Configurer les applications connectées à l’aide de la confiance Oauth 2.0
En tant qu’administrateur de site Tableau Cloud, vous pouvez enregistrer un serveur d’autorisation externe (EAS) de manière à établir une relation de confiance entre votre site Tableau Cloud et le serveur EAS à l’aide du protocole standard Oauth 2.0. En établissant une relation de confiance, vous pouvez :
- Offrir à vos utilisateurs une expérience d’authentification unique (SSO) pour le contenu Tableau intégré dans vos applications externes par le biais du fournisseur d’identités (IdP) que vous avez déjà configuré pour le site Tableau Cloud
- Autoriser par programme l’accès à l’API REST de Tableau (et à l’API de métadonnées Tableau à partir Tableau Cloudd’octobre 2023) au nom des utilisateurs à l’aide d’un jeton JSON Web Token (JWT)
Lorsque le contenu Tableau intégré est chargé dans votre application externe, un flux OAuth standard est utilisé. Une fois que tous les utilisateurs se sont correctement connectés à leur IdP, ils sont automatiquement connectés à Tableau Cloud. Suivez les étapes décrites ci-dessous pour enregistrer votre serveur EAS auprès du site Tableau Cloud.
Important :
- Certaines des procédures de cette rubrique nécessitent une configuration avec des logiciels et services tiers. Nous nous sommes efforcés de vérifier les procédures d’activation de la fonctionnalité EAS sur Tableau Cloud. Toutefois, les logiciels et services tiers peuvent changer ou votre organisation peut être différente. Si vous rencontrez ces problèmes, consultez la documentation du fournisseur tiers pour obtenir des détails concernant la configuration et l’assistance.
- Pour que le jeton de session soit valide, les horloges de l’application externe et du serveur qui héberge l’application externe doivent être définies sur le temps universel coordonné (UTC). Si l’une ou l’autre des horloges utilise une norme différente, l’application connectée ne sera pas approuvée.
Étape 1 : Avant de commencer
Pour enregistrer un serveur EAS auprès du site
| Revendication | Nom | Description ou valeur requise |
« kid » | ID de clé | Requis (dans l’en-tête) Un identifiant de clé unique du fournisseur d’identité. |
« iss » | Émetteur | Obligatoire (dans l’en-tête ou comme revendication). URI d’émetteur unique |
« alg » | Algorithme | Requis (dans l’en-tête) Algorithme de signature JWT. Les noms d’algorithmes pris en charge sont répertoriés dans la page Class JWSAlgorithm(Le lien s’ouvre dans une nouvelle fenêtre) de la documentation javadoc.io. |
« sub » | Objet | Nom d’utilisateur |
« aud » | Public | La valeur doit être : " Pour obtenir le LUID du site, vous pouvez utiliser la méthode de connexion de l’API REST Tableau ou suivre les étapes ci-dessous pour copier l’ID du site. Remarque : vous devez enregistrer un serveur EAS à l’aide de la procédure décrite ici avant de pouvoir copier le ID du site.
|
« exp » | Heure d’expiration | |
« jti » | Identifiant JWT | La revendication d’ID JWT fournit un identifiant unique pour le jeton JWT et est sensible à la casse. |
« scp » | Étendue | Pour l’intégration des flux de travail, les valeurs prises en charge incluent : " Remarques :
Pour les flux de travail d’autorisations API REST , consultez Méthodes d’API REST prenant en charge l’autorisation JWT. Pour les flux de travail de l’API de métadonnées qui utilisent l’API REST pour l’authentification, la seule étendue prise en charge est |
https://tableau.com/oda | Accès à la demande – réclamation (capacité d’activation) | Pour l’intégration des flux de travail uniquement. La valeur doit être " |
https://tableau.com/groups | Accès à la demande – réclamation (préciser le nom du groupe) | Pour l’intégration des flux de travail uniquement. La valeur doit correspondre au nom d’un ou plusieurs groupes dans Tableau Cloud. Pour plus d’informations, consultez la section Accès sur demande (intégration de flux de travail uniquement). |
| (Attributs utilisateur) | (Valeurs des attributs utilisateur) | Pour l’intégration des flux de travail uniquement. Vous pouvez inclure des attributs utilisateur dans le JWT. Ensuite, lorsque les fonctions d’attribut utilisateur sont utilisées dans le contenu intégré, Tableau vérifie le contexte de l’utilisateur authentifié et détermine quelles données peuvent être affichées lors de l’exécution. Remarques :
|
Remarque : les revendications JWT ci-dessus sont documentées dans la section Noms de revendications enregistrés(Le lien s’ouvre dans une nouvelle fenêtre) de la documentation distribuée par l’organisation IETF (Internet Engineering Task Force).
