Configuración de servidores proxy para Tableau Server

En la mayoría de las empresas, Tableau Server necesita comunicarse con Internet. Tableau Server está diseñado para funcionar dentro de una red interna protegida. No configure Tableau Server directamente en Internet o en una zona desmilitarizada. Las comunicaciones entre la red e Internet deben realizarse a través de servidores proxy. Los servidores proxy de reenvío hacen de mediadores para el tráfico que va de la red a objetivos de Internet. Los servidores proxy inversos redirigen el tráfico desde Internet hasta destinos dentro de la red.

¿A quién va dirigido este artículo?

Este artículo va dirigido a profesionales de TI que tengan experiencia general con redes y soluciones de proxy de puerta de enlace. En este artículo se describe cómo y cuándo necesita Tableau acceso a Internet, y también se describe cómo configurar la red y Tableau para usar servidores proxy inversos y de reenvío para acceder a y desde Internet. Hay disponible un gran número de soluciones de proxy de terceros, por lo que parte del contenido del artículo es genérico por necesidad.

Antes de configurar un servidor proxy, consulte Comunicando con Internet.

Configurar un servidor proxy de reenvío

Para permitir la comunicación entre Tableau Server e Internet, implemente Tableau Server detrás de un servidor proxy de reenvío. Si Tableau Server necesita acceso a Internet, no envía la solicitud directamente a Internet. En su lugar, envía la solicitud al proxy de reenvío que, a su vez, reenvía la solicitud. Los servidores proxy de reenvío ayudan a los administradores a administrar el tráfico dirigido a Internet para tareas como equilibrar la carga, bloquear el acceso a sitios, etc.

Si usa un proxy de reenvío, debe configurar los equipos donde se ejecute Tableau Server dentro de la red para enviar tráfico al proxy te reenvío. Tableau Server no es compatible con la autenticación de paso o de proxy manual.

Configurar Tableau Server en Windows para que funcione con un proxy de reenvío

Los pasos necesarios para configurar las opciones de Internet en el equipo con Tableau Server dependen de cuál de estos escenarios se ajuste a su empresa:

  • Su organización no usa una solución de proxy de reenvío. Si su organización no ejecuta una solución de proxy y el equipo donde instala Tableau Server se puede comunicar con Internet, no es necesario que siga los procedimientos que se indican aquí.

  • Se ha implementado una solución de proxy y los archivos de configuración automática definen las opciones de configuración de la conexión. Si su organización usa archivos de configuración automática (como archivos PAC o .ins) para especificar la información de conexión a Internet, puede usar esta información en el cuadro de diálogo Configuración de la red de área local (LAN) en Windows. Para obtener más información, consulte Activar la configuración y la detección automática del explorador en el sitio de soporte técnico de Microsoft.

  • Se ha implementado una solución de proxy y los archivos de configuración automática definen las opciones de configuración de la conexión. Para este escenario, debe configurar opciones de LAN del equipo con Windows que está ejecutando Tableau Server de forma que las conexiones a su servidor proxy se ejecuten bajo el contexto de seguridad de la cuenta Ejecutar como usuario. También debe configurar localhost y otras instancias internas de Tableau Server como excepciones.

En el siguiente procedimiento se describen los pasos para el último escenario: una solución proxy sin archivos de configuración automática, donde Tableau Server se está ejecutando en Windows.

Nota: Si usa una instalación distribuida de Tableau Server, realice los siguientes procedimientos en el nodo del servidor inicial y en todos los adicionales.

Paso 1: Añadir la cuenta Ejecutar como servicio al grupo de administradores locales

Para llevar a cabo este procedimiento, debe iniciar sesión en el equipo con Tableau Server con la cuenta Ejecutar como servicio. De forma predeterminada, la política "iniciar sesión localmente" política no se aplica a la cuenta Ejecutar como servicio. Por tanto, debe añadir temporalmente la cuenta Ejecutar como servicio al grupo de administradores locales.

Si aún no ha instalado Tableau Server en el equipo, consulte Cambiar la cuenta Ejecutar como servicio. Si ha instalado Tableau Server y ha configurado la cuenta Ejecutar como servicio, puede determinar el nombre de la cuenta Ejecutar como servicio si inicia sesión en la interfaz de usuario web de TSM. La cuenta Ejecutar como servicio de Tableau Server aparece en la pestaña Seguridad de la ventana Configuración. Consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.

Añada la cuenta Ejecutar como servicio al grupo de administradores locales siguiendo los pasos descritos en Agregar un miembro a un grupo local en el sitio web de Microsoft. Cuando termine de configurar la información del proxy de reenvío, quitará la cuenta Ejecutar como servicio del grupo de administradores locales.

