Configurar SAML con Azure AD IdP en Tableau Server

Puede configurar Active AD como proveedor de identidad (IdP) de SAML y añadir Tableau Server a sus aplicaciones de inicio de sesión único (SSO) compatibles. Al integrar Azure AD con SAML y Tableau Server, los usuarios pueden iniciar sesión en Tableau Server con sus credenciales de red habituales.

Antes de comenzar: requisitos previos

Antes de configurar Tableau Server y SAML con Azure AD, su entorno debe tener lo siguiente:

Certificado SSL cifrado con el método de cifrado SHA-2 (de 256 o 512 bits) y que cumple los requisitos adicionales que aparecen en las siguientes secciones:
- Requisitos de los certificados SSL
- Requisitos de certificado y de proveedor de identidades (IdP)
Si sus usuarios inician sesión desde un dominio que no es el dominio predeterminado, revise los Requisitos de SAML y Administración de usuarios en implementaciones con almacenes de identidades externos para asegurarse de que el valor del atributo de dominio esté configurado y definido para evitar problemas de inicio de sesión más adelante.

Paso 1: comprobar la conexión SSL a Azure AD

Azure AD requiere una conexión SSL. Si todavía no lo ha hecho, complete los pasos que se detallan en Configurar SSL para tráfico HTTP externo a y desde Tableau Server, usando un certificado que cumpla los requisitos especificados anteriormente.

Opcionalmente, si Tableau Server está configurado para trabajar con un proxy inverso o balanceador de carga donde SSL se finaliza (a lo que se hace referencia normalmente como descarga de SSL), no necesita configurar un SSL externo.

Si su organización usa el proxy de aplicación de Azure AD, consulte la sección siguiente: Proxy de aplicación de Azure AD.

Paso 2: configurar SAML en Tableau Server

Complete los pasos que se indican en Configurar SAML en todo el servidor mediante la descarga de los metadatos de Tableau Server a un archivo XML. En ese momento, regrese aquí y continúe con la siguiente sección.

Paso 3: configurar reglas de notificación de Azure AD

Para completar la asignación es necesario que los nombres coincidan exactamente (distinguiendo mayúsculas de minúsculas), por lo que es importante que compruebe lo que ha escrito. La tabla aquí muestra atributos comunes y asignaciones de reclamaciones. Debe comprobar los atributos con su configuración específica de Azure AD.

Atributo LDAP	Tipo de notificación de salida
onpremisessamaccountname	NombreUsuario
Nombre-Especificado	Nombre Nota: Esto es opcional.
Apellido	Apellido Nota: Esto es opcional.
netbiosname	domain Nota: Esto solo es necesario si tiene usuarios que inician sesión desde un dominio que no es el predeterminado.

En algunas organizaciones, Azure AD como proveedor de identidad SAML se usa con Active Directory como almacén de identidades para Tableau Server. En este caso, username suele ser el nombre sAMAccountName. Consulte la documentación de Microsoft para identificar el atributo sAMAccountName dentro de Azure AD para asignarlo al atributo username.

Paso 4: proporcionar los metadatos de Azure AD a Tableau Server

Vuelva a la interfaz de usuario web de TSM y navegue hasta la pestaña Configuración > Identidad de usuario y acceso > Método de autenticación.
En el paso 4 del panel de configuración de SAML, introduzca la ubicación del archivo XML que exportó desde Azure AD y luego seleccione Cargar.
Lleve a cabo los pasos restantes (emparejamiento de aserciones y especificación del acceso de tipo de cliente), como se indica en Configurar SAML en todo el servidor. Guarde y aplique los cambios.
Realice los siguientes pasos si no es la primera vez que configura SAML:
1. Detenga Tableau Server, abra la CLI de TSM y ejecute los siguientes comandos.
  tsm configuration set -k wgserver.saml.sha256 -v true
  tsm authentication saml configure -a -1
2. aplique los cambios usando
  tsm pending-changes apply
  Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Proxy de aplicación de Azure AD

Si ejecuta el proxy de aplicación de Azure AD delante de Tableau Server y SAML está habilitado, deberá realizar una configuración adicional en el proxy de aplicación de Azure AD.

Tableau Server solo puede aceptar tráfico de una URL cuando SAML está habilitado. Sin embargo, de forma predeterminada, el proxy de aplicación de Azure AD establece una dirección URL externa y una dirección URL interna.

Debe establecer ambos valores en la misma dirección URL del dominio personalizado. Para obtener más información, consulte la documentación de Microsoft, Configuración de dominios personalizados con Azure AD Application Proxy(El enlace se abre en una ventana nueva).

Solución de problemas

Proxy de aplicación de Azure AD

En algunos casos, los vínculos a vistas se representan internamente, pero fallan externamente cuando el tráfico cruza un proxy de aplicación de Azure AD. El problema se produce cuando hay una almohadilla (#) en la dirección URL y los usuarios acceden al vínculo con un explorador. La aplicación Tableau Mobile puede acceder a las URL con un signo de almohadilla.

Los tiempos de espera de las sesiones de usuario parecen ignorarse

Cuando Tableau Server está configurado para SAML, los usuarios pueden experimentar errores de inicio de sesión porque la configuración de edad máxima de autenticación del IdP se establece en un valor mayor que la configuración de edad máxima de autenticación de Tableau. Para resolver este problema, puede utilizar la opción de conjunto de configuración de tsm wgserver.saml.forceauthn para requerir que el IdP vuelva a autenticar al usuario cada vez que Tableau redirija la solicitud de autenticación, incluso si la sesión del IdP para el usuario todavía está activa.

Por ejemplo, cuando la configuración maxInactiveTime de Azure AD es mayor que la configuración maxAuthenticationAge de Tableau Server, Tableau redirige la solicitud de autenticación al IdP, quien posteriormente envía a Tableau una afirmación de que el usuario ya está autenticado. Sin embargo, debido a que el usuario se autenticó fuera del valor de maxAuthenticationAge de Tableau Server, Tableau rechaza la autenticación de usuario. En estos casos, siga uno de estos procedimientos o ambos:

Habilite la opción wgserver.saml.forceauthn para requerir que el IdP vuelva a autenticar al usuario cada vez que Tableau redirija la solicitud de autenticación. Para obtener más información, consulte wgserver.saml.forceauthn.
Aumente la capacidad de la configuración de maxAuthenticationAge de Tableau Server. Para obtener más información, consulte “a, --max-auth-age<max-auth-age>” en el tema de tsm authentication.

Discrepancia de ID de aplicación

Al revisar el archivo vizportal.log, es posible que vea el error "El público objetivo no coincide con el destinatario".

Para resolver este problema, asegúrese de que el ID de la aplicación coincida con lo que se envía. Azure agregará automáticamente "SPN" al ID de la aplicación cuando se use el ID de la aplicación con la aplicación que se está usando. Puede cambiar el valor en la configuración SAML de Tableau agregando el prefijo "SPN:" al ID de la aplicación.

Por ejemplo: SPN:myazureappid1234

Volver arriba

Ayuda de Tableau Server en Linux