Configurar y administrar grupos de identidades
Para crear y administrar grupos de identidades, debe realizar llamadas mediante programación contra el Métodos de grupos de identidad(El enlace se abre en una ventana nueva) utilizando la OpenAPI de REST de Tableau. Para agregar o administrar usuarios en un grupo de identidades, puede usar la interfaz de usuario (IU) de Tableau Server directamente o a través de la API de REST de Tableau.
El proceso de configuración de los grupos de identidades se resume en los siguientes pasos.
- Configurar Tableau Server y establecer una sesión.
- Aprovisione usuarios configurando una nueva instancia de almacén de identidad local. Nota: Puede omitir este paso para usar un almacén de identidad local existente o el almacén de identidad externo que configuró en TSM durante la instalación de Tableau Server.
- Configure la autenticación para autenticar a sus usuarios en Tableau Server mediante OpenID Connect (OIDC).
- Cree un grupo de identidades que utilice el almacén de identidades y la autenticación OIDC que configuró.
- Agregue usuarios a un grupo de identidades mediante la interfaz de usuario de Tableau Server o la API de REST para permitir que los usuarios inicien sesión en Tableau Server.
Después de la configuración, puede probar, administrar, y solucionar problemas en sus grupos de identidad.
Nota: Puede usar la colección Postman de Grupos de identidad(El enlace se abre en una ventana nueva) en el espacio de trabajo Postman del desarrollador de Salesforce para conocer, desarrollar y probar los métodos descritos en este tema.
Requisitos previos
Antes de comenzar con los grupos de identidades, se deben cumplir los siguientes requisitos:
- La integración con un proveedor de identidad (IdP) OIDC, como Okta, ya está configurada
- Ejecuta Tableau Server 2023.1 o posterior
- Ha realizado la migración de identidad(El enlace se abre en una ventana nueva) si está ejecutando Tableau Server después de actualizar desde la versión 2021.4 o anterior
Introducción
Paso 1: Configurar Tableau Server y establecer una sesión
La habilitación de cambios asociados con la configuración de grupos de identidades requiere una configuración única de TSM y una declaración de variables de sesión y host.
Abra un símbolo del sistema como administrador en el nodo inicial (nodo en el que esté instalado TSM).
Ejecute el comando siguiente:
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
Por ejemplo, puede ejecutar los siguientes comandos para configurar Tableau Server, http://myco:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Para obtener más información, consulte gateway.external_url(El enlace se abre en una ventana nueva).
(Opcional) Ejecute los siguientes comandos para agregar una descripción para el grupo inicial (TSM configurado):
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
Por ejemplo, puede ejecutar los siguientes comandos para agregar una descripción de "Inicio de sesión para empleados de MyCo":
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Para obtener más información, consulte wgserver.authentication.identity_pools.default_pool_description(El enlace se abre en una ventana nueva).
Inicie sesión en Tableau Server como administrador y siga estos pasos:
- Vaya a las herramientas de desarrollo del navegador y navegue a las cookies de la aplicación.
- Anote el valor de workgroup_session_id.
Por ejemplo, si trabaja en Chrome, haga clic con el botón derecho en cualquier parte de la página de inicio de Tableau Server, haga clic con el botón derecho y seleccione Inspeccionar. Haga clic en Aplicación en el panel de navegación superior y haga clic en Cookies desde el panel de navegación izquierdo. En Cookies, haga clic en su nombre de Tableau Server, como http://myco.com, y anote el valor de workgroup_session_id en el panel central.
En el script o la herramienta de desarrollo de API que está utilizando para realizar solicitudes de grupos de identidades mediante la OpenAPI de REST de Tableau, haga lo siguiente:
- Agregue el valor de workgroup_session_id como una variable global.
- Además, agregue el puerto 80, el host (su URL de Tableau Server) y el protocolo (HTTP o HTTPS) a sus variables globales.
Por ejemplo, la siguiente tabla muestra las variables globales necesarias para su Tableau Server, http://myco.
Variable global | Valor |
---|---|
ID de sesión del grupo de trabajo | AbC_2abcDefDwGVzPu1hCQ|FJk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|ca608d3c-fc01-4e40-ae5e-9b2131e4e7mm |
Puerto | 80 |
Host | http://myco |
Protocolo | HTTP |
Paso 2: Configurar un almacén de identidades
Tableau Server requiere que configure un almacén de identidades para obtener o aprovisionar a sus usuarios de Tableau Server.
Al configurar un grupo de identidades, puede utilizar un almacén de identidades local(El enlace se abre en una ventana nueva) nuevo o existente, o puede usar un almacén de identidades externo(El enlace se abre en una ventana nueva), ya sea Active Directory (AD) o Protocolo ligero de acceso a directorios (LDAP) si ese almacén de identidad externo se configuró durante la instalación de Tableau Server.
