Configurar SAML con AD FS


Puede configurar Servicios de federación de Active Directory (AD FS) como proveedor de identidad de SAML y añadir Tableau Cloud a sus aplicaciones de inicio de sesión único compatibles. Al integrar AD FS con SAML y Tableau Cloud, los usuarios pueden iniciar sesión en Tableau Cloud con sus credenciales de red habituales.

Notas: 

  • Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento. Si los pasos descritos aquí no coinciden con las pantallas que ve en la cuenta del IdP, puede usar los pasos de configuración de SAML, los genéricos y la documentación del IdP.
  • A partir de febrero de 2022, la autenticación multifactor (MFA) a través de su proveedor de identidad (IdP) de SSO SAML es un requisito de Tableau Cloud.
  • Los pasos de configuración en el IdP pueden estar en un orden diferente al que ve en Tableau Cloud.

Requisitos previos

Antes de configurar Tableau Cloud y SAML con AD FS, su entorno debe tener lo siguiente:

  • Un servidor que ejecuta Microsoft Windows Server 2008 R2 (o posterior) con AD FS 2.0 (o posterior) y IIS instalado.

  • Le recomendamos que proteja el servidor de AD FS (por ejemplo, con un proxy inverso). Cuando el servidor de AD FS es accesible desde fuera del firewall, Tableau Cloud puede redirigir a los usuarios a la página de inicio de sesión hospedada por AD FS.

  • Una cuenta de administrador de sitio que usa la autenticación de Tableau con MFA. Si el inicio de sesión único de SAML produce errores, podrá seguir iniciando sesión en Tableau Cloud como administrador de sitio.

Paso 1: Comenzar

En Tableau Cloud, haga lo siguiente:

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, haga clic en el botón Nueva configuración, seleccione SAML desde el menú desplegable Autenticación y luego escriba un nombre para la configuración.

    Captura de la configuración de autenticación del sitio de Tableau Cloud (nueva página de configuración)

    Nota: Las configuraciones creadas antes de noviembre de 2024 (Tableau 2024.3) no se pueden cambiar de nombre.

En AD FS, haga lo siguiente:

El siguiente procedimiento exporta metadatos de AD FS que importará en Tableau Cloud. También deberá asegurarse de que los metadatos estén configurados y codificados correctamente para Tableau Cloud y comprobar otros requisitos de AD FS relativos a su configuración de SAML.

  1. Exporte los metadatos de federación de AD FS a un archivo XML y, a continuación, descargue el archivo desde https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Abra el archivo de metadatos en un editor de texto como Sublime Text o Notepad++, y compruebe que está correctamente codificado como UTF-8 sin BOM.

    Si el archivo muestra algún otro tipo de codificación, guárdelo en el editor de texto con la codificación correcta.

  3. Compruebe que AD FS utiliza la autenticación basada en formularios. Los inicios de sesión se efectúan en una ventana del navegador, por lo que necesita configurar AD FS para que use de forma predeterminada este tipo de autenticación.

    Edite c:\inetpub\adfs\ls\web.config, busque la categoría, y desplace la línea de modo que aparezca la primera en la lista. Guarde el archivo para que IIS pueda volver a cargarlo automáticamente.

    Nota: Si no ve el archivo c:\inetpub\adfs\ls\web.config, quiere decir que IIS no está instalado ni configurado en el servidor AD FS.

  4. Configure otro identificador de usuario de confianza de AD FS. Esto permite al sistema usar una solución alternativa para posibles problemas de AD FS relacionados con el cierre de sesión de SAML.

    Aplique una de las siguientes opciones:

    Windows Server 2008 R2:

    1. En AD FS 2.0, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Cloud antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername>/public/sp/metadata y, a continuación, haga clic en Agregar.

    Windows Server 2012 R2:

    1. En Administración de AD FS, en la lista Relaciones de confianza para usuario autenticado, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Cloud antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername/public/sp/metadata y, a continuación, haga clic en Agregar.

Paso 2: Configurar SAML en Tableau Cloud

Complete el siguiente procedimiento después de guardar el archivo de metadatos SAML de AD FS, como se describe en la sección anterior.

