Entidad samlSettings
Este artículo contiene una plantilla e instrucciones para configurar el SAML de todo el servidor en Tableau Server mediante un archivo de configuración con claves y valores para la entidad samlSettings
. Esta información complementa los pasos de configuración de SAML de Configurar SAML en todo el servidor.
Para crear una plantilla de configuración de SAML y aplicarla a Tableau Server, debe llevar a cabo los siguientes pasos:
Consulte las dos secciones siguientes, en las que se describe la plantilla y cómo se estructura (Categorías y definiciones de plantilla y Plantilla de configuración samlSettings).
Pegue el código JSON que aparece en la plantilla en un archivo de texto nuevo y guárdelo con la extensión .json.
Consulte la Referencia de entidad de configuración de SAML para saber qué valores debe proporcionar según el caso.
Añada pares opcionales de clave y valor específicos para su entorno. Por ejemplo, si el archivo de clave de certificado SAML necesita una frase de contraseña, tendrá que especificarla en el parámetro
wgserver.saml.key.passphrase
usando el comando tsm configuration set.
Categorías y definiciones de plantilla
La plantilla utiliza marcadores de posición para cada valor de clave. Estos marcadores de posición se clasifican del siguiente modo:
Requerido: los atributos con el valor
"required"
se deben sustituir con datos válidos antes de ejecutar el comando de configuración. Consulte la referencia del archivo de configuración para ver los valores válidos.Codificación rígida: los nombres de atributo precedidos con un guion bajo (_), como
"_type"
tienen valores de codificación rígida. No cambie estos valores.Valores predeterminados: los atributos establecidos en un valor diferente de
"required"
son valores predeterminados. Estos son atributos necesarios que puede cambiar como corresponda a su entorno.Conjuntos vacíos: puede pasar los valores vacíos (
""
) tal cual o proporcionar un valor para su instalación.
Importante: Todas las opciones de entidad distinguen entre mayúsculas y minúsculas.
Plantilla de configuración samlSettings
Pegue este código en un archivo de texto y adáptelo a su entorno siguiendo la referencia que se describe a continuación.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Referencia de entidad de configuración de SAML
En la siguiente lista se incluyen todas las opciones que se pueden incluir con el conjunto de entidades "samlSettings"
.
idpMetadataFile
Requerido. Ruta y nombre del archivo XML generado por el IdP. Los metadatos XML deben incluir el atributo de nombre de usuario (aserción).
Si ha seguido los pasos descritos en Configurar SAML en todo el servidor, el valor especificado aquí debería ser el siguiente:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"
enabled
true | false
Requerido. Indica si la autenticación SAML está habilitada. No establezca esta opción en
true
antes de establecer otras opciones de configuración SAML necesarias.
returnURL
Suele ser la URL externa que escriben los usuarios de Tableau Server en el navegador para acceder al servidor (por ejemplo,
https://tableau_server.example.com
). Este valor se utiliza para crear el atributo URL de ACS al configurar el IdP.
entityId
Requerido. Valor de ID de entidad del proveedor de servicios (en este caso, Tableau Server).
Identifica la configuración de Tableau Server en el IdP. Le recomendamos que introduzca el mismo valor que la opción
returnURL
.
idpUsernameAttribute
Requerido. En los metadatos del IdP, busque el atributo que se utiliza para especificar los valores de nombre de usuario e introduzca el nombre de dicho atributo. El valor predeterminado es
username
.
certFile
Requerido. Indica la ubicación y el nombre del archivo de certificado x509 (.crt) para SAML. Por ejemplo:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"
Para obtener más información, consulte Requisitos de SAML y Configurar SAML en todo el servidor.
keyFile
Requerido. Especifique la ubicación del archivo de clave privada (.key) que acompaña al archivo de certificado. Por ejemplo:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"
Nota: Si está utilizando una clave RSA PKCS#8 que requiere una frase de contraseña, debe establecer la frase de contraseña mediante una entidad configKey (consulte Ejemplo de archivo de configuración) o con tsm configuration set. La clave de la frase de contraseña que utiliza estos métodos es
wgserver.saml.key.passphrase
. El valor debe ser una cadena que no sea null.
idpDomainAttribute
Para las organizaciones que utilizan LDAP o Active Directory, este valor especifica a qué atributo SAML se hará referencia Tableau Server para determinar el nombre de dominio. Por ejemplo, si el IdP especifica el nombre de dominio en el atributo
domain
, debe especificardomain
para este valor. Nota: Para las organizaciones que tienen usuarios que inician sesión desde varios dominios, este valor es obligatorio.Si no proporciona un valor para esta clave, el valor utilizado dependerá de la configuración del almacén de identidades de Tableau Server:
Para el almacén de identidades local, se omite el valor
idpDomainAttribute
.Para Active Directory o los almacenes de identidades de LDAP, Tableau utiliza el FQDN del ajuste de configuración
wgserver.domain.default
.Para obtener el valor de
wgserver.domain.default
, puede ejecutar el comando siguiente:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Opcional. Permitir que los usuarios usen la autenticación SAML al iniciar sesión desde Tableau Desktop.