Étape 2 : Enregistrer votre serveur EAS auprès de Tableau Cloud
En enregistrant votre serveur EAS auprès de Tableau Cloud, vous établissez une relation de confiance entre le serveur EAS et
Remarque : certains EAS prennent en charge l’option d’affichage d’une boîte de dialogue de consentement qui requiert l’approbation des utilisateurs pour que l’application accède au contenu Tableau. Pour garantir la meilleure expérience à vos utilisateurs, nous vous recommandons de configurer votre EAS de manière à ce qu’il accepte automatiquement la demande de l’application externe au nom des utilisateurs.
En tant qu’
Dans le volet gauche, sélectionnez Paramètres > Applications connectées.
Cliquez sur la flèche déroulante du bouton Nouvelle application connectée et sélectionnez Confiance Oauth 2.0.
- Dans la boîte de dialogue Créer une application connectée, effectuez l’une des opérations suivantes :
Dans la zone de texte Nom de l’application connectée, saisissez un nom pour l’application connectée.
Dans la zone de texte URL de l’émetteur, collez l’URL du serveur EAS.
Sélectionnez l’option Activer l’application connectée. Pour des raisons de sécurité, une application connectée est désactivée par défaut lors de sa création.
Une fois terminé, cliquez sur le bouton Créer.
Une fois l’application connectée créée, copiez l’ID de site de l’application connectée. L’ID de site est utilisé pour la revendication « aud » (Audience) du JWT décrite à l’étape 1 ci-dessus.
Étape 3 : Étapes suivantes
d’intégration des flux de travail
Après avoir configuré votre site
Pour plus d’informations sur l’intégration de contenu Tableau, consultez l’un des éléments suivants ou les deux :
- Intégrer des métriques, consultez la rubrique Intégrer des métriques dans des pages Web(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau. (En
- Intégrez des vues et des métriques à l’aide de l’API v3 d’intégration de Tableau(Le lien s’ouvre dans une nouvelle fenêtre).
Remarque : pour que les utilisateurs s’authentifient avec succès lorsqu’ils accèdent au contenu intégré, leurs navigateurs doivent être configurés pour autoriser les témoins tiers.
Contrôler où le contenu peut être intégré à l’aide de la liste d’autorisation de domaine pour l’intégration
À partir de
Par défaut, le paramètre de site unrestrictedEmbedding pour l’intégration est défini sur true pour permettre une intégration sans restriction. Vous et vos utilisateurs pouvez également définir le paramètre sur false et spécifiez les domaines dans lesquels le contenu Tableau des applications externes peut être intégré à l’aide du paramètre allowList.
Pour plus d’informations, consultez l’un des articles suivants ou les deux :
- Mettre à jour les paramètres d’intégration pour le site(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau
- Paramètre de site Tableau pour l’intégration(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API d’intégration v3 de Tableau.
Pour les flux de travail d’autorisations API REST
Une fois le jeton JWT configuré, vous devez ajouter le JWT valide à la demande de connexion API REST pour obtenir un accès autorisé. Pour plus d’informations, consultez la section Étendues d’accès des applications connectées.
Pour les flux de travail d’API de métadonnées
Une fois le jeton JWT configuré, vous devez ajouter le JWT valide à la demande de connexion API REST. Pour plus d’informations, consultez la section Étendues d’accès des applications connectées.
