Configurar SAML específico de un sitio

Utilice el SAML específico de un sitio en un entorno con varios sitios si desea habilitar el inicio de sesión único y utilizar varios proveedores de identidad SAML (IdP) o aplicaciones de IdP. Si habilita el SAML de un sitio, puede especificar el IdP o la aplicación de IdP para cada sitio, o bien configurar algunos sitios para que utilicen SAML y otros para que utilicen el método de autenticación predeterminado de todo el servidor.

Si desea que todos los usuarios del servidor utilicen el SAML e inicien sesión con la misma aplicación de IdP, consulte Configurar SAML en todo el servidor.

Requisitos previos para habilitar el SAML específico de un sitio

Debe llevar a cabo los siguientes requisitos antes de habilitar el inicio de sesión único SAML en el nivel de sitio:

  • El almacén de identidades de Tableau Server debe estar configurado para la autenticación de identidades local.

     No puede configurar el SAML específico del sitio si Tableau Server está configurado con un almacén de identidades externo como Active Directory u OpenLDAP.

  • Asegúrese de que el entorno y el IdP cumplen los Requisitos de SAML generales.

    Algunas funcionalidades solo se admiten en implementaciones SAML a nivel de servidor. Por ejemplo, el cierre de sesión único (SLO) solo se admite para SAML a nivel de servidor. SLO no se admite para SAML específico del sitio.

  • No es necesario habilitar SAML para todo el servidor, pero la SAML específica del sitio requiere la configuración a nivel de servidor. Consulte Configurar SAML en todo el servidor.

  • Anote la ubicación de los archivos de certificado SAML. Se la proporcionaremos cuando Configurar el servidor para que admita el SAML específico de un sitio.

    Para obtener más información, consulte Implementar el certificado y los archivos de metadatos del IdP en el tema que trata la configuración del SAML en todo el servidor.

  • Añada Tableau Server como proveedor de servicios en su IdP. Encontrará esta información en la documentación proporcionada por el IdP.

  • Confirme que los relojes del sistema del equipo que hospeda el IdP de SAML del sitio y el equipo que hospeda Tableau Server están configurados con una diferencia máxima de 59 segundos entre sí. Tableau Server no tiene ninguna opción de configuración para ajustar la distorsión de respuestas (diferencia de tiempo) entre el equipo de Tableau Server y el IdP.

Opciones de todo el servidor relacionadas con SAML específico de un sitio

En el archivo workgroup.yml del servidor, entre las opciones de todo el servidor que se usan de algún modo para SAML específico de un sitio se incluyen:

  • wgserver.saml.returnurl y wgserver.saml.entityid: en los ajustes para configurar SAML específico de un sitio, Tableau proporciona una ID de entidad y una URL de retorno específica de un sitio según estos ajustes. La ID de entidad y la URL de retorno específica de un sitio no se pueden modificar.

  • wgserver.saml.domain, wgserver.saml.port y wgserver.saml.protocol se usan para las solicitudes de SAML en el nivel del sitio.

Las opciones de todo el servidor wgserver.saml.maxauthenticationage y wgserver.saml.responseskew no se aplican al SAML específico de un sitio.

Configurar el servidor para que admita el SAML específico de un sitio

Una vez efectuados los requisitos previos descritos anteriormente, puede ejecutar los siguientes comandos para configurar el servidor para que admita el SAML específico de un sitio.

  1. Configurar SAML en todo el servidor Como mínimo, debe ejecutar el siguiente comando (si ya ha configurado SAML a nivel de servidor, vaya al paso 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite el sitio SAML. Ejecute los comandos siguientes:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Información sobre los comandos

El comando sitesaml enable expone la pestaña Autenticación en la página Configuración de todos los sitios de la interfaz de usuario web de Tableau Server. Cuando haya configurado el servidor para que admita SAML de sitio, puede pasar a Configurar SAML para un sitio para tratar las opciones de la pestaña Autenticación.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Si quiere comprobar los comandos y ajustes que se llevarán a cabo al ejecutar pending-changes apply, puede ejecutar primero el comando siguiente:

tsm pending-changes list --config-only

Configurar SAML para un sitio

Esta sección es una guía de los pasos de configuración que aparecen en la página Autenticación de la interfaz de usuario web de Tableau Server. En una instalación autoalojada de Tableau Server, esta página solo aparece si se habilita la compatibilidad con SAML específico de sitio en el nivel del servidor. Esta funcionalidad está habilitada de forma predeterminada en Tableau Online.

Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.

Paso 1: Exportar metadatos de Tableau

Para crear la conexión SAML entre Tableau Server y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de Tableau Server, siga uno de estos pasos: Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.

  • Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Server, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.

    El identificador de entidad es específico del sitio y se basa en el identificador de entidad en todo el servidor especificado al habilitar SAML de sitio en el servidor. Por ejemplo, si especificó https://tableau_server, puede ver el siguiente identificador de entidad del sitio:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    No puede modificar el identificador de entidad específico del sitio ni la URL de ACS generada por Tableau.

  • Seleccione Descargar certificado de firma y de cifrado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Server, la URL de ACS y el certificado X.509 en ubicaciones independientes.

    La siguiente imagen se ha editado para demostrar que esta configuración es la misma que la de Tableau Online y Tableau Server.

Pasos 2 y 3: pasos externos

En el paso 2, para importar los metadatos exportados en el paso 1inicie sesión en la cuenta de IdP y siga las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de Tableau Server.

En el paso 3, la documentación del IdP además le guiará para proporcionar metadatos a un proveedor de servicios. Le indicará que descargue un archivo de metadatos o mostrará código XML. Si muestra código XML, cópielo y péguelo en un nuevo archivo de texto y guarde este con la extensión .xml.

Paso 4: importar metadatos del IdP al sitio de Tableau

En la página Autenticación de Tableau Server, importe el archivo de metadatos que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.

Paso 5: relacionar los atributos

Los atributos contienen información relacionada con la autenticación, la autorización y otros datos de un usuario en concreto. En la columna Nombre de aserción del proveedor de identidad (IdP), proporcione los atributos que contienen la información que solicita Tableau Server .

  • Nombre de usuario o correo electrónico: (obligatorio) escriba el nombre del atributo que almacena los nombres de usuario o las direcciones de correo electrónico.

  • Nombre de visualización: (opcional, aunque recomendado) algunos IdP utilizan atributos diferentes para los nombres y los apellidos, mientras que otros almacenan el nombre completo en un atributo.

    Seleccione el botón que corresponde a la forma en que su IdP almacena los nombres. Por ejemplo, si el IdP combina el nombre y los apellidos en un atributo, seleccione Nombre de visualización y escriba el nombre del atributo.

    Screen shot of step 5 for configuring site SAML for Tableau Server -- matching attributes

Paso 6: gestionar usuarios

Seleccione los usuarios existentes de Tableau Server o agregue usuarios nuevos para los que desee habilitar el inicio de sesión único.

Al agregar o importar usuarios, también se especifica el tipo de autenticación. En la página Usuarios, puede cambiar el tipo de autenticación de los usuarios en cualquier momento tras agregarlos.

Para obtener más información, consulte Añadir usuarios a un sitio o Importar usuarios y Definir el tipo de autenticación de usuario para SAML.

Importante: los usuarios que se autentican con el SAML específico de sitio solo pueden pertenecer a un sitio. Si un usuario necesita acceder a varios sitios, establezca el tipo de autenticación en el valor predeterminado del servidor. En función de la configuración del SAML específico de sitio aplicada por el administrador del servidor, el valor predeterminado del servidor puede ser la autenticación local o el SAML de todo el servidor.

Paso 7: solucionar problemas

Comience con los pasos de solución de problemas que se sugieren en la página Autenticación. Si esos pasos no resuelven los problemas, consulte Solución de problemas de SAML.

¡Gracias por sus comentarios! Se produjo un error al enviar sus comentarios. Vuelva a intentarlo o escríbanos.