SCIM
System for Cross-domain Identity Management (SCIM) es un protocolo que estandariza la automatización del aprovisionamiento de usuarios y grupos para integraciones con proveedores de identidad (IdP) basados en la NUBE, como Microsoft Entra ID y Okta.
A partir de la versión 2025.3, Tableau Server es compatible con SCIM, lo que permite a los proveedores de identidad (IdP) administrar de forma centralizada las identidades de usuario y, al mismo tiempo, simplificar el proceso de administración de usuarios y pertenencia a grupos en Tableau Server. El IdP usa SCIM para gestionar todo el ciclo de vida de un usuario en Tableau y Tableau Server se sincroniza con las asignaciones de aprovisionamiento del IdP. Este tipo de integración mejora la seguridad y reduce el trabajo manual de los administradores del servidor en Tableau Server.
La capacidad SCIM de Tableau Server está diseñada para funcionar en el nivel de sitio y admitir la siguiente autenticación:
Autenticación SAML específica del sitio (a partir de Tableau Server 2025.3.0)
Autenticación configurada en TSM durante la instalación de Tableau Server (TSM configurado) y autenticación configurada a través de grupos de identidades (a partir de Tableau Server 2025.3.1)
Configurar la integración de SCIM con Tableau Server
Paso 1: Cumplir con los requisitos previos
Antes de habilitar la integración de SCIM con Tableau Server, debe cumplir estos requisitos:
- Tener acceso de administrador de servidor a Tableau Server.
- Poder modificar la configuración de SCIM del IdP para Tableau Server.
- Opcionalmente, si usa la generación y administración de tokens externos, tiene lo siguiente:
Se ha creado y habilitado una aplicación conectada a Tableau. Si no lo ha hecho, consulte Usar aplicaciones conectadas de Tableau para la integración de aplicaciones.
Un JWT válido que contiene los siguientes alcances:
tableau:users:*ytableau:groups:*
Nota: Debido al firewall de Tableau Server, es posible que deba configurar un conector local en su IdP para que la capacidad SCIM funcione. Por ejemplo, en Okta, deberá configurar el aprovisionamiento local (OPP)(El enlace se abre en una ventana nueva). En Microsoft Entra ID, deberá configurar un agente de aprovisionamiento(El enlace se abre en una ventana nueva).
Paso 2: Configurar SCIM a nivel de sitio
Los pasos descritos en esta sección se realizan en el sitio.
Puede usar un token SCIM generado por Tableau. De forma alternativa, puede omitir el token SCIM que genera Tableau y en su lugar usar un JWT generado externamente (mediante una aplicación conectada a Tableau) para admitir solicitudes SCIM.
Habilitar SCIM: usando un token generado por Tableau
Inicie sesión en Tableau Server como administrador del servidor.
Vaya al sitio y haga clic en Ajustes.
En System for Cross-domain Identity Management (SCIM), marque la casilla Habilitar SCIM. Se rellenarán la URL base, el botón Nuevo secreto y el menú desplegable Autenticación.
Haga lo siguiente:
Copie la URL base que utilizará en la configuración SCIM de su IdP.
Haga clic en el botón Nuevo secreto.
Copie el secreto y guárdelo en una ubicación segura para que pueda añadirlo en la configuración SCIM de su IdP.
Importante: El secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede volver a hacer clic en Nuevo secreto.
En el menú desplegable Autenticación, seleccione el tipo de autenticación para asociarlo con SCIM.
Haga clic en el botón Guardar en la parte superior o inferior de la página Ajustes.
Habilitar SCIM: mediante un token externo
Para usar un token externo, 1) habilite la capacidad de token externo para SCIM y después 2) habilite SCIM.
Paso 1: Activar el token externo
Antes de habilitar SCIM, habilite la capacidad de token externo mediante TSM.
Abra un símbolo del sistema como administrador de servidor en el nodo inicial (nodo en el que esté instalado TSM).
Ejecute los comandos siguientes:
tsm configuration set -k features.JWTSupportForSCIM -v truetsm pending-changes applyPara obtener más información, consulte features.JWTSupportForSCIM.
Paso 2: Habilitar SCIM
Al habilitar el SCIM, asocie un tipo de autenticación que los usuarios aprovisionados usarán para iniciar sesión en Tableau Server. Los tipos de autenticación disponibles dependen de la autenticación configurada en Tableau Server o en el sitio.
Inicie sesión en Tableau Server como administrador del servidor.
