Autenticación de confianza
Cuando incrusta vistas de Tableau Server en páginas web, todas las personas que visitan la página deben ser usuarios con licencia de Tableau Server. Cuando los usuarios visitan la página se les solicita iniciar sesión en Tableau Server antes de poder ver la vista. Si ya tiene una forma de autenticar usuarios en la página Web o dentro de la aplicación web, puede anular esta solicitud y evitar que los usuarios deban iniciar sesión dos veces al configurar autenticación de confianza.
Autenticación de confianza simplemente significa que ha configurado una relación de confianza entre Tableau Server y uno o más servidores Web. Cuando Tableau Server recibe solicitudes de estos servidores Web de confianza, asume que el servidor Web ha manipulado cualquier autenticación si es necesaria.
Si el servidor Web usa SSPI (Interfaz de proveedor de asistencia de seguridad), no es necesario configurar una autenticación de confianza. Puede incrustar vistas y los usuarios tendrán acceso seguro a ellas siempre que sean usuarios de Tableau Server con licencia y miembros de su Active Directory.
Nota: los navegadores cliente se deben configurar para que permitan las cookies de terceros si quiere usar la autenticación de confianza en las vistas insertadas.
Funcionamiento de la autenticación de confianza
El diagrama a continuación describe cómo funciona la autenticación confiable entre el navegador web del cliente, sus servidores Web y Tableau Server.
El usuario visita la página Web: cuando un usuario visita la página Web con la vista de Tableau Server incrustada, la página Web envía una solicitud GET al servidor Web para HTML para dicha página.
POSTS de servidor Web a Tableau Server: el servidor Web envía una solicitud POST a la instancia de Tableau Server de confianza (por ejemplo, a https://<server_name>/trusted
, no a https://<server_name>
). Dicha solicitud POST debe tener un parámetro de username
. El valor username
debe ser el nombre de usuario de un usuario de Tableau Server con licencia. Si Tableau Server aloja sitios múltiples y la vista está en un sitio distinto al sitio predeterminado, la solicitud POST también debe incluir un parámetro target_site
.
Tableau Server crea un ticket: Tableau Server comprueba la dirección IP o nombre de host del servidor Web (192.168.1.XXX en el diagrama anterior) que envió la solicitud POST. Si el servidor Web aparece en la lista como un host de confianza, entonces Tableau Server crea un vale en forma de una única cadena. Los vales se deben validar durante los tres minutos después de su emisión. Tableau Server responde a la solicitud POST con dicho vale. O si hay un error y no se puede crear el vale, Tableau Server responde con un valor -1
. El servidor debe tener una dirección IPv4. No se admiten direcciones IPv6. Para obtener más información, consulte Valor -1 del vale indicado por Tableau Server.
El servidor Web pasa la URL al navegador: el servidor Web construye la URL para la vista y la inserta en el HTML para la página. El vale está incluido (por ejemplo, https://<server_name>/trusted/<unique_ticket>/views/<view_name>
). El servidor Web pasa el HTML de vuelta al navegador web del cliente.
El navegador solicita una vista de Tableau Server: el navegador web del cliente envía una solicitud GET a Tableau Server que incluye la URL con el vale.
Tableau Server valida el vale: Tableau Server valida el vale, crea una sesión, inicia la sesión del usuario, elimina el vale de la URL y, a continuación, envía la URL final para la vista incrustada al cliente.
La sesión permite que el usuario acceda a cualquiera de las vistas a las que accedería si hubiera iniciado sesión en el servidor. En la configuración predeterminada, los usuarios autenticados con vales confiables tienen acceso restringido, por lo que solo están disponibles las vistas. No pueden acceder a los libros de trabajo, a las páginas de los proyectos ni a otro contenido alojado en el servidor.
Para cambiar este comportamiento, consulte la opción wgserver.unrestricted_ticket
en las Opciones de tsm configuration set.
¿Cómo se almacena un vale confiable?
Tableau Server almacena los vales de confianza en el repositorio de Tableau Server con el proceso siguiente:
- Tableau Server genera un vale de dos partes: la primera parte es un ID único codificado en Base64 (UUID) y la segunda parte es una cadena secreta aleatoria de 24 caracteres.
- Tableau Server protege mediante hash la cadena secreta y la almacena con el ID único en el repositorio. La protección mediante hash toma la cadena secreta como entrada y usa un algoritmo para calcular una cadena única. Esta cadena única protege la seguridad de la cadena secreta ante usuarios no autorizados.
- Tableau Server envía el UUID en Base64 y la cadena aleatoria original de 24 caracteres al cliente.
- El cliente indica el UUID en Base64 y la cadena secreta original de 24 caracteres a Tableau Server como parte de una solicitud para una vista.
- Tableau Server localiza el par de cadenas con el UUID en Base64 y, a continuación, protege mediante hash la cadena secreta para verificar que coincide con el hash almacenado en el repositorio.
Este proceso garantiza que cualquier contenido de vale confiable almacenado en Tableau Server no se pueda usar para suplantar un usuario o acceder a contenido protegido por autenticación. No obstante, como el vale confiable completo se envía a través de HTTP entre Tableau Server y el cliente, el proceso se basa en la transmisión segura y cifrada de datos HTTP. Por tanto, es recomendable que solo implemente vales confiables a través de SSL/TLS u otra capa de cifrado de red.