Skip to main content

Configurar la autenticación de Alteryx Server

Configura el método de autenticación que deseas utilizar para administrar el acceso a Server en la Configuración del sistema > Gallery Authentication.

Comienza seleccionando el método de autenticación que deseas utilizar para Server. Luego, sigue los pasos de configuración para el método seleccionado.

Seleccionar el método de autenticación

Server admite autenticación integrada, autenticación integrada de Windows con o sin compatibilidad con Kerberos y autenticación SAML.

  • Built-in (integrada): los usuarios especifican una dirección de correo electrónico y una contraseña de su elección para acceder a Server.

  • Integrated Windows authentication (autenticación integrada de Windows): los usuarios acceden a Server con credenciales de red internas.

  • Integrated Windows authentication with Kerberos (autenticación integrada de Windows con Kerberos): los usuarios acceden a Server con credenciales de red internas mediante protocolos de autenticación de Kerberos. El proceso de instalación para la autenticación integrada de Windows y la autenticación integrada de Windows con Kerberos es el mismo. Para obtener más información, ve a Completar la configuración para el método de autenticación seleccionado y elige Configurar autenticación integrada de Windows.

  • SAML authentication (autenticación SAML): los usuarios acceden a Server con credenciales de proveedor de identidad (IDP).

    Thumbnail

Aviso

Server no permite cambiar el método de autenticación después de la configuración. De lo contrario, la funcionalidad de Server se podría ver comprometida. Si deseas cambiar el método de autenticación, comunícate con el equipo de cuentas para analizar las opciones de ayuda.

Completar la configuración para el método de autenticación seleccionado

La configuración de cada método de autenticación varía. Elige el método de autenticación seleccionado a fin de ver los pasos necesarios para completar la configuración.

Paso 2. Finalizar la creación de la cuenta de administrador de Gallery

  1. Para completar la creación de la cuenta de administrador de Gallery, ve a la página de inicio de sesión de Server. Para ello, selecciona el enlace a Server que se muestra en la página System Settings Status o ingresa la URL de Server en un navegador de Internet.

  2. Selecciona Iniciar sesión.

  3. En la página de inicio de sesión, selecciona Registrarse para obtener una nueva cuenta.

  4. Ingresa un nombre y un apellido, y selecciona una zona horaria en el menú desplegable.

  5. En Correo electrónico, escribe la dirección de correo electrónico que ingresaste para administrador predeterminado de la Gallery en Default Gallery Administrator en la Configuración del sistema > Gallery Authentication.

  6. En Contraseña, crea una contraseña para la cuenta. Tu contraseña debe contener:

    • Al menos 8 caracteres

    • Al menos 1 letra

    • Al menos 1 número

    • Letras mayúsculas y minúsculas

    • Al menos 1 carácter especial

  7. Selecciona Registrarse.

Acabas de iniciar sesión como administrador de Gallery (Server). Las credenciales que ingresaste en el formulario de suscripción se guardan como las credenciales que usarás en el futuro. Ahora puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.

Importante

Si utilizas AWS con la autenticación de Windows, la conexión TCP debe tener el mismo puerto de origen para permanecer autenticado. Por este motivo, recomendamos utilizar el equilibrador de carga clásico o de red, en lugar del equilibrador de carga de aplicaciones.

Nota

La diferencia en la configuración de la autenticación integrada de Windows y la autenticación integrada de Windows con Kerberos es el protocolo que se utiliza para autenticar a los usuarios con Active Directory. La opción "Integrated Windows Authentication" (autenticación integrada de Windows) utiliza NTLM, mientras que la opción "Integrated Windows Authentication with Kerberos" (autenticación integrada de Windows con Kerberos) reemplaza NTLM por Kerberos.

No se necesita ninguna configuración especial en Server, pero la opción con Kerberos requiere que un nombre de dominio y un KDC de Kerberos configurados correctamente estén presentes en el dominio de Active Directory.

Paso 2. Acceder a Server

El administrador predeterminado de la Gallery (Server) ahora puede acceder a Server. Para ello, selecciona el enlace a Server que se muestra en la página System Settings Status o ingresa la URL de Server en un navegador de Internet. Acabas de iniciar sesión como administrador de Gallery (Server) y puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.

Compatibilidad con varios dominios

Server admite varios dominios para la autenticación de Windows. No es necesario configurar nada en Server para habilitar esta opción, pero estas funcionalidades y permisos tienen que estar presentes en todos los dominios.

