Authentification et autorisation
Ce contenu fait partie de Tableau Blueprint, un cadre de maturité qui vous permet de réaliser une évaluation approfondie et d’améliorer la manière dont votre organisation utilise les données pour générer un impact. Pour commencer votre parcours, répondez aux questions de notre évaluation(Le lien s’ouvre dans une nouvelle fenêtre).
Tableau propose des fonctionnalités exhaustives et une intégration poussée pour relever tous les défis en matière de sécurité professionnelle. Pour en savoir plus, consultez le document Sécurité de la plate-forme Tableau Server (en anglais), la rubrique Liste de contrôle pour une sécurité renforcée de Tableau Server (Windows | Linux) ou le livre blanc Sécurité dans le cloud pour Tableau Cloud.
Magasin d'identités
Tableau Server nécessite un magasin d'identités (Windows | Linux) pour gérer les informations des utilisateurs et des groupes. Il existe deux types de magasin d'identités : en local (Tableau Server) et externe (Active Directory, LDAP). Lorsque vous installez Tableau Server, vous devez configurer un magasin d’identités local ou externe. Pour des informations sur les options de configuration du magasin d'identités, consultez Entité identityStore.
Lorsque vous configurez Tableau Server avec un magasin d'identités locale, toutes les informations des utilisateurs et des groupes sont stockées et gérées dans le référentiel de Tableau Server. Dans le cas d’un magasin d’identités local, il n’y a pas de source externe pour les utilisateurs et les groupes. Remarque : pour changer de magasin d'identités après l'installation du serveur, vous devez effectuer une désinstallation complète, puis une réinstallation.
Lorsque vous configurez Tableau Server avec un magasin d'identités externe, toutes les informations des utilisateurs et des groupes sont stockées et gérées par un service de répertoire externe. Tableau Server doit se synchroniser avec le magasin d'identités externe pour que des copies locales des utilisateurs et des groupes soient présentes dans le référentiel de Tableau Server, mais le magasin externe reste la source principale pour toutes les données sur les utilisateurs et les groupes. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d'identification sont transmises au magasin externe, qui doit procéder à l'authentification de ces utilisateurs (Windows | Linux). Cette authentification n'est pas effectuée par Tableau Server. Néanmoins, les noms des utilisateurs Tableau stockés dans le magasin d'identités sont associés à des droits et des autorisations pour Tableau Server. Une fois l'authentification vérifiée, Tableau Server gère l'accès des utilisateurs aux ressources Tableau (autorisations).
Authentification
L'authentification permet de vérifier l'identité d'un utilisateur. Toute personne devant accéder à Tableau Server ou à Tableau Cloud, que ce soit pour gérer le serveur ou le site, ou pour publier, consulter ou gérer du contenu, doit correspondre à un utilisateur dans le magasin d'identités de Tableau Server ou à un utilisateur Tableau Cloud. L'authentification peut être effectuée par Tableau Server ou Tableau Cloud (authentification locale) ou par un processus externe. En cas d'authentification externe, vous devez configurer Tableau Server en vue d'utiliser des protocoles appropriés, comme Active Directory, OpenLDAP, SAML ou OpenID, ou configurer Tableau Cloud afin de passer par Google ou SAML.
Authentification dans Tableau Cloud
Tableau Cloud prend en charge les types d'authentifications suivants, dont les paramètres figurent sur la page Authentification. Pour en savoir plus, consultez la rubrique Authentification pour Tableau Cloud.
- Tableau : type d'authentification par défaut, disponible sur tous les sites et ne requérant aucune étape de configuration supplémentaire avant l'ajout d'utilisateurs. Les identifiants Tableau comprennent un nom d'utilisateur et un mot de passe, qui sont enregistrés par Tableau Cloud. Les utilisateurs saisissent leurs identifiants directement sur la page de connexion de Tableau Cloud.
- Google : si votre entreprise utilise des applications Google, vous pouvez configurer Tableau Cloud de manière à utiliser un compte Google comme méthode d'authentification unique (SSO), via OpenID Connect. Lorsque vous activez l’authentification Google, les utilisateurs sont dirigés sur la page de connexion Google où ils entrent leurs informations d’identification stockées par Google.
- SAML : une autre manière d’utiliser l’authentification SSO se fait via SAML. Pour cela, vous utilisez un fournisseur d'identité (IdP) tiers et vous configurez le site de manière à établir une relation de confiance avec l'IdP. Lorsque vous activez SAML, les utilisateurs sont redirigés vers la page de connexion du fournisseur d'identité et invités à saisir leurs identifiants d'authentification unique, qui sont déjà enregistrés chez ce fournisseur.
Exigence d'authentification multifacteur pour Tableau Cloud
En plus du type d'authentification que vous configurez pour votre site, l'authentification multifacteur (MFA) via votre fournisseur d'identité SSO (IdP) est une exigence de Tableau Cloud à compter du 1er février 2022. Si votre entreprise ne travaille pas directement avec un IdP SSO, vous pouvez utiliser Tableau avec l'authentification MFA pour répondre à l'exigence MFA. Pour en savoir plus, consultez la rubrique Authentification multifacteur et Tableau Cloud.