Accès sur demande (intégration de flux de travail uniquement)
À partir d’octobre 2023, si votre site dispose d’une licence avec le modèle d’analytique embarquée(Le lien s’ouvre dans une nouvelle fenêtre) basée sur l’utilisation, vous pouvez étendre l’accès à votre contenu Tableau intégré à davantage d’utilisateurs grâce à l’accès sur demande. Grâce à l’accès sur demande, vous permettez à vos utilisateurs d’interagir avec le contenu Tableau intégré authentifié par le biais de votre application connectée, sans avoir besoin de provisionner ces utilisateurs dans votre site Tableau Cloud. L’accès à la demande vous évite d’avoir à ajouter et à gérer des utilisateurs dans Tableau Cloud pour prendre en charge l’accès au contenu intégré.
Comment fonctionne l’accès sur demande
L’accès au contenu Tableau intégré à l’aide de l’accès à la demande est déterminé par les autorisations au niveau du groupe, soit héritées (par exemple, au niveau du projet), soit directement appliquées au contenu. Les utilisateurs tels que les administrateurs de site, les propriétaires ou dirigeants de projet et les propriétaires de contenu peuvent attribuer des autorisations au niveau du groupe sur le contenu. Lorsque les utilisateurs accèdent au contenu intégré grâce à l’activation de la fonctionnalité d’accès sur demande, Tableau valide que le jeton JWT contient les revendications d’appartenance au groupe correctes avant d’afficher le contenu.
Conditions préalables
Les critères suivants doivent être remplis pour permettre l’accès sur demande au contenu intégré :
- Le site est sous licence avec le modèle d’analytique embarquée(Le lien s’ouvre dans une nouvelle fenêtre) basée sur l’utilisation
- La fonctionnalité d’accès à la demande est activée pour le groupe
- Les autorisations de groupe sont spécifiées pour le contenu Tableau
- L’application connectée Tableau est créée
- JWT utilisé par l’application connectée inclut les réclamations
https://tableau.com/odaethttps://tableau.com/groups - Le contenu de Tableau est intégré dans une application externe
Lorsque ces critères sont remplis, vos utilisateurs peuvent interagir avec le contenu Tableau intégré grâce à l’activation de la fonctionnalité d’accès sur demande.
Activer la capacité d’accès à la demande
Pour activer la fonctionnalité d’accès à la demande pour un groupe, lors de la création ou de la modification d’un groupe, vous devez cocher la case Autoriser l’accès à la demande. Pour plus d’informations sur la création de groupes, consultez Créer un groupe et lui ajouter des utilisateurs.
Vous pouvez également activer cette fonctionnalité à l’aide de l’API REST de Tableau. Pour plus d’informations, consultez les méthodes Créer un groupe(Le lien s’ouvre dans une nouvelle fenêtre) et Mettre à jour le groupe(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Fonctionnalités lorsque l’accès à la demande est activé
Les utilisateurs accédant au contenu Tableau intégré disposent des capacités(Le lien s’ouvre dans une nouvelle fenêtre) d’affichage sur le contenu. Les utilisateurs disposent de fonctionnalités d’affichage, quel que soit le modèle sélectionné ou de fonctionnalités personnalisées pouvant être configurées pour le groupe (par exemple, un utilisateur doté du rôle de Viewer ne pourra jamais télécharger une source de données même si cette fonctionnalité lui est explicitement accordée sur une source de données spécifique).
Surveiller l’accès à la demande
Si vous disposez de Tableau Cloud avec Advanced Management(Le lien s’ouvre dans une nouvelle fenêtre), vous pouvez utiliser le fichier journal d’activité pour surveiller l’utilisation de l’accès sur demande. Les événements du fichier journal d’activité qui capturent l’accès sur demande incluent notamment Accéder à la vue et Se connecter. Pour en savoir plus sur ces d’événements, consultez Référence du type d’événement du fichier journal d’activité.
Limites
Étant donné que les flux de travail d’accès sur demande permettent à certains utilisateurs qui accèdent au contenu Tableau intégré d’être anonymes et éphémères sur Tableau Cloud, les fonctionnalités suivantes ne sont pas disponibles pour les utilisateurs qui accèdent au contenu intégré en activant la fonctionnalité d’accès sur demande :
- Créer des vues personnalisées
- Partager du contenu à l’aide du bouton de partage du contenu
- Abonnez-vous au contenu pour recevoir des instantanés d’informations par courrier électronique
Remarque : À partir de février 2024 (Tableau 2024.1), les requêtes d’API Tableau REST peuvent être effectuées en tant qu’utilisateur disposant d’un accès à la demande.
