Configuration de Tableau Cloud ou TCM pour OpenID Connect


Cette rubrique explique comment configurer Tableau Cloud ou Tableau Cloud Manager (TCM) de manière à ce qu’il utilise OpenID Connect (OIDC) pour l’authentification unique (SSO). Il s’agit d’une étape dans un processus à plusieurs étapes. Les rubriques suivantes expliquent comment configurer et utiliser OIDC avec Tableau Cloud ou TCM.

  1. Aperçu OpenID Connect

  2. Configurer le fournisseur d’identité pour OpenID Connect

  3. Configuration de Tableau Cloud ou TCM pour OpenID Connect (vous êtes ici)

Remarques :

Exigences

Paramètres

  • ID client : Cette valeur est émise par le fournisseur d’identité et spécifie un identifiant pour l’application Tableau Cloud ou TCM enregistrée. Cela permet au fournisseur d’identité de connaître l’origine de la demande d’authentification.

  • Secret client : Il s’agit d’un jeton utilisé par Tableau Cloud ou TCM pour vérifier l’authenticité de la réponse du fournisseur d’identité. Cette valeur doit être conservée en lieu sûr.

  • URL de configuration : cette valeur spécifie l’URL vers laquelle le fournisseur d’identité redirige l’utilisateur une fois qu’il s’est authentifié. L’URL doit inclure l’hôte et le protocole (par exemple, https://admin.okta.com/oauth2/default/.well-known/openid-configuration), mais Tableau fournit le point de terminaison de l’URL. Cette URL spécifie l’emplacement du document de découverte de la configuration du fournisseur qui contient les métadonnées du fournisseur OpenID.

    Remarque : Si votre fournisseur d’identité ne fournit pas d’URL de configuration, utilisez une URL qui se termine par .well-known/openid-configuration. Pour Tableau Cloud, pensez à utiliser les Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau pour configurer OIDC.

Paramètres facultatifs

Remarque : S’applique uniquement à Tableau Cloud.

Les paramètres facultatifs suivants peuvent être configurés à l’aide des Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau.

  • Invite : invite l’utilisateur à s’authentifier à nouveau et à donner son consentement. Par défaut, le consentement de l’utilisateur est activé.

  • Étendue personnalisée : valeur d’étendue personnalisée liée à l’utilisateur pour interroger l’IdP.

  • Authentification client : méthode d’authentification du point de terminaison du jeton. La valeur par défaut est 'client_secret_basic'. La valeur 'client_secret_post' est pris en charge.

  • Valeurs ACR essentielles : liste des valeurs essentielles de la classe de référence du contexte d’authentification utilisées pour l’authentification.

  • Valeurs ACR volontaires : liste des valeurs volontaires de classe de référence du contexte d’authentification utilisées pour l’authentification.

Revendications

Pour se connecter avec succès à Tableau Cloud ou TCM, un utilisateur donné doit être mis en service dans le fournisseur d’identité OpenID Connect (OIDC), puis mappé à un compte utilisateur sur Tableau Cloud ou TCM. OIDC utilise une méthode basée sur les revendications pour partager les attributs de compte utilisateur avec d’autres applications. Tableau Cloud ou TCM s’appuient sur la revendication du fournisseur d’identité pour mapper des comptes utilisateur depuis le fournisseur d’identité vers les comptes hébergés sur Tableau Cloud ou TCM. Les revendications incluent les attributs de compte utilisateur tels que l’adresse de courriel, le prénom, etc. Pour comprendre comment Tableau Cloud ou TCM mappent les revendications du fournisseur d’identité vers des comptes utilisateur, consultez Présentation de l’authentification.

Remarque : Les revendications sont sensibles à la casse.

  • Nom d’utilisateur : Par défaut, Tableau attend du fournisseur d’identité qu’il transmette la revendication du nom d’utilisateur. Selon votre IdP, il se peut que vous deviez configurer Tableau Cloud pour qu’il utilise une revendication IdP différente. Remarque : Dans Tableau, le nom d’utilisateur est immuable et ne peut pas être mis à jour.

  • Revendication de nom : Vous pouvez spécifier le nom ou le prénom et le nom de famille pour récupérer NomdAffichage pour l’utilisateur.

