Requisitos para usar OpenID Connect
En este tema se describen los requisitos para usar OpenID Connect con Tableau Server.
Nota: Los comandos de configuración de autenticación de TSM se aplican solo a la autenticación OIDC configurada en TSM durante la instalación de Tableau Server. Para realizar cambios en la configuración de autenticación de OIDC para grupos de identidades, puede utilizar el punto de conexión Actualizar configuración de autenticación(El enlace se abre en una ventana nueva) usando la OpenAPI de REST de Tableau.
Resumen de requisitos
Cuenta de un IdP
Almacén de identidades local
Notificaciones del IdP: mapeo de usuarios
Contexto de autenticación
Cuenta de un IdP
Debe disponer de acceso a un proveedor de identidad (IdP) que admita el protocolo OpenID Connect (OIDC). Además debe disponer de una cuenta con el IdP. Muchos proveedores de identidad admiten OpenID Connect. El protocolo OIDC es un estándar abierto y flexible y, como tal, no todas las implementaciones del estándar son idénticas. Cuando configure Tableau Server para OIDC, trabaje con su IdP.
La implementación del IdP de Google se ha probado exhaustivamente con Tableau Server y es el IdP modelo para la configuración documentada en estos temas.
Almacén de identidades local
Para usar OpenID Connect en Tableau Server, uno de los siguientes debe ser verdadero:
- Si configura OIDC en TSM durante la configuración de Tableau Server, Tableau Server se debe configurar para usar un almacén de identidades local. El servidor debe configurarse para crear usuarios en Tableau Server de forma explícita, en lugar de importarlos desde un directorio externo como Active Directory. OpenID no admite la administración de usuarios con un almacén de identidades externo.
- Si configura OIDC usando grupos de identidad(El enlace se abre en una ventana nueva), OIDC se puede configurar con 1) un almacén de identidades local o 2) AD o LDAP como el almacén de identidades configurado en TSM durante la instalación de Tableau Server.
Notificaciones del IdP: mapeo de usuarios
Para iniciar sesión correctamente en Tableau Server, debe aprovisionarse un usuario dado en OpenID, el cual se debe relacionar después con una cuenta de usuario en Tableau Server. OpenID usa un método que confía en notificaciones para compartir atributos de cuenta de usuario con otras aplicaciones. Las notificaciones incluyen atributos de cuenta de usuario como el correo electrónico, el número de teléfono, el nombre asignado, etc. Para comprender cómo asigna Tableau Server las notificaciones del IdP a cuentas de usuario, consulte OpenID Connect.
Tableau Server utiliza las notificaciones del IdP para relacionar cuentas de usuario del IdP con las alojadas en Tableau Server. De manera predeterminada, Tableau Server espera que el IdP pase la notificación
Si utiliza email
, para relacionar identidades del IdP con cuentas de usuario de Tableau Server. Si no utiliza
Opción predeterminada: uso de la notificación "email" para relacionar usuarios
De forma predeterminada, el nombre de usuario de un usuario en Tableau Server debe coincidir con la notificación email
en el token de ID del IdP. Por lo tanto, en la configuración predeterminada debe usar direcciones de correo electrónico (también denominadas UPN) como nombre de usuario en Tableau Server. Si utiliza alice@gmail.com
)
Nota: Cuando se crea una identidad de usuario en Tableau Server, se debe especificar un nombre de usuario, una contraseña y, si se quiere, una dirección de correo electrónico. Para usar OpenID Connect con la configuración predeterminada, el nombre de usuario (expresado como dirección de correo electrónico) es el valor que debe coincidir con el nombre de usuario en el IdP. La dirección de correo electrónico opcional guardada en la identidad de usuario de Tableau Server no se usa en la autenticación de OpenID.
Ignorar el nombre de dominio
Puede configurar Tableau para que ignore la parte del dominio de una dirección de correo electrónico si relaciona la notificación email
del IdP con una cuenta de usuario en Tableau Server. En este escenario, la notificación email
del IdP puede ser alice@example.com
, la cual se relacionará con un usuario llamado alice
en Tableau Server. Ignorar el nombre de dominio puede ser útil si ya ha definido usuarios en Tableau Server que coinciden con la parte del nombre de usuario de la notificación email
, pero no la parte del dominio.
Importante: No recomendamos ignorar el nombre de dominio de usuario sin tomar precauciones. En concreto, verifique que los nombres de usuario son únicos en los dominios configurados que ha creado en su IdP.
