Configurar SAML específico de un sitio

Utilice el SAML específico de un sitio en un entorno con varios sitios si desea habilitar el inicio de sesión único y utilizar varios proveedores de identidad SAML (IdP) o aplicaciones de IdP. Si habilita el SAML de un sitio, puede especificar el IdP o la aplicación de IdP para cada sitio, o bien configurar algunos sitios para que utilicen SAML y otros para que utilicen el método de autenticación predeterminado de todo el servidor.

Si desea que todos los usuarios del servidor utilicen el SAML e inicien sesión con la misma aplicación de IdP, consulte Configurar SAML en todo el servidor.

Requisitos previos para habilitar el SAML específico de un sitio

Debe llevar a cabo los siguientes requisitos antes de habilitar el inicio de sesión único SAML en el nivel de sitio:

  • El almacén de identidades de Tableau Server debe estar configurado para la autenticación de identidades local.

     No puede configurar el SAML específico del sitio si Tableau Server está configurado con un almacén de identidades externo como Active Directory u OpenLDAP.

  • Asegúrese de que el entorno y el IdP cumplen los Requisitos de SAML generales.

    Algunas funcionalidades solo se admiten en implementaciones SAML a nivel de servidor, entre ellas:

    • Los archivos de claves protegidos con contraseña no se admiten en implementaciones SAML específicas del sitio.
  • Debe configurar SAML en todo el servidor antes de configurar SAML específico del sitio. No es necesario habilitar SAML en todo el servidor, pero el SAML específico del sitio requiere la configuración en todo el servidor. Consulte Configurar SAML en todo el servidor.

  • Anote la ubicación de los archivos de certificado SAML. Se la proporcionaremos cuando Configurar el servidor para que admita el SAML específico de un sitio.

    Para obtener más información, consulte Implementar el certificado y los archivos de metadatos del IdP en el tema que trata la configuración del SAML en todo el servidor.

  • Añada Tableau Server como proveedor de servicios en su IdP. Encontrará esta información en la documentación proporcionada por el IdP.

  • Confirme que los relojes del sistema del equipo que hospeda el IdP de SAML del sitio y el equipo que hospeda Tableau Server están configurados con una diferencia máxima de 59 segundos entre sí. Tableau Server no tiene ninguna opción de configuración para ajustar la distorsión de respuestas (diferencia de tiempo) entre el equipo de Tableau Server y el IdP.

Opciones de todo el servidor relacionadas con SAML específico de un sitio

ID de entidad y URL de retorno: en los ajustes para configurar SAML específico de un sitio, Tableau proporciona una ID de entidad y una URL de retorno específica de un sitio según estos ajustes. La ID de entidad y la URL de retorno específica de un sitio no se pueden modificar. TSM establece estas configuraciones como se describe en Configurar SAML en todo el servidor.

Antigüedad máxima de autenticación y sesgo de respuesta: la configuración de todo el servidor, la antigüedad máxima de autenticación y el sesgo de respuesta no se aplican al SAML específico del sitio. Estas configuraciones están codificadas de forma rígida:

  • La antigüedad máxima de autenticación se refiere a cuánto tiempo es válido un token de autenticación del IdP después de su emisión. La antigüedad de autenticación máxima codificada de forma rígida del SAML específico del sitio es de 24 días.
  • El sesgo de respuesta define el número máximo de segundos entre el tiempo de Tableau Server y el tiempo de creación de la aserción (basándose en el tiempo de servidor de IdP) en que se permite que el mensaje se procese. El valor específico del sitio codificado de forma rígida para esto es 59 segundos.

Nombre de usuario: Requerido. Además del atributo de configuración de SAML para todo el servidor, el atributo de configuración de SAML específico del sitio debe establecerse en "nombre de usuario".

Nota: Para que SAML específico del sitio funcione correctamente con un valor predeterminado de SAML en todo el servidor, el atributo de nombre de usuario configurado para SAML en todo el servidor con la clave de configuración wgserver.saml.idpattribute.username debe ser "username". El IdP utilizado para SAML en todo el servidor debe proporcionar el nombre de usuario en un atributo denominado "username".

HTTP POST y HTTP REDIRECT: para SAML específico del sitio, Tableau Server admite HTTP-POST, HTTP-REDIRECT y HTTP-POST-SimpleSign.

Configurar el servidor para que admita el SAML específico de un sitio

Una vez efectuados los requisitos previos descritos anteriormente, puede ejecutar los siguientes comandos para configurar el servidor para que admita el SAML específico de un sitio.