Authentification dans Tableau Server
Le tableau ci-dessous indique la compatibilité entre les méthodes d'authentification Tableau Server et les magasins d'identités.
Méthode d'authentification | Authentification locale | AD/LDAP |
|---|---|---|
SAML | Oui | Oui |
Kerberos | Non | Oui |
SSL mutuel | Oui | Oui |
OpenID | Oui | Non |
Authentification de confiance | Oui | Oui |
Active Directory et OpenLDAP
Dans ce scénario, Tableau Server doit être installé dans un domaine dans Active Directory. Tableau Server synchronise les métadonnées des utilisateurs et des groupes depuis Active Directory sur le magasin d'identités. Vous n'avez pas besoin d'ajouter manuellement des utilisateurs. Toutefois, une fois que les données sont synchronisées, vous devrez affecter les rôles de site et de serveur. Vous pouvez les attribuer individuellement ou au niveau du groupe. Tableau Server ne resynchronise pas les données vers Active Directory. Tableau Server gère les accès au contenu et au serveur en fonction des données d'autorisation des rôles sur le site stockées dans le référentiel.
Si vous utilisez déjà Active Directory pour gérer les utilisateurs dans votre entreprise, vous devez sélectionner l'authentification Active Directory au cours de la configuration de Tableau. Par exemple, en synchronisant des groupes Active Directory, vous pouvez définir des autorisations minimales Tableau pour les rôles sur le site, pour les utilisateurs qui sont synchronisés dans ces groupes. Vous pouvez synchroniser des groupes Active Directory spécifiques, ou vous pouvez les synchroniser tous. Pour en savoir plus, consultez la rubrique Synchroniser tous les groupes Active Directory sur le serveur. Assurez-vous de lire la Gestion des utilisateurs dans des déploiements Active Directory pour comprendre comment plusieurs domaines, le nom de domaine, NetBIOS et le format du nom d'utilisateur Active Directory influencent la gestion des utilisateurs Tableau.
Vous pouvez également configurer Tableau Server de manière à utiliser LDAP comme moyen générique de communiquer avec le magasin d’identités. Par exemple, OpenLDAP est l'une des nombreuses mises en œuvre de serveur LDAP avec un schéma flexible. Il est possible de configurer Tableau Server pour qu’il interroge un serveur OpenLDAP. Consultez la rubrique Magasin d'identités. Dans ce scénario, l'authentification peut être fournie par la solution LDAP native, ou par une solution d'authentification unique. Le schéma ci-dessous illustre un déploiement Tableau Server avec une authentification Active Directory/OpenLDAP.
SAML
SAML (Security Assertion Markup Language) est une norme XML qui permet aux domaines Web sécurisés d’échanger des données sur l'authentification et les autorisations des utilisateurs. Vous pouvez configurer Tableau Server et Tableau Cloud de manière à utiliser un fournisseur d'identité externe pour authentifier les utilisateurs via SAML 2.0.
Tableau Server et Tableau Cloud prennent en charge le protocole SAML généré par un prestataire de service et par un fournisseur d'identité, depuis les navigateurs et l'application Tableau Mobile. Pour les connexions provenant de Tableau Desktop, la requête SAML doit être générée par un prestataire de service. Les identifiants des utilisateurs ne sont pas enregistrés par Tableau Server ou Tableau Cloud, et l'utilisation de SAML vous permet d'ajouter Tableau à votre environnement d'authentification unique. L'authentification des utilisateurs par SAML ne concerne pas les autorisations définies pour le contenu Tableau Server ou Tableau Cloud, comme les sources de données et les classeurs. Elle ne contrôle pas non plus l’accès aux données sous-jacentes auxquelles les classeurs et les sources de données se connectent.
Pour Tableau Server, vous pouvez utiliser une authentification SAML pour tout le serveur, ou effectuer une configuration pour chaque site. Voici un aperçu de ces options :
- Authentification SAML sur l’ensemble du serveur Une application SAML d'un fournisseur d'identités unique gère l'authentification de tous les utilisateurs Tableau Server. Utilisez cette option si votre serveur ne comprend que le site par défaut.
De plus, si vous souhaitez utiliser une authentification SAML spécifique à chaque site Tableau Server, vous devez configurer SAML pour l'ensemble de Tableau Server avant de pouvoir configurer des sites individuels. Pour utiliser des configurations SAML pour chaque site Tableau, il n'est cependant pas nécessaire d'activer SAML pour l'ensemble du serveur : ce protocole doit uniquement être configuré.
- Authentification locale à l’échelle du serveur et authentification SAML spécifique à un site Dans un environnement à plusieurs sites, les utilisateurs dont l’authentification SAML n’est pas activée au niveau du site peuvent se connecter avec l’authentification locale.
- Authentification SAML à l’échelle du serveur et authentification SAML spécifique à un site Dans un environnement à plusieurs sites, tous les utilisateurs peuvent s’authentifier via un IdP SAML configuré au niveau du site, et vous spécifiez un IdP SAML par défaut sur l’ensemble du site pour tous les utilisateurs qui appartiennent à plusieurs sites.
