Configurar la autenticación de Alteryx Server
Configura el método de autenticación que deseas utilizar para administrar el acceso a Server en la página System Settings > Gallery Authentication.
Comienza seleccionando el método de autenticación que deseas utilizar para Server. Luego, sigue los pasos de configuración para el método seleccionado.
Seleccionar el método de autenticación
Server admite autenticación integrada, autenticación integrada de Windows con o sin compatibilidad con Kerberos y autenticación SAML.
Built-in (integrada): los usuarios especifican una dirección de correo electrónico y una contraseña de su elección para acceder a Server.
Integrated Windows authentication (autenticación integrada de Windows): los usuarios acceden a Server con credenciales de red internas.
Integrated Windows authentication with Kerberos (autenticación integrada de Windows con Kerberos): los usuarios acceden a Server con credenciales de red internas mediante protocolos de autenticación de Kerberos. El proceso de instalación para la autenticación integrada de Windows y la autenticación integrada de Windows con Kerberos es el mismo. Para obtener más información, ve a Completar la configuración para el método de autenticación seleccionado y elige Configurar autenticación integrada de Windows.
SAML authentication (autenticación SAML): los usuarios acceden a Server con credenciales de proveedor de identidad (IDP).
Aviso
Server no permite cambiar el método de autenticación después de la configuración. De lo contrario, la funcionalidad de Server se podría ver comprometida. Si deseas cambiar el método de autenticación, comunícate con el equipo de cuentas para analizar las opciones de ayuda.
Completar la configuración para el método de autenticación seleccionado
La configuración de cada método de autenticación varía. Elige el método de autenticación seleccionado a fin de ver los pasos necesarios para completar la configuración.
Paso 1. Establecer un administrador predeterminado de Gallery para la autenticación integrada
Después de seleccionar la autenticación integrada mediate la opción Built-in, crea un administrador predeterminado de Gallery en Default Gallery Administratoren la parte inferior de la página Gallery Authentication. El administrador de Gallery (Server) administra usuarios, flujos de trabajo y mucho más. En el caso de la autenticación integrada, ingresa la dirección de correo electrónico del administrador.
Completa las pantallas restantes en la Configuración del sistema (ve a las páginas de ayuda Server UI y Engine para obtener más información sobre estas pantallas) y selecciona Finish para finalizar.
Paso 2. Finalizar la creación de la cuenta de administrador de Gallery
Para completar la creación de la cuenta de administrador de Gallery, ve a la página de inicio de sesión de Server. Para ello, selecciona el enlace a Server que se muestra en la página System Settings > Status o ingresa la URL de Server en un navegador de Internet.
Selecciona Iniciar sesión.
En la página de inicio de sesión, selecciona ¿No tienes una cuenta? Crea una ahora.
Ingresa un nombre y un apellido, y selecciona una zona horaria en el menú desplegable.
En Correo electrónico, escribe la dirección de correo electrónico que ingresaste para administrador predeterminado de la Gallery en Default Gallery Administrator en la página System Settings > Gallery Authentication.
En Contraseña, crea una contraseña para la cuenta. Tu contraseña debe contener:
Al menos 8 caracteres
Al menos 1 letra
Al menos 1 número
Letras mayúsculas y minúsculas
Al menos 1 carácter especial
Selecciona Registrarse.
Acabas de iniciar sesión como administrador de Gallery (Server). Las credenciales que ingresaste en el formulario de suscripción se guardan como las credenciales que usarás en el futuro. Ahora puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.
Importante
Si utilizas AWS con la autenticación de Windows, la conexión TCP debe tener el mismo puerto de origen para permanecer autenticado. Por este motivo, recomendamos utilizar el equilibrador de carga clásico o de red, en lugar del equilibrador de carga de aplicaciones.
Nota
La diferencia en la configuración de la autenticación integrada de Windows y la autenticación integrada de Windows con Kerberos es el protocolo que se utiliza para autenticar a los usuarios con Active Directory. La opción "Integrated Windows Authentication" (autenticación integrada de Windows) utiliza NTLM, mientras que la opción "Integrated Windows Authentication with Kerberos" (autenticación integrada de Windows con Kerberos) reemplaza NTLM por Kerberos.
No se necesita ninguna configuración especial en Server, pero la opción con Kerberos requiere que un nombre de dominio y un KDC de Kerberos configurados correctamente estén presentes en el dominio de Active Directory.
Paso 1. Establecer un administrador predeterminado de Gallery para la autenticación de Windows
Después de seleccionar la opción Integrated Windows authentication (autenticación integrada de Windows), crea un administrador predeterminado de Gallery en la parte inferior de la página Gallery Authentication en el campo Default Gallery Administrator. El administrador de Gallery (Server) administra usuarios, flujos de trabajo y mucho más. Para Integrated Windows authentication (autenticación integrada de Windows), escribe la cuenta de usuario con el siguiente formato: dominio\nombre de usuario
.