Nota: Las instancias de AD o LDAP nuevas que no sean la instancia de AD o LDAP que configuró en TSM durante la instalación de Tableau Server (también conocidas como el grupo inicial (configurado con TMS)) no se pueden configurar con grupos de identidades.
Para configurar un nuevo almacén de identidades local, use el procedimiento a continuación. Pasemos al Paso 3: Configurar la autenticación si desea utilizar un almacén de identidades local existente o el almacén de identidades que configuró durante la instalación de Tableau Server.
Realice una solicitud de Inicio de sesión(El enlace se abre en una ventana nueva) a la API de REST de Tableau para generar un token de credenciales.
Ejemplo
URI
POST https://myco/api/3.19/auth/signin
Después de generar el token de credenciales, agregue el token de credenciales al encabezado de todas las solicitudes posteriores de la API.
Configure el almacén de identidades llamando al punto de conexión Configurar almacén de identidades(El enlace se abre en una ventana nueva) mediante la OpenAPI de la API de REST de Tableau.
En la solicitud, escriba lo siguiente:
- Tipo. El valor de tipo siempre es 0 para un tipo de almacén de identidad local. Si desea utilizar un almacén de identidades local existente o el almacén de identidades que configuró en TSM durante la instalación de Tableau Server, no necesita configurar una nueva instancia de almacén de identidades local. En su lugar, vaya al Paso 3: configurar la autenticación, a continuación.
- Nombre. El nombre del debe ser exclusivo.
- Nombre de visualización. Esto es opcional.
Ejemplo
URI
https://myco/api/services/authn-service/identity-stores/
Cuerpo de solicitud (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Cuerpo de respuesta
Ninguno
Paso 3: Configurar la autenticación
Puede configurar el método de autenticación OpenID Connect (OIDC) para autenticar a sus usuarios.
Nota: OIDC es actualmente el único método de autenticación configurable con grupos de identidades, independientemente del tipo de almacén de identidades que utilice con el grupo de identidades.
Después de configurar un almacén de identidades, llame al punto de conexión Crear configuración de autenticación(El enlace se abre en una ventana nueva) mediante la OpenAPI de la API de REST de Tableau.
En la solicitud, escriba lo siguiente:
Tipo de autenticación. Los valores del tipo de autenticación son "
OIDC
".- iFrame. El valor predeterminado de iFrame es
false
. El ID de cliente de OIDC obligatorio, el secreto del cliente, la URL de configuración, el reclamo de ID, la autenticación del cliente y el reclamo de nombre de usuario.
- El ID de cliente y el secreto de cliente los proporciona su IdP de OIDC.
- Su IdP también proporciona la URL de configuración. La URL puede usar el siguiente formato:
https://<idp_url>/.well-known/openid-configuration
. - El valor predeterminado de la reclamación de ID es "
sub
". Para obtener más información, consulte Cambiar la notificación sub. - El valor predeterminado de la autenticación del cliente es "
CLIENT_SECRET_BASIC
". - El valor predeterminado del reclamo de nombre de usuario es "
email
". Para obtener más información, consulte Opción predeterminada: uso de la notificación "email" para relacionar usuarios.
Acerca del reclamo de nombre de usuario
Tableau usa el reclamo de nombre de usuario para fines de coincidencia de identidad. Si proporciona identificadores al agregar usuarios a Tableau Server, el identificador se usa para que coincida con el valor proporcionado en el reclamo de nombre de usuario. Si no se proporcionan identificadores, Tableau usa de manera predeterminada el nombre de usuario establecido en Tableau Server.
Notas:
- Si pretende usar esta configuración de autenticación con un grupo de identidades que usa AD como su almacén de identidades, asegúrese de que el usuario asignado tenga el valor AD sAMAccountName en la notificación de nombre de usuario.
- Si pretende usar esta configuración de autenticación con un grupo de identidades que usa LDAP como su almacén de identidades, asegúrese de que el usuario asignado tenga el valor de nombre de usuario de LDAP en la notificación de nombre de usuario.
Ejemplo
URI
https://myco/api/services/authn-service/auth-configurations/
Cuerpo de solicitud (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "0oa1hotzhjv4tyCd08",
"client_secret": "EsKd2NCxY-BiLu_zcIwr2lJZLziT_7sw9Fi6HV3",
"config_url": "https://dev-532601-admin.oktapreview.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Cuerpo de respuesta
Ninguno
Paso 4: Crear un grupo de identidades
Según el almacén de identidades que configuró durante la instalación de Tableau Server, el grupo de identidades que cree puede tener solo una de las siguientes combinaciones de almacén de identidades y método de autenticación:
- Almacén de identidades AD + autenticación de OIDC
- Almacén de identidades LDAP + autenticación de OIDC
- Almacén de identidades local + autenticación de OIDC
Las dos primeras combinaciones requieren que el grupo inicial (TSM configurado) esté configurado para usar AD o LDAP.
