Autenticación
La autenticación comprueba la identidad de un usuario. Todos los usuarios que necesiten acceso a Tableau Server (ya sea para gestionar el servidor o para publicar, explorar o administrar contenido) deben estar representados como usuarios en el repositorio de Tableau Server. El método de autenticación lo puede llevar a cabo Tableau Server ("autenticación local") o un proceso externo. En el segundo caso, debe configurar Tableau Server para las tecnologías de autenticación externa, como Kerberos,
¿Busca Tableau Server en Linux? Consulte Autenticación(El enlace se abre en una ventana nueva).
Aunque las identidades de usuario se representan y almacenan básicamente en el repositorio de Tableau Server, debe administrar las cuentas de usuario para Tableau Server en un almacén de identidades. Existen dos opciones de almacenes de identidades, que son mutuamente excluyentes: LDAP y locales. Tableau Server admite directorios LDAP arbitrarios, pero se ha optimizado para la implementación de LDAP en Active Directory. Como alternativa, si no ejecuta un directorio LDAP, puede usar el almacén de identidades local de Tableau Server. Para obtener más información, consulte Almacén de identidades.
Como se muestra en la tabla siguiente, el tipo de almacén de identidades que implemente determinará en parte sus opciones de autenticación.
Almacén de identidades | Mecanismo de autenticación | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML de sitio | Kerberos | (Solo Windows) Automático Iniciar sesión (Inicio de sesión automático SSPI) | OpenID Conectar | Aplicaciones conectadas | Autenticación de confianza | SSL mutua | |
| Local | X | X | X | X | X | X | X | ||
| Active Directory | X | X | X | X | X | X | X | ||
| LDAP | X | X | X | X | X | ||||
Los permisos de acceso y administración se implementan a través de los roles de sitio. Los roles de sitio definen qué usuarios son administradores y cuáles consumen y publican contenido en el servidor. Para obtener más información sobre los administradores, roles de sitio, grupos, usuarios invitados y tareas administrativas relacionadas con los usuarios, consulte Usuarios y Roles de sitio para usuarios.
Nota: En el contexto de la autenticación, es importante entender que los usuarios no están autorizados a acceder a fuentes de datos externas a través de Tableau Server solo por tener una cuenta en el servidor. Es decir, en la configuración predeterminada, Tableau Server no actúa como proxy para las fuentes de datos externas. Este tipo de acceso requiere una configuración adicional de la fuente de datos en Tableau Server o la autenticación en la fuente de datos cuando el usuario se conecta desde Tableau Desktop.
Compatibilidad de la autenticación de complementos
Algunos métodos de autenticación se pueden utilizar conjuntamente. En la siguiente tabla se muestran los métodos de autenticación que se pueden combinar. Las casillas marcadas con una "X" indican un conjunto de autenticaciones compatible. Las celdas en blanco indican conjuntos de autenticaciones incompatibles.
| Aplicaciones conectadas | Autenticación de confianza | SAML en todo el servidor | SAML de sitio | Kerberos | (Solo Windows) de Microsoft (Inicio de sesión automático SSPI) | SSL mutua | OpenID Connect | |
| Aplicaciones conectadas de Tableau | N/D | X | X | X | X | X | ||
| Autenticación de confianza | N/D | X | X | X | X | X | ||
| SAML en todo el servidor | X | X | N/D | X | ||||
| SAML de sitio | X | X | X | N/D | ||||
| Kerberos | X | X | N/D | |||||
| de Microsoft (Microsoft SSPI) | N/D | |||||||
| SSL mutua | X | X | N/D | |||||
| OpenID Connect | X | X | N/D | |||||
| Token de acceso personal (PAT) | * | * | * | * | * | * | * | * |
* Los PAT, por diseño, no funcionan directamente con el mecanismo de autenticación enumerado en estas columnas para autenticarse en la API de REST. En su lugar, los PAT usan las credenciales de la cuenta de usuario de Tableau Server para autenticarse en la API de REST.
Compatibilidad de autenticación de cliente
Autenticación manejada a través de una interfaz de usuario (IU)
Clientes | Mecanismo de autenticación | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML de sitio | Kerberos | (Solo Windows) Automático Iniciar sesión (Microsoft SSPI) | OpenID Conectar | Aplicaciones conectadas | Autenticación de confianza | SSL mutua | Token de acceso personal (PAT) | |
| Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
| Tableau Mobile | X | X | X | X (Solo para iOS) | X * | X | X | |||
| Navegadores web | X | X | X | X | X | X | X ** | X | X | |
* SSPI no es compatible con la versión de Workspace ONE de la aplicación Tableau Mobile.