Completa las pantallas restantes en la Configuración del sistema (ve a las páginas de ayuda Server UI y Engine para obtener más información sobre estas pantallas) y selecciona Finish para finalizar.
Paso 2. Acceder a Server
El administrador predeterminado de la Gallery (Server) ahora puede acceder a Server. Para ello, selecciona el enlace a Server que se muestra en la página System Settings > Status o ingresa la URL de Server en un navegador de Internet. Acabas de iniciar sesión como administrador de Gallery (Server) y puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.
Compatibilidad con varios dominios
Server admite varios dominios para la autenticación de Windows. No es necesario configurar nada en Server para habilitar esta opción, pero estas funcionalidades y permisos tienen que estar presentes en todos los dominios.
El dominio en el que se ejecuta Server debe tener la misma política de confianza que otros usuarios del dominio para que Active Directory pueda resolver y determinar los permisos de los usuarios.
Ambos dominios deben formar parte del mismo bosque.
Alteryx Service debe poder leer todos los atributos de los contenedores CN=Users y CN=Computers para ambos dominios. Alteryx Service se ejecuta con la cuenta del sistema local en el servidor en el que está instalado. Si defines una cuenta de servicio dedicada, en lugar de usar el sistema local, la cuenta debe tener permiso para leer todos los atributos de ambos contenedores a fin de habilitar la autenticación para ambos dominios.
Para configurar la autenticación SAML para el inicio de sesión único (SSO), el proveedor de identidad (IDP) debe admitir SAML.
Importante
Antes de configurar la autenticación SAML para Server, debes agregar Server como proveedor de servicios en el IDP. El IDP podría requerir lo siguiente:
La URL base de ACS (por ejemplo, http://localhost/webapi/Saml2/Acs).
El Id. de entidad de SP (por ejemplo, http://localhost/webapi/Saml2).
A partir de la versión 2022.3, utilizaremos puntos de conexión de proveedor de servicios actualizados a través del servicio de la API web. Las configuraciones existentes que usan los puntos de conexión anteriores siguen funcionando y no es necesario realizar ninguna acción en este momento para continuar utilizando SAML en el Alteryx Server existente. Para obtener más información, consulta Notas del lanzamiento de Server 2022.3.
El IDP también podría requerir que asignes instrucciones de atributo de correo electrónico, nombre y apellido a los campos correspondientes en el IDP para autenticar a los usuarios.
El certificado de firma de IDP se debe configurar con un algoritmo de firma de SHA-256 o superior.
Selecciona una opción para obtener los metadatos requeridos por el IDP. Puedes configurar SAML mediante una URL de metadatos de IDP seleccionando la opción IDP Metadata URL o un certificado X509 y una URL de SSO de IDP seleccionando la opción X509 certificate and IDP SSO URL.
Completa la configuración de IDP de SAML en la sección SAML IDP Configuration.
ACS Base URL (URL base de ACS): URL del servicio de afirmación del consumidor que acepta mensajes de SAML para establecer una sesión.
IDP URL (URL de IDP): URL de la aplicación Alteryx configurada en el IDP, también conocida como ID de entidad de IDP.
IDP Metadata URL (URL de metadatos de IDP): URL proporcionada por el IDP que incluye la URL de SSO de IDP y el certificado X509 para configurar el servicio de autenticación de Alteryx.
IDP SSO URL (URL de SSO de IDP): URL de SSO, proporcionada por el IDP, que el servicio de autenticación de Alteryx utiliza para iniciar sesión en el IDP.
X509 certificate (certificado X509): certificado público proporcionado por el IDP para una comunicación segura con el servicio de autenticación de Alteryx.
Enable Request Signing (habilitar firma de solicitudes): puedes activar esta opción en el caso de los IDP que requieren la firma de solicitudes. Esta opción requiere que se instale un certificado firmado válido con una clave privada RSA asociada en el almacén de certificados de Windows.
SSL/TLS Certificate Hash (hash de certificado SSL/TLS): una vez que tengas instalados el certificado y la clave privada, ingresa el hash único para el certificado SSL/TLS.
Verify IDP (verificar IDP): selecciona esta opción para abrir una ventana del navegador, iniciar sesión, probar la configuración del IDP y establecer el administrador de Alteryx Server predeterminado.
Establecer un administrador predeterminado de Gallery para SAML
Se debe crear una cuenta de administrador de Gallery (Server) para administrar el sitio (administrar usuarios, flujos de trabajo, etc.). En el caso de la autenticación SAML, selecciona Verify IDP para probar la configuración del IDP y completa el campo con las credenciales del IDP.
Acabas de iniciar sesión como administrador de Server. Ahora puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.