Paso 2: Configurar el servidor proxy en la configuración LAN de Windows

  1. Con la cuenta Ejecutar como servicio, inicie sesión en el equipo donde está instalado o se instalará Tableau Server.

  2. Abra el cuadro de diálogo Configuración de la red de área local (LAN). (Una forma rápida de acceder a este cuadro de diálogo es buscar Internet Options en el menú Inicio de Windows. En el cuadro de diálogo Propiedades de Internet, haga clic en la pestaña Conexiones y, a continuación, haga clic en el botón Configuración de LAN).

  3. En Servidor proxy, seleccione Usar un servidor proxy para la LAN, escriba el puerto y la dirección del servidor proxy y, a continuación, seleccione No usar servidor proxy para direcciones locales.

Deje este cuadro de diálogo abierto y continúe con el siguiente paso.

Paso 3: Añadir excepciones para omitir el servidor proxy

Añada excepciones a esta configuración de proxy para asegurarse de que todas las comunicaciones internas en un clúster de Tableau Server (si tiene uno ahora o tiene previsto configurarlo) no se redirijan al servidor proxy.

  1. En el cuadro de diálogo Configuración de LAN, haga clic en Avanzado. (Este botón solo está disponible si ha seleccionado la opción de usar un servidor proxy para su LAN).

  2. En el cuadro de diálogo Configuración del proxy, en el campo Excepciones, escriba lo siguiente:

    • localhost
    • Los nombres de los servidores y las direcciones IP de los otros equipos con Tableau Server del mismo clúster.

    Use punto y coma para separar los elementos.

  3. Cierre el cuadro de diálogo Configuración de proxy y el cuadro de diálogo Configuración de la red de área local (LAN).

  4. En el cuadro de diálogo Propiedades de Internet, haga clic en Aceptar para aplicar la configuración.

Deje la sesión iniciada en el equipo y continúe con el siguiente paso.

Paso 4: Verificar que los ajustes de proxy no están configurados como variables de entorno

Algunas organizaciones configuran ajustes de proxy de reenvío como variables de entorno en el sistema operativo de Windows. Si dichos ajustes se configuran en el equipo que está ejecutando Tableau Server, debe confirmar que no entran en conflicto con las configuraciones que haya completado en él.

  1. En el equipo que está ejecutando Tableau Server, introduzca "configuración avanzada del sistema" en el cuadro de búsqueda y haga clic en Intro para abrir el cuadro Propiedades del sistema.

  2. En la pestaña Avanzado, haga clic en Variables de entorno.

  3. Desplácese a través del campo Variables del sistema.

    Si se especifican http_proxy o https_proxy, verifique que los valores no entran en conflicto con la dirección del servidor proxy que configuró en el paso anterior.

    • Si la configuración actual no entra en conflicto, continúe al "Paso 5: Probar la configuración del proxy".

    • Si la configuración existente entra en conflicto, cree una nueva variable denominada no_proxy y escriba:

      • el nombre de host,
      • la dirección IP y
      • el puerto de Tableau Server para el valor

      Por ejemplo, localhost,192.168.0.10:80. Para obtener más información, consulte el artículo de Microsoft MSDN, Establecer variables de entorno.

  4. Haga clic en Aceptar.

Paso 5: Probar la configuración del proxy

Para probar las nuevas configuraciones, tras iniciar sesión con la cuenta Ejecutar como servicio en el equipo de Tableau Server, abra un navegador web y pruebe las siguientes URL de Tableau:

https://mapsconfig.tableau.com/v1/config.json (El enlace se abre en una ventana nueva) y https://api.mapbox.com/(El enlace se abre en una ventana nueva) le indicarán que descargue un archivo JSON.

Paso 6: Quitar la cuenta Ejecutar como servicio del grupo de administradores locales

Después de haber probado la configuración del proxy, quite la cuenta Ejecutar como servicio del grupo de administradores locales. Si deja la cuenta Ejecutar como servicio en el grupo de administradores, se elevan los permisos de la cuenta Ejecutar como servicio, lo que supone un riesgo para la seguridad.

Reinicie Tableau Server para garantizar la implementación de todos los cambios.

Informador de bloqueo de servidor

Si su organización utiliza un servidor proxy para conectarse a Internet, debe configurar el informador de bloqueo de Tableau Server para que use el proxy. Aunque ya haya configurado Tableau Server para que utilice un proxy, también debe configurar el creador de informes de bloqueo del servidor por separado. Para configurar el proxy para el informador de bloqueo del servidor, consulte Configurar el informador de bloqueo de servidor.

