Authentification et autorisation
Ce contenu fait partie de la méthodologie Tableau Blueprint. Découvrez Tableau Blueprint(Le lien s’ouvre dans une nouvelle fenêtre) .
Tableau propose des fonctionnalités exhaustives et une intégration poussée pour relever tous les défis en matière de sécurité professionnelle. Pour en savoir plus, consultez le document Sécurité de la plate-forme Tableau Server (en anglais), la rubrique Liste de contrôle pour une sécurité renforcée de Tableau Server (Windows | Linux) ou le livre blanc Sécurité dans le cloud pour Tableau Cloud.
Banque d'identités
Tableau Server nécessite une banque d'identités (Windows | Linux) pour gérer les informations des utilisateurs et des groupes. Il existe deux types de banques d'identités : en local (Tableau Server) et externe (Active Directory, LDAP). Lorsque vous installez Tableau Server, vous devez configurer une banque d'identités en local ou externe. Pour en savoir plus sur les options de configuration de la banque d'identités, consultez la rubrique Entité identityStore.
Lorsque vous configurez Tableau Server avec une banque d'identités locale, toutes les informations des utilisateurs et des groupes sont stockées et gérées dans le référentiel de Tableau Server. Dans ce type de scénario, il n'y a aucune source externe pour les utilisateurs et les groupes. Remarque : Pour changer de banque d'identités après l'installation du serveur, vous devez effectuer une désinstallation complète, puis une réinstallation.
Lorsque vous configurez Tableau Server avec une banque d'identités externe, toutes les informations des utilisateurs et des groupes sont stockées et gérées par un service de répertoire externe. Tableau Server doit se synchroniser avec la banque d'identités externe pour que des copies locales des utilisateurs et des groupes soient présentes dans le référentiel de Tableau Server, mais la banque externe reste la source principale pour toutes les données sur les utilisateurs et les groupes. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d'identification sont transmises à la banque externe, qui doit procéder à l'authentification de ces utilisateurs (Windows | Linux). Cette authentification n'est pas effectuée par Tableau Server. Néanmoins, les noms des utilisateurs Tableau stockés dans la banque d'identités sont associés à des droits et des autorisations pour Tableau Server. Une fois l'authentification vérifiée, Tableau Server gère l'accès des utilisateurs aux ressources Tableau (autorisations).
Authentification
L'authentification permet de vérifier l'identité d'un utilisateur. Toute personne devant accéder à Tableau Server ou à Tableau Cloud, que ce soit pour gérer le serveur ou le site, ou pour publier, consulter ou gérer du contenu, doit correspondre à un utilisateur dans le magasin d'identités de Tableau Server ou à un utilisateur Tableau Cloud. L'authentification peut être effectuée par Tableau Server ou Tableau Cloud (authentification locale) ou par un processus externe. En cas d'authentification externe, vous devez configurer Tableau Server en vue d'utiliser des protocoles appropriés, comme Active Directory, OpenLDAP, SAML ou OpenID, ou configurer Tableau Cloud afin de passer par Google ou SAML.
Authentification dans Tableau Cloud
Tableau Cloud prend en charge les types d'authentifications suivants, dont les paramètres figurent sur la page Authentification. Pour en savoir plus, consultez la rubrique Authentification pour Tableau Cloud.
- Tableau : c'est le type d'authentification par défaut. Il est disponible pour tous les sites et ne nécessite aucune étape de configuration supplémentaire avant l'ajout des utilisateurs. Les identifiants Tableau comprennent un nom d'utilisateur et un mot de passe, qui sont enregistrés par Tableau Cloud. Les utilisateurs saisissent leurs identifiants directement sur la page de connexion de Tableau Cloud.
- Google : si votre entreprise utilise des applications Google, vous pouvez configurer Tableau Cloud de manière à utiliser un compte Google comme méthode d'authentification unique (SSO), via OpenID Connect. Lorsque vous activez l'authentification Google, les utilisateurs sont redirigés vers la page de connexion Google et invités à saisir leurs identifiants, qui sont enregistrés par Google.
- SAML : l'authentification unique est également possible via SAML. Dans ce cas, vous utilisez un fournisseur d'identité tiers et configurez le site de manière à utiliser une relation de confiance avec ce fournisseur. Lorsque vous activez SAML, les utilisateurs sont redirigés vers la page de connexion du fournisseur d'identité et invités à saisir leurs identifiants d'authentification unique, qui sont déjà enregistrés chez ce fournisseur.
Exigence d'authentification multifacteur pour Tableau Cloud
En plus du type d'authentification que vous configurez pour votre site, l'authentification multifacteur (MFA) par le biais de votre fournisseur d'identité (IdP) est obligatoire depuis le 1er février 2022. Si votre organisation n'utilise pas d'IdP pour la connexion unique, vous pouvez utiliser Tableau avec l'authentification MFA pour répondre à cette exigence. Pour en savoir plus, consultez la rubrique Authentification multifacteur et Tableau Cloud.
