OpenID Connect

Vous pouvez configurer Tableau Cloud de manière à ce qu’il prenne en charge OpenID Connect (OIDC) pour l’authentification unique (SSO). OIDC est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) comme Google ou Salesforce. Après s’être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés auprès de Tableau Cloud.

La configuration de l’OIDC comprend plusieurs étapes. Les rubriques de cette section fournissent des informations générales sur l’utilisation de Tableau Cloud avec OIDC et proposent une procédure pour configurer l’IdP et Tableau Cloud.

Pour effectuer la configuration OIDC à l’aide de l’API REST de Tableau, consultez OpenID Connect Methods(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.

Présentation de l’authentification

Cette section décrit le processus d’authentification OpenID Connect (OIDC) avec Tableau Cloud.

1. Un utilisateur tente de se connecter à Tableau Cloud depuis un ordinateur client.

2. Tableau Cloud redirige la demande d’authentification vers la passerelle du fournisseur d’identité.

3. L’utilisateur est invité à s’authentifier et l’authentification auprès du fournisseur d’identité réussit. Le fournisseur d’identité répond par une URL de redirection vers Tableau Cloud. Un code d’autorisation pour l’utilisateur est fourni avec l’URL de redirection.

4. Le client est redirigé vers Tableau Cloud et présente le code d’autorisation.

5. Tableau Cloud présente le code d’autorisation du client au fournisseur d’identité ainsi que ses propres identifiants client. Tableau Cloud est également client du fournisseur d’identité. Cette étape a pour but de prévenir les attaques d’usurpation d’identité ou les attaques de l’homme du milieu.

6. Le fournisseur d’identité renvoie un jeton d’accès et un jeton d’ID à Tableau Cloud.

  • Validation du jeton Web JSON (JWT) : par défaut, Tableau Cloud procède à la validation du jeton JWT du fournisseur d’identité. Lors de la découverte, Tableau Cloud récupère les clés publiques spécifiées par jwks_uri dans le document de découverte de configuration du fournisseur d’identité. Tableau Cloud valide la date d’expiration du jeton d’ID puis vérifie la signature Web JSON (JWS), l’émetteur (le fournisseur d’identité) et l’ID du client. Pour en savoir plus sur le processus JWT, consultez la documentation OIDC, point 10 Signatures et chiffrement(Le lien s’ouvre dans une nouvelle fenêtre), et norme proposée par l’IETF, Jeton Web JSON(Le lien s’ouvre dans une nouvelle fenêtre). Nous vous recommandons de laisser la validation JWT activée, à moins que votre IdP ne la prenne pas en charge.

  • L’ID de jeton est un ensemble de paires de clés d’attributs pour l’utilisateur. Les paires de clés sont appelées revendications. Voici un exemple de revendication IdP pour un utilisateur :

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identifie l’utilisateur à partir des revendications du fournisseur d’identité et termine la demande d’authentification à partir de l’étape 1.Tableau Cloud peut être configuré pour utiliser différentes revendications pour ce processus. Voir Exigences.

8. Tableau Cloud autorise l’utilisateur.

Comment Tableau Cloud fonctionne avec OpenID Connect

OpenID Connect (OIDC) est un protocole flexible qui prend en charge de nombreuses options pour les informations qui sont échangées entre un fournisseur de services (ici, Tableau Cloud) et un fournisseur d’identité. La liste suivante fournit des détails sur l’implémentation d’OIDC dans Tableau Cloud. Ces détails peuvent vous aider à comprendre quels types d’informations Tableau Cloud envoie et s’attend à recevoir, et comment configurer un fournisseur d’identité.

  • Tableau Cloud prend uniquement en charge le flux de code d’autorisation OpenID, comme décrit dans les spécifications finales d’OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation OpenID Connect.

  • Tableau Cloud s’appuie sur l’utilisation de la découverte ou d’une URL de fournisseur pour récupérer les métadonnées du de l’IdP..

  • Tableau Cloud prend en charge les méthodes d’authentification du client client_secret_basic (par défaut) et client_secret_post et d’autres paramètres précisés dans les spécifications d’OpenID Connect. Ces méthodes peuvent seulement être configurées à l’aide de l’API REST de Tableau.

Adhésion à un groupe dynamique à l’aide d’assertions OIDC

À compter de juin 2024, si l’authentification OIDC est configurée et le paramètre de cette fonctionnalité est activé, vous pouvez contrôler dynamiquement les membres du groupe au moyen de revendications personnalisées incluses dans le jeton Web JSON (JWT) envoyées par le fournisseur d’identité (IdP).

Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion OIDC qui contient deux revendications personnalisées des membres du groupe : le groupe (https://tableau.com/groups) et les noms de groupe (par exemple, « Group1 » et « Group2 ») pour affirmer l’appartenance de l’utilisateur à ce groupe. Tableau valide l’assertion et autorise ensuite l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Contrôle dynamique des membres de groupes à l’aide d’assertions.

Exemple de JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!