  • Revendication par courriel : si vous le souhaitez, à compter de juillet 2025, vous pouvez spécifier une adresse de courriel différente du nom d’utilisateur. La revendication par adresse de courriel est utilisée uniquement à des fins de notification et non pour la connexion.

Activer l’authentification unique OIDC

Étape 1 : Configurer OpenID Connect

Pour Tableau Cloud

  1. Connectez-vous à Tableau Cloud en tant qu’administrateur de site et sélectionnez ParamètresAuthentification.

  2. Sous l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez OpenID Connect (OIDC), puis entrez un nom pour la configuration.

  3. Suivez les étapes ci-dessous pour configurer Tableau Cloud pour l’authentification OIDC.

    1. À l’étape 1, entrez les informations requises de votre fournisseur d’identité, notamment l’ID client, le secret client et l’URL de configuration.

    2. À l’étape 2, copiez l’URL de redirection Tableau Cloud et collez-la dans le portail de votre IdP pour rediriger les utilisateurs une fois qu’ils se sont authentifiés.

    3. À l’étape 3, saisissez les revendications pour garantir le mappage correct du nom d’utilisateur et du nom d’affichage des utilisateurs.

    4. À l’étape 4, activez éventuellement la déconnexion unique (SLO) si votre IdP le prend en charge.

    5. À l’étape 5, vous pouvez éventuellement choisir comment les utilisateurs s’authentifient lorsqu’ils accèdent à la vue intégrée : dans une fenêtre contextuelle distincte ou à l’aide d’une trame en ligne (iFrame) intégrée.

      Remarque : Vous pouvez sélectionner le type d’authentification pour les vues intégrées sous l’onglet Type d’authentification par défaut pour les vues intégrées sur la page Authentification (sous les étapes de configuration OIDC).

  4. Une fois terminé, cliquez sur le bouton Enregistrer les modifications.

Remarque : Lors de la modification de la configuration de l’OIDC, le secret client est masqué et doit être ressaisi avant que les modifications puissent être enregistrées.

Pour TCM

  1. Connectez-vous à TCM en tant qu’administrateur de nuage et sélectionnez Paramètres > Authentification.

  2. Dans l’onglet Authentification, cochez la case Activer une méthode d’authentification supplémentaire.

  3. Sélectionnez OpenID Connect (OIDC) dans le menu déroulant et cliquez sur la flèche déroulante Configuration (obligatoire).

  4. Suivez les étapes ci-dessous pour configurer TCM pour l’authentification OIDC.

    1. À l’étape 1, entrez les informations requises de votre fournisseur d’identité, notamment l’ID client, le secret client et l’URL de configuration.

    2. À l’étape 2, copiez l’URL de redirection de TCM et collez-la dans le portail de votre fournisseur d’identité pour rediriger les utilisateurs une fois qu’ils se sont authentifiés.

    3. À l’étape 3, saisissez les revendications pour garantir le mappage correct du nom d’utilisateur et du nom d’affichage des utilisateurs.

    4. À l’étape 4, activez éventuellement la déconnexion unique (SLO) si votre IdP le prend en charge.

  5. Une fois terminé, cliquez sur le bouton Enregistrer les modifications.

Remarque : Lors de la modification de la configuration de l’OIDC, le secret client est masqué et doit être ressaisi avant que les modifications puissent être enregistrées.

Étape 2 : Tester la configuration

Nous vous recommandons fortement de tester la configuration pour éviter tout scénario de verrouillage. Tester la configuration permet de vous assurer que vous avez configuré OIDC correctement avant de modifier le type d’authentification de vos utilisateurs vers OIDC. Pour tester correctement la configuration, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter qui est déjà mis en service dans le fournisseur d’identité et ajouté à Tableau Cloud ou TCM avec le type d’authentification OIDC configuré.

Remarque : Si vous n’êtes pas certain des revendications, terminez la configuration et testez-la. Tester la configuration produira une nouvelle fenêtre affichant les détails des mappages de revendications, y compris les revendications de nom d’utilisateur et de nom d’affichage. Certains IdP peuvent mapper l’adresse de courriel au nom d’utilisateur Tableau.

Pour Tableau Cloud

  1. À l’étape 6, dans l’onglet Authentification et alors qu’OpenID Connect (OIDC) est sélectionné, cliquez sur le bouton Tester la configuration. Une nouvelle fenêtre s’affiche avec des informations sur la configuration.