Authentification dans Tableau Server
Le tableau ci-dessous indique la compatibilité entre les méthodes d'authentification Tableau Server et les magasins d'identités.
Méthode d'authentification | Authentification locale | AD/LDAP |
|---|---|---|
SAML | Oui | Oui |
Kerberos | Non | Oui |
SSL mutualisé | Oui | Oui |
OpenID | Oui | Non |
Authentification de confiance | Oui | Oui |
Active Directory et OpenLDAP
Dans ce scénario, Tableau Server doit être installé dans un domaine dans Active Directory. Tableau Server synchronisera les métadonnées des utilisateurs et des groupes depuis Active Directory vers la banque d'identités. Vous n'avez pas besoin d'ajouter des utilisateurs manuellement. Néanmoins, une fois les données synchronisées, vous devez attribuer des rôles sur le site et le serveur. Vous pouvez les attribuer individuellement ou au niveau des groupes. Tableau Server n'effectue pas de synchronisation de données vers Active Directory. Tableau Server gère les accès au contenu et au serveur en fonction des données d'autorisation des rôles sur le site stockées dans le référentiel.
Si vous utilisez déjà Active Directory pour gérer les utilisateurs dans votre entreprise, vous devez sélectionner l'authentification Active Directory au cours de la configuration de Tableau. Par exemple, en synchronisant des groupes Active Directory, vous pouvez définir des autorisations minimales Tableau pour les rôles sur le site, pour les utilisateurs qui sont synchronisés dans ces groupes. Vous pouvez synchroniser l'ensemble des groupes Active Directory ou des groupes spécifiques. Pour en savoir plus, consultez la rubrique Synchroniser tous les groupes Active Directory sur le serveur. Consultez également la rubrique Gestion des utilisateurs dans un déploiement Active Directory pour comprendre l'impact des domaines multiples, de l'attribution des noms de domaine, de NetBIOS et du format de noms d'utilisateurs Active Directory sur la gestion des utilisateurs Tableau.
Vous pouvez également configurer Tableau Server de manière à utiliser LDAP comme moyen générique de communiquer avec la banque d'identités. Par exemple, OpenLDAP est l'une des nombreuses mises en œuvre de serveur LDAP avec un schéma flexible. Tableau Server peut être configuré pour envoyer des requêtes au serveur OpenLDAP. Consultez la rubrique Magasin d'identités. Dans ce scénario, l'authentification peut être fournie par la solution LDAP native, ou par une solution d'authentification unique. Le schéma ci-dessous illustre un déploiement Tableau Server avec une authentification Active Directory/OpenLDAP.
SAML
SAML (Security Assertion Markup Language) est une norme XML qui permet aux domaines Web sécurisés d'échanger des données sur l'authentification et l'autorisation des utilisateurs. Vous pouvez configurer Tableau Server et Tableau Cloud de manière à utiliser un fournisseur d'identité externe pour authentifier les utilisateurs via SAML 2.0.
Tableau Server et Tableau Cloud prennent en charge le protocole SAML généré par un prestataire de service et par un fournisseur d'identité, depuis les navigateurs et l'application Tableau Mobile. Pour les connexions provenant de Tableau Desktop, la requête SAML doit être générée par un prestataire de service. Les identifiants des utilisateurs ne sont pas enregistrés par Tableau Server ou Tableau Cloud, et l'utilisation de SAML vous permet d'ajouter Tableau à votre environnement d'authentification unique. L'authentification des utilisateurs par SAML ne concerne pas les autorisations définies pour le contenu Tableau Server ou Tableau Cloud, comme les sources de données et les classeurs. Elle ne contrôle pas non plus les accès aux données sous-jacentes auxquelles les classeurs et les sources de données se connectent.
Pour Tableau Server, vous pouvez utiliser une authentification SAML pour tout le serveur, ou effectuer une configuration pour chaque site. Voici un aperçu de ces options :
- Authentification SAML sur l'ensemble du serveur Une application SAML d'un fournisseur d'identités unique gère l'authentification de tous les utilisateurs Tableau Server. Utilisez cette option si votre serveur dispose uniquement du site par défaut.
De plus, si vous souhaitez utiliser une authentification SAML spécifique à chaque site Tableau Server, vous devez configurer SAML pour l'ensemble de Tableau Server avant de pouvoir configurer des sites individuels. Pour utiliser des configurations SAML pour chaque site, il n'est cependant pas nécessaire d'activer SAML pour l'ensemble du serveur : ce protocole doit uniquement être configuré.
- Authentification locale à l'échelle du serveur et authentification SAML spécifique à un site Dans un environnement composé de plusieurs sites, les utilisateurs qui ne sont pas configurés pour l'authentification SAML au niveau d'un site peuvent se connecter grâce à l'authentification locale.
- Authentification SAML à l'échelle du serveur et authentification SAML spécifique à un site Dans un environnement composé de plusieurs sites, tous les utilisateurs s'authentifient à l'aide d'un fournisseur d'identités SAML configuré au niveau du site. Pour les utilisateurs appartenant à plusieurs sites, vous devez spécifier un fournisseur d'identités SAML par défaut à l'échelle du serveur.