  1. De regreso en Tableau Cloud, en la página Nueva configuración, en 2. Cargue metadatos en Tableau, haga clic en Seleccionar un archivo y vaya hasta el archivo de metadatos SAML (FederationMetadata.xml) que exportó desde AD FS. Esto llena automáticamente los valores ID de entidad de proveedor de identidad y URL del servicio SSO.

  2. Omita el paso 3. Mapear atributos porque creará una regla de reclamación en AD FS para que coincida con los nombres de atributos que Tableau Cloud espera en la sección siguiente.

  3. En el paso 4. Seleccionar valores predeterminados para insertar vistas, seleccione la experiencia que desea habilitar cuando los usuarios acceden al contenido insertado.

  4. Haga clic en el botón Guardar y continuar.

  5. En el paso 5. Obtener metadatos de Tableau Cloud, haga clic en el botón Exportar metadatos y guarde el archivo de metadatos de Tableau en el equipo.

    De forma predeterminada, este archivo se denomina saml_sp_metadata.xml.

Paso 3. Configurar la aplicación Tableau Cloud en su IdP

La configuración de AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud es un proceso que consta de varios pasos y que comienza con la importación del archivo de metadatos XML de Tableau Cloud a AD FS.

  1. Realice una de las siguientes acciones para abrir el Asistente para agregar relación de confianza para usuario autenticado:

    2. Windows Server 2008 R2:

    1. Seleccione Menú Inicio > Herramientas administrativas > AD FS 2.0.

    2. En AD FS 2.0, en Relaciones de confianza, haga clic con el botón derecho en la carpeta Relaciones de confianza para usuario autenticado y, a continuación, haga clic en Agregar relación de confianza para usuario autenticado.

    Windows Server 2012 R2:

    1. Abra Server Manager y, a continuación, en el menú Herramientas, haga clic en Administración de AD FS.

    2. En Administración de AD FS, en el menú Acción, haga clic en Agregar relación de confianza para usuario autenticado.

  2. En el Asistente para agregar relación de confianza para usuario autenticado, haga clic en Inicio.

  3. En la página Seleccionar fuente de datos, seleccione Importar datos sobre el usuario de confianza de un archivo y, a continuación, haga clic en Buscar para ubicar su archivo de metadatos de Tableau Cloud.

    De forma predeterminada, este archivo se denomina saml_sp_metadata.xml.

  4. Haga clic en Siguiente y, en la página Especificar nombre visible, escriba un nombre y una descripción para la relación de confianza del usuario autenticado en los recuadros Nombre visible y Notas.

  5. Haga clic en Siguiente para omitir la página Configurar la autenticación multifactor ahora.

  6. Haga clic en Siguiente para omitir la página Elegir reglas de autorización de emisión.

  7. Haga clic en Siguiente para omitir la página Listo para agregar relación de confianza.

  8. En la página Terminar, seleccione la casilla de verificación Abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza para usuario autenticado cuando se cierre el asistente y, a continuación, haga clic en Cerrar.

A continuación trabajará en el cuadro de diálogo Editar reglas de notificación para añadir una regla que garantice que las aserciones enviadas por AD FS coincidan con las aserciones que espera recibir Tableau Cloud. Como mínimo, Tableau Cloud necesita un número de usuario (en formato de dirección de correo electrónico). Sin embargo, el hecho de incluir el nombre y los apellidos aparte del correo electrónico garantizará que los nombres de usuario que se muestren en Tableau Cloud coincidan con los de la cuenta de AD.

  1. En el cuadro de diálogo Editar reglas de notificación, haga clic en Añadir regla.

  2. En la página Elegir tipo de regla, en Plantilla de regla de notificación, seleccione Enviar atributos LDAP como notificaciones y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla de notificación, en Nombre de la regla de notificación, introduzca un nombre que sea significativo para la regla.

  4. En la lista desplegable Almacén de atributos, seleccione Active Directory, complete la asignación tal y como se muestra más abajo y, a continuación, haga clic en Terminar.

    5. Para completar la asignación es necesario que los nombres coincidan exactamente (distinguiendo mayúsculas de minúsculas), por lo que es importante que compruebe lo que ha escrito. La tabla aquí muestra atributos comunes y asignaciones de reclamaciones. Verifique los atributos con su configuración específica de Active Directory.

