Configurar SAML para el componente web Viz Lightning de Tableau
Tableau proporciona un componente web Lightning (LWC) para insertar una visualización de Tableau en una página de Salesforce Lightning.
En este tema se describe cómo habilitar una experiencia SSO para visualizaciones de Tableau insertadas en una página de Salesforce Lightning. En el caso de LWC de la visualización de Tableau, el SSO requiere una configuración SAML. El IdP de SAML utilizado para la autenticación en Tableau debe ser el IdP de Salesforce o el mismo IdP que utiliza para su instancia de Salesforce.
En este caso, los administradores de Salesforce pueden arrastrar y soltar el LWC de la visualización de Tableau en la página Lightning para insertar una visualización. Cualquier vista que esté disponible en
Cuando se configura el inicio de sesión único (SSO) en el LWC de la visualización de
Cuando el SSO no está configurado, los usuarios tendrán que volver a autenticarse con
Requisitos
- El IdP de SAML utilizado para la autenticación en Tableau debe ser el IdP de Salesforce o el mismo IdP que utiliza para su instancia de Salesforce. Consulte Configurar SAML con el IdP de Salesforce en Tableau Server.
- SAML tiene que estar configurado en Tableau Server. Consulte Configurar SAML en todo el servidor o Configurar SAML específico de un sitio.
- SAML debe estar configurado en Salesforce.
- Instale el componente web Viz Lightning de Tableau. Consulte Insertar vistas de Tableau en Salesforce(El enlace se abre en una ventana nueva).
Configuración del flujo de trabajo de autenticación
Es posible que deba realizar configuraciones adicionales para optimizar la experiencia de inicio de sesión para los usuarios que accedan a Lightning con vistas de Tableau insertadas.
Si bien la experiencia de usuario de autenticación es fluida, lo cual es importante, tendrá que realizar igualmente algunas configuraciones adicionales. En este contexto, “fluida” se refiere a que los usuarios que accedan a la página Salesforce Lightning donde se ha habilitado Tableau Viz LWC SSO no tendrán que realizar ninguna acción para ver la vista de Tableau insertada. Si no encuentra ningún problema, el usuario iniciará sesión en Salesforce y las vistas de Tableau incrustadas se mostrarán sin que el usuario tenga que hacer nada. Este escenario se habilita mediante la autenticación en el marco.
Para una experiencia de usuario sin problemas, deberá habilitar la autenticación en el marco en
Por otro lado, hay escenarios en los que los usuarios interactúan con la página Lightning, donde se les pedirá que hagan clic en el botón "Iniciar sesión" para ver la vista insertada de Tableau. Este escenario, en el que un usuario debe realizar otra acción para ver la vista de Tableau insertada, se denomina autenticación emergente.
La autenticación emergente es la experiencia de usuario que encontrará de manera predeterminada si no habilita la autenticación en el marco.
Habilitar la autenticación en el marco en Tableau Server
Antes de habilitar la autenticación en el marco en Tableau Server, debe haber configurado y habilitado SAML en Tableau Server.
Ejecute el siguiente comando de TSM para habilitar la autenticación en el marco:
tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true
tsm pending-changes apply
Nota: La protección contra el secuestro de clics está habilitada de forma predeterminada en Tableau Server. Cuando habilita la autenticación en el marco, la protección contra clickjack se deshabilita temporalmente para la sesión de autenticación en el marco. Debe evaluar el riesgo de deshabilitar esta protección. Consulte Protección contra ataques clickjack.
Historial de revisión de Tableau Server
Para obtener la mejor experiencia de usuario, ejecute la versión de mantenimiento más reciente de Tableau Server.
Si no está ejecutando la última versión de mantenimiento y sus usuarios ejecutan navegadores Chrome para acceder a Salesforce Lightning, consulte el artículo de la base de conocimientos de Tableau, Las vistas insertadas no se cargan después de actualizar a Chrome 80(El enlace se abre en una ventana nueva).
Habilite la autenticación en el marco con su IdP de SAML
Como se ha descrito anteriormente, para lograr una mejor experiencia de usuario al autenticarse con Salesforce Mobile, hace falta que sea compatible con el IdP para la autenticación en el marco. Esta funcionalidad también se puede denominar “inserción de iFrame” o “protección de marcos” en los IdP.
Dominios de listas seguras de Salesforce
En algunos casos, los IdP solo permiten habilitar la autenticación en el marco a través del dominio. En esos casos, establezca los siguientes dominios comodín de Salesforce cuando habilite la autenticación en el marco:
*.force
*.visualforce
IdP de Salesforce
El IdP de Salesforce admite la autenticación en el marco de forma predeterminada. No tiene que habilitar o configurar la autenticación en el marco en la configuración de Salesforce.
IdP de Okta
Consulte el documento Insertar Okta en un iFrame, dentro del tema Opciones de personalización generales(El enlace se abre en una ventana nueva) del Centro de ayuda de Okta.
IdP de Ping
Consulte el tema de compatibilidad con Ping en el documentoCómo deshabilitar el encabezado "X-Frame-Options-SAMEORIGIN" en PingFederate(El enlace se abre en una ventana nueva).
IdP de OneLogin
Consulte el documento Protección de marcos en el artículo de la base de conocimientos de OneLogin: Configuración de la cuenta para propietarios de cuentas(El enlace se abre en una ventana nueva).
Proveedor de identidad de ADFS y EntraID
Microsoft ha bloqueado todas las opciones de autenticación en el marco y no se puede habilitar. En su lugar, Microsoft solo admite la autenticación emergente en una segunda ventana. Es posible que algunos navegadores bloqueen las ventanas emergentes y, por lo tanto, los usuarios deberán aceptar las ventanas emergentes de los sitios force.com y visualforce.com.
Aplicación móvil de Salesforce
Si sus usuarios interactúan principalmente con Lightning en la aplicación móvil de Salesforce, debe tener en cuenta los siguientes escenarios:
- Para acceder a la vista insertada de Tableau, debe configurar SSO/SAML en la aplicación móvil de Salesforce.
- La aplicación móvil de Salesforce requiere autenticación en el marco. La autenticación emergente no funciona. En su lugar, los usuarios de la aplicación móvil de Salesforce verán el botón de inicio de sesión de Tableau, pero no podrán iniciar sesión en Tableau.
- La aplicación móvil no funcionará en IdP de ADFS y Azure AD.
- La aplicación móvil usa tokens de OAuth para habilitar SSO. Hay situaciones en las que el token de OAuth se actualiza y cierra la sesión de los usuarios, lo que requiere que los usuarios vuelvan a iniciar sesión. Para obtener más información, consulte el artículo de Tableau KB, El componente web Lightning de las visualizaciones de Tableau en la aplicación móvil de Salesforce solicita que se inicie sesión(El enlace se abre en una ventana nueva).
- El comportamiento de SSO difiere según la versión de la app móvil de Salesforce (iOS o Android) y el IdP:
IdP Sistema operativo móvil Comportamiento del SSO IdP de Salesforce Android SSO funciona inicialmente, pero los usuarios tendrán que iniciar sesión después de algún tiempo. iOS IdP externo Android SSO no funciona. Los usuarios tendrán que iniciar sesión manualmente (seguirá teniendo que configurar SSO para permitir que los usuarios accedan a las vistas insertadas de Tableau). iOS SSO funciona inicialmente, pero los usuarios tendrán que iniciar sesión después de algún tiempo.