Funcionamiento de un proxy inverso con Tableau Server

Un proxy inverso es un servidor que recibe solicitudes de clientes externos (de Internet) y las reenvía a Tableau Server. ¿Por qué motivo debería usar un proxy inverso? La respuesta básica es "por seguridad". Un proxy inverso permite que Tableau Server esté disponible en Internet sin tener que exponer la dirección IP individual de esa instancia concreta de Tableau Server a Internet. Un proxy inverso también actúa como un dispositivo de autenticación y transferencia, con el fin de que no se almacenen datos en ubicaciones a las que puedan tener acceso usuarios externos a la empresa. Este requisito puede ser importante para las organizaciones que estén sujetas a diversas normativas de privacidad, como PCI, HIPAA o SOX.

En el diagrama siguiente se ilustra el trayecto de comunicación cuando un cliente hace una solicitud a Tableau Server, que está configurado para funcionar con un servidor proxy inverso.

  1. Un cliente externo inicia una conexión a Tableau Server. El cliente usa la URL pública que se ha configurado para el servidor proxy inverso, por ejemplo https://tableau.example.com. (El cliente no sabe que usa un proxy inverso).

  2. A su vez, el proxy inverso asigna la solicitud a una solicitud para Tableau Server. El proxy inverso se puede configurar para que autentique al cliente (mediante SSL/TLS) como una condición previa para transmitir la solicitud a Tableau Server.

  3. Tableau Server recibe la solicitud y envía la respuesta al proxy inverso.

  4. El proxy inverso devuelve el contenido al cliente. En lo que concierne al cliente, acaba de interactuar con Tableau Server y no tiene forma de saber que el proxy inverso ha mediado en la comunicación.

Servidores proxy y SSL

Para mayor seguridad, debe configurar los servidores proxy inversos para que usen SSL al gestionar el tráfico externo a la red. Esto le ayuda a garantizar la privacidad, la integridad del contenido y la autenticación. A menos que haya implementado otras medidas de seguridad para proteger el tráfico entre su puerta de enlace de Internet y Tableau Server, también le recomendamos que configure SSL entre el proxy de puerta de enlace y Tableau Server. Puede usar certificados autofirmados o internos para cifrar el tráfico entre las instancias de Tableau Server y otros equipos internos.

Acceso móvil

Tableau Server, Tableau Server añade un encabezado X a todas las respuestas HTTP para las sesiones de Tableau Mobile. De forma predeterminada, las mayoría de soluciones proxy conservarán los encabezados X. Si su solución proxy no conserva los encabezados X, entonces deberá configurar su servidor proxy para que conserve el siguiente encabezado en todas las respuestas HTTP para las sesiones cliente de Mobile: X-Tableau: Tableau Server.

Si ha configurado la autenticación en la puerta de enlace del servidor proxy, entonces su servidor proxy debe responder a las solicitudes HTTP de Tableau Mobile con una respuesta HTTP 302. El 302 debe incluir una redirección hacia la página de inicio de sesión del proveedor de identidad. Para ver un diagrama que describe la secuencia de autenticación 302, consulte Tableau Mobile Authentication Sequence (Secuencia de autenticación de Tableau Mobile)(El enlace se abre en una ventana nueva) en la comunidad de Tableau.

Proxy inverso y autenticación de usuario

Tableau Server siempre autenticará a los usuarios. Esto quiere decir que, aunque autentique las conexiones de entrada en la puerta de enlace de la organización, Tableau Server seguirá autenticando al usuario.

No obstante, no todos los clientes admitirán la autenticación de usuario con un proxy inverso:

  • En los navegadores web compatibles, puede usar SAML, OpenID Connect, Kerberos, vales de confianza o la autenticación manual con un proxy inverso. Sin embargo, recomendamos usar una situación transparente donde no se pida autenticación para las solicitudes de usuario en la puerta de enlace. Esta recomendación no prohíbe el uso de SSL para la autenticación en el nivel de sistema de cliente/servidor en el proxy de puerta de enlace (de hecho, es muy recomendable usar la autenticación SSL de nivel de sistema).

  • Tableau Mobile admite SAML o autenticación manual con un proxy inverso. La versión para iOS de Tableau Mobile además admite Kerberos con un proxy inverso. Se aplica en este caso la misma recomendación indicada anteriormente.