** Solo en flujos de trabajo de inserción.
Autenticación manejada programáticamente
Clientes | Mecanismo de autenticación | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML de sitio | Kerberos | (Solo Windows) Automático Iniciar sesión (Microsoft SSPI) | OpenID Conectar | Aplicaciones conectadas | Autenticación de confianza | SSL mutua | Token de acceso personal (PAT) | |
| API de REST | X | X | X | |||||||
| tabcmd 2.0 | X | X | ||||||||
| tabcmd | X | |||||||||
Autenticación local
Si el servidor está configurado para usar la autenticación local, Tableau Server autenticará a los usuarios. Cuando los usuarios inicien sesión y escriban las credenciales, ya sea en Tableau Desktop, tabcmd, API o cliente web, Tableau Server comprobará las credenciales.
Para permitir que esto suceda, primero debe crear una identidad para cada usuario. Para crear una identidad, especifique un nombre de usuario y una contraseña. Para acceder al contenido del servidor o interactuar con él, los usuarios también deben tener asignado un rol de sitio. Las identidades de usuario se pueden añadir a Tableau Server en la interfaz de usuario del servidor con los comandos tabcmd o con la API de REST(El enlace se abre en una ventana nueva).
También se pueden crear grupos en Tableau Server para ayudar a administrar y asignar funciones a grandes conjuntos de grupos de usuarios relacionados (por ej., "Marketing").
Cuando configura Tableau Server para la autenticación local, puede establecer políticas de contraseña y el bloqueo de cuentas tras varios intentos fallidos de introducir la contraseña. Consulte Autenticación local.
Nota: Tableau con autenticación multifactor (MFA) solo está disponible para Tableau Cloud.
Soluciones de autenticación externa
Tableau Server se puede configurar para que funcione con una serie de soluciones de autenticación externa.
NTLM y SSPI
Si configura Tableau Server para que utilice Active Directory durante la instalación, NTLM será el método de autenticación de usuario predeterminado.
Cuando un usuario inicia sesión en Tableau Server desde Tableau Desktop o un cliente web, las credenciales se pasan a Active Directory, que luego las comprueba y envía un token de acceso a Tableau Server. Entonces, Tableau Server administra el acceso de los usuarios a los recursos de Tableau en función de los roles de sitio almacenados en el repositorio.
Si instala Tableau Server en un equipo con Windows en Active Directory, podrá habilitar el inicio de sesión automático. En este caso, Tableau Server utilizará Microsoft SSPI para iniciar la sesión de los usuarios de forma automática a partir de su nombre de usuario y contraseña de Windows. Esto crea una experiencia similar a un inicio de sesión único (SSO).
No habilite SSPI si tiene previsto configurar Tableau Server para SAML, autenticación de confianza, un equilibrador de carga o para un servidor proxy. En estos casos no se admite el uso de SSPI. Consulte tsm authentication sspi <comandos>.
Kerberos
Puede configurar Tableau Server para que use Kerberos para Active Directory. Consulte Kerberos.
SAML
Puede configurar Tableau Server para que utilice la autenticación de SAML (lenguaje de marcado de aserción de seguridad). Con SAML, un proveedor de identidades (IdP) externo autentica las credenciales del usuario y luego envía una aserción de seguridad a Tableau Server que ofrece información sobre la identidad del usuario.
Para obtener más información, consulte SAML.
OpenID Connect
OpenID Connect (OIDC) es un protocolo de autenticación estándar que permite que los usuarios inicien sesión en un proveedor de identidad (IdP) como, por ejemplo, Google. Cuando ya hayan iniciado sesión correctamente en su IdP, se iniciará sesión automáticamente en Tableau Server. Para usar OIDC en Tableau Server, el servidor debe estar configurado para usar el almacén de identidades local. Los almacenes de identidades de Active Directory y LDAP no son compatibles con OIDC. Para obtener más información, consulte OpenID Connect.