  1. Configurar SAML en todo el servidor Como mínimo, debe ejecutar el siguiente comando (si ya ha configurado SAML a nivel de servidor, vaya al paso 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite el sitio SAML. Ejecute los comandos siguientes:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Información sobre los comandos

El comando sitesaml enable expone la pestaña Autenticación en la página Configuración de todos los sitios de la interfaz de usuario web de Tableau Server. Cuando haya configurado el servidor para que admita SAML de sitio, puede pasar a Configurar SAML para un sitio para tratar las opciones de la pestaña Autenticación.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Si quiere comprobar los comandos y ajustes que se llevarán a cabo al ejecutar pending-changes apply, puede ejecutar primero el comando siguiente:

tsm pending-changes list --config-only

Configurar SAML para un sitio

Esta sección es una guía de los pasos de configuración que aparecen en la pestaña Autenticación de la página Configuración de Tableau Server. En una instalación autoalojada de Tableau Server, esta página solo aparece si se habilita la compatibilidad con SAML específico de sitio en el nivel del servidor.

Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.

Paso 1: Exportar metadatos de Tableau

Para crear la conexión SAML entre Tableau Server y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de Tableau Server, seleccione uno de estos métodos: Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.

  • Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Server, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.

    El identificador de entidad es específico del sitio y se basa en el identificador de entidad en todo el servidor especificado al habilitar SAML de sitio en el servidor. Por ejemplo, si especificó https://tableau_server, puede ver el siguiente identificador de entidad del sitio:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    No puede modificar el identificador de entidad específico del sitio ni la URL de ACS generada por Tableau.

  • Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Server, la URL de ACS y el certificado X.509 en ubicaciones independientes.

    La siguiente imagen se ha editado para demostrar que esta configuración es la misma que la de Tableau Cloud y Tableau Server.

Paso 2 y Paso 3: pasos externos

En el paso 2, para importar los metadatos exportados en el paso 1inicie sesión en la cuenta de IdP y siga las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de Tableau Server.

En el paso 3, la documentación del IdP además le guiará para proporcionar metadatos a un proveedor de servicios. Le indicará que descargue un archivo de metadatos o mostrará código XML. Si muestra código XML, cópielo y péguelo en un nuevo archivo de texto y guarde este con la extensión .xml.

Paso 4: importar metadatos del IdP al sitio de Tableau

En la página Autenticación de Tableau Server, importe el archivo de metadatos que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.

Nota: Si edita la configuración, deberá cargar el archivo de metadatos para que Tableau sepa cómo utilizar el ID de entidad de IdP y la URL del servicio SSO correctos.

Paso 5: relacionar los atributos

Los atributos contienen información relacionada con la autenticación, la autorización y otros datos de un usuario en concreto. En la columna Nombre de aserción del proveedor de identidad (IdP), proporcione los atributos que contienen la información que solicita Tableau Server .

  • Nombre de usuario o correo electrónico: (obligatorio) escriba el nombre del atributo que almacena los nombres de usuario o las direcciones de correo electrónico.

  • Nombre de visualización: (opcional) algunos IdP utilizan atributos diferentes para los nombres y los apellidos, mientras que otros almacenan el nombre completo en un atributo. Si usa SAML con autenticación local, el atributo de nombre para mostrar no se sincroniza con el IdP de SAML.

    Seleccione el botón que corresponde a la forma en que su IdP almacena los nombres. Por ejemplo, si el IdP combina el nombre y los apellidos en un atributo, seleccione Nombre de visualización y escriba el nombre del atributo.

    Captura de pantalla del paso 5 para configurar SAML de sitio para Tableau Server: atributos coincidentes

Paso 6: gestionar usuarios

Seleccione los usuarios existentes de Tableau Server o agregue usuarios nuevos para los que desee habilitar el inicio de sesión único.

Al agregar o importar usuarios, también se especifica el tipo de autenticación. En la página Usuarios, puede cambiar el tipo de autenticación de los usuarios en cualquier momento tras agregarlos.

Para obtener más información, consulte Añadir usuarios a un sitio o Importar usuarios y Definir el tipo de autenticación de usuario para SAML.

Importante: los usuarios que se autentican con el SAML específico de sitio solo pueden pertenecer a un sitio. Si un usuario necesita acceder a varios sitios, establezca el tipo de autenticación en el valor predeterminado del servidor. En función de la configuración del SAML específico de sitio aplicada por el administrador del servidor, el valor predeterminado del servidor puede ser la autenticación local o el SAML de todo el servidor.

Paso 7: solucionar problemas

Comience con los pasos de solución de problemas que se sugieren en la página Autenticación. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!