Configurar SAML específico de un sitio

Utilice el SAML específico de un sitio en un entorno con varios sitios si desea habilitar el inicio de sesión único y utilizar varios proveedores de identidad SAML (IdP) o aplicaciones de IdP. Si habilita el SAML de un sitio, puede especificar el IdP o la aplicación de IdP para cada sitio, o bien configurar algunos sitios para que utilicen SAML y otros para que utilicen el método de autenticación predeterminado de todo el servidor.

Si desea que todos los usuarios del servidor utilicen el SAML e inicien sesión con la misma aplicación de IdP, consulte Configurar SAML en todo el servidor.

Requisitos previos para habilitar el SAML específico de un sitio

Debe llevar a cabo los siguientes requisitos antes de habilitar el inicio de sesión único SAML en el nivel de sitio:

  • El almacén de identidades de Tableau Server debe estar configurado para la autenticación de identidades local.

     No puede configurar el SAML específico del sitio si Tableau Server está configurado con un almacén de identidades externo como Active Directory u OpenLDAP.

  • Asegúrese de que el entorno y el IdP cumplen los Requisitos de SAML generales.

    Algunas funcionalidades solo se admiten en implementaciones SAML a nivel de servidor, entre ellas:

    • Los archivos de claves protegidos con contraseña no se admiten en implementaciones SAML específicas del sitio.
  • Debe configurar SAML en todo el servidor antes de configurar SAML específico del sitio. No es necesario habilitar SAML en todo el servidor, pero el SAML específico del sitio requiere la configuración en todo el servidor. Consulte Configurar SAML en todo el servidor.

  • Anote la ubicación de los archivos de certificado SAML. Se la proporcionaremos cuando Configurar el servidor para que admita el SAML específico de un sitio.

    Para obtener más información, consulte Implementar el certificado y los archivos de metadatos del IdP en el tema que trata la configuración del SAML en todo el servidor.

  • Añada Tableau Server como proveedor de servicios en su IdP. Encontrará esta información en la documentación proporcionada por el IdP.

  • Confirme que los relojes del sistema del equipo que hospeda el IdP de SAML del sitio y el equipo que hospeda Tableau Server están configurados con una diferencia máxima de 59 segundos entre sí. Tableau Server no tiene ninguna opción de configuración para ajustar la distorsión de respuestas (diferencia de tiempo) entre el equipo de Tableau Server y el IdP.

Opciones de todo el servidor relacionadas con SAML específico de un sitio

ID de entidad y URL de retorno: en los ajustes para configurar SAML específico de un sitio, Tableau proporciona una ID de entidad y una URL de retorno específica de un sitio según estos ajustes. La ID de entidad y la URL de retorno específica de un sitio no se pueden modificar. TSM establece estas configuraciones como se describe en Configurar SAML en todo el servidor.

Antigüedad máxima de autenticación y sesgo de respuesta: la configuración de todo el servidor, la antigüedad máxima de autenticación y el sesgo de respuesta no se aplican al SAML específico del sitio. Estas configuraciones están codificadas de forma rígida:

  • La antigüedad máxima de autenticación se refiere a cuánto tiempo es válido un token de autenticación del IdP después de su emisión. La antigüedad de autenticación máxima codificada de forma rígida del SAML específico del sitio es de 24 días.
  • El sesgo de respuesta define el número máximo de segundos entre el tiempo de Tableau Server y el tiempo de creación de la aserción (basándose en el tiempo de servidor de IdP) en que se permite que el mensaje se procese. El valor específico del sitio codificado de forma rígida para esto es 59 segundos.

Nombre de usuario: Requerido. Además del atributo de configuración de SAML para todo el servidor, el atributo de configuración de SAML específico del sitio debe establecerse en "nombre de usuario".

Nota: Para que SAML específico del sitio funcione correctamente con un valor predeterminado de SAML en todo el servidor, el atributo de nombre de usuario configurado para SAML en todo el servidor con la clave de configuración wgserver.saml.idpattribute.username debe ser "username". El IdP utilizado para SAML en todo el servidor debe proporcionar el nombre de usuario en un atributo denominado "username".

HTTP POST y HTTP REDIRECT: para SAML específico del sitio, Tableau Server admite HTTP-POST, HTTP-REDIRECT y HTTP-POST-SimpleSign.

Configurar el servidor para que admita el SAML específico de un sitio

Una vez efectuados los requisitos previos descritos anteriormente, puede ejecutar los siguientes comandos para configurar el servidor para que admita el SAML específico de un sitio.

  1. Configurar SAML en todo el servidor Como mínimo, debe ejecutar el siguiente comando (si ya ha configurado SAML a nivel de servidor, vaya al paso 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite el sitio SAML. Ejecute los comandos siguientes:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Información sobre los comandos

El comando sitesaml enable expone la pestaña Autenticación en la página Configuración de todos los sitios de la interfaz de usuario web de Tableau Server. Cuando haya configurado el servidor para que admita SAML de sitio, puede pasar a Configurar SAML para un sitio para tratar las opciones de la pestaña Autenticación.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Si quiere comprobar los comandos y ajustes que se llevarán a cabo al ejecutar pending-changes apply, puede ejecutar primero el comando siguiente:

tsm pending-changes list --config-only

Configurar SAML para un sitio

Esta sección es una guía de los pasos de configuración que aparecen en la pestaña Autenticación de la página Configuración de Tableau Server. En una instalación autoalojada de Tableau Server, esta página solo aparece si se habilita la compatibilidad con SAML específico de sitio en el nivel del servidor.

Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.

Paso 1: Exportar metadatos de Tableau
Paso 2 y Paso 3: pasos externos
Paso 4: importar metadatos del IdP al sitio de Tableau
Paso 5: relacionar los atributos
Paso 6: gestionar usuarios
Paso 7: solucionar problemas