SSL mutua
Utilizando SSL mutua, puede ofrecer a los usuarios de Tableau Desktop, Tableau Mobile y otros clientes autorizados de Tableau un acceso directo y seguro a Tableau Server. Con la SSL mutua, cuando se conecta a Tableau Server un cliente con un certificado SSL válido, Tableau Server confirma que existe el certificado de cliente y autentica al usuario, basándose en el Nombre de usuario de presente en el certificado de cliente. Si el cliente no tiene un certificado SSL válido, Tableau Server puede rechazar la conexión. Para obtener más información, consulte Configurar la autenticación SSL mutua.
Aplicaciones conectadas
Confianza directa
Las aplicaciones conectadas a Tableau permiten una experiencia de autenticación segura y sin problemas al facilitar una relación de confianza explícita entre el sitio de Tableau Server y las aplicaciones externas donde el contenido de Tableau está insertado. El uso de aplicaciones conectadas también permite conseguir una forma programática de autorizar el acceso a la API de REST de Tableau mediante JSON Web Tokens (JWT). Para obtener más información, consulte Configure las aplicaciones conectadas de Tableau para habilitar el inicio de sesión único para el contenido incrustado .
Confianza EAS o OAuth 2.0
Puede registrar un servidor de autorización externo (EAS) con Tableau Server para establecer una relación de confianza entre Tableau Server y el EAS usando el protocolo estándar OAuth 2.0. La relación de confianza brinda a sus usuarios una experiencia de inicio de sesión único, a través de su IdP, al contenido de Tableau insertado. Además, el registro de un EAS permite conseguir una forma programática de autorizar el acceso a la API de REST de Tableau mediante JSON Web Tokens (JWT). Para obtener más información, consulte Registre EAS para habilitar SSO para contenido insertado .
Autenticación de confianza
La autenticación de confianza (también denominada “vales de confianza”) le permite configurar una relación de confianza entre Tableau Server y uno o varios servidores web. Cuando Tableau Server recibe solicitudes de un servidor Web de confianza, presupone que este ya ha efectuado la autenticación necesaria. Tableau Server recibe la solicitud con un token o vale reembolsable y le presenta al usuario una vista personalizada, la cual considera la función y los permisos del usuario. Para obtener más información, consulte Autenticación de confianza.
LDAP
También puede configurar Tableau Server para que utilice LDAP para la autenticación de los usuarios. Los usuarios se autentican enviando sus credenciales a Tableau Server, que intentará crear un enlace con la instancia de LDAP con las credenciales de usuario. Si el enlace funciona, se validarán las credenciales y Tableau Server concederá una sesión al usuario.
Por “enlace” se entiende el paso de establecimiento de comunicación o de autenticación que tiene lugar cuando un cliente intenta acceder a un servidor LDAP. Tableau Server lo hace automáticamente cuando efectúa distintas consultas no relacionadas con la autenticación (por ejemplo, de importación de usuarios y grupos).
Puede configurar el tipo de enlace que quiere que utilice Tableau Server al comprobar las credenciales de usuario. Tableau Server es compatible con GSSAPI y con los enlaces simples. Los enlaces simples pasan las credenciales directamente a la instancia de LDAP. Le recomendamos que configure SSL para cifrar la comunicación de enlace. En este caso, la autenticación se puede proporcionar mediante la solución LDAP nativa o mediante un proceso externo, como SAML.
Para obtener más información sobre cómo planificar y configurar LDAP, consulte Almacén de identidades y Referencia de configuración del almacén de identidades externo.
Otros escenarios de autenticación
API de REST: Iniciar y cerrar sesión (autenticación)(El enlace se abre en una ventana nueva)
Nota: La API de REST no admite el inicio de sesión único (SSO) de SAML.
Autenticación de dispositivos móviles: Inicio de sesión único para Tableau Mobile(El enlace se abre en una ventana nueva)
Confianza de certificado para clientes de TSM: Conectar clientes de TSM
Acceso a los datos y autenticación de las fuentes de datos
Puede configurar Tableau Server para que admita varios protocolos de autenticación en diversas fuentes de datos. La autenticación de las conexiones de datos puede ser independiente de la autenticación de Tableau Server.
Por ejemplo, puede configurar la autenticación de usuario en Tableau Server con la autenticación local, a la vez que configura la autenticación OAuth o SAML mediante fuentes de datos específicas. Consulte Autenticación de conexiones de datos.