Pour en savoir plus, consultez la rubrique SAML (Windows | Linux). Le schéma ci-dessous illustre un déploiement Tableau Server avec une authentification SAML.
Avant de configurer SAML pour Tableau Cloud, consultez les ressources suivantes :
- Exigences liées au fournisseur d'identité pour la configuration de Tableau
- Remarques sur la compatibilité SAML et les exigences
- Utilisation de SSO SAML dans les applications client Tableau
- Effets sur Tableau Bridge d'un changement de type d'authentification
- Exigences liées aux données XML
REMARQUE : en plus de ces exigences, nous vous recommandons de prévoir un compte d'administrateur de site Tableau Cloud dédié, configuré avec l'authentification Tableau. Ainsi, en cas de problème avec SAML ou le fournisseur d'identité, ce compte vous permet de continuer à accéder à votre site Tableau Cloud.
Tickets de confiance
Si vous intégrez des vues Tableau Server à des pages Web, toutes les personnes qui consultent la page doivent posséder une licence Tableau Server. Lorsque des utilisateurs visitent la page, ils sont invités à se connecter à Tableau Server pour pouvoir afficher la vue. Si vous avez déjà mis en place un système d'authentification sur la page Web ou dans votre application Web, vous pouvez ignorer cette invite et éviter à vos utilisateurs qu'ils se connectent deux fois en configurant l'authentification de confiance.
L'authentification de confiance signifie simplement que vous avez établi une relation de confiance entre Tableau Server et un ou plusieurs serveurs Web. Lorsque Tableau Server reçoit des demandes de ces serveurs Web de confiance, il suppose que votre serveur Web a vérifié toutes les authentifications nécessaires.
Si votre serveur Web utilise SSPI (Security Support Provider Interface), vous n'avez pas besoin de configurer une authentification de confiance. Vous pouvez intégrer des vues et vos utilisateurs y auront accès de manière sécurisée tant qu'ils possèdent une licence Tableau Server et sont membres de votre Active Directory (Windows | Linux). Le schéma ci-dessous illustre un déploiement Tableau Server avec des tickets de confiance.
SSL mutualisé
Avec le SSL mutualisé, vous pouvez offrir aux utilisateurs de Tableau Desktop et d'autres clients Tableau approuvés une expérience d'accès direct et sécurisé à Tableau Server. Grâce au SSL mutualisé, lorsqu'un client avec un certificat SSL valide se connecte à Tableau Server, Tableau Server confirme l'existence du certificat client et authentifie l'utilisateur, en fonction du nom d'utilisateur contenu dans le certificat client. Si le client ne dispose pas d'un certificat SSL valide, Tableau Server peut refuser la connexion. Vous pouvez également configurer Tableau Server de manière à ce qu'il bascule vers l'authentification par nom d'utilisateur/mot de passe si le SSL mutualisé échoue.
Autorisation
Une fois l'authentification effectuée, l'autorisation permet de déterminer le contenu auquel l'utilisateur a accès sur Tableau Server ou Tableau Cloud, et comment il peut y accéder. Pour en savoir plus, consultez la rubrique Gouvernance avec Tableau. L'autorisation inclut :
- ce que les utilisateurs sont autorisés à faire avec le contenu hébergé sur Tableau Server ou Tableau Cloud, y compris les projets, les sites, les classeurs et les vues ;
- ce que les utilisateurs sont autorisés à faire avec les sources de données gérées par Tableau Server ou Tableau Cloud ;
- les tâches que les utilisateurs sont autorisés à effectuer pour gérer Tableau Server ou Tableau Cloud, notamment la configuration des paramètres du serveur ou du site, l'exécution d'outils en ligne de commande, et bien d'autres.
L'autorisation est gérée dans Tableau Server et Tableau Cloud. Elle est déterminée en fonction du type de licence de l'utilisateur (Creator, Explorer, Viewer), du rôle de l'utilisateur sur le site et des autorisations associées aux éléments comme les classeurs et les sources de données. L'équipe du projet doit réfléchir au modèle d'autorisations et le définir. Les administrateurs de site/Tableau Server ou les administrateurs de site Tableau Cloud attribuent les règles d'autorisation aux groupes et les verrouillent dans le projet. Les autorisations personnalisées offrent une granularité plus fine, de l'accès à une source de données ou son téléchargement au mode d'interaction d'un utilisateur avec le contenu publié.
Grâce à l'interface intuitive de Tableau, vous pouvez facilement relier les utilisateurs aux groupes fonctionnels, attribuer les autorisations aux groupes et voir qui a accès à quel contenu. Vous pouvez créer des groupes localement sur le serveur ou les importer à partir d'Active Directory et les synchroniser régulièrement. La vue des autorisations permet également aux utilisateurs métier de gérer leurs propres utilisateurs et groupes. Pour en savoir plus, consultez les pages Démarrage rapide : Autorisations, Configurer des projets, des groupes et des autorisations pour le libre-service géré et Référence d'autorisations.