Navegue hasta el sitio y haga clic en Ajustes.
En System for Cross-domain Identity Management (SCIM), marque la casilla Habilitar SCIM. Se rellenarán la URL base, el botón Nuevo secreto y el menú desplegable Autenticación.
Haga lo siguiente:
Copie la URL base que utilizará en la configuración SCIM de su IdP.
Ignore el botón Nuevo secreto.
En el menú desplegable Autenticación, seleccione el tipo de autenticación para asociarlo con SCIM.
Haga clic en el botón Guardar en la parte superior o inferior de la página Ajustes.
Paso 3: Habilitar SCIM con el IdP
Después de habilitar SCIM en Tableau Server, siga los pasos de la documentación de su IdP para habilitar la compatibilidad de SCIM con su proveedor de identidad (IdP).
Paso 4: Aprovisionar usuarios y grupos
Siga la documentación de su IdP para aprovisionar usuarios y grupos después de habilitar la compatibilidad con SCIM en el sitio.
Una vez que los usuarios y grupos se aprovisionan a través de SCIM, no debe actualizar directamente los detalles de un usuario, como la autenticación o el rol en el sitio, a través de Tableau Server (o la API de REST de Tableau), con las excepciones establecidas en el paso 5, a continuación.
Paso 5: Actualizar usuarios para SSL local o mutuo
Si asoció SCIM con la autenticación que se configuró en TSM durante la instalación de Tableau Server, también denominada “Valor predeterminado del servidor (TSM configurado)” en el menú desplegable Autenticación de la configuración de SCIM, realice los pasos adicionales que se describen a continuación para asegurarse de que los usuarios puedan iniciar sesión correctamente en Tableau Server.
Para autenticación local: Debe actualizar las contraseñas de los usuarios aprovisionados en Tableau Server antes de que puedan iniciar sesión correctamente. Para actualizar un usuario, consulte Cambiar las contraseñas de los usuarios de un sitio único.
Para SSL mutuo: Asegúrese de que Tableau Server asigna correctamente el certificado de cliente a los usuarios. Para obtener más información, consulte Mapeo del certificado de un cliente a un usuario durante la autenticación mutua.
Acerca del cambio de la autenticación asociada con SCIM
Si se cambia el tipo de autenticación asociado con SCIM, Tableau Server revoca y elimina inmediatamente el secreto. Como resultado, el aprovisionamiento fallará y los usuarios y grupos en Tableau Server pueden no estar sincronizados con el proveedor de identidad (IdP).
Para evitar problemas de sincronización, asegúrese de que los siguientes pasos se realizan en el orden exacto: 1) seleccione el nuevo tipo de autenticación, 2) genere un nuevo secreto y luego 3) agregue el nuevo secreto a la configuración SCIM del IdP.
Importante: Cuando se cambia el tipo de autenticación de SCIM, solo los nuevos usuarios aprovisionados después del cambio usarán el tipo de autenticación actualizado. Los usuarios existentes seguirán pudiendo autenticarse con el método de autenticación anterior. Los usuarios que ya no existan en el IdP después del cambio de autenticación en SCIM ya no podrán iniciar sesión.
Consideraciones adicionales
Hay ciertas implicaciones que debe tener en cuenta después de habilitar SCIM según el tipo de autenticación con el que SCIM esté asociado.
Autenticación SAML específico del sitio
El SAML específico de un sitio no se puede deshabilitar si tiene asociada una configuración de SCIM. Si necesita deshabilitar el SAML específico de un sitio, debe asociar un tipo de autenticación diferente con SCIM o deshabilitar SCIM
Autenticación configurada a través de grupos de identidades
Sin consideraciones adicionales.
Nota: Si se deshabilita o elimina un grupo de identidades, se debe asociar un tipo de autenticación diferente con SCIM. El secreto generado anteriormente ya no será válido y provocará un error en el aprovisionamiento de usuarios y grupos.
Autenticación configurada en TSM
Si SCIM está configurado para usar la autenticación configurada en TSM durante la instalación de Tableau Server, cambiar la autenticación configurada en TSM puede causar problemas de sincronización y errores de inicio de sesión para los usuarios.
Por ejemplo, si cambia la autenticación de TSM de local a SAML, los usuarios existentes deberán agregarse al IdP y habilitarse para el inicio de sesión único (SSO) de Tableau Server. Si cambia la autenticación de TSM de SAML a local, los usuarios deberán actualizarse para incluir sus contraseñas.