Configurar SAML con AD FS en Tableau Server

Puede configurar Servicios de federación de Active Directory (AD FS) como proveedor de identidad de SAML y añadir Tableau Server a sus aplicaciones de inicio de sesión único compatibles. Al integrar AD FS con SAML y Tableau Server, los usuarios pueden iniciar sesión en Tableau Server con sus credenciales de red habituales.

Requisitos previos

Antes de configurar Tableau Server y SAML con AD FS, su entorno debe tener lo siguiente:

  • Un servidor que ejecuta Microsoft Windows Server 2008 R2 (o posterior) con AD FS 2.0 (o posterior) y IIS instalado.

  • Le recomendamos que proteja el servidor de AD FS (por ejemplo, con un proxy inverso). Cuando el servidor de AD FS es accesible desde fuera del firewall, Tableau Server puede redirigir a los usuarios a la página de inicio de sesión hospedada por AD FS.

  • Certificado SSL cifrado con el método de cifrado SHA-2 (de 256 o 512 bits) y que cumple los requisitos adicionales que aparecen en las siguientes secciones:

Paso 1: comprobar la conexión SSL a AD FS

AD FS requiere una conexión SSL. Si todavía no lo ha hecho, complete los pasos que se detallan en Configurar SSL para tráfico HTTP externo a y desde Tableau Server, usando un certificado que cumpla los requisitos especificados anteriormente.

Opcionalmente, si Tableau Server está configurado para trabajar con un proxy inverso o balanceador de carga donde SSL se finaliza (a lo que se hace referencia normalmente como descarga de SSL), no necesita configurar un SSL externo.

Paso 2: configurar SAML en Tableau Server

Complete los pasos que se indican en Configurar SAML en todo el servidor mediante la descarga de los metadatos de Tableau Server a un archivo XML. En ese momento, regrese aquí y continúe con la siguiente sección.

Paso 3: configurar AD FS para aceptar solicitudes de inicio de sesión de Tableau Server

Nota: Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento.

La configuración de AD FS para aceptar solicitudes de inicio de sesión de Tableau Server es un proceso que consta de varios pasos y que comienza con la importación del archivo de metadatos XML de Tableau Server a AD FS.

  1. Realice una de las siguientes acciones para abrir el Asistente para agregar relación de confianza para usuario autenticado:

  2. Windows Server 2008 R2:

    1. Seleccione Menú Inicio > Herramientas administrativas > AD FS 2.0.

    2. En AD FS 2.0, en Relaciones de confianza, haga clic con el botón derecho en la carpeta Relaciones de confianza para usuario autenticado y, a continuación, haga clic en Agregar relación de confianza para usuario autenticado.

    Windows Server 2012 R2:

    1. Abra Server Manager y, a continuación, en el menú Herramientas, haga clic en Administración de AD FS.

    2. En Administración de AD FS, en el menú Acción, haga clic en Agregar relación de confianza para usuario autenticado.

  3. En el Asistente para agregar relación de confianza para usuario autenticado, haga clic en Inicio.

  4. En la página Seleccionar fuente de datos, seleccione Importar datos sobre el usuario de confianza de un archivo y, a continuación, haga clic en Buscar para ubicar su archivo de metadatos XML de Tableau Server. De forma predeterminada, este archivo se denomina samlspmetadata.xml.

  5. Haga clic en Siguiente y, en la página Especificar nombre visible, escriba un nombre y una descripción para la relación de confianza del usuario autenticado en los recuadros Nombre visible y Notas.

  6. Haga clic en Siguiente para omitir la página Configurar la autenticación multifactor ahora.

  7. Haga clic en Siguiente para omitir la página Elegir reglas de autorización de emisión.

  8. Haga clic en Siguiente para omitir la página Listo para agregar relación de confianza.

  9. En la página Terminar, seleccione la casilla de verificación Abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza para usuario autenticado cuando se cierre el asistente y, a continuación, haga clic en Cerrar.

A continuación trabajará en el cuadro de diálogo Editar reglas de notificación para añadir una regla que garantice que las aserciones enviadas por AD FS coincidan con las aserciones que espera recibir Tableau Server. Como mínimo, Tableau Server necesita una dirección de correo electrónico. Sin embargo, el hecho de incluir el nombre y los apellidos aparte del correo electrónico garantizará que los nombres de usuario que se muestren en Tableau Server coincidan con los de la cuenta de AD.

  1. En el cuadro de diálogo Editar reglas de notificación, haga clic en Añadir regla.

  2. En la página Elegir tipo de regla, en Plantilla de regla de notificación, seleccione Enviar atributos LDAP como notificaciones y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla de notificación, en Nombre de la regla de notificación, introduzca un nombre que sea significativo para la regla.