El procedimiento que se describe a continuación crea un grupo de identidades con la última combinación, "Almacén de identidades local + autenticación de OIDC".
Después de configurar la autenticación OIDC, llame al punto de conexión Crear grupo de identidades(El enlace se abre en una ventana nueva) mediante la OpenAPI de la API de REST de Tableau.
En la solicitud, escriba lo siguiente:
Nombre y descripción del grupo de identidades. Tanto el nombre como la descripción del grupo de identidades están visibles para todos los usuarios en la página de inicio de Tableau Server.
ID de instancia de almacén de identidades e ID de instancia de tipo de autenticación.
Notas:
- Para obtener el ID de la instancia del almacén de identidades y el ID de la instancia del tipo de autenticación, puede llamar a los puntos de conexión Enumerar almacenes de identidad(El enlace se abre en una ventana nueva) y Mostrar configuraciones de autenticación(El enlace se abre en una ventana nueva)
Si desea crear un grupo de identidades que use el almacén de identidades que configuró en TSM durante la configuración de Tableau Server, el valor de la instancia del almacén de identidades siempre es
'1'
.
Ejemplo
URI
https://myco/api/services/authn-service/identity-pools/
Cuerpo de solicitud (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Ejemplo de texto de respuesta
Ninguno
Después de crear el grupo de identidades, vaya a sus configuraciones de IdP y establezca el URI de redirección de inicio de sesión en
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Por ejemplo,
http://myco/authn-service/authenticate/oidc/57tgfe21-74d2-3h78-bdg6-g2g6h4734564/login
Nota: Para obtener el ID del grupo de identidades, puede llamar al punto de conexión Mostrar grupos de identidades(El enlace se abre en una ventana nueva)
Notas:
- Puede crear tantos grupos de identidades como necesite su organización.
- El grupo inicial (TSM) configurado admite otros tipos de almacenamiento de identidades y métodos de autenticación. Para obtener más información, consulte Autenticación.
Paso 5: Agregar usuarios a un grupo de identidades
Puede usar Tableau Server directamente para agregar usuarios a un grupo de identidades. Los usuarios deben pertenecer al grupo inicial (TSM configurado) o agregarse a un grupo de identidades para iniciar sesión en Tableau Server. Al agregar usuarios a un grupo de identidades, su flujo de trabajo puede cambiar según el almacén de identidades que se configuró con el grupo de identidades.
El siguiente procedimiento describe cómo agregar usuarios a una identidad a través de la interfaz de usuario de Tableau Server. Sin embargo, puede agregar usuarios a un grupo de identidades mediante la API de REST de Tableau llamando al punto de conexión Agregar usuario al grupo de identidades(El enlace se abre en una ventana nueva)
Inicie sesión en la interfaz de Tableau Server como administrador.
En el panel de navegación izquierdo, seleccione Usuarios (o Todos los sitios > Usuarios para un Tableau Server de varios sitios)
Haga clic en el botón Agregar usuarios y seleccione Crear nuevo usuario o Importar usuarios desde archivo.
Para crear un nuevo usuario:
Seleccione el grupo de identidades al que desea agregar el nuevo usuario y luego haga clic en Siguiente.
Si seleccionó un grupo de identidades que está configurado con un almacén de identidades AD o LDAP, ingrese los nombres de usuario, asigne la pertenencia al sitio y los roles en el sitio. Cuando haya terminado, haga clic en el botón Importar usuarios.
Si seleccionó un grupo de identidades que está configurado con un almacén de identidades local, escriba el nombre de usuario. El cuadro de diálogo se expande para que pueda agregar un nombre para mostrar, un identificador (en la mayoría de los casos), una dirección de correo electrónico y establecer el sitio y el rol en el sitio. Cuando haya terminado, haga clic en el botón Crear usuario.
Para obtener más información acerca de los nombres de usuario y cómo asignar la pertenencia al sitio y los roles en el sitio, consulte Establecer los roles de sitio de los usuarios.
Acerca de los nombres de usuario e identificadores en Tableau
Un nombre de usuario es la información que representa al usuario del sistema. Se utiliza un identificador para complementar la información del nombre de usuario y puede ser utilizado por almacenes de identidad externos como alternativas a los nombres de usuario.
