OpenID Connect


Vous pouvez configurer Tableau Cloud ou Tableau Cloud Manager (TCM) de manière à ce qu’il prenne en charge OpenID Connect (OIDC) pour l’authentification unique (SSO). OIDC est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) comme Google ou Salesforce. Après s’être correctement authentifiés auprès de leur fournisseur d’identité, ils sont automatiquement authentifiés auprès de Tableau Cloud ou de TCM.

La configuration de l’OIDC comprend plusieurs étapes. Les rubriques de cette section fournissent des informations générales sur l’utilisation de Tableau Cloud ou TCM avec OIDC et proposent une procédure pour configurer le fournisseur d’identité et Tableau Cloud ou TCM.

Remarque : Une configuration distincte et une intégration d’application sont nécessaires pour activer l’authentification OIDC pour Tableau Cloud et TCM.

Pour effectuer la configuration OIDC à l’aide de l’API REST de Tableau, consultez Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau. Remarque : S’applique uniquement à Tableau Cloud.

Présentation de l’authentification

Cette section décrit le processus d’authentification OpenID Connect (OIDC) avec Tableau Cloud ou TCM.

1. Un utilisateur tente de se connecter à Tableau Cloud ou TCM depuis un ordinateur client.

2. Tableau Cloud redirige la demande d’authentification vers la passerelle du fournisseur d’identité.

3. L’utilisateur est invité à s’authentifier et l’authentification auprès du fournisseur d’identité réussit. Le fournisseur d’identité répond par une URL de redirection vers Tableau Cloud ou TCM. Un code d’autorisation pour l’utilisateur est fourni avec l’URL de redirection.

4. Le client est redirigé vers Tableau Cloud ou TCM et présente le code d’autorisation.

5. Tableau Cloud ou TCM présente le code d’autorisation du client au fournisseur d’identité ainsi que ses propres identifiants client. Tableau Cloud ou TCM est également client du fournisseur d’identité. Cette étape a pour but de prévenir les attaques d’usurpation d’identité ou les attaques de l’homme du milieu.

6. Le fournisseur d’identité renvoie un jeton d’accès et un jeton d’identifiant à Tableau Cloud ou TCM.

  • Validation du jeton Web JSON (JWT) : par défaut, Tableau procède à la validation du jeton JWT du fournisseur d’identité. Lors de la découverte, Tableau récupère les clés publiques spécifiées par jwks_uri dans le document de découverte de configuration du fournisseur d’identité. Tableau valide la date d’expiration du jeton d’identifiant, puis vérifie la signature Web JSON (JWS), l’émetteur (fournisseur d’identité) et l’ID client. Pour en savoir plus sur le processus JWT, consultez la documentation OIDC, point 10 Signatures et chiffrement(Le lien s’ouvre dans une nouvelle fenêtre), et norme proposée par l’IETF, Jeton Web JSON(Le lien s’ouvre dans une nouvelle fenêtre). Nous vous recommandons de laisser la validation JWT activée, à moins que votre IdP ne la prenne pas en charge.

  • L’ID de jeton est un ensemble de paires de clés d’attributs pour l’utilisateur. Les paires de clés sont appelées revendications. Voici un exemple de revendication IdP pour un utilisateur :

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams"

7. Tableau Cloud ou TCM identifie l’utilisateur à partir des revendications du fournisseur d’identité et termine la demande d’authentification à partir de l’étape 1. Tableau Cloud peut être configuré pour utiliser différentes revendications pour ce processus. Voir Exigences.

8. Tableau Cloud ou TCM autorise l’utilisateur.

Fonctionnement de Tableau avec OpenID Connect

OpenID Connect (OIDC) est un protocole flexible qui prend en charge de nombreuses options pour les informations qui sont échangées entre un fournisseur de services (ici, Tableau Cloud ou TCM) et un fournisseur d’identité. La liste suivante fournit des détails sur l’implémentation d’OIDC dans Tableau Cloud et TCM. Ces détails peuvent vous aider à comprendre quels types d’informations Tableau Cloud ou TCM envoie et s’attend à recevoir, et comment configurer un fournisseur d’identité.

  • Tableau Cloud et TCM prennent uniquement en charge le flux de code d’autorisation OpenID, comme décrit dans les spécifications finales d’OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation OpenID Connect.

  • Tableau Cloud et TCM s’appuient sur l’utilisation de la découverte ou d’une URL de fournisseur pour récupérer les métadonnées du du l’fournisseur d’identité..

  • Tableau Cloud et TCM prennent en charge les méthodes d’authentification du client client_secret_basic (par défaut) et client_secret_post et d’autres paramètres précisés dans les spécifications d’OpenID Connect. Ces méthodes peuvent seulement être configurées à l’aide de l’API REST de Tableau.

Adhésion à un groupe dynamique au moyen de revendications OIDC

Remarque : S’applique uniquement à Tableau Cloud.

À compter de juin 2024, si l’authentification OIDC est configurée et le paramètre de cette fonctionnalité est activé, vous pouvez contrôler dynamiquement les membres du groupe au moyen de revendications personnalisées incluses dans le jeton Web JSON (JWT) envoyées par le fournisseur d’identité (IdP).

Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion OIDC qui contient deux revendications personnalisées des membres du groupe : le groupe (https://tableau.com/groups) et les noms de groupe (par exemple, « Group1 » et « Group2 ») pour affirmer l’appartenance de l’utilisateur à ce groupe. Tableau valide l’assertion et autorise ensuite l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Contrôle dynamique des membres de groupes à l’aide d’assertions.

Exemple de JWT

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5",
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]

Attributs utilisateur dans les revendications OIDC

Remarque : S’applique uniquement à Tableau Cloud.

À compter d’octobre 2025 (Tableau 2025.3), lorsque la fonctionnalité est configurée et que le paramètre de la fonctionnalité est activé, vous pouvez transmettre les revendications d’attribut des utilisateurs dans le jeton Web JSON (JWT) envoyé par le fournisseur d’identité (IdP) à Tableau Cloud lors de la connexion. Ces attributs utilisateur peuvent être utilisés avec les fonctionnalités d’attributs utilisateur de Tableau (USERATTRIBUTE(), USERATTRIBUTEINCLUDES()) pour contrôler et personnaliser le contenu de manière dynamique. Tableau valide les revendications et autorise ensuite l’accès au contenu.

Pour plus d’informations, , consultez Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur.

Exemple de JWT

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5",
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"Region"                 : ["South", "South West"]
Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!