Aprovisionar y autenticar usuarios mediante grupos de identidades
Incluidos por primera vez en Tableau Server 2023.1, los grupos de identidades son una herramienta de administración de identidades que utiliza información de aprovisionamiento y autenticación para permitir el acceso de los usuarios a Tableau Server. Los grupos de identidades permiten un flujo de trabajo de administración de identidades más centralizado y flexible basado en el servicio de identidad(El enlace se abre en una ventana nueva) para el almacenamiento y la administración de identidades de usuario en Tableau Server.
Los grupos de identidades no reemplazan las configuraciones de aprovisionamiento y autenticación de usuarios que realiza con Tableau Services Manager (TSM) durante la instalación de Tableau Server. En su lugar, los grupos de identidades están diseñados para complementar y admitir opciones de autenticación y aprovisionamiento de usuarios adicionales que pueda necesitar en su organización, especialmente para organizaciones donde TSM está configurado con Active Directory (AD) o Protocolo ligero de acceso a directorios (LDAP). Los grupos de identidades agregan un método alternativo, después de la configuración de Tableau Server, que permite a los administradores de Tableau Server agregar usuarios, que a menudo son usuarios externos, socios o contratistas, a su implementación de Tableau Server.
Los grupos de identidades están optimizados para los siguientes casos de uso:
Usuarios externos: Una gran organización empresarial que no desea agregar usuarios externos a su AD interno.
Por ejemplo, suponga que su organización tiene dos tipos de empleados: empleados regulares y empleados por contrato. Sus empleados regulares se aprovisionan a través de Active Directory (AD) con autenticación SAML que se administra a través de su IdP, Okta. Los empleados de su contrato consisten en usuarios a los que normalmente se les asigna una membresía de grupo temporal o son parte de otra organización que aprovisiona a los usuarios fuera de AD y se autentica por separado. Los grupos de identidades pueden permitirle agregar usuarios de Tableau Server que sean externos a su AD.
Varios almacenes de identidad: Una organización que aloja aplicaciones SaaS que obtiene usuarios de múltiples almacenes de identidad.
Por ejemplo, suponga que su organización comparte contenido de Tableau con varias organizaciones externas desde un solo sitio. Puede separar a estos usuarios utilizando diferentes grupos de identidades configurados con almacenes de identidades locales para identificar y administrar más fácilmente a los usuarios de cada organización.
Límites de seguridad entre organizaciones internas: Una organización de varias organizaciones secundarias adquiridas con distintos límites de seguridad.
Por ejemplo, puede agregar usuarios de la organización recién agregada a un grupo de identidades configurado con un almacén de identidades local para solucionar las complejidades asociadas con la combinación de almacenes de identidades.
¿Qué son los grupos de identidades?
Un grupo de identidades tiene tres componentes principales: un almacén de identidades para aprovisionar usuarios, autenticación OpenID Connect (OIDC) y usuarios asignados.
Almacén de identidades: El almacén de identidades(El enlace se abre en una ventana nueva) que obtiene o aprovisiona a sus usuarios puede ser un almacén de identidades local o un almacén de identidades externo.
Si es un almacén de identidades local, se puede configurar un grupo de identidades para usar un almacén de identidades local nuevo o existente. Nota: No se admite la autenticación local.
Si es un almacén de identidades externo, un grupo de identidades solo puede usar el mismo almacén de identidades externo (AD o LDAP) que configuró en TSM durante la configuración de Tableau Server. No puede configurar un grupo de identidades para usar un almacén de identidades externo diferente.
Las configuraciones de aprovisionamiento y autenticación que realiza en TSM durante la configuración de Tableau Server se conocen como el grupo predeterminado o "grupo inicial (TSM configurado)".
Autenticación: El único método de autenticación admitido para un grupo de identidades es OIDC(El enlace se abre en una ventana nueva).
Usuarios: Para que los usuarios inicien sesión en Tableau Server, deben provenir del grupo inicial (TSM configurado) o ser miembros de al menos un grupo de identidades.
