Administración de usuarios en implementaciones con almacenes de identidades externos

En este tema, se describen detalles técnicos importantes con los que debe familiarizarse si usa un almacén de identidades externo para administrar los usuarios de Tableau Server. Tableau Server admite la conexión a un directorio externo mediante LDAP. En este escenario, Tableau Server importa usuarios desde el directorio LDAP externo al repositorio de Tableau Server como usuarios del sistema.

Directorios LDAP arbitrarios

El nombre de usuario del sistema en Tableau es cualquier atributo que establezca como parte de la configuración de LDAP, por ejemplo "cn". Esto es cierto tanto para la importación de usuarios individuales como para la funcionalidad de sincronización de grupos. Consulte Referencia de configuración del almacén de identidades externo.

Comportamiento de vinculación del usuario al iniciar sesión

Es posible que deba actualizar su configuración LDAP para permitir la vinculación con nombres de usuario adjuntos con el nombre de dominio. Específicamente, deberá actualizar su configuración LDAP cuando Tableau Server esté configurado con un directorio LDAP arbitrario. Por ejemplo: OpenLDAP, que utiliza UPN o direcciones de correo electrónico como nombres de usuario.

Tableau Server buscará un usuario determinado según el nombre de usuario que se proporcionó durante el inicio de sesión. Tableau Server intentará vincularse con el nombre de usuario adjunto con el nombre de dominio. En el caso de que Tableau Server se haya configurado con GSSAPI, se utilizará el nombre de usuario @REALM (nombre de dominio).

Active Directory

En el contenido del resto de este tema se da por hecho que está familiarizado con la administración de usuarios de Active Directory y con conceptos básicos de dominios y esquemas de Active Directory.

Nota: En el contexto de la sincronización de usuarios y grupos, Tableau Server configurado con el almacén de identidades de LDAP equivale a Active Directory. Las características de sincronización de Active Directory funcionan perfectamente en Tableau Server con las soluciones de directorio de LDAP debidamente configuradas.

Autenticación de usuarios de Active Directory y Tableau Server

Tableau Server almacena todos los nombres de usuario en el almacén de identidades de Tableau Server, que está administrado por el repositorio. Si Tableau Server está configurado para usar Active Directory para la autenticación, primero debe importar las identidades de usuario de Active Directory en el almacén de identidades. Cuando los usuarios inician sesión en Tableau Server, sus credenciales se transfieren a Active Directory, que se encarga de autenticar al usuario; Tableau Server no realiza esta autenticación. (De forma predeterminada, se utiliza NTLM para la autenticación, pero puede habilitar Kerberos o SAML para la función de inicio de sesión único. No obstante, en todos esos casos, Active Directory se encarga de la autenticación). Sin embargo, los nombres de usuario de Tableau guardados en el almacén de identidades están asociados a derechos y permisos de Tableau Server. Por tanto, una vez verificada la autenticación, Tableau Server administra el acceso de los usuarios (autorización) a los recursos de Tableau.

Atributos de nombre de usuario de Active Directory y Tableau Server

Active Directory identifica de forma exclusiva los objetos de usuario mediante varios atributos. (Para obtener información más detallada, consulte User Naming Attributes(El enlace se abre en una ventana nueva) [Atributos para la nomenclatura de usuarios] en el sitio web de MSDN). Tableau Server depende de dos atributos de nomenclatura de usuarios de Active Directory:

  • sAMAccountName. Este atributo especifica el nombre de inicio de sesión que se diseñó originalmente para su uso con versiones anteriores de Windows. En muchas organizaciones, este nombre se combina con el nombre NetBIOS para la autenticación, utilizando un formato como example\jsmith, donde example es el nombre NetBIOS y jsmith es el valor sAMAccountName. Debido a su diseño original en Windows, el valor sAMAccountName debe contener menos de 20 caracteres.

    En la consola administrativa de Windows Usuarios y equipos de Active Directory, este valor se encuentra en el campo etiquetado como Nombre de inicio de sesión del usuario (antes de Windows 2000), en la pestaña Cuenta del objeto de usuario.

  • userPrincipalName (UPN). Este atributo especifica un nombre de usuario en el formato jsmith@example.com, donde jsmith es el prefijo del UPN y @example.com es el sufijo del UPN.

    En la consola administrativa de Windows Usuarios y equipos de Active Directory, el UPN es una concatenación de dos campos en la pestaña Cuenta del objeto de usuario: el campo Nombre de inicio de sesión de usuario y la lista desplegable de dominios junto a este.

Añadir usuarios desde Active Directory

Puede añadir usuarios individualmente desde Active Directory, introduciéndolos en el entorno de servidor o creando un archivo CSV e importando los usuarios. También puede añadir usuarios de Active Directory creando un grupo mediante Active Directory e importando todos los usuarios del grupo. El resultado puede ser distinto según el enfoque que utilice.

Importar el prefijo UPN como nombre de usuario

No puede importar el UPN completo como nombre de usuario.

En la mayoría de los casos, el nombre de usuario que Tableau Server importará al almacén de identidades será el valor sAMAccountName. Para obtener más información acerca de las excepciones a este comportamiento, consulte el artículo de la base de conocimientos de Tableau Importación del prefijo UPN como nombre de usuario en escenarios no estándar con Active Directory(El enlace se abre en una ventana nueva).