Pour en savoir plus, consultez la rubrique SAML (Windows | Linux). Le schéma ci-dessous illustre un déploiement Tableau Server avec une authentification SAML.
Avant de configurer SAML pour Tableau Cloud, consultez les ressources suivantes :
- Exigences liées au fournisseur d'identité pour la configuration de Tableau
- Remarques sur la compatibilité SAML et les exigences
- Utilisation de SSO SAML dans les applications client Tableau
- Effets sur Tableau Bridge d’un changement de type d’authentification
- Exigences liées aux données XML
NOTE : en plus de ces exigences, nous vous recommandons de prévoir un compte d'administrateur de site Tableau Cloud dédié, configuré avec l'authentification Tableau. Ainsi, en cas de problème avec SAML ou le fournisseur d'identité, ce compte vous permet de continuer à accéder à votre site Tableau Cloud.
Tickets de confiance
Si vous intégrez des vues Tableau Server à des pages Web, toutes les personnes qui consultent la page doivent posséder une licence Tableau Server. Lorsque des utilisateurs visitent la page, ils sont invités à se connecter à Tableau Server pour pouvoir afficher la vue. Si vous possédez déjà un moyen d’authentifier les utilisateurs sur la page Web ou dans votre application Web, vous pouvez ignorer cette invite et éviter à vos utilisateurs de se connecter deux fois en configurant l’authentification de confiance.
L’authentification de confiance signifie simplement que vous avez établi une relation de confiance entre Tableau Server et un ou plusieurs serveurs Web. Lorsque Tableau Server reçoit des demandes de ces serveurs Web de confiance, il suppose que votre serveur Web a vérifié toutes les authentifications nécessaires.
Si votre serveur Web utilise SSPI (Security Support Provider Interface), vous n’avez pas besoin de configurer une authentification de confiance. Vous pouvez intégrer des vues et vos utilisateurs y auront accès de manière sécurisée tant qu'ils possèdent une licence Tableau Server et sont membres de votre Active Directory (Windows | Linux). Le schéma ci-dessous illustre un déploiement Tableau Server avec des tickets de confiance.
SSL mutuel
Avec le SSL mutuel, vous pouvez offrir aux utilisateurs de Tableau Desktop et d'autres clients Tableau approuvés une expérience d'accès direct et sécurisé à Tableau Server. Grâce au SSL mutuel, lorsqu'un client avec un certificat SSL valide se connecte à Tableau Server, Tableau Server confirme l'existence du certificat client et authentifie l'utilisateur, en fonction du nom d'utilisateur contenu dans le certificat client. Si le client ne possède pas un certificat SSL valide, Tableau Server peut refuser la connexion. Vous pouvez également configurer Tableau Server de manière à ce qu'il bascule vers l'authentification par nom d'utilisateur/mot de passe si le SSL mutuel échoue.
Autorisation
Une fois l'authentification effectuée, l'autorisation permet de déterminer le contenu auquel l'utilisateur a accès sur Tableau Server ou Tableau Cloud, et comment il peut y accéder. Pour plus d’informations, consultez La gouvernance avec Tableau. L'autorisation inclut :
- ce que les utilisateurs sont autorisés à faire avec le contenu hébergé sur Tableau Server ou Tableau Cloud, y compris les projets, les sites, les classeurs et les vues ;
- ce que les utilisateurs sont autorisés à faire avec les sources de données gérées par Tableau Server ou Tableau Cloud ;
- les tâches que les utilisateurs sont autorisés à effectuer pour gérer Tableau Server ou Tableau Cloud, notamment la configuration des paramètres du serveur ou du site, l'exécution d'outils en ligne de commande, et bien d'autres.
L'autorisation est gérée dans Tableau Server et Tableau Cloud. Elle est déterminée en fonction du niveau de licence de l'utilisateur (Tableau Creator, Tableau Explorer, Tableau Viewer), du rôle de l'utilisateur sur le site et des autorisations associées aux éléments comme les classeurs et les sources de données. L'équipe du projet doit réfléchir au modèle d'autorisations et le définir. Les administrateurs de site/Tableau Server ou les administrateurs de site Tableau Cloud attribuent les règles d'autorisation aux groupes et les verrouillent dans le projet. Les autorisations personnalisées offrent une granularité plus fine, de l'accès à une source de données ou son téléchargement au mode d'interaction d'un utilisateur avec le contenu publié.
Grâce à l'interface intuitive de Tableau, vous pouvez facilement relier les utilisateurs aux groupes fonctionnels, attribuer les autorisations aux groupes et voir qui a accès à quel contenu. Vous pouvez créer des groupes localement sur le serveur ou les importer à partir d'Active Directory et les synchroniser régulièrement. La vue des autorisations permet également aux utilisateurs métier de gérer leurs propres utilisateurs et groupes. Pour en savoir plus, consultez les pages Démarrage rapide : Autorisations, Configurer des projets, des groupes et des autorisations pour le libre-service géré et Référence d'autorisations.