En este tema se explica cómo habilitar SAML en el sitio o Tableau Cloud Manager (TCM) y cómo seleccionar los usuarios de inicio de sesión único. También se ofrecen los pasos para cambiar de SAML a la autenticación predeterminada de Tableau. Antes de habilitar SAML, le recomendamos que revise los Requisitos de SAML para Tableau Cloud, incluidos los Efectos de cambiar el tipo de autenticación en Tableau Bridge.
En este tema se da por hecho que está familiarizado con la información de Autenticación y Funcionamiento de la autenticación SAML.
Puede utilizar los pasos de las secciones siguientes de este tema con la documentación del IdP para configurar SAML para su sitio de Tableau Cloud o TCM. Puede obtener pasos de configuración específicos de los IdP siguientes:
Para Tableau Cloud
Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.
En la pestaña Autenticación, haga clic en el botón Nueva configuración, seleccione SAML desde el menú desplegable Autenticación y luego escriba un nombre para la configuración.
Nota: Las configuraciones creadas antes de noviembre de 2024 (Tableau 2024.3) no se pueden cambiar de nombre.
Para TCM
Como alternativa, en TCM haga lo siguiente:
Inicie sesión en TCM como administrador de nube y seleccione Configuración > Autenticación.
Seleccione el Habilitar un método de autenticación adicional y seleccione SAML desde el menú desplegable Autenticación.
Haga clic en la flecha desplegable Configuración (requerida).
Pasos de configuración de SAML
Esta sección es una guía de los pasos de configuración que aparecen en la pestaña Autenticación de la página Configuración de Tableau Cloud o TCM.
Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.
Paso 1: Exportar metadatos de IdP
Vaya a su IdP, inicie sesión en su cuenta de IdP y utilice las instrucciones proporcionadas en la documentación de su IdP para descargar los metadatos de su IdP. Los metadatos del IdP permiten a Tableau Cloud o TCM conectarse a su IdP.
En el paso 1, la documentación del IdP además le guiará para proporcionar metadatos a un proveedor de servicios. Le indicará que descargue un archivo de metadatos de SAML o mostrará código XML. Si muestra código XML, cópielo y péguelo en un nuevo archivo de texto y guarde este con la extensión .xml.
Paso 2: cargar metadatos en Tableau
Para Tableau Cloud, en la página Nueva configuración de Tableau Cloud, importe el archivo de metadatos (.xml) que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.
Para TCM, en la página Autenticación de TCM, importe el archivo de metadatos (.xml) que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.
Notas:
- Después de cargar los metadatos del IdP, tanto el campo ID de entidad de IdP y como el campo URL del servicio SSO de IdP se rellenan automáticamente.
- Si edita la configuración, deberá cargar el archivo de metadatos para que Tableau sepa cómo utilizar el ID de entidad de IdP y la URL del servicio SSO correctos.
- Puede utilizar el botón Borrar metadatos de IdP si necesita cargar un nuevo archivo de metadatos.
Paso 3: mapear atributos
Los atributos contienen información relacionada con la autenticación, la autorización y otros datos de un usuario en concreto.
Nota: Tableau Cloud o TCM requiere el atributo NameID en la respuesta SAML. Puede proporcionar otros atributos para asignar nombres de usuario en Tableau, pero el mensaje de respuesta debe incluir el atributo NameID.
Nombre de usuario: (obligatorio) escriba el nombre del atributo que almacena los nombres de los usuarios (direcciones de correo electrónico).
Dirección de correo electrónico: (opcional) escriba el nombre del atributo que contiene la dirección de correo electrónico que el IdP utiliza durante el proceso de autenticación para permitir que los usuarios reciban notificaciones en una dirección de correo electrónico diferente del nombre de usuario. El atributo de dirección de correo electrónico se utiliza únicamente para fines de notificación y no para iniciar sesión.
Nombre de visualización: (opcional, aunque recomendado) algunos IdP utilizan atributos diferentes para los nombres y los apellidos, mientras que otros almacenan el nombre completo en un atributo.
