Configurar SAML para el componente web Viz Lightning de Tableau

Tableau proporciona un componente web Lightning (LWC) para insertar una visualización de Tableau en una página de Salesforce Lightning.

En este tema se describe cómo habilitar una experiencia SSO para visualizaciones de Tableau insertadas en una página de Salesforce Lightning. En el caso de LWC de la visualización de Tableau, el SSO requiere una configuración SAML. El IdP de SAML utilizado para la autenticación en Tableau debe ser el IdP de Salesforce o el mismo IdP que utiliza para su instancia de Salesforce.

En este caso, los administradores de Salesforce pueden arrastrar y soltar el LWC de la visualización de Tableau en la página Lightning para insertar una visualización. Cualquier vista que esté disponible en Tableau Server puede mostrase en el dashboard introduciendo la URL insertada en la vista.

Cuando se configura el inicio de sesión único (SSO) en el LWC de la visualización de Tableau Server, la experiencia de usuario es fluida: después de que el usuario inicie sesión en Salesforce, las vistas de Tableau insertadas funcionarán sin tener que volver a autentificarse en Tableau Server.

Cuando el SSO no está configurado, los usuarios tendrán que volver a autenticarse con Tableau Server para ver las visualizaciones insertadas desde Tableau Server.

Requisitos

Configuración del flujo de trabajo de autenticación

Es posible que deba realizar configuraciones adicionales para optimizar la experiencia de inicio de sesión para los usuarios que accedan a Lightning con vistas de Tableau insertadas.

Si bien la experiencia de usuario de autenticación es fluida, lo cual es importante, tendrá que realizar igualmente algunas configuraciones adicionales. En este contexto, “fluida” se refiere a que los usuarios que accedan a la página Salesforce Lightning donde se ha habilitado Tableau Viz LWC SSO no tendrán que realizar ninguna acción para ver la vista de Tableau insertada. Si no encuentra ningún problema, el usuario iniciará sesión en Salesforce y las vistas de Tableau incrustadas se mostrarán sin que el usuario tenga que hacer nada. Este escenario se habilita mediante la autenticación en el marco.

Para una experiencia de usuario sin problemas, deberá habilitar la autenticación en el marco en Tableau Server y en su IdP. En las secciones siguientes se describe cómo configurar la autenticación en el marco.

Por otro lado, hay escenarios en los que los usuarios interactúan con la página Lightning, donde se les pedirá que hagan clic en el botón "Iniciar sesión" para ver la vista insertada de Tableau. Este escenario, en el que un usuario debe realizar otra acción para ver la vista de Tableau insertada, se denomina autenticación emergente.

La autenticación emergente es la experiencia de usuario que encontrará de manera predeterminada si no habilita la autenticación en el marco.

Habilitar la autenticación en el marco en Tableau Server

Antes de habilitar la autenticación en el marco en Tableau Server, debe haber configurado y habilitado SAML en Tableau Server.

Ejecute el siguiente comando de TSM para habilitar la autenticación en el marco:

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

Nota: La protección contra el secuestro de clics está habilitada de forma predeterminada en Tableau Server. Cuando habilita la autenticación en el marco, la protección contra clickjack se deshabilita temporalmente para la sesión de autenticación en el marco. Debe evaluar el riesgo de deshabilitar esta protección. Consulte Protección contra ataques clickjack.

Historial de revisión de Tableau Server

Para obtener la mejor experiencia de usuario, ejecute la versión de mantenimiento más reciente de Tableau Server.

Si no está ejecutando la última versión de mantenimiento y sus usuarios ejecutan navegadores Chrome para acceder a Salesforce Lightning, consulte el artículo de la base de conocimientos de Tableau, Las vistas insertadas no se cargan después de actualizar a Chrome 80(El enlace se abre en una ventana nueva).

Habilite la autenticación en el marco con su IdP de SAML

Como se ha descrito anteriormente, para lograr una mejor experiencia de usuario al autenticarse con Salesforce Mobile, hace falta que sea compatible con el IdP para la autenticación en el marco. Esta funcionalidad también se puede denominar “inserción de iFrame” o “protección de marcos” en los IdP.

Dominios de listas seguras de Salesforce

En algunos casos, los IdP solo permiten habilitar la autenticación en el marco a través del dominio. En esos casos, establezca los siguientes dominios comodín de Salesforce cuando habilite la autenticación en el marco:

*.force

*.visualforce

IdP de Salesforce

El IdP de Salesforce admite la autenticación en el marco de forma predeterminada. No tiene que habilitar o configurar la autenticación en el marco en la configuración de Salesforce. Sin embargo, sí debe ejecutar el comando TSM en Tableau Server como se ha descrito anteriormente.

IdP de Okta

Consulte el documento Insertar Okta en un iFrame, dentro del tema Opciones de personalización generales(El enlace se abre en una ventana nueva) del Centro de ayuda de Okta.

IdP de Ping

Consulte el tema de compatibilidad con Ping en el documentoCómo deshabilitar el encabezado "X-Frame-Options-SAMEORIGIN" en PingFederate(El enlace se abre en una ventana nueva).

IdP de OneLogin

Consulte el documento Protección de marcos en el artículo de la base de conocimientos de OneLogin: Configuración de la cuenta para propietarios de cuentas(El enlace se abre en una ventana nueva).

Proveedor de identidad de ADFS y EntraID

Microsoft ha bloqueado todas las opciones de autenticación en el marco y no se puede habilitar. En su lugar, Microsoft solo admite la autenticación emergente en una segunda ventana. Es posible que algunos navegadores bloqueen las ventanas emergentes y, por lo tanto, los usuarios deberán aceptar las ventanas emergentes de los sitios force.com y visualforce.com.

Aplicación móvil de Salesforce

Si sus usuarios interactúan principalmente con Lightning en la aplicación móvil de Salesforce, debe tener en cuenta los siguientes escenarios:

  • Para acceder a la vista insertada de Tableau, debe configurar SSO/SAML en la aplicación móvil de Salesforce.
  • La aplicación móvil de Salesforce requiere autenticación en el marco. La autenticación emergente no funciona. En su lugar, los usuarios de la aplicación móvil de Salesforce verán el botón de inicio de sesión de Tableau, pero no podrán iniciar sesión en Tableau.
  • La aplicación móvil no funcionará en IdP de ADFS y Azure AD.
  • La aplicación móvil usa tokens de OAuth para habilitar SSO. Hay situaciones en las que el token de OAuth se actualiza y cierra la sesión de los usuarios, lo que requiere que los usuarios vuelvan a iniciar sesión. Para obtener más información, consulte el artículo de Tableau KB, El componente web Lightning de las visualizaciones de Tableau en la aplicación móvil de Salesforce solicita que se inicie sesión(El enlace se abre en una ventana nueva).
  • El comportamiento de SSO difiere según la versión de la app móvil de Salesforce (iOS o Android) y el IdP:
    IdPSistema operativo móvilComportamiento del SSO
    IdP de SalesforceAndroidSSO funciona inicialmente, pero los usuarios tendrán que iniciar sesión después de algún tiempo.
    iOS
    IdP externoAndroidSSO no funciona. Los usuarios tendrán que iniciar sesión manualmente (seguirá teniendo que configurar SSO para permitir que los usuarios accedan a las vistas insertadas de Tableau).
    iOSSSO funciona inicialmente, pero los usuarios tendrán que iniciar sesión después de algún tiempo.
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!