Configurar Tableau Server para OpenID Connect
Este tema describe cómo configurar Tableau Server para que use OpenID Connect (OIDC) en el inicio de sesión único (SSO). Este es uno de los pasos del proceso. Los temas siguientes contienen información sobre cómo configurar y usar OIDC con Tableau Server.
Descripción general de OpenID Connect
Configurar Tableau Server para OpenID Connect (se encuentra aquí)
Notas:
- Antes de llevar a cabo los pasos que se describen aquí, debe configurar el proveedor de identidades (IdP) de OpenID como se indica en Configurar el proveedor de identidades para OpenID Connect.
- Los procedimientos descritos en este tema se aplican a la autenticación OIDC configurada en TSM durante la instalación de Tableau Server y no a la autenticación OIDC configurada con grupos de identidades. Para obtener más información acerca de los grupos de identidades, consulte Aprovisionar y autenticar usuarios mediante grupos de identidades.
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
Haga clic en Acceso e identidad de los usuarios en la pestaña Configuración y, luego, en Método de autenticación.
En Método de autenticación, seleccione OpenID Connect en el menú desplegable.
En OpenID Connect, seleccione Habilitar la autenticación OpenID para el servidor.
Introduzca la información de configuración de OpenID de su organización:
Nota: Si su proveedor depende de un archivo de configuración alojado en el equipo local (en lugar de uno de una URL pública), puede especificar el archivo con el tsm authentication openid <comandos>. Use la opción
--metadata-file <file_path>
para especificar un archivo de configuración del IdP local.Haga clic en Guardar cambios pendientes cuando haya introducido dicha información.
Haga clic en Cambios pendientes, en la parte superior de la página:
Haga clic en Aplicar cambios y reiniciar.
En el procedimiento de esta sección se describe cómo utilizar la interfaz de línea de comandos de TSM para configurar OpenID Connect. También puede utilizar un archivo de configuración para efectuar la configuración inicial de OpenID Connect. Consulte Entidad openIDSettings.
Utilice el comando
configure
de tsm authentication openid <comandos> para establecer las siguientes opciones necesarias:--client-id <id>
: especifica el ID de cliente del proveedor que el IdP ha asignado a la aplicación. Por ejemplo,“laakjwdlnaoiloadjkwha"
.--client-secret <secret>
: especifica el secreto de cliente del proveedor. Se trata de un token que Tableau usa para verificar la autenticidad de la respuesta por parte del IdP. Este valor es un secreto y se debe proteger. Por ejemplo,“xxxhfkjaw72123="
.--config-url <url>
o--metadata-file <file_path>
: especifica la ubicación del archivo JSON de configuración del proveedor. Si el proveedor aloja un archivo de detección JSON público, utilice--config-url
. En caso contrario, especifique una ruta en el equipo local y un nombre de archivo para--metadata-file
.--return-url <url>
: URL del servidor. Suele ser el nombre público de su servidor, por ejemplo,"http://example.tableau.com"
.Por ejemplo, ejecute el siguiente comando:
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkxxx" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"
Hay más configuraciones opcionales que puede establecer para OpenID Connect mediante la Entidad openIDSettings o tsm authentication openid <comandos>. Además, si necesita configurar el mapeo de reclamación de IdP, consulte Opciones de openid map-claims.
Escriba el siguiente comando para habilitar OpenID Connect:
tsm authentication openid enable
Ejecute
tsm pending-changes apply
para aplicar los cambios.Si los cambios pendientes requieren un reinicio del servidor, el comando
pending-changes apply
mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción--ignore-prompt
, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.