    Nota: Tableau Cloud requiere el atributo NameID en la respuesta SAML. Puede proporcionar otros atributos para asignar nombres de usuario en Tableau Cloud, pero el mensaje de respuesta debe incluir el atributo NameID.

    Atributo LDAPTipo de notificación de salida

    Según la versión de AD FS:

    Nombre-Principal-Usuario
    o
    Correos electrónicos

     

    CorreoElectrónico
    o
    Dirección de correo electrónico

    Nombre-EspecificadoNombre
    ApellidoApellido

Si está ejecutando AD FS 2016 o una versión posterior, debe añadir una regla para pasar por todos los valores de las reclamaciones. Si está ejecutando una versión anterior de AD FS, pase al siguiente procedimiento para exportar metadatos de AD FS.

  1. Haga clic en Añadir regla.
  2. En el modelo Regla de reclamación seleccione Pasar por o Filtrar una reclamación recibida.
  3. En Nombre de regla de reclamación, introduzca Windows.
  4. En la ventana emergente Editar regla - Windows:
    • En Tipo de reclamación entrante, seleccione Nombre de cuenta de Windows.
    • Seleccione Pasar por todos los valores de la reclamación.
    • Haga clic en Aceptar.

En Tableau Cloud, haga lo siguiente:

  1. Vuelva a Tableau Cloud y, en la página Nueva configuración, en el paso 2. Mapear atributos, complete los valores de reclamación de AD FS en Tableau Cloud.

  2. Haga clic en el botón Guardar y continuar.

Paso 4: Probar la configuración de SAML en Tableau Cloud

  1. En Tableau Cloud, agregue un usuario de muestra tanto a ADFS como a Tableau Cloud para probar la configuración de SAML. Para agregar usuarios en Tableau Cloud, consulte el tema Añadir usuarios a un sitio.

  2. Regrese a la página Nueva configuración, en 7. Probar la configuración haciendo clic en el botón Probar configuración.

Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud con el tipo de autenticación SAML configurado.

Paso 5: agregar usuarios adicionales al sitio de Tableau Cloud habilitado para SAML

Siga estos pasos para agregar usuarios adicionales a la vista. Los pasos descritos en esta sección se realizan en la página Usuarios de Tableau Cloud.

  1. Después de completar los pasos anteriores, desde el panel izquierdo, navegue hasta la página Usuarios.

  2. Siga el procedimiento descrito en el tema Añadir usuarios a un sitio. Alternativamente, puede agregar usuarios usando un archivo .csv siguiendo el procedimiento descrito en Importar usuarios.

Requisitos adicionales y sugerencias para la compatibilidad de SAML con AD FS

  • Una vez configurada la integración de SAML entre AD FS y Tableau Cloud, deberá actualizar Tableau Cloud para que queden reflejados los cambios de usuario concretos que haga en Active Directory (por ejemplo, añadir o eliminar usuarios).

    Puede añadir usuarios de forma automática o manual:

    • Para añadir usuarios automáticamente: cree un script (con PowerShell, Python o un archivo por lotes) para enviar los cambios de AD a Tableau Cloud. El script puede utilizar tabcmd o la API de REST para interactuar con Tableau Cloud.

    • Para añadir usuarios manualmente: inicie sesión en la interfaz de usuario web de Tableau Cloud, vaya a la página Usuarios, haga clic en Añadir usuarios y, después, escriba los nombres de usuario o bien cargue un archivo CSV que contenga la información de dichos usuarios.

    Nota: Si quiere eliminar un usuario, pero quiere conservar sus recursos de contenido, modifique la propiedad del contenido antes de eliminar el usuario. Si elimina un usuario, también se eliminará el contenido que tenga.

  • En Tableau Cloud, el nombre de un usuario es su identificador único. Tal y como se describe en los pasos de configuración de AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud, los nombres de usuario de Tableau Cloud deben coincidir con el nombre de usuario de almacenado en AD.

  • En Paso 3. Configurar la aplicación Tableau Cloud en su IdP ha añadido una regla de notificación en AD FS para que los atributos de nombre, apellidos y nombre de usuario de coincidan entre AD FS y Tableau Cloud. Como alternativa, puede seguir el paso 5. Mapear atributos en Tableau Cloud para hacer lo mismo.

Volver arriba