Seleccione el botón que corresponde a la forma en que su IdP almacena los nombres. Por ejemplo, si el IdP combina el nombre y los apellidos en un atributo, seleccione Nombre de visualización y escriba el nombre del atributo.
Paso 4: elegir la opción predeterminada para las vistas insertadas
Nota: Solo se aplica a Tableau Cloud.
Seleccione el método a través del cual se registran los usuarios en las vistas incrustadas. Las opciones son abrir una ventana emergente independiente que muestre el formulario de inicio de sesión del IdP o utilizar un marco flotante (iFrame).
Importante: Puesto que los iFrames pueden ser vulnerables a los ataques de tipo clickjack, no todos los IdP admiten el inicio de sesión mediante un iFrame. Mediante el clickjack, el atacante intenta hacer que los usuarios hagan clic o escriban contenido. Para ello, muestra la página que quiere atacar en una capa transparente sobre una página distinta. En el caso de Tableau Cloud, un atacante puede intentar capturar credenciales de usuario o lograr que un usuario autenticado cambie la configuración. Para obtener más información, consulte Clickjacking(El enlace se abre en una ventana nueva) (Ataque por redireccionamiento de UI, en inglés) en el sitio web de Open Web Application Security Project.
Si su IdP no permite iniciar sesión mediante un iFrame, seleccione Autenticar en otra ventana emergente.
Paso 4: Obtener metadatos de Tableau (TCM)
Para crear la conexión SAML entre TCM y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de TCM, seleccione uno de estos métodos. Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.
Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Cloud, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.
Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Cloud, la URL de ACS y el certificado X.509 en ubicaciones independientes.
Paso 5: Obtener metadatos de Tableau (Tableau Cloud)
Para crear la conexión SAML entre Tableau Cloud y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de Tableau Cloud, seleccione uno de estos métodos: Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.
Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Cloud, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.
Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Cloud, la URL de ACS y el certificado X.509 en ubicaciones independientes.
Paso 5: Configurar el IdP (TCM)
Para el paso 5, utilice las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de TCM.
Paso 6: Configurar el IdP (Tableau Cloud)
Para el paso 6, utilice las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de Tableau Cloud.
Paso 6: Probar la configuración y solucionar problemas de SAML (TCM)
Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud o TCM con el tipo de autenticación SAML configurado.
Si no puede iniciar sesión correctamente en TCM, comience con los pasos de solución de problemas sugeridos en la página Autenticación. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.
Paso 7: Probar la configuración y solucionar problemas de SAML (Tableau Cloud)
Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud o TCM con el tipo de autenticación SAML configurado.
Si no puede iniciar sesión correctamente en Tableau Cloud, comience con los pasos de solución de problemas sugeridos en la página Nueva configuración. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.
Gestionar usuarios
Seleccione los usuarios existentes de Tableau Cloud o TCM o agregue usuarios nuevos para los que desee habilitar el inicio de sesión único.
Al agregar o importar usuarios, también se especifica el tipo de autenticación. En la página Usuarios, puede cambiar el tipo de autenticación de los usuarios en cualquier momento tras agregarlos.
Para obtener más información, consulte uno de los siguientes artículos:
Tipo de autenticación predeterminado para vistas incrustadas
Nota: Solo se aplica a Tableau Cloud.
Permitir que los usuarios elijan su tipo de autenticación
Cuando se selecciona esta opción, solo se admitirá una ventana emergente. En esta ventana emergente, aparecen dos opciones de inicio de sesión donde haya una vista incrustada: un botón de inicio de sesión que usa la autenticación de inicio de sesión único (SSO) y un enlace para usar las credenciales de Tableau como alternativa.
Consejo: Con esta opción, los usuarios tienen que saber qué opción de inicio de sesión deben elegir. Como parte de la notificación que envíe a los usuarios después de añadirlos al sitio con inicio de sesión único, avíseles del tipo de autenticación que deben usar para una serie de situaciones de inicio de sesión. Por ejemplo, vistas incrustadas, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.
