


{
  "configEntities": {
    "samlSettings": {
      "_type": "samlSettingsType",
      "enabled": true,
      "returnUrl": "required",
      "entityId": "required",
      "certFile": "required",
      "keyFile": "required",
      "idpMetadataFile": "required",
      "idpDomainAttribute": "",
      "idpUsernameAttribute": "required"
    }
  }
}

Referencia de entidad de configuración de SAML

En la siguiente lista se incluyen todas las opciones que se pueden incluir con el conjunto de entidades "samlSettings".

idpMetadataFile

Requerido. Ruta y nombre del archivo XML generado por el IdP. Los metadatos XML deben incluir el atributo de nombre de usuario (aserción).

Si ha seguido los pasos descritos en Configurar SAML en todo el servidor, el valor especificado aquí debería ser el siguiente:

/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>.

enabled

true | false

Requerido. Indica si la autenticación SAML está habilitada. No establezca esta opción en true antes de establecer otras opciones de configuración SAML necesarias.

returnURL

Suele ser la URL externa que escriben los usuarios de Tableau Server en el navegador para acceder al servidor (por ejemplo, https://tableau_server.example.com). Este valor se utiliza para crear el atributo URL de ACS al configurar el IdP.

entityId

Requerido. Valor de ID de entidad del proveedor de servicios (en este caso, Tableau Server).

Identifica la configuración de Tableau Server en el IdP. Le recomendamos que introduzca el mismo valor que la opción returnURL.

idpUsernameAttribute

Requerido. En los metadatos del IdP, busque el atributo que se utiliza para especificar los valores de nombre de usuario e introduzca el nombre de dicho atributo. El valor predeterminado es username.

certFile

Requerido. Indica la ubicación y el nombre del archivo de certificado x509 (.crt) para SAML. Por ejemplo:

/var/opt/tableau/tableau_server/data/saml/<file.crt>.

Para obtener más información, consulte Requisitos de SAML y Configurar SAML en todo el servidor.

keyFile

Requerido. Especifique la ubicación del archivo de clave privada (.key) que acompaña al archivo de certificado. Por ejemplo:

/var/opt/tableau/tableau_server/data/saml/<file.key>.

Nota: Si está utilizando una clave RSA PKCS#8 que requiere una frase de contraseña, debe establecer la frase de contraseña mediante una entidad configKey (consulte Ejemplo de archivo de configuración) o con tsm configuration set. La clave de la frase de contraseña que utiliza estos métodos es wgserver.saml.key.passphrase. El valor debe ser una cadena que no sea null.

idpDomainAttribute

Para las organizaciones que utilizan LDAP o Active Directory, este valor especifica a qué atributo SAML se hará referencia Tableau Server para determinar el nombre de dominio. Por ejemplo, si el IdP especifica el nombre de dominio en el atributo domain, debe especificar domain para este valor. Nota: Para las organizaciones que tienen usuarios que inician sesión desde varios dominios, este valor es obligatorio.

Si no proporciona un valor para esta clave, el valor utilizado dependerá de la configuración del almacén de identidades de Tableau Server:

  • Para el almacén de identidades local, se omite el valor idpDomainAttribute.

  • Para Active Directory o los almacenes de identidades de LDAP, Tableau utiliza el FQDN del ajuste de configuración wgserver.domain.default.

    Para obtener el valor de wgserver.domain.default, puede ejecutar el comando siguiente:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Opcional. Permitir que los usuarios usen la autenticación SAML al iniciar sesión desde Tableau Desktop.

Esta opción no está establecida de manera predeterminada, por lo que el comportamiento es como si se estableciera en false. Si el inicio de sesión único de las aplicaciones cliente de Tableau no funciona con su proveedor de identidad (IdP), puede definir el valor en true para deshabilitar la autenticación SAML por medio de Tableau Desktop.

appNoSAML

true | false

Opcional. Permitir usar SAML para iniciar sesión desde las versiones anteriores de la aplicación Tableau Mobile. Los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, ignoran esta opción. Para deshabilitar los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, deshabilite SAML como opción de inicio de sesión de cliente en Tableau Server.

logoutEnabled

true | false

Opcional. Habilita el cierre de sesión único para los usuarios que han iniciado sesión con SAML. El valor predeterminado es true.

Los metadatos de configuración del IdP deben incluir un único punto de conexión de cierre de sesión con enlace POST.