  • El dominio en el que se ejecuta Server debe tener la misma política de confianza que otros usuarios del dominio para que Active Directory pueda resolver y determinar los permisos de los usuarios.

  • Ambos dominios deben formar parte del mismo bosque.

  • Alteryx Service debe poder leer todos los atributos de los contenedores CN=Users y CN=Computers para ambos dominios. Alteryx Service se ejecuta con la cuenta del sistema local en el servidor en el que está instalado. Si defines una cuenta de servicio dedicada, en lugar de usar el sistema local, la cuenta debe tener permiso para leer todos los atributos de ambos contenedores a fin de habilitar la autenticación para ambos dominios.

Para configurar la autenticación SAML para el inicio de sesión único (SSO), el proveedor de identidad (IDP) debe admitir SAML.

Importante

Antes de configurar la autenticación SAML para Server, debes agregar Server como proveedor de servicios en el IDP. El IDP podría requerir lo siguiente:

  • La URL base de ACS (por ejemplo, http://localhost/webapi/Saml2/Acs).

  • El Id. de entidad de SP (por ejemplo, http://localhost/webapi/Saml2).

A partir de la versión 2022.3, utilizaremos puntos de conexión de proveedor de servicios actualizados a través del servicio de la API web. Las configuraciones existentes que usan los puntos de conexión anteriores siguen funcionando y no es necesario realizar ninguna acción en este momento para continuar utilizando SAML en el Alteryx Server existente. Para obtener más información, consulta Notas del lanzamiento de Server 2022.3.Notas del lanzamiento de Server 2022.3

  • El IDP también podría requerir que asignes instrucciones de atributo de correo electrónico, nombre y apellido a los campos correspondientes en el IDP para autenticar a los usuarios.

  • El certificado de firma de IDP se debe configurar con un algoritmo de firma de SHA-256 o superior.

  1. Selecciona una opción para obtener los metadatos requeridos por el IDP. Puedes configurar SAML mediante una URL de metadatos de IDP seleccionando la opción IDP Metadata URL o un certificado X509 y una URL de SSO de IDP seleccionando la opción X509 certificate and IDP SSO URL.

  2. Completa la configuración de IDP de SAML en la sección SAML IDP Configuration.

  • ACS Base URL (URL base de ACS): URL del servicio de afirmación del consumidor que acepta mensajes de SAML para establecer una sesión.

  • IDP URL (URL de IDP): URL de la aplicación Alteryx configurada en el IDP, también conocida como ID de entidad de IDP.

  • IDP Metadata URL (URL de metadatos de IDP): URL proporcionada por el IDP que incluye la URL de SSO de IDP y el certificado X509 para configurar el servicio de autenticación de Alteryx.

  • IDP SSO URL (URL de SSO de IDP): URL de SSO, proporcionada por el IDP, que el servicio de autenticación de Alteryx utiliza para iniciar sesión en el IDP.

  • X509 certificate (certificado X509): certificado público proporcionado por el IDP para una comunicación segura con el servicio de autenticación de Alteryx.

  • Enable Request Signing (habilitar firma de solicitudes): puedes activar esta opción en el caso de los IDP que requieren la firma de solicitudes. Esta opción requiere que se instale un certificado firmado válido con una clave privada RSA asociada en el almacén de certificados de Windows.

  • SSL/TLS Certificate Hash (hash de certificado SSL/TLS): una vez que tengas instalados el certificado y la clave privada, ingresa el hash único para el certificado SSL/TLS.

  • Verify IDP (verificar IDP): selecciona esta opción para abrir una ventana del navegador, iniciar sesión, probar la configuración del IDP y establecer el administrador de Alteryx Server predeterminado.

Establecer un administrador predeterminado de Gallery para SAML

Se debe crear una cuenta de administrador de Gallery (Server) para administrar el sitio (administrar usuarios, flujos de trabajo, etc.). En el caso de la autenticación SAML, selecciona Verify IDP para probar la configuración del IDP y completa el campo con las credenciales del IDP.

Acabas de iniciar sesión como administrador de Server. Ahora puedes agregar usuarios en Server. Ve a Agregar usuarios en Server.

Nota

Compatibilidad de grupos de Azure Active Directory con autenticación SAML

Los administradores pueden sincronizar el acceso de usuarios y grupos a Server mediante Azure Active Directory (Azure AD) y el protocolo SCIM. Esto permite a los administradores gestionar los permisos de usuarios y grupos y el acceso a Server desde su proveedor de identidad como la única fuente de información. La sincronización de usuarios y grupos de Azure AD a Server es automática. Esto agiliza la incorporación o baja de nuevos usuarios de Server.