Tableau con MFA
Esta opción requiere que los usuarios inicien sesión usando credenciales de Tableau con autenticación multifactor aunque SAML esté habilitado en el sitio. Iniciar sesión en Tableau con MFA requiere que los usuarios establezcan un método de verificación para confirmar la identidad cada vez que inician sesión en Tableau Cloud. Para obtener más información, consulte Autenticación multifactor y Tableau Cloud.
Lista de configuraciones de autenticación
Cuando se selecciona una opción de configuración, la forma en que los usuarios se registran en las vistas insertadas se determina mediante el ajuste establecido en el paso 6 para la configuración designada.
Uso de la autenticación de Tableau
Si un sitio o inquilino está configurado para SAML, puede cambiar la configuración del para solicitar que algunos o todos los usuarios inicien sesión usando las credenciales de Tableau.
Si no desea que un proveedor de identidad gestione la autenticación , o quiere que todos los usuarios inicien sesión con sus credenciales de Tableau, puede cambiar el tipo de autenticación en el nivel de sitio o inquilino. Consulte la sección Cambiar el tipo de autenticación del sitio más abajo.
Si desea dejar SAML habilitado para algunos usuarios, pero que otros usen Tableau, puede cambiar el tipo de autenticación en el nivel de usuario. Para obtener más información, consulte Definir el tipo de autenticación de usuario.
Cambiar el tipo de autenticación del sitio
Para Tableau Cloud
A partir de noviembre de 2024 (Tableau 2024.3), podrá habilitar varios tipos y métodos de autenticación en un sitio. Para cambiar la autenticación que desea que esté disponible en el sitio, habilite o deshabilite las configuraciones de autenticación.
Inicie sesión en el sitio de Tableau Cloud como administrador de sitio.
Seleccione Configuración > Autenticación.
Deshabilite o habilite las configuraciones de autenticación para el sitio haciendo clic en el menú Acciones y seleccionando Desactivar o Activar.
Tras desactivar la configuración de SAML, se conservan los metadatos y la información del IdP. De esta forma, si desea volver a habilitarlo, no resulta necesario que vuelva a configurar la conexión SAML con el IdP.
Para TCM
Inicie sesión en TCM como administrador de nube.
Seleccione Configuración > Autenticación.
Desmarque la casilla de verificación Habilitar un método de autenticación adicional.
Actualizar certificado SAML
Tableau proporciona el certificado utilizado para los metadatos del sitio de Tableau y no se puede configurar. Para actualizar el certificado para SAML , debe cargar un nuevo certificado en su IdP y volver a intercambiar los metadatos con Tableau Cloud.
Para Tableau Cloud
Inicie sesión en el sitio como administrador de sitio y seleccione Configuración > Autenticación.
En Tipos de autenticación, vaya a la configuración SAML que desea actualizar, haga clic en el menú Acciones y seleccione Editar.
Abra una nueva pestaña o ventana e inicie sesión en la cuenta de IdP.
Utilice las instrucciones proporcionadas por la documentación del IdP para cargar un nuevo certificado SAML.
Descargue el nuevo archivo de metadatos XML que se proporcionará a Tableau Cloud.
Vuelva a la página Editar configuración en Tableau Cloud y, en el paso 2, cargue el archivo de metadatos que descargó desde el IdP.
Desplácese hacia abajo en la página y haga clic en el botón Guardar y continuar.
Para TCM
Inicie sesión en TCM como administrador de nube y seleccione Configuración > Autenticación.
En el menú desplegable Autenticación, seleccione SAML > Configuración (requerida).
Abra una nueva pestaña o ventana e inicie sesión en la cuenta de IdP.
Utilice las instrucciones proporcionadas por la documentación del IdP para cargar un nuevo certificado SAML.
Descargue el nuevo archivo de metadatos XML que se proporcionará a TCM.
Vuelva a la página Autenticación en TCM y, en el paso 2, cargue el archivo de metadatos que descargó desde el IdP.
Desplácese hacia abajo en la página y haga clic en el botón Guardar y continuar.
Acceder a los sitios desde clientes conectados