Añadir grupos de usuarios

Si importa un grupo de usuarios de Active Directory, Tableau importará todos los usuarios del grupo con el atributo sAMAccountName.

Comportamiento de la sincronización al eliminar usuarios de Active Directory

Los usuarios no se pueden quitar automáticamente de Tableau Server mediante una operación de sincronización de Active Directory. Los usuarios deshabilitados, borrados o eliminados de los grupos de Active Directory permanecen en Tableau Server, por lo que puede auditar y reasignar su contenido antes de eliminar por completo la cuenta del usuario.

No obstante, Tableau Server actuará de diferente manera sobre los objetos de usuario en función de cómo cambie el estado de dicho objeto en Active Directory. Hay dos escenarios: eliminar o deshabilitar los usuarios en Active Directory y eliminarlos de los grupos sincronizados en Active Directory.

Al eliminar o deshabilitar un usuario en Active Directory y sincronizar el grupo de ese usuario en Tableau Server, sucede lo siguiente:

  • Se quita al usuario del grupo de Tableau Server que ha sincronizado.
  • La función del usuario se establece en "Sin licencia".
  • El usuario seguirá perteneciendo al grupo Todos los usuarios.
  • El usuario no puede iniciar sesión en Tableau Server.

Al eliminar un usuario de un grupo de Active Directory y sincronizar ese grupo en Tableau Server, sucede lo siguiente:

  • Se quita al usuario del grupo de Tableau Server que ha sincronizado.
  • La función del usuario se conserva: no se establece en "Sin licencia".
  • El usuario seguirá perteneciendo al grupo Todos los usuarios.
  • El usuario seguirá teniendo permiso a Tableau Server con acceso a todos los elementos a los que puede acceder el grupo Todos los usuarios.

En ambos casos, para eliminar un usuario de Tableau Server, el administrador del servidor debe eliminarlo desde la página Usuarios del Tableau Server.

Apodos del dominio

En Tableau Server, el apodo del dominio equivale al nombre de dominio NetBIOS de Windows. En un bosque de Active Directory de Windows, un nombre de dominio completamente calificado (FQDN) puede tener un nombre NetBIOS arbitrario. El nombre NetBIOS se utiliza como el identificador de dominio cuando un usuario inicia sesión en Active Directory.

Por ejemplo, el FQDN west.na.corp.lan puede configurarse como un nombre NetBIOS (apodo) de SEATTLE. El usuario jsmith de ese dominio podría iniciar sesión en Windows utilizando cualquier de los siguientes nombres de usuario:

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Si desea que sus usuarios inicien sesión en Tableau Server con un nombre NetBIOS en lugar del FQDN, deberá verificar que se haya definido el valor del apodo de cada dominio en el que los usuarios inicien sesión. Consulte editdomain para obtener información sobre cómo ver y definir el nombre de apodo para cada dominio.

Compatibilidad con varios dominios

Puede añadir usuarios y grupos desde un dominio distinto del dominio del equipo de Tableau Server en estos casos:

La primera vez que añada un usuario o grupo desde el dominio diferente al del servidor, debe especificar el nombre de dominio completamente calificado con el nombre de usuario o grupo. Los usuarios o grupos adicionales que añada desde ese dominio pueden añadirse utilizando el apodo del dominio, siempre que el apodo coincida con el nombre NetBIOS. Si Tableau Server se conecta a varios dominios, también debe especificar los otros dominios a los que se conecta Tableau Server estableciendo las opciones wgserver.domain.whitelist (versión 2020.3 y anteriores) o wgserver.domain.accept_list (versión 2020.4 y posteriores) con TSM. Para obtener más información, consulte wgserver.domain.whitelist o wgserver.domain.accept_list.

Nombres visibles duplicados

Si los nombres visibles de los usuarios no son únicos en múltiples dominios, puede resultar confuso administrar usuarios con el mismo nombre visible en Tableau. Tableau Server mostrará el mismo nombre para dos usuarios. Por ejemplo, imagine una organización con dos dominios, example.lan y example2.lan. Si el usuario John Smith existe en ambos dominios, puede resultar confuso añadir ese usuario a los grupos, así como otras tareas administrativas de Tableau Server. Ante tal situación, considere actualizar el nombre visible de Active Directory de uno de los usuarios para diferenciar las cuentas.

Iniciar sesión en Tableau Server con un nombre NetBIOS

Los usuarios pueden iniciar sesión en Tableau Server utilizando el apodo del dominio (nombre NetBIOS), por ejemplo, SEATTLE\jsmith.

Tableau Server no puede consultar el nombre NetBIOS para un FQDN determinado. Por tanto, Tableau establece el apodo de un FQDN concreto según la primera entrada del espacio de nombre. Por ejemplo, en el caso del FQDN west.na.corp.lan, Tableau define el apodo como west.

Por tanto, es posible que deba actualizar el apodo del dominio en Tableau Server antes de que los usuarios puedan iniciar sesión utilizando el apodo. Si no actualiza el apodo, los usuarios deberán iniciar sesión con un nombre de dominio completamente calificado. Para obtener más información, consulte Users From New Domain Unable to Log In and Do Not Appear in User List(El enlace se abre en una ventana nueva) (Los usuarios del nuevo dominio no pueden iniciar sesión y no aparecen en la lista de usuarios) en la base de conocimientos de Tableau.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!