  • Tableau Desktop no admite la autenticación con un proxy inverso. Para admitir el acceso remoto con Tableau Desktop, debe usar una solución VPN o configurar el proxy inverso para que redirija el tráfico de Tableau Desktop directamente a Tableau Server para efectuar la autenticación.

Si su organización realiza la autenticación con Active Directory:

  • Active Directory con Habilitar inicio de sesión automático (SSPI) no es compatible con un proxy inverso.
  • Tableau Server debe estar configurado para el proxy inverso antes de configurar Tableau Server para Kerberos. Para obtener más información, consulte Configurar Kerberos.

Configurar Tableau Server para que funcione con un servidor proxy inverso

Antes de configurar Tableau Server, debe recopilar la información siguiente sobre la configuración del servidor proxy. Para configurar Tableau Server, utilice el comando tsm configuration set. La información que debe recopilar se corresponde con las opciones que necesitará al ejecutar tsm.

La mayoría de las siguientes opciones de tsm se usan también para configurar las implementaciones de Tableau Server que funcionan detrás de un equilibrador de carga. Para obtener más información, consulte Añadir un equilibrador de carga.

Elemento Descripción Opción tsm configuration set correspondiente
Dirección IP o CNAME

Puede especificar una dirección IP o un valor CNAME para esta opción.

Las direcciones IP públicas del servidor proxy. La dirección IP debe tener el formato IPv4 (por ejemplo, 203.0.113.0) y debe ser una dirección IP estática.

Si no puede proporcionar una IP estática, o si está utilizando proxy en la nube o compensadores de carga externos, puede especificar el valor de DNS de CNAME (nombre canónico) que los clientes usarán para conectarse a Tableau Server. Este valor CNAME se debe configurar en la solución de proxy inverso para comunicarse con Tableau Server.

gateway.trusted
FQDN El nombre de dominio completamente calificado que los usuarios emplean para contactar con Tableau Server, por ejemplo tableau.example.com. Tableau Server no admite el cambio de contexto en esta opción. Por ejemplo, no se admite la URL siguiente: example.com/tableau. gateway.public.host
No FQDN Cualquier nombre de subdominio para el servidor proxy. En el ejemplo de tableau.example.com, el nombre del subdominio es tableau. gateway.trusted_hosts
Alias Cualquier nombre alternativo público para el servidor proxy. En la mayoría de los casos, los alias se designan con valores de CNAME. Un ejemplo es un servidor proxy bigbox.example.com y entradas CNAME de ftp.example.com y www.example.com. gateway.trusted_hosts
Puertos Los números de puerto para el tráfico desde el cliente hacia el servidor proxy inverso.

gateway.public.port

Si utiliza una instalación distribuida de Tableau Server, ejecute los siguientes comandos tsm en el nodo inicial del clúster.

  1. Escriba el comando siguiente para configurar el valor FQDN que usarán los clientes para conectarse a Tableau Server a través del servidor proxy, donde name es el valor FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Por ejemplo, si accede a Tableau Server escribiendo https://tableau.example.com en el navegador, escriba este comando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Escriba el comando siguiente para configurar la dirección o el valor de CNAME del servidor proxy, donde server_address es la dirección IPv4 o el valor de CNAME:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Si la organización usa varios servidores proxy, escriba varias direcciones IPv4 y sepárelas con comas. No se admite el uso de intervalos de IP. Para mejorar el inicio y la inicialización de Tableau Server, reduzca el número de entradas de gateway.trusted.

  3. Escriba el siguiente comando para especificar nombres alternativos para el servidor proxy, como su nombre de dominio completamente calificado, cualquier nombre de dominio que no esté completamente calificado y los alias. Si hay más de un nombre, sepárelos con una coma.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Por ejemplo:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Si el servidor proxy usa SSL para comunicarse con Internet, ejecute el comando siguiente, que le indica a Tableau que el servidor proxy inverso usa el puerto 443 en lugar del puerto 80:

    tsm configuration set -k gateway.public.port -v 443

    Nota: Si el servidor proxy usa una conexión SSL para comunicarse con Tableau Server, deberá configurarse y habilitarse SSL en Tableau Server.

  5. Escriba el comando siguiente para aplicar el cambio hecho en la configuración:

    tsm pending-changes apply

    Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Configurar el servidor proxy inverso para que funcione con Tableau Server

Cuando un cliente accede a Tableau Server a través de un servidor proxy inverso, es necesario conservar los encabezados específicos del mensaje (o añadirlos). En concreto, todos los servidores proxy de la cadena de mensajes deben estar representados en la configuración de gateway.trusted y gateway.trusted_hosts.

