OpenID Connect

Puede configurar Tableau Server para que admita OpenID Connect (OIDC) para el inicio de sesión único (SSO). OIDC es un protocolo de autenticación estándar que permite que los usuarios inicien sesión en un proveedor de identidad (IdP) como, por ejemplo, Google o Salesforce. Cuando ya hayan iniciado sesión correctamente en su IdP, se iniciará sesión automáticamente en Tableau Server.

Para configurar OIDC hay que llevar a cabo varios pasos. En los temas de esta sección se proporciona información general sobre el uso de Tableau Server con OIDC, así como una secuencia para configurar el IdP y Tableau Server.

Nota: A menos que se indique lo contrario, la información sobre la autenticación OIDC se aplica tanto a la autenticación OIDC configurada en TSM durante la instalación de Tableau Server como a la autenticación OIDC configurada con grupos de identidades(El enlace se abre en una ventana nueva).

Información general sobre la autenticación

Esta sección describe el proceso de autenticación OpenID Connect (OIDC) con Tableau Server.

1. Un usuario intenta iniciar sesión en Tableau Server desde un equipo cliente.

2. Tableau Server redirige la solicitud de autenticación a la puerta de enlace del IdP.

3. Se solicitan credenciales al usuario y se le autentica correctamente con el IdP. El IdP responde con una URL de redirección de nuevo a Tableau Server. La URL de redirección incluye un código de autorización para el usuario.

4. El cliente es redirigido a Tableau Server y presenta el código de autorización.

5. Tableau Server presenta el código de autorización del cliente al IdP junto con sus propias credenciales de cliente. Tableau Server también es cliente del IdP. El objetivo de este paso es evitar las suplantaciones y los ataques "man-in-the-middle".

6. El IdP indica un token de acceso y un token de ID a Tableau Server.

  • Validación JSON Web Token (JWT): de forma predeterminada, Tableau Server lleva a cabo una validación del JWT del IdP. Durante la detección, Tableau Server recupera las claves públicas especificadas por jwks_uri en el documento de detección de la configuración del IdP. Tableau Server comprueba el vencimiento del token del ID y, luego, verifica la firma web JSON (JWS), el emisor (IdP) y el ID de cliente. Para obtener más información sobre el proceso de JWT, consulte la documentación de , OpenID, 10(El enlace se abre en una ventana nueva). Firmas y cifrado(El enlace se abre en una ventana nueva), y el estándar propuesto de IETF, JSON Web Token(El enlace se abre en una ventana nueva). Se recomienda dejar habilitada la validación JWT, a menos que su IdP no sea compatible.

  • El token de ID es un conjunto de pares de atributo-clave para el usuario. Estos pares de clave se denominan notificaciones. Este es un ejemplo de notificación de IdP para un usuario:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"		

7. Tableau Server identifica al usuario de las notificaciones del IdP y completa la solicitud del paso 1. Tableau Server busca el registro de la cuenta del usuario almacenado en el repositorio al hacer coincidir el "sub" (identificador del sujeto) para identificar la cuenta de usuario correcta. Si no hay ninguna cuenta de usuario almacenada con el valor de la subnotificación, Tableau Server busca un nombre de usuario en el repositorio que coincida con la reclamación de "correo electrónico" de la IdP. Cuando una coincidencia de nombre de usuario tiene éxito, Tableau Server almacenará el subrreclamo correspondiente en el registro del usuario en el repositorio.Tableau Server se puede configurar para utilizar diferentes reclamos para este proceso. Consulte Requisitos para usar OpenID Connect.

8. Tableau Server autoriza al usuario.

Funcionamiento de Tableau Server con OpenID Connect

OpenID Connect (OIDC) es un protocolo flexible que admite numerosas opciones para la información que se intercambia entre un proveedor de servicios (en este caso Tableau Server) y un proveedor de identidad. En la siguiente lista se proporciona información sobre la implementación de OIDC en Tableau Server. Esta información le puede ayudar a saber qué tipos de información envía y espera Tableau Server, así como a configurar un IdP.

  • Tableau Server solo admite el flujo del código de autorización de OpenID, como se describe en la especificación final para OpenID Connect(El enlace se abre en una ventana nueva) en la documentación de OpenID Connect.

  • Tableau Server se basa en el uso de descubrimiento o una URL de proveedor para recuperar los metadatos del OpenID. Como alternativa, puede alojar un documento de descubrimiento estático en Tableau Server. Para obtener más información, consulte Configurar Tableau Server para OpenID Connect.

  • Tableau Server solo admite los métodos de autenticación de cliente client_secret_basic y client_secret_post.

  • Tableau Server espera un valor kid en el encabezado JOSE del atributo id_token. Este valor se relaciona con una de las claves del documento JWK Set, cuyo URI se especifica en el valor jwks_uri del documento de detección de OpenID. Debe haber un valor kid, aunque solo haya una clave en el documento JWK Set.

  • Tableau Server Incluye compatibilidad de OpenID con el parámetro x5c de JWK o para utilizar certificados X.509.

  • De forma predeterminada, Tableau Server ignora la configuración del proxy y envía todas las solicitudes de OpenID directamente al IdP.

    Si Tableau Server está configurado para usar un proxy de reenvío para conectarse a Internet, entonces debe realizar cambios adicionales como se describe en Configurar Tableau Server para OpenID Connect.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!