Esta funcionalidad está disponible para los clientes que utilizan SAML como método de autenticación. Cualquier proveedor de identidad que sea compatible con SCIM puede utilizar esta funcionalidad. Ten en cuenta que solo hemos probado y admitido oficialmente Azure AD.

Para obtener más información sobre la configuración de SCIM, ve a Configuración de Alteryx Server.

Compatibilidad con Azure SCIM

Consulta estas respuestas a las preguntas más fundamentales sobre Azure SCIM junto con Alteryx Server:

Usuarios y grupos
  • Una vez que habilitas SCIM, cualquier entidad en Azure (u otro IDP) se sincronizará con Server, y los cambios futuros en estas entidades modificarán los objetos relacionados en Server. Los usuarios y grupos existentes en Server que también existan en IDP se vinculan y actualizan con los cambios del IDP. El IDP actúa como la fuente de información para estos objetos. Por ejemplo, si el usuario Juan Pérez existe en ambos y habilitas SCIM, si cambias Juan Pérez a Juan Díaz en Server, la siguiente sincronización lo volverá a cambiar a Juan Pérez.

  • Los grupos se vinculan por nombre y los usuarios por correo electrónico.

  • Los usuarios y grupos locales que solo existen en Server están fuera del alcance del IDP y permanecerán como objetos administrados por Server.

  • Es posible que algunos caracteres no se transfieran de SCIM a Server; esto depende del IDP. Si el IDP permite caracteres especiales, restringidos o reservados en el nombre de un objeto de grupo o usuario, el carácter se sincronizará con Server. No permitimos ni prohibimos explícitamente ningún carácter para estos nombres de objeto.

  • Server no inicia una conexión con el IDP para SCIM. En su lugar, proporciona una serie de puntos de conexión de API y un token de acceso que el IDP utiliza para iniciar una conexión con Server. Puedes probar manualmente estos puntos de conexión mediante las herramientas de prueba de API estándar como Postman.

  • El registro de auditoría de Server audita todos los cambios en los objetos de usuario y grupo. Esto incluye los cambios realizados por SCIM.

Roles y permisos
  • SCIM no actualiza los roles, los permisos o la propiedad de los activos. Por lo tanto, los usuarios y grupos existentes conservan los activos que poseen actualmente, así como los roles y permisos que tienen asignados.

  • La configuración de los grupos de Server determina los permisos. Azure Active Directory no almacena permisos.

  • Cuando sincronizas un grupo de AD de Azure a Server, los administradores pueden establecer permisos para ese grupo recién creado en Server. Luego, cuando incorporas un nuevo usuario a ese grupo de AD, SCIM agrega automáticamente a dicho usuario al grupo de Server. A continuación, el usuario obtiene permisos basados en ese grupo de Server.

  • La característica SCIM solo incluye otorgar acceso a usuarios y grupos a Server desde Azure AD. Esta sincronización no incluye permisos para ningún otro activo en Azure, como las bases de datos. Los usuarios seguirán necesitando utilizar conexiones de datos de Server o DCM para todos los datos.

SCIM y restauración
  • Si tienes que volver a una versión anterior de Server que no incluya SCIM, este no funcionará y no estará disponible hasta que vuelvas a actualizar Server.

  • Si restauras una copia de seguridad de la base de datos desde antes de que hayas configurado SCIM, debes volver a configurar SCIM después de la restauración y realizar la sincronización inicial.

  • Si tienes que restaurar una copia de seguridad a una versión de Server que usa SCIM, debes realizar una resincronización completa desde el lado del IDP para que nuestra base de datos vuelva a estar sincronizada con el IDP.

Programaciones
  • Cuando deshabilitas un usuario mediante SCIM, las programaciones se comportarán como lo hacen ahora cuando desactivas o eliminas un usuario. Se comportarán igual que si desactivaras al usuario a través de la API o la interfaz de usuario de Server o lo eliminaras a través de la API. Para obtener más información, ve a Desactivar un usuario.

Tiempos de sincronización de SCIM con Server
  • Los tiempos de sincronización varían según el IDP y pueden configurarse. Para Azure, las sincronizaciones pueden tardar hasta 40 minutos y es un valor estático que no se puede configurar.

Uso de Okta y otros IDP
  • Hemos hecho pruebas extensas con Azure y pruebas limitadas con Okta. Sin embargo, no pudimos probar el agente de aprovisionamiento de Okta, ya que solo se proporciona a los clientes de pago. Los otros IDP deberían funcionar, pero no se han probado.