  4. En la lista desplegable Almacén de atributos, seleccione Active Directory, complete la asignación tal y como se muestra más abajo y, a continuación, haga clic en Terminar.

  5. Para completar la asignación es necesario que los nombres coincidan exactamente (distinguiendo mayúsculas de minúsculas), por lo que es importante que compruebe lo que ha escrito. La tabla aquí muestra atributos comunes y asignaciones de reclamaciones. Verifique los atributos con su configuración específica de Active Directory.

    Atributo LDAPTipo de notificación de salida
    Nombre-cuenta-SAMID de nombre
    Nombre-cuenta-SAMNombreUsuario
    Nombre-EspecificadoNombre
    ApellidoApellido

Si está ejecutando AD FS 2016 o una versión posterior, debe añadir una regla para pasar por todos los valores de las reclamaciones. Si está ejecutando una versión anterior de AD FS, pase al siguiente procedimiento para exportar metadatos de AD FS.

  1. Haga clic en Añadir regla.
  2. En el modelo Regla de reclamación seleccione Pasar por o Filtrar una reclamación recibida.
  3. En Nombre de regla de reclamación, introduzca Windows.
  4. En la ventana emergente Editar regla - Windows:
    • En Tipo de reclamación entrante, seleccione Nombre de cuenta de Windows.
    • Seleccione Pasar por todos los valores de la reclamación.
    • Haga clic en Aceptar.

Ahora exportará los metadatos de AD FS que importará después a Tableau Server. También deberá asegurarse de que los metadatos estén configurados y codificados correctamente para Tableau Server y comprobar otros requisitos de AD FS relativos a su configuración de SAML.

  1. Exporte los metadatos de federación de AD FS a un archivo XML y, a continuación, descargue el archivo desde https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Abra el archivo de metadatos en un editor de texto como Sublime Text o Notepad++, y compruebe que está correctamente codificado como UTF-8 sin BOM.

    Si el archivo muestra algún otro tipo de codificación, guárdelo en el editor de texto con la codificación correcta.

  3. Compruebe que AD FS utiliza la autenticación basada en formularios. Los inicios de sesión se efectúan en una ventana del navegador, por lo que necesita configurar AD FS para que use de forma predeterminada este tipo de autenticación.

    Edite c:\inetpub\adfs\ls\web.config, busque la categoría, y desplace la línea de modo que aparezca la primera en la lista. Guarde el archivo para que IIS pueda volver a cargarlo automáticamente.

    Nota: Si no ve el archivo c:\inetpub\adfs\ls\web.config, quiere decir que IIS no está instalado ni configurado en el servidor AD FS.

  4. (Opcional) Este paso solo es necesario si AD FS se configura como un IdP para SAML específico de un sitio. Este paso no es necesario si AD FS se configura como el IdP para SAML en todo el servidor.

    Configure otro identificador de usuario de confianza de AD FS. Esto permite al sistema usar una solución alternativa para posibles problemas de AD FS relacionados con el cierre de sesión de SAML.

    Aplique una de las siguientes opciones:

    Windows Server 2008 R2:

    1. En AD FS 2.0, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Server antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername>/public/sp/metadata y, a continuación, haga clic en Agregar.

    Windows Server 2012 R2:

    1. En Administración de AD FS, en la lista Relaciones de confianza para usuario autenticado, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Server antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername/public/sp/metadata y, a continuación, haga clic en Agregar.

    Nota: AD FS puede utilizarse con Tableau Server para una única parte que se base en la misma instancia. AD FS no puede utilizarse para múltiples partes que se basen en el mismo ejemplo, por ejemplo, múltiples sitios SAML de sitio o configuraciones a nivel de servidor y de sitio SAML.

Paso 4: proporcionar los metadatos de AD FS a Tableau Server

  1. Vuelva a la interfaz de usuario web de TSM y navegue hasta la pestaña Configuración > Identidad de usuario y acceso > Método de autenticación.

  2. En el paso 4 de la ventana de configuración de SAML, introduzca la ubicación del archivo XML que exportó desde AD FS y luego seleccione Cargar.

    Captura de pantalla que destaca el área de la interfaz de usuario de TSM donde se cargan los metadatos del IdP de SAML

  3. Lleve a cabo los pasos restantes (emparejamiento de aserciones y especificación del acceso de tipo de cliente), como se indica en Configurar SAML en todo el servidor.

  4. Guarde y aplique los cambios.

  5. Realice los siguientes pasos si no es la primera vez que configura SAML:

    1. Detenga Tableau Server, abra la CLI de TSM y ejecute los siguientes comandos:

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a -1

    2. Aplique los cambios:

      tsm pending-changes apply

      Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!