Puede configurar Tableau Server para que admita OpenID Connect para el inicio de sesión único (SSO). OpenID Connect es un protocolo de autenticación estándar que permite que los usuarios inicien sesión en un proveedor de identidad (IdP) como, por ejemplo, Google. Cuando ya hayan iniciado sesión correctamente en su IdP, se iniciará sesión automáticamente en Tableau Server.

Para configurar OpenID Connect hay que llevar a cabo varios pasos. En los temas de esta sección se proporciona información general sobre el uso de Tableau Server con OpenID Connect, así como una secuencia para configurar el IdP y Tableau Server.

Información general sobre la autenticación

En esta sección se describe el proceso de autenticación de OpenID Connect con Tableau Server.

Paso 1: un usuario intenta iniciar sesión en Tableau Server desde un equipo cliente.

Paso 2: Tableau Server redirige la solicitud de autenticación a la puerta de enlace del IdP.

Paso 3: se solicitan credenciales al usuario y se le autentica correctamente con el IdP. El IdP responde con una URL de redirección de nuevo al servidor de Tableau. La URL de redirección incluye un código de autorización para el usuario.

Paso 4: el cliente es redirigido a Tableau Server y presenta el código de autorización.

Paso 5: Tableau Server presenta el código de autorización del cliente al IdP junto con sus propias credenciales de cliente. Tableau Server también es cliente del IdP. El objetivo de este paso es evitar las suplantaciones y los ataques "man-in-the-middle".

Paso 6: El IdP indica un token de acceso y un token de ID a Tableau Server.

  • Validación JSON Web Token (JWT): de forma predeterminada, Tableau Server lleva a cabo una validación del JWT del IdP. Durante la detección, Tableau Server recupera las claves públicas especificadas por jwks_uri en el documento de detección de la configuración del IdP. Tableau Server comprueba el vencimiento del token del ID y, luego, verifica la firma web JSON (JWS), el emisor (IdP) y el ID de cliente. Para obtener más información sobre el proceso de JWT, consulte la documentación de OpenID, 10(El enlace se abre en una ventana nueva). Firmas y cifrado(El enlace se abre en una ventana nueva), y el estándar propuesto de IETF, JSON Web Token(El enlace se abre en una ventana nueva). Se recomienda dejar habilitada la validación JWT, a menos que su IdP no sea compatible.

  • El token de ID es un conjunto de pares de atributo-clave para el usuario. Estos pares de clave se denominan notificaciones. Este es un ejemplo de notificación de IdP para un usuario:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@tableau.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

Paso 7: Tableau Server identifica al usuario de las notificaciones del IdP y completa la solicitud del paso 1. Tableau Server busca el registro de la cuenta del usuario almacenado en el repositorio al hacer coincidir el "sub" (identificador del sujeto) para identificar la cuenta de usuario correcta. Si no hay ninguna cuenta de usuario almacenada con el valor de la subnotificación, Tableau Server busca un nombre de usuario en el repositorio que coincida con la reclamación de "correo electrónico" de la IdP. Cuando el nombre de usuario coincide de forma correcta, Tableau Server almacenará la subnotificación correspondiente en el registro del usuario del repositorio. Tableau Server se puede configurar para usar notificaciones diferentes en este proceso. Consulte Requisitos para usar OpenID Connect.

Paso 8: Tableau Server autoriza al usuario.

Cómo funciona Tableau Server con OpenID Connect

OpenID Connect es un protocolo flexible que admite numerosas opciones para la información que se intercambia entre un proveedor de servicios (en este caso Tableau Server) y un proveedor de identidad. En la siguiente lista se proporciona información sobre la implementación de OpenID Connect en Tableau Server. Esta información le puede ayudar a saber qué tipos de información envía y espera Tableau Server, así como a configurar un Idp.

  • Tableau Server solo admite el flujo del código de autorización de OpenID, como se describe en la especificación final para OpenID Connect(El enlace se abre en una ventana nueva).

  • Tableau Server Se basa en la detección o en la dirección URL de un proveedor para recuperar los metadatos del proveedor de OpenID. Asimismo, puede alojar un documento de detección estática en Tableau Server. Para obtener más información, consulte Configurar Tableau Server para OpenID Connect.

  • Tableau Server solo admite el método de autenticación de cliente client_secret_jwt, como se indica en las especificaciones de OpenID Connect. Además, Tableau Server solo admite el cifrado asimétrico RSA para gestionar el JWT. Sin embargo, puede desactivar la validación JWT. Consulte tsm authentication openid <comandos>.

  • Tableau Server espera un valor kid en el encabezado JOSE del atributo id_token. Este valor se relaciona con una de las claves del documento JWK Set, cuyo URI se especifica en el valor jwks_uri del documento de detección de OpenID. Debe haber un valor kid, aunque solo haya una clave en el documento JWK Set.

  • Tableau Server Incluye compatibilidad de OpenID con el parámetro x5c de JWK o para utilizar certificados X.509.

  • De forma predeterminada, Tableau Server ignora la configuración del proxy y envía todas las solicitudes de OpenID directamente al IdP.

    Si Tableau Server está configurado para usar un proxy de reenvío para conectarse a Internet, entonces debe realizar cambios adicionales como se describe en Configurar Tableau Server para OpenID Connect.

¡Gracias por sus comentarios!