Autenticación local

Si el servidor está configurado para usar el almacén de identidades local, Tableau Server autenticará a los usuarios. Cuando los usuarios inicien sesión y escriban las credenciales, ya sea en Tableau Desktop, tabcmd, API o cliente web, Tableau Server comprobará las credenciales. Los nombres de usuario de Tableau guardados en el almacén de identidades están asociados a derechos y permisos de Tableau Server. Una vez verificada la autenticación, Tableau Server administra el acceso de los usuarios (autorización) a los recursos de Tableau.

Para usar la autenticación local, debe configurar Tableau Server con un almacén de identidades local durante la instalación. No puede usar la autenticación local si Tableau Server se ha configurado con un almacén de identidad externo (LDAP, Active Directory, etc.).

Nota: Los grupos de identidades, que es una herramienta diseñada para complementar y admitir opciones adicionales de autenticación y aprovisionamiento de usuarios que pueda necesitar en su organización, solo admiten la autenticación OpenID Connect (OIDC). Para obtener más información, consulte Aprovisionar y autenticar usuarios mediante grupos de identidades.

Almacenamiento de contraseñas

Cuando se usa la autenticación local, la contraseña con salt y hash del usuario se almacena en el repositorio. Las contraseñas nunca se almacenan directamente, sino que se guarda el resultado de aplicar salt y hash a la contraseña. El servidor utiliza la función de derivación PBKDF2 con la función de hash HMAC SHA512.

Configurar las opciones de contraseña

Después de instalar Tableau Server con la autenticación local, puede usar Tableau Services Manager (TSM) para configurar una serie de opciones relacionadas con las contraseñas:

  • Directivas de contraseña: estas directivas definen los requisitos para la estructura de contraseñas, como la longitud, los tipos de caracteres, etc.

  • Caducidad de las contraseñas: habilite y especifique la caducidad de las contraseñas.

  • Límite de velocidad de inicio de sesión: Tableau Server limita el tiempo entre intentos de inicio de sesión después de que los usuarios escriban 5 contraseñas incorrectas. Los usuarios deben esperar unos segundos antes de intentar otro inicio de sesión. Si siguen escribiendo contraseñas incorrectas, deben esperar períodos de tiempo cada vez más prolongados entre los intentos de inicio de sesión. De forma predeterminada, el tiempo máximo entre intentos de inicio de sesión es de 60 minutos.

    Bloquear el acceso a la cuenta después de demasiados intentos fallidos. Puede especificar el número de intentos incorrectos que se pueden llevar a cabo antes de bloquear el acceso. Para obtener información sobre cómo desbloquear el acceso a una cuenta bloqueada, consulte Ver y administrar usuarios en un sitio.

  • Restablecimiento de contraseña de usuario: permita a los usuarios restablecer la contraseña. Al habilitar el restablecimiento de la contraseña, Tableau Server se configura para que muestre un enlace en la página de inicio de sesión. Los usuarios que olviden la contraseña o deseen restablecerla pueden hacer clic en hacer clic el enlace para iniciar el restablecimiento de la contraseña. El restablecimiento de contraseña se debe configurar mediante la CLI de TSM, como se describe a continuación.

  1. Abra TSM en un navegador:

    https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.

  2. Haga clic en Acceso e identidad de los usuarios en la pestaña Configuración y, luego, en Método de autenticación.

  3. Seleccione Autenticación local en el menú desplegable para ver las opciones de contraseña.

  4. Configure las opciones de contraseña y, a continuación, haga clic en Guardar cambios pendientes.

  5. Haga clic en Cambios pendientes, en la parte superior de la página:

  6. Haga clic en Aplicar cambios y reiniciar.

En el caso de la configuración inicial de las directivas de contraseña, se recomienda utilizar la siguiente plantilla de archivo de configuración para crear un archivo .json. También puede establecer cualquier clave de configuración única de las que aparecen abajo con la sintaxis descrita en tsm configuration set.

  1. Copie la siguiente plantilla de json en un archivo. Rellene los valores de las claves con su configuración de directiva de contraseña. Consulte la sección de referencia siguiente para obtener más información sobre las opciones clave.

