Authentification de contrôle et accès pour Tableau Mobile

Méthodes d'authentification prises en charge

Tableau Server

Tableau Mobile prend en charge les méthodes d’authentification suivantes pour Tableau Server.

Méthode Considérations pour Tableau Mobile
Authentification locale (de base)  
Kerberos
  • iOS uniquement
SAML  
NTLM  
SSL mutuel
OpenID Connect

Pour plus d’informations sur la configuration de ces méthodes, consultez l'aide de Tableau Server pour Windows(Le lien s’ouvre dans une nouvelle fenêtre) et Linux (Le lien s’ouvre dans une nouvelle fenêtre).

Tableau Online

Tableau Mobile prend en charge l'ensemble des trois méthodes d’authentification pour Tableau Online.

Pour des informations sur la configuration de ces méthodes, consultez Authentification(Le lien s’ouvre dans une nouvelle fenêtre) dans l'aide de Tableau Online.

Authentification avec un navigateur de périphérique

L’authentification OpenID Connect (y compris Google) et SSL mutuel a lieu à l’aide du navigateur de l’appareil mobile (Safari, Chrome). L’échange entre le navigateur et Tableau Mobile est sécurisé par OAuth Proof Key for Code Exchange(Le lien s’ouvre dans une nouvelle fenêtre) (PKCE).

Pour que cette authentification ait lieu, vous devez activer le paramètre Connexion avec un navigateur de périphérique en suivant les instructions ci-dessous. La seule exception à cette exigence est l’authentification SSL mutuelle sur Android, qui ne nécessite aucun changement de configuration.

Tableau Server (version 2019.4 ou ultérieure)

Si vous utilisez un système MDM ou MAM, définissez le paramètre AppConfig, RequireSignInWithDeviceBrowser, sur « true ». Les utilisateurs de Tableau Server peuvent sinon activer le paramètre « Connexion avec un navigateur de périphérique » sur leurs appareils individuels. Le paramètre AppConfig remplace le paramètre utilisateur.

Tableau Online

Définissez le paramètre AppConfig, RequireSignInWithDeviceBrowser, sur « true ». Pour définir les paramètres AppConfig, vous devez déployer l’application avec un système MDM ou MAM. Le paramètre utilisateur n’a aucun effet pour Tableau Online, donc si vous n’utilisez pas un système MDM ou MAM, vous ne serez pas en mesure d’autoriser l’authentification Google.

Faire en sorte que les utilisateurs restent connectés temporairement

Pour que les utilisateurs de Tableau Mobile restent connectés temporairement, assurez-vous que les clients connectés sont activés pour Tableau Online ou Tableau Server. Si vous désactivez ce paramètre par défaut, les utilisateurs devront se connecter chaque fois qu'ils se connectent au serveur.

Vérifier les paramètres des clients connectés pour Tableau Online

  1. Connectez-vous à Tableau Online en tant qu'administrateur.
  2. Sélectionnez Paramètres, puis sélectionnez l'onglet Authentification.
  3. Sous Clients connectés, notez le paramètre Autoriser les clients à se connecter automatiquement à ce site Tableau Online.

Pour plus d’informations, consultez Accéder à des sites depuis des clients connectés dans l’aide en ligne de Tableau Online.

Vérifier les paramètres des clients connectés pour Tableau Server

  1. Connectez-vous à Tableau Server en tant qu'administrateur.
  2. Dans le menu du site, sélectionnez Gérer tous les sites, puis sélectionnez Paramètres > Général.
  3. Sous Clients connectés, désactivez le paramètre Autoriser les clients à se connecter automatiquement à Tableau Server.

Pour plus d’informations, consultez Désactiver l'authentification client automatique dans l’aide de Tableau Server.

Modifier la durée pendant laquelle les utilisateurs restent connectés à Tableau Server

Lorsque le paramètre Clients connectés n’est pas activé, la durée d’une session sur Tableau Mobile est contrôlée par les limites de Tableau Server. Lorsque le paramètre Clients connectés est activé, Tableau Mobile utilise des jetons OAuth pour rétablir la session et garder les utilisateurs connectés, tant que les jetons sont valides.

Modifier les valeurs de jeton pour les clients connectés

Pour qu'un utilisateur reste connecté, Tableau Mobile envoie un jeton d'actualisation au système d'authentification, qui délivre ensuite un nouveau jeton d'accès à l'appareil mobile. Vous pouvez modifier la durée de connexion des utilisateurs en ajustant les paramètres des jetons d'actualisation.