Problèmes connus (intégration des flux de travail uniquement)
Il existe quelques problèmes connus à l’utilisation des applications connectées. Ils seront corrigés dans une future version.
Fonctionnalités de la barre d’outils : lorsque le paramètre de barre d’outils est défini pour le contenu intégré, les fonctionnalités de la barre d’outils ne fonctionneront pas toutes. Pour contourner ce problème, nous vous recommandons de masquer le paramètre de la barre d’outils comme dans l’exemple ci-dessous.
<tableau-viz id='tab-viz' src='https://online.tableau.com/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- Sources de données publiées : les sources de données publiées définies sur Inviter l’utilisateur pour les informations d’identification de la base de données ne s’afficheront pas. Pour contourner ce problème, si possible, nous recommandons aux propriétaires de sources de données d’intégrer à la place leurs informations d’identification pour la base de données.
Résolution des problèmes
Lorsque le contenu intégré ne s’affiche pas dans votre application externe ou en cas d’échec de l’autorisation API REST de Tableau, vous pouvez utiliser les outils de développement d’un navigateur pour inspecter et identifier les codes d’erreur qui pourraient être associés à la fonctionnalité EAS activée
Consultez le tableau ci-dessous pour revoir la description du code d’erreur et la solution possible.
| Code d’erreur | Résumé | Description | Résolution ou explication potentielle |
| 5 | SYSTEM_USER_NOT_FOUND | L’utilisateur de Tableau est introuvable | sub’ (sujet) dans le jeton JWT est le nom d’utilisateur (adresse de courriel) de l’utilisateur Tableau Cloud authentifié. Cette valeur est sensible à la casse. |
| 16 | LOGIN_FAILED | Échec de la connexion | Cette erreur est généralement causée par l’un des problèmes de réclamation suivants dans le JWT :
|
| 67 | FEATURE_NOT_ENABLED | L’accès à la demande n’est pas pris en charge | L’accès à la demande est disponible uniquement via les sites Tableau Cloud sous licence. |
| 142 | EXTERNAL_AUTHORIZATION_SERVER_NOT_FOUND | Serveur EAS introuvable | Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 143 | EXTERNAL_AUTHORIZATION_SERVER_LIMIT_EXCEEDED | Limite de serveurs EAS dépassée | Le site a atteint le nombre maximal autorisé (1) de serveurs d’autorisation externes (EAS) enregistrés. |
| 144 | INVALID_ISSUER_URL | URL de l’émetteur non valide | L’URL de l’émetteur n’est pas valide ou l’attribut ’iss’ (émetteur) est absent du jeton JWT. |
| 149 | EAS_INVALID_JWKS_URI | URI JWKS manquant | L’URI JWKS n’existe pas dans les métadonnées IdP ou l’URI JWKS n’est pas configuré dans Tableau. Pour résoudre ce problème, configurez un URI JWKS valide. |
| 150 | EAS_RETRIEVE_JWK_SOURCE_FAILED | Échec de la récupération de la source de clé | Pour résoudre ce problème, vérifiez que l’URI JWKS est configuré correctement. |
| 151 | EAS_RETRIEVE_METADATA_FAILED | Échec de la récupération des métadonnées à partir de issuerUrl | Pour résoudre ce problème, vérifiez que l’URI JWKS est configuré correctement. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | Point de terminaison de métadonnées EAS manquant | Pour résoudre ce problème, vérifiez que l’EAS est configuré correctement et que l’émetteur approprié est appelé. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Émetteur manquant | Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 10083 | BAD_JWT | L’en-tête JWT contient des problèmes | Les revendications ’kid’ (ID du secret) ou ’clientId’ (émetteur) sont manquantes dans l’en-tête JWT. Pour résoudre ce problème, assurez-vous que ces informations sont incluses. |
| 10084 | JWT_PARSE_ERROR | JWT contient des problèmes | Pour résoudre ce problème, vérifiez les éléments suivants :