Esta configuración solo se aplica a SAML de todo el servidor

Cuando se establece en false, Tableau Server no intentará el cierre de sesión único.

logoutUrl

Opcional. Escriba la URL que se debe utilizar para el redireccionamiento después de que los usuarios hayan cerrado la sesión en el servidor. Establecer esta opción requiere que logoutEnabled se establezca en true.

De forma predeterminada, es la página de inicio de sesión de Tableau Server. Puede especificar una URL absoluta o relativa.

maxAuthenticationAge

Opcional. Especifica el número máximo de segundos permitidos entre la autenticación del usuario con el IdP y el procesamiento del mensaje AuthNResponse. El valor predeterminado es -1, lo que significa que maxAuthenticationAge no está configurado o se ignora de forma predeterminada. Antes de febrero de 2022, el valor predeterminado era 7200 (2 horas).

Para optimizar la duración de la sesión, utilice el mismo valor de tiempo de espera que se establece en el IdP.

maxAssertionTime

Opcional. Especifica el número máximo de segundos que puede usarse una aserción SAML desde su creación. El valor predeterminado es 3000 (50 minutos).

sha256Enabled

true | false

Opcional. El tipo de firma que Tableau Server usará al enviar mensajes al IdP. Cuando se establece en true, Tableau Server firmará mensajes con el algoritmo de firma SHA 256. Cuando se establece en false, Tableau Server firmará mensajes con SHA 1. El valor predeterminado es true.

Esta opción establece el algoritmo de firma en los siguientes mensajes que Tableau Server firma: 

  • AuthnRequest cuando signRequests está habilitado.
  • LogoutRequest si logoutEnabled está habilitado.

signRequests

true | false

Opcional. Especifica si Tableau Server firmará las AuthnRequests que se envían al IdP. Las solicitudes firmadas no siempre son necesarias para todos los idPs. Recomendamos firmar las solicitudes para usar la opción más segura al configurar SAML. Para comprobar si el IdP acepta una solicitud firmada, inspeccione los metadatos del IdP: si wantAuthnRequestsSigned está establecido en true, el IdP aceptará solicitudes firmadas.

Valor predeterminado: true Para deshabilitar las solicitudes firmadas, establezca esta opción como false.

acceptableAuthnContexts

Opcional. Establece el atributo SAML AuthNContextClassRef. Este atributo opcional aplica la validación de ciertos "contextos" de autenticación en flujos iniciados por IdP. Establezca un conjunto de valores separados por comas para este atributo. Cuando se establece este atributo, Tableau Server valida que la respuesta SAML contiene al menos uno de los valores enumerados. Si la respuesta SAML no contiene uno de los valores configurados, se rechazará la autenticación, incluso si el usuario se ha autenticado correctamente con el IdP.

Si deja esta opción en blanco, se producirá un comportamiento predeterminado: cualquier respuesta SAML autenticada correctamente dará como resultado que se conceda una sesión a un usuario dentro de Tableau Server.

iFramedIdpEnabled

true | false

Opcional. El valor predeterminado es false; es decir, cuando los usuarios hacen clic en el botón de inicio de sesión en una vista insertada, se abrirá el formulario de inicio de sesión del IdP en una ventana emergente.

Si lo establece en true y un usuario SAML del servidor que tiene la sesión iniciada va a una página web que tiene una vista insertada, no será necesario que inicie sesión para poder ver la vista.

Puede establecerlo en true solo si el IdP admite el inicio de sesión en un iFrame. La opción de iFrame es menos segura que el uso de una ventana emergente, por lo que no todos los IdP la admiten. Si la página de inicio de sesión del IdP implementa la protección contra secuestro de clics, como ocurre en la mayoría, la página de inicio de sesión no se mostrará en un iFrame y el usuario no podrá iniciar sesión.

Si su IdP no permite iniciar sesión a través de un iFrame, es posible que deba habilitar esta opción de forma explícita. Sin embargo, aunque pueda usar esta opción, se deshabilitará la protección contra secuestro de clics de Tableau Server para SAML, lo cual conlleva un riesgo de seguridad.

Pasar el archivo de configuración a Tableau Server

Una vez proporcionado un valor adecuado para todas las entidades que incluya en la plantilla de configuración, utilice los siguientes comandos para pasar el archivo .json y aplicar la configuración a Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply.

Consulte también

Una vez concluida la configuración de SAML inicial, utilice tsm authentication mutual-ssl <comandos> para establecer valores adicionales.

Para ver la referencia de la línea de comando para configurar SAML, consulte tsm authentication saml <comandos>.

 

Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!