En Tableau, un nombre de usuario es un valor inmutable que se usa para iniciar sesión en Tableau y los identificadores son valores mutables que se usan en la estructura de identidad de Tableau como una forma de relacionar a los usuarios con sus nombres de usuario. Los identificadores permiten que Tableau sea más flexible porque pueden desviarse del nombre de usuario. Si hay cambios en el nombre de usuario en el almacén de identidad externo, los administradores de Tableau Server pueden actualizar el identificador para garantizar que los usuarios coincidan con los nombres de usuario correctos.
Cuando agrega un usuario existente a un grupo de identidades, puede esperar la capacidad de establecer un identificador. Por ejemplo, si un usuario existente pertenece a un grupo de identidades configurado con un almacén de identidades local y desea agregarlo a un grupo de identidades configurado con un almacén de identidades de AD, le pedimos que proporcione el nombre de usuario para buscar identificadores asociados con ese usuario. Por otro lado, si un usuario existente pertenece a un grupo de identidades configurado con un almacén de identidades de AD y desea agregarlo a un grupo de identidades configurado con un almacén de identidades local, le pedimos que proporcione un identificador opcional. Una excepción a esto es si desea agregar un usuario al grupo inicial (TSM configurado) que está configurado con un almacén de identidad local y autenticación local. No podrá establecer un identificador para ese usuario.
Para importar usuarios desde archivo:
Cargue un archivo .csv que contenga las siguientes columnas en el orden indicado:
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Nota: El nombre de usuario y la contraseña son las únicas columnas obligatorias. Sin embargo, si no especifica el nombre del grupo de identidades, el usuario se agregará al grupo inicial (TSM configurado). Para obtener más información, consulte Pautas de archivos de importación CSV.
Por ejemplo, suponga que desea agregar a Henry Wilson y Fred Suzuki al grupo de identidades de Contratistas generales. Su .csv puede contener los siguientes valores:
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Nota: Cuando se crean uno o más grupos de identidades, la página de destino de Tableau Server se actualiza para incluir opciones de inicio de sesión para los usuarios que son miembros de esos grupos de identidades. Para obtener más información, consulte Aprovisionar y autenticar usuarios mediante grupos de identidades.
Probar los grupos de identidades
Después de configurar un grupo de identidades, le recomendamos que lo pruebe cerrando sesión en Tableau Server e iniciando sesión nuevamente como un usuario que pertenece al grupo de identidades. Asegúrese de completar el proceso de inicio de sesión para asegurarse de que la autenticación OIDC se configuró correctamente.
Nota: Si configuró una descripción opcional para el grupo inicial (TSM configurado) en Paso 1: Configurar Tableau Server y establecer una sesión o tiene una nota Configuración de Server (general y de personalización) para Tableau Server, recomendamos que la descripción sea específica para los usuarios que inician sesión con el grupo inicial (TSM configurado) y la nota de personalización de inicio de sesión se aplique a todos los usuarios que inician sesión en Tableau Server.
Administrar grupos de identidades
Puede administrar los usuarios en grupos de identidades desde la página Usuarios del nivel del servidor y del sitio. En la página Usuarios, puede ver a qué grupos de identidades pertenecen los usuarios y resumir los detalles sobre el grupo de identidades.
Para todas las demás tareas de administración de grupos de identidades, incluida la actualización de una configuración de autenticación o un grupo de identidades y la eliminación de un almacén de identidades local o un grupo de identidades, use la OpenAPI de la API de REST de Tableau descrita en Métodos de grupos de identidades(El enlace se abre en una ventana nueva).
Solucionar problemas de grupos de identidades
Limitaciones de los grupos de identidades
Los grupos de identidades están disponibles solo con Tableau Server.
Nota: Actualmente, los grupos de identidades están disponibles solo para la configuración a nivel de servidor. Los grupos de identidades no se pueden limitar a un sitio.
La página de inicio de Tableau Server muestra errores de IdP
En la página de destino de Tableau Server, debajo de la opción de inicio de sesión principal, es posible que aparezca un mensaje de error relacionado con el IdP junto a una opción de inicio de sesión del grupo de identidades. Este problema relacionado con la autenticación de OIDC puede ocurrir cuando se cumple una de las siguientes condiciones o ambas: 1) Tableau Server no se configuró para enviar una URL externa al IdP y 2) las variables globales no se declararon.
Para resolver este problema, asegúrese de completar el procedimiento descrito en Paso 1: Configurar Tableau Server y establecer una sesión arriba.
La página de destino de Tableau Server no muestra agrupaciones de identidad
Si la funcionalidad Agrupaciones de identidad está deshabilitada, puede volver a habilitarla usando los siguientes comandos de TSM:
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Nota: La ejecución de estos comandos provoca que Tableau Server se reinicie.