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT n’a pas pu trouver les clés | Impossible de trouver le secret. Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Problème avec l’algorithme de signature JWT | Pour résoudre le problème, vous pouvez supprimer l’algorithme de signature. |
| 10088 | RSA_KEY_SIZE_INVALID | Problème avec les exigences de signature JWT | Pour résoudre ce problème, vérifiez auprès de l’EAS ou de l’IdP que le JWT est signé avec une taille de clé RSA de 2048. |
| 10091 | JTI_ALREADY_USED | JWT unique requis | Le JWT a déjà été utilisé dans le processus d’authentification. Pour résoudre ce problème, l’EAS ou l’IdP doit générer un nouveau JWT. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | Le domaine du contenu intégré n’est pas spécifié | Pour résoudre ce problème, assurez-vous que le paramètre unrestrictedEmbedding est défini sur true ou que le paramètre domainAllowlist inclut les domaines dans lesquels le contenu Tableau est intégré à l’aide de la méthode Mettre à jour les paramètres d’intégration pour le site(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau. |
| 10094 | MISSING_REQUIRED_JTI | ID JWT manquant | Pour résoudre ce problème, vérifiez que ’jti’ (ID JWT) est inclus dans le JWT. |
| 10095 | EXTERNAL_AUTHZ_SERVER_DISABLED | Serveur EAS désactivé | L’application connectée pour le serveur EAS enregistrée sur le site est désactivée. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp’ (Temps d’expiration) dépasse la période de validité maximale par défaut. Pour résoudre ce problème, examinez les revendications enregistrées(Le lien s’ouvre dans une nouvelle fenêtre) requises pour un JWT valide et assurez-vous que la valeur correcte ne dépasse pas 10 minutes. | |
| 10097 | SCOPES_MALFORMED | Problèmes au niveau de la revendication relative aux portées | Cette erreur peut se produire lorsque la revendication ’scp ’ (portée) ne figure pas dans le jeton JWT ou n’est pas transmise en tant que type de liste. Pour résoudre ce problème, vérifiez que ’scp ’ est inclus dans le jeton JWT et transmis en tant que type de liste. Pour obtenir de l’aide sur la résolution des problèmes d’un jeton JWT, consultez Débogueur(Le lien s’ouvre dans une nouvelle fenêtre) sur le site auth0. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | Le jeton JWT n’est ni signé ni chiffré | Tableau ne prend pas en charge un JWT non signé ou chiffré. |
| 10099 | SCOPES_MISSING_IN_JWT | Revendication relative aux portées manquante | Le jeton JWT ne contient pas la revendication ’scp’ (portée) requise. Pour résoudre ce problème, vérifiez que ’scp’ est inclus dans le JWT. Pour obtenir de l’aide sur la résolution des problèmes d’un jeton JWT, consultez Débogueur(Le lien s’ouvre dans une nouvelle fenêtre) sur le site auth0. |
| 10100 | JTI_PERSISTENCE_FAILED | Erreur inattendue liée à l’ID JWT | Une erreur inattendue s’est produite au niveau de la revendication ’jti’ (ID JWT). Pour résoudre ce problème, un nouveau ’jti’ doit être généré. |
| 10101 | EPHEMERAL_USER_LOGIN_FAILED_SITE_NOT_UBP_ENABLED | L’accès à la demande n’est pas pris en charge | Le site ne dispose pas du modèle basé sur l’utilisation de l’analytique embarquée qui est requis pour activer l’accès à la demande. Pour plus d’informations, consultez Comprendre les modèles de licences. |
| 10102 | EPHÉMERAL_USER_NOT_SUPPORTED | L’accès à la demande n’est pas pris en charge lorsque l’attribut iframe-auth est activé | Cette erreur peut se produire lorsque l’attribut iframe-auth est activé. Pour résoudre ce problème, vérifiez que l’API Tableau Embedding version 3.6 ou ultérieure est utilisée. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT dépasse la taille maximale | Cette erreur peut se produire lorsque la taille du JWT dépasse 8 000 octets. Pour résoudre ce problème, assurez-vous que seules les revendications nécessaires sont transmises à Tableau Cloud. |