En el gráfico siguiente se muestran algunos encabezados de ejemplo para una cadena de mensajes de un solo salto, donde el servidor proxy se comunica directamente con Tableau Server:

En el gráfico siguiente se muestran algunos encabezados de ejemplo para una cadena de mensajes de varios saltos, donde el mensaje atraviesa dos servidores proxy antes de conectarse a Tableau Server:

En la tabla siguiente se describen estos encabezados y cómo se relacionan con las opciones de configuración de Tableau Server:

Encabezados Descripción Configuración relacionada con Tableau Server
REMOTE_ADDR y X-FORWARDED-FOR (XFF) Tableau Server necesita estos encabezados para determinar la dirección IP de origen de las solicitudes. El encabezado X-FORWARDED-FOR debe presentar la cadena de direcciones IP a Tableau Server en el orden en que se realizaron las conexiones. La dirección IP que establece en gateway.trusted debe coincidir con la IP presentada en REMOTE_ADDR. Si ha enviado múltiples direcciones en gateway.trusted, una de ellas debe coincidir con la IP presentada en REMOTE_ADDR.
HOST y X-FORWARDED HOST (XFH) Estos encabezados se usan para generar vínculos absolutos a Tableau Server cuando responde al cliente. El encabezado X-FORWARDED-HOST debe presentar los nombres de host a Tableau Server en el orden en que se realizaron las conexiones. Los nombres de host presentes en el encabezado X-FORWARDED-HOST se deben incluir en los nombres de host que especifique en gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP) Este encabezado es necesario si la SSL está habilitada para el tráfico desde el cliente hacia el proxy, pero no para el tráfico desde el proxy hacia Tableau Server

Los encabezados X-FORWARDED-PROTO son importantes para las situaciones en las que HTTP o HTTPS no se mantienen en cada paso de la ruta de los mensajes. Si, por ejemplo, el proxy inverso necesita SSL para las solicitudes externas, pero el tráfico entre el proxy inverso y Tableau Server no está configurado para usar SSL, es necesario tener encabezados X-FORWARDED-PROTO. Algunas soluciones de proxy añaden los encabezados X-FORWARDED-PROTO automáticamente, mientras que otras no. Por último, en función de la solución de proxy que tenga, puede que tenga que configurar el reenvío de puerto para que traduzca la solicitud del puerto 443 al 80.

Artículo relacionado de la base de conocimiento: "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(El enlace se abre en una ventana nueva) (Error "No se puede iniciar sesión" y "Nombre de usuario o contraseña no válidos" con SAML después de la actualización).

La configuración de puertos en el proxy inverso (conexiones de entrada desde el cliente y conexiones de salida hacia Tableau Server) deben especificarse en el parámetro correspondiente: gateway.public.port, que es el puerto que usarán los clientes para conectarse al proxy.

Si el servidor proxy está usando una SSL para comunicarse con Tableau Server, la SSL debe estar configurada y habilitada en Tableau Server.

Validar la configuración del proxy inverso

Para validar la configuración del proxy inverso, publique libros de trabajo y fuentes de datos mediante creación web de Tableau Server o Tableau Desktop. Si se conecta con un navegador web a Tableau Server a través de Internet, verifique que utiliza un navegador recomendado(El enlace se abre en una ventana nueva). Publique y consulte libros de trabajo que utilicen fuentes de datos existentes, así como fuentes de datos que haya publicado. Utilice los enlaces siguientes para familiarizarse con la conexión a Tableau Server como usuario final.

Tarea Documentación
Información general sobre creación web. Usar Tableau en la Web(El enlace se abre en una ventana nueva)
Inicie sesión en Tableau Server desde Tableau Desktop o un navegador web. Iniciar sesión en Tableau Server u Online(El enlace se abre en una ventana nueva)
Publicar un libro de trabajo en Tableau Server. Publicar un libro de trabajo(El enlace se abre en una ventana nueva)
Publicar una fuente de datos. Publicar una fuente de datos(El enlace se abre en una ventana nueva)
Abra un libro de trabajo desde Tableau Server. Apertura de libros de trabajo desde el servidor(El enlace se abre en una ventana nueva)
Cierre la sesión del servidor (con Tableau Desktop). Iniciar sesión en Tableau Server u Online(El enlace se abre en una ventana nueva)
Descargar un libro de trabajo desde un navegador web. Descargar libros de trabajo(El enlace se abre en una ventana nueva)
Compruebe que tabcmd (desde un cliente que no sea un servidor) funcione correctamente. tabcmd

Temas relacionados

¡Gracias por sus comentarios!