Cuándo usar grupos de identidades
Como administrador de Tableau Server, puede usar un grupo de identidades para segmentar a sus usuarios en cohortes de identidades en función de dónde se aprovisionan sus usuarios y cómo se autentican en Tableau Server. Aunque las configuraciones de autenticación y almacenamiento de identidades que realiza en TSM durante la configuración de Tableau Server, también conocido como grupo inicial (TSM configurado), permanecen sin cambios, los grupos de identidades se pueden configurar desde Tableau Server.
Nota: Actualmente, los grupos de identidades están disponibles solo para la configuración a nivel de servidor. Los grupos de identidades no se pueden limitar a un sitio.
Más información sobre los grupos de identidades
Grupo inicial (TSM configurado) frente a grupos de identidades
Como se indicó anteriormente, la combinación de configuraciones de aprovisionamiento y autenticación que realiza en TSM durante la configuración de Tableau Server se denomina "grupo inicial (TSM configurado)". El grupo inicial (TSM configurado) es un componente obligatorio del proceso de configuración de Tableau Server y no se puede modificar.
Sin embargo, un grupo de identidades es opcional y puede crear tantos grupos de identidades como necesite directamente desde Tableau Server.
Los grupos de identidades afectan a la experiencia de inicio de sesión de los usuarios
De forma predeterminada, cuando no se crean grupos de identidades para Tableau Server, no hay cambios en la forma en que los usuarios navegan a la página de inicio de Tableau Server e inician sesión en Tableau Server.
Cuando se crean uno o más grupos de identidades, la página de destino de Tableau Server muestra varias opciones de inicio de sesión. La opción de inicio de sesión principal se muestra en la parte superior de la página y es la forma en que los usuarios que pertenecen al grupo inicial (TSM configurado) pueden iniciar sesión.
Debajo de la opción principal de inicio de sesión se encuentran las opciones secundarias de inicio de sesión. Cada opción representa un grupo de identidades, que se muestra en el orden en que se crearon. Los usuarios asignados a esos grupos deben iniciar sesión con la opción del grupo de identidades al que pertenecen. Para ayudar a guiar a sus usuarios a la opción de inicio de sesión correcta, considere agregar una descripción al grupo de identidades al crear uno.
Nota: Todos los usuarios verán todos los grupos configurados para su Tableau Server, independientemente de su pertenencia al grupo.
Nombres de usuario e identificadores en Tableau
Un nombre de usuario es la información que representa al usuario del sistema. Se utiliza un identificador para complementar la información del nombre de usuario y puede ser utilizado por almacenes de identidad externos como alternativas a los nombres de usuario.
En Tableau, un nombre de usuario es un valor inmutable que se usa para iniciar sesión en Tableau y los identificadores son valores mutables que se usan en la estructura de identidad de Tableau como una forma de relacionar a los usuarios con sus nombres de usuario. Los identificadores permiten que Tableau sea más flexible porque pueden desviarse del nombre de usuario. Si hay cambios en el nombre de usuario en el almacén de identidad externo, los administradores de Tableau Server pueden actualizar el identificador para garantizar que los usuarios coincidan con los nombres de usuario correctos.
Cuando agrega un usuario existente a un grupo de identidades, puede esperar la capacidad de establecer un identificador. Por ejemplo, si un usuario existente pertenece a un grupo de identidades configurado con un almacén de identidades local y desea agregarlo a un grupo de identidades configurado con un almacén de identidades de AD, le pedimos que proporcione el nombre de usuario para buscar identificadores asociados con ese usuario. Por otro lado, si un usuario existente pertenece a un grupo de identidades configurado con un almacén de identidades de AD y desea agregarlo a un grupo de identidades configurado con un almacén de identidades local, le pedimos que proporcione un identificador opcional. Una excepción a esto es si desea agregar un usuario al grupo inicial (TSM configurado) que está configurado con un almacén de identidad local y autenticación local. No podrá establecer un identificador para ese usuario.