Dans l'interface en ligne de commande de Tableau Services Manager, définissez les options suivantes :

refresh_token.idle_expiry_in_seconds

Définit le nombre de secondes pendant lesquelles un jeton peut rester inutilisé avant son expiration. La valeur par défaut est de 1 209 600, soit 14 jours. Entrez une valeur de -1 pour que les jetons inactifs n'expirent jamais.

refresh_token.absolute_expiry_in_seconds

Définit le nombre de secondes avant l'expiration complète des jetons d'actualisation. La valeur par défaut est de 31 536 000, soit 365 jours. Entrez une valeur de -1 pour que les jetons n'expirent jamais.

refresh_token.max_count_per_user

Définit le nombre maximum de jetons d'actualisation pouvant être émis pour chaque utilisateur. La valeur par défaut est de 24. Entrez une valeur de -1 pour supprimer entièrement les limites des jetons.

Pour définir les options ci-dessus, utilisez cette syntaxe dans l'interface en ligne de commande :

tsm configuration set -k <config.key> -v <config_value>.

Par exemple, pour limiter le nombre de jetons d'actualisation à 5 par utilisateur, vous devez entrer ce qui suit :

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Pour plus d'informations, consultez Options TSM configuration set(Le lien s’ouvre dans une nouvelle fenêtre) dans l'aide de Tableau Server.

Modifier les limites de session pour Tableau Server

Si vous désactivez les clients connectés, les limites de session de Tableau Server déterminent la durée d’une session sur Tableau Mobile. Ces limites n’affectent pas les clients connectés, car les jetons d’actualisation rétablissent la session tant que les jetons sont valides. Pour plus d'informations, consultez Vérifier la configuration de la durée de vie de la session dans l'aide de Tableau Server.

Dans l'interface en ligne de commande de Tableau Services Manager, définissez l’option suivante :

wgserver.session.idle_limit

Définit le nombre de minutes avant l'expiration d'une session Tableau, nécessitant à nouveau une connexion. La valeur par défaut est 240.

Activer le verrou d'application pour plus de sécurité

Les jetons d'authentification de longue durée permettent aux utilisateurs de rester connectés et donc d'accéder de manière fluide aux données. Cet accès libre aux données du Tableau Mobile pourrait toutefois vous préoccuper. Plutôt que d'obliger les utilisateurs à se connecter plus fréquemment, vous pouvez activer le verrou d'application pour offrir aux utilisateurs un moyen simple et sécurisé d'accéder au contenu.

Le verrou d'application pour Tableau Mobile n'authentifie pas les utilisateurs avec Tableau Server ou Tableau Online, mais fournit une couche de sécurité pour les utilisateurs qui sont déjà connectés. Lorsque le verrou d'application est activé, les utilisateurs doivent ouvrir l'application en utilisant la méthode de sécurité qu'ils ont configurée pour déverrouiller leurs appareils. Les méthodes biométriques prises en charge sont Face ID ou Touch ID (iOS) et l'empreinte digitale, le visage ou l’iris (Android). Les méthodes alternatives prises en charge sont le mot de passe (iOS) et le schéma, le code PIN ou le mot de passe (Android).

Avant d'activer le verrou d'application

Assurez-vous que le paramètre Clients connectés pour Tableau Server ou Tableau Online est activé. Pour plus d'informations, consultez Faire en sorte que les utilisateurs restent connectés temporairement. Si ce paramètre n'est pas activé, les utilisateurs devront se connecter chaque fois qu'ils se connectent à Tableau Server ou Tableau Online, éliminant ainsi le besoin d'un verrou d'application.

Pour Tableau Server, vous pouvez contrôler précisément combien de temps les utilisateurs restent connectés en ajustant les valeurs d'expiration des jetons d'actualisation. Pour plus d'informations, consultez Modifier la durée pendant laquelle les utilisateurs restent connectés à Tableau Server. Un verrou d'application est destiné à être utilisé avec des jetons à longue durée de vie, tels que ceux qui utilisent les valeurs d'expiration par défaut.

Remarque : si votre installation Tableau Server utilise un serveur proxy inverse, sachez que vos utilisateurs peuvent avoir besoin de se connecter lors du déverrouillage de l'application. En effet, leurs jetons de proxy inverse ont expiré, mais leurs jetons d'actualisation sont toujours actifs.

Activer le paramètre de verrouillage d'application

Depuis Tableau Online

  1. Connectez-vous à Tableau Online en tant qu'administrateur.
  2. Sélectionnez Paramètres, puis sélectionnez l'onglet Authentification.
  3. Sous Verrou d'application pour Tableau Mobile, cochez la case Activer le verrou d'application .