    {
    "configKeys": {
     "wgserver.localauth.policies.mustcontainletters.enabled": false,
      "wgserver.localauth.policies.mustcontainuppercase.enabled": false,
      "wgserver.localauth.policies.mustcontainnumbers.enabled": false,
      "wgserver.localauth.policies.mustcontainsymbols.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.value": 8,
      "wgserver.localauth.policies.maximumpasswordlength.enabled": false,
      "wgserver.localauth.policies.maximumpasswordlength.value": 255,
      "wgserver.localauth.passwordexpiration.enabled": false,
      "wgserver.localauth.passwordexpiration.days": 90,
      "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
      "wgserver.localauth.ratelimiting.maxattempts.enabled": false,
      "wgserver.localauth.ratelimiting.maxattempts.value": 5,
      "vizportal.password_reset": false
    		}
    }
  2. Ejecute el comando tsm settings import -f file.json para pasar el archivo json con los valores correspondientes a Tableau Services Manager para configurar Tableau Server.

  3. Ejecute el comando tsm pending-changes apply para aplicar los cambios. Consulte tsm pending-changes apply.

Referencia del archivo de configuración

En esta sección se recogen todas las opciones que sirven para configurar las directrices de contraseña.

wgserver.localauth.policies.mustcontainletters.enabled

Valor predeterminado: false

Requerir al menos una letra en las contraseñas.

wgserver.localauth.policies.mustcontainuppercase.enabled

Valor predeterminado: false

Requerir al menos una letra mayúscula en las contraseñas.

wgserver.localauth.policies.mustcontainnumbers.enabled

Valor predeterminado: false

Requerir al menos un número en las contraseñas.

wgserver.localauth.policies.mustcontainsymbols.enabled

Valor predeterminado: false

Requerir al menos un carácter especial en las contraseñas.

wgserver.localauth.policies.minimumpasswordlength.enabled

Valor predeterminado: false

Requerir contraseñas con una longitud mínima.

wgserver.localauth.policies.minimumpasswordlength.value

Valor predeterminado: 8

El número mínimo de caracteres que deben tener las contraseñas. Escriba un valor entre 4 y 255, ambos incluidos. Debe establecer wgserver.localauth.policies.minimumpasswordlength.enabled como true para aplicar este valor.

wgserver.localauth.policies.maximumpasswordlength.enabled

Valor predeterminado: false

Requerir contraseñas con una longitud máxima.

wgserver.localauth.policies.maximumpasswordlength.value

Valor predeterminado: 255

El número máximo de caracteres que pueden tener las contraseñas. Escriba un valor entre 8 y 225, ambos incluidos. Debe establecer wgserver.localauth.policies.maximumpasswordlength.enabled como true para aplicar este valor.

wgserver.localauth.passwordexpiration.enabled

Valor predeterminado: false

Aplicar caducidad de la contraseña.

wgserver.localauth.passwordexpiration.days

Valor predeterminado: 90

El número de días antes de que caduque una contraseña. Escriba un valor entre 1 y 365, ambos incluidos. Debe establecer wgserver.localauth.passwordexpiration.enabled como true para aplicar este valor.

wgserver.localauth.ratelimiting.maxbackoff.minutes

Valor predeterminado: 60

Tiempo máximo entre intentos de inicio de sesión después de que un usuario escriba varias contraseñas incorrectas. Escriba un valor entre 5 y 1440, ambos incluidos.

wgserver.localauth.ratelimiting.maxattempts.enabled

Valor predeterminado: false

Aplicar el bloqueo de cuenta después de escribir 5 contraseñas incorrectas. Para cambiar el número de contraseñas incorrectas que desencadena el bloqueo de la cuenta, escriba wgserver.localauth.ratelimiting.maxattempts.value.

wgserver.localauth.ratelimiting.maxattempts.value

Valor predeterminado: 5

Número de contraseñas incorrectas que puede escribir un usuario para desencadenar el bloqueo de la cuenta. Escriba un valor entre 5 y 100, ambos incluidos. Debe establecer wgserver.localauth.ratelimiting.maxattempts.enabled como true para aplicar este valor.

vizportal.password_reset

Valor predeterminado: false

Permitir a los usuarios restablecer contraseñas. Tableau Server debe configurarse para enviar correos para que esta característica funcione. Consulte Configurar la instalación de SMTP.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!