Esta opción no está establecida de manera predeterminada, por lo que el comportamiento es como si se estableciera en false. Si el inicio de sesión único de las aplicaciones cliente de Tableau no funciona con su proveedor de identidad (IdP), puede definir el valor en true para deshabilitar la autenticación SAML por medio de Tableau Desktop.
appNoSAML
true | false
Opcional. Permitir usar SAML para iniciar sesión desde las versiones anteriores de la aplicación Tableau Mobile. Los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, ignoran esta opción. Para deshabilitar los dispositivos que ejecutan la aplicación Tableau Mobile, versión 19.225.1731 y posteriores, deshabilite SAML como opción de inicio de sesión de cliente en Tableau Server.
logoutEnabled
true | false
Opcional. Habilita el cierre de sesión único para los usuarios que han iniciado sesión con SAML. El valor predeterminado es
true
.Los metadatos de configuración del IdP deben incluir un único punto de conexión de cierre de sesión con enlace POST.
Esta configuración solo se aplica a SAML de todo el servidor
Cuando se establece en
false
, Tableau Server no intentará el cierre de sesión único.
logoutUrl
Opcional. Escriba la URL que se debe utilizar para el redireccionamiento después de que los usuarios hayan cerrado la sesión en el servidor. Establecer esta opción requiere que
logoutEnabled
se establezca entrue
.De forma predeterminada, es la página de inicio de sesión de Tableau Server. Puede especificar una URL absoluta o relativa.
maxAuthenticationAge
Opcional. Especifica el número máximo de segundos permitidos entre la autenticación del usuario con el IdP y el procesamiento del mensaje AuthNResponse. El valor predeterminado es -1, lo que significa que maxAuthenticationAge no está configurado o se ignora de forma predeterminada. Antes de febrero de 2022, el valor predeterminado era 7200 (2 horas).
Para optimizar la duración de la sesión, utilice el mismo valor de tiempo de espera que se establece en el IdP.
maxAssertionTime
Opcional. Especifica el número máximo de segundos que puede usarse una aserción SAML desde su creación. El valor predeterminado es 3000 (50 minutos).
sha256Enabled
true | false
Opcional. El tipo de firma que Tableau Server usará al enviar mensajes al IdP. Cuando se establece en
true
, Tableau Server firmará mensajes con el algoritmo de firma SHA 256. Cuando se establece enfalse
, Tableau Server firmará mensajes con SHA 1. El valor predeterminado estrue
.Esta opción establece el algoritmo de firma en los siguientes mensajes que Tableau Server firma:
- AuthnRequest cuando
signRequests
está habilitado. - LogoutRequest si
logoutEnabled
está habilitado.
- AuthnRequest cuando
signRequests
true | false
Opcional. Especifica si Tableau Server firmará las AuthnRequests que se envían al IdP. Las solicitudes firmadas no siempre son necesarias para todos los idPs. Recomendamos firmar las solicitudes para usar la opción más segura al configurar SAML. Para comprobar si el IdP acepta una solicitud firmada, inspeccione los metadatos del IdP: si
wantAuthnRequestsSigned
está establecido entrue
, el IdP aceptará solicitudes firmadas.Valor predeterminado:
true
Para deshabilitar las solicitudes firmadas, establezca esta opción comofalse
.
acceptableAuthnContexts
Opcional. Establece el atributo SAML
AuthNContextClassRef
. Este atributo opcional aplica la validación de ciertos "contextos" de autenticación en flujos iniciados por IdP. Establezca un conjunto de valores separados por comas para este atributo. Cuando se establece este atributo, Tableau Server valida que la respuesta SAML contiene al menos uno de los valores enumerados. Si la respuesta SAML no contiene uno de los valores configurados, se rechazará la autenticación, incluso si el usuario se ha autenticado correctamente con el IdP.Si deja esta opción en blanco, se producirá un comportamiento predeterminado: cualquier respuesta SAML autenticada correctamente dará como resultado que se conceda una sesión a un usuario dentro de Tableau Server.
iFramedIdpEnabled
true | false
Opcional. El valor predeterminado es
false
; es decir, cuando los usuarios hacen clic en el botón de inicio de sesión en una vista insertada, se abrirá el formulario de inicio de sesión del IdP en una ventana emergente.Si lo establece en true y un usuario SAML del servidor que tiene la sesión iniciada va a una página web que tiene una vista insertada, no será necesario que inicie sesión para poder ver la vista.
Puede establecerlo en true solo si el IdP admite el inicio de sesión en un iFrame. La opción de iFrame es menos segura que el uso de una ventana emergente, por lo que no todos los IdP la admiten. Si la página de inicio de sesión del IdP implementa la protección contra secuestro de clics, como ocurre en la mayoría, la página de inicio de sesión no se mostrará en un iFrame y el usuario no podrá iniciar sesión.
Si su IdP no permite iniciar sesión a través de un iFrame, es posible que deba habilitar esta opción de forma explícita. Sin embargo, aunque pueda usar esta opción, se deshabilitará la protección contra secuestro de clics de Tableau Server para SAML, lo cual conlleva un riesgo de seguridad.
Pasar el archivo de configuración a Tableau Server
Una vez proporcionado un valor adecuado para todas las entidades que incluya en la plantilla de configuración, utilice los siguientes comandos para pasar el archivo .json y aplicar la configuración a Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
.
Consulte también
Una vez concluida la configuración de SAML inicial, utilice tsm authentication mutual-ssl <comandos> para establecer valores adicionales.
Para ver la referencia de la línea de comando para configurar SAML, consulte tsm authentication saml <comandos>.