Pour Tableau Server version 2019.4 et ultérieur

  1. Connectez-vous à Tableau Server en tant qu'administrateur.
  2. Naviguez jusqu'au site pour lequel vous souhaitez activer le verrou d'application.
  3. Sélectionnez Paramètres.
  4. Sous Tableau Mobile, cochez la case Activer le verrou d'application.

Pour Tableau Server version 2019.3 et antérieur

Le paramètre d'activation du verrou d'application n'est pas disponible pour Tableau Server version 2019.3 et versions antérieures. Toutefois, vous pouvez toujours activer le verrou d'application avec le paramètre AppConfig pour les systèmes MDM et MAM. Consultez RequireAppLock dans Clés AppConfig.

Verrou d'application activé par l'utilisateur

Les utilisateurs peuvent également activer individuellement le verrou d'application pour leurs appareils via un paramètre de l'application. Ils ne peuvent toutefois pas désactiver le verrou d'application via ce paramètre s'il est activé par leur administrateur.

Écran des paramètres de Tableau Mobile

Lorsque le verrou d'application est activé

Après avoir activé le verrou d'application, les utilisateurs connectés devront déverrouiller l'application lorsqu'ils l'ouvriront. Si les utilisateurs n'ont pas configuré de méthode de déverrouillage de leurs appareils, ils seront invités à le faire afin de déverrouiller l'application.

Si les utilisateurs ne parviennent pas à déverrouiller l'application, ils auront la possibilité d'essayer à nouveau ou de se déconnecter de Tableau. Si les utilisateurs ne parviennent pas à déverrouiller l'application après cinq tentatives à l'aide d'une méthode biométrique, ou si leurs appareils ne sont pas configurés pour la biométrie, ils seront invités à le faire à l'aide d'une autre méthode, par exemple un code d'accès.

Les échecs répétés de déverrouillage de l'application à l'aide d'un mot de passe entraîneront le verrouillage de l'utilisateur à l'extérieur de l'appareil dans son ensemble, et pas seulement de l'application. Le nombre d'essais avant ce verrouillage dépend de l'appareil. Les tentatives ultérieures de déverrouillage de l'appareil sont retardées de plus en plus longtemps.

Authentification unique pour Tableau Mobile

Pour l'authentification unique (SSO), Tableau Mobile prend en charge SAML et OpenID Connect pour toutes les plates-formes mobiles et Kerberos pour les appareils iOS.

SAML

Si Tableau Online ou Tableau Server est configuré pour utiliser SAML, les utilisateurs sont automatiquement redirigés vers le fournisseur d'identité (IdP) pour la connexion dans Tableau Mobile. La procédure est aussi simple que cela. SAML ne nécessite pas de configuration spéciale pour les appareils mobiles. Par contre, SAML ne relaie pas les informations d'identification à d'autres applications mobiles à l'aide de SSO.

OpenID Connect

Si Tableau Server est configuré pour utiliser OpenID Connect pour l’authentification, ou si Tableau Online est configuré pour utiliser Google (via OpenID Connect), l'authentification unique a lieu avec le fournisseur d’identité externe (IdP) à l’aide du navigateur de l’appareil mobile. Pour activer SSO avec le navigateur, consultez Authentification avec un navigateur de périphérique.

Kerberos (iOS et Tableau Server uniquement)

Pour pouvoir utiliser l'authentification Kerberos, les appareils doivent être configurés spécifiquement pour votre organisation. Le présent document et le support Tableau ne couvrent pas la configuration de Kerberos, mais voici quelques ressources tierces qui vous aideront à démarrer.

Lorsque vous paramétrez un profil de configuration, vous avez besoin des URL utilisées pour accéder à votre serveur Tableau. Pour la clé URLPrefixMatches, si vous décidez de répertorier les chaînes URL explicitement, incluez les URL avec toutes les options de protocole et les numéros de port appropriés.

  • Si vos serveurs utilisent le protocole SSL, vos URL doivent utiliser le protocole https et le nom qualifié complet de domaine du serveur. Une des URL doit également spécifier le port 443.

    Par exemple, entrez https://fully.qualifed.domain.name:443/ et https://servername.fully.qualified.domain.name/

  • Si vos utilisateurs ont accès à votre serveur Tableau en spécifiant uniquement le nom de serveur local, vous devriez également inclure ces variations.

    Par exemple, entrez http://servername/ et http://servername:80/

Remarque : la déconnexion n'efface pas les tickets Kerberos sur un appareil. Si les tickets Kerberos enregistrés sont encore valides, toute personne utilisant un appareil peut accéder au serveur et au site auxquels un utilisateur s'est connecté en dernier, sans fournir d'informations d'identification.

Merci de vos commentaires !