Configurar Tableau Server para que ignore el nombre de dominio de usuario puede dar lugar a un inicio de sesión de usuario involuntario. Tenga en cuenta el caso de que su IdP se haya configurado para varios dominios (example.com
y tableau.com
). Si en su organización hay dos usuarios con el mismo nombre de pila, pero distintas cuentas de usuario (alice@tableau.com
y alice@example.com
), el primero en completar la secuencia de aprovisionamiento de OpenID reclamará la relación con la notificación sub
del IdP. Si se asigna el usuario incorrecto, el otro no podrá iniciar sesión hasta que se haya restablecido el valor sub
asociado.
Para configurar Tableau Server para que ignore los nombres de dominio en los nombres de usuario del IdP, establezca tsm authentication openid configure --ignore-domain
en true
. Para obtener más información, consulte tsm authentication openid <comandos>.
Cuando cambie la opción tsm authentication openid configure --ignore-domain
para que ignore el dominio de los nombres de usuario, todos los nombres de usuario de Tableau Server deben tener un nombre de dominio.
Usar notificaciones personalizadas para relacionar usuarios
Como se ha comentado en OpenID Connect, la notificación sub
suele incluirse en las notificaciones del IdP. Normalmente, la notificación sub
es una cadena única que identifica una cuenta de usuario dada. La ventaja de usar una notificación sub
es que el valor no cambiará, aunque usted u otro administrador actualicen otros atributos de usuario o cambien las notificaciones del IdP (correo, número de teléfono, etc.) asociadas con esa cuenta. De forma predeterminada, Tableau Server identifica y verifica los usuarios de OpenID utilizando la notificación sub
en el token de ID del IdP.
El valor de la notificación sub
de OpenID se debe asignar al usuario correspondiente en Tableau Server. Dado que la notificación sub
es una cadena arbitraria, se usa una notificación diferente para relacionar las cuentas durante la primera sesión de inicio de sesión. La primera vez que un usuario inicia sesión en Tableau Server con OpenID, Tableau relaciona la cuenta de usuario de OpenID con una cuenta de usuario en Tableau Server. De manera predeterminada, Tableau usará la notificación del IdP, email
, para identificar al usuario de Tableau. A continuación, Tableau actualizará el registro de ese usuario con la notificación sub
de OpenID. Dado que el token de ID siempre incluye la notificación sub
junto con otras notificaciones, en sesiones sucesivas Tableau identificará a ese usuario solo con la notificación sub
.
En algunas organizaciones, asignar nombres de usuario con la dirección de correo electrónico no es un proceso seguro, o bien no lo admite el IdP. A partir de Tableau Server 10.2, puede relacionar cuentas de usuario con los nombres de usuario de Tableau Server utilizando cualquier notificación de IdP arbitraria.
La notificación de IdP que utilice debe corresponderse exactamente con el nombre de usuario de Tableau Server pertinente. En el siguiente ejemplo, el nombre de usuario es kwilliams
.
Para cambiar la notificación de IdP que se utiliza para asignar la identidad en Tableau Server, use el comando tsm authentication openid map-claims --user-name
. Para obtener más información, consulte tsm authentication openid <comandos>.
Cambiar la notificación sub
Como se ha descrito anteriormente, la notificación sub
es el identificador que Tableau Server usa para identificar a usuarios después de la sesión de relación inicial. La notificación sub
se escribe en la cuenta de usuario correspondiente en Tableau Server. Si su IdP no proporciona una notificación sub
, puede especificar que se use en su lugar una notificación arbitraria. Al igual que sub
, el valor de la notificación que especifique debe ser único y no debe cambiar si se actualizan otras notificaciones de usuario.
Para especificar una notificación del IdP distinta para la subnotificación predeterminada, utilice el comando tsm authentication openid map-claims --id
. Para obtener más información, consulte tsm authentication openid <comandos>.
Donde arbitraryClaim
es el nombre de la notificación de IdP que desea utilizar en lugar de la notificación sub
.
Contexto de autenticación
Si el IdP de OpenID Connect requiere un contexto de autenticación específico, puede especificar una lista de valores ACR esenciales y voluntarios mediante las clave de configuración vizportal.openid.essential_acr_values
y vizportal.openid.voluntary_acr_values
. Para obtener más información, consulte Opciones de tsm configuration set.