  2. Lorsque c’est fait, terminez la configuration OIDC en ajoutant des utilisateurs à votre site en suivant l’étape ci-dessous.

Pour TCM

  1. À l’étape 5, dans l’onglet Authentification et alors qu’OpenID Connect (OIDC) est sélectionné, cliquez sur le bouton Tester la configuration. Une nouvelle fenêtre s’affiche avec des informations sur la configuration.

  2. Lorsque c’est fait, terminez la configuration OIDC en ajoutant des utilisateurs à votre locataire en suivant l’étape ci-dessous.

Étape 3 : Ajouter des utilisateurs à un site Tableau ou un TCM compatible avec OpenID Connect

Les étapes décrites dans cette section sont effectuées sur la page Utilisateurs de Tableau Cloud ou de TCM.

  1. Après avoir terminé les étapes ci-dessus, revenez à votre site Tableau Cloud ou TCM.

  2. Dans le volet de gauche, sélectionnez la page Utilisateurs.

  3. Suivez la procédure décrite dans l’une des rubriques suivantes :

Résolution des problèmes

Utilisez les sections suivantes pour résoudre les problèmes que vous rencontrez avec OpenID Connect (OIDC) dans Tableau Cloud ou TCM.

Le protocole OIDC est pris en charge par de nombreux fournisseurs d’identité. Le protocole OIDC est un norme ouverte et flexible, et de ce fait, les implémentations de la norme ne sont pas toutes identiques. La plupart des erreurs que les administrateurs rencontrent lors de la configuration de Tableau Cloud ou TCM pour OIDC proviennent de la différence d’implémentation d’OIDC selon les fournisseurs d’identité. Si vous rencontrez des erreurs lorsque vous configurez OIDC avec Tableau, nous vous recommandons de faire appel à votre fournisseur d’identité pour les résoudre.

Connexion à partir de la ligne de commande

Pour Tableau Cloud

Même si Tableau Cloud est configuré de manière à utiliser OIDC, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à Tableau Cloud à l’aide de tabcmd, de l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre) ou de l’utilitaire de ligne de commande Extrait de données Tableau(Le lien s’ouvre dans une nouvelle fenêtre) (fourni avec Tableau Desktop).

Pour TCM

De même, même si TCM est configuré de manière à utiliser OIDC, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à l’API REST de Tableau Cloud Manager(Le lien s’ouvre dans une nouvelle fenêtre).

Échec de la connexion

Dans certains cas, la connexion à Tableau Cloud ou TCM peut échouer et vous obtiendrez le message suivant :

Échec de connexion : l’authentification du fournisseur d’identité a échoué pour l’utilisateur <nomdutilisateur_de_IdP>. Impossible de trouver l’utilisateur dans Tableau Cloud.

Cette erreur signifie généralement qu’un nom d’utilisateur stocké sur Tableau ne correspond pas à celui fourni par le fournisseur d’identité. Pour résoudre ce problème, assurez-vous que les noms d’utilisateur correspondent. Par exemple, si le nom d’utilisateur de Jeanne Dupont est stocké dans votre fournisseur d’identité sous la forme « jdupont@exemple.com », il doit également être stocké dans Tableau Cloud ou TCM sous la forme « jdupont@exemple.com ».

Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur

Les attributs utilisateur sont des métadonnées utilisateur définies par votre organisation. Les attributs utilisateur peuvent être utilisés pour déterminer l’accès selon un modèle d’autorisation de contrôle d’accès basé sur les attributs (Attribute-based access control, ABAC). Les attributs utilisateur peuvent concerner n’importe quel aspect du profil utilisateur, y compris les rôles professionnels, l’appartenance au service, le niveau de gestion, etc. Ils peuvent également être associés à des contextes utilisateur d’exécution, comme l’endroit d’où l’utilisateur est connecté ou sa préférence linguistique.

En incluant des attributs utilisateur dans votre flux de travail, vous pouvez contrôler et personnaliser l’expérience utilisateur grâce à l’accès aux données et à la personnalisation.

  • Accès aux données : les attributs utilisateur peuvent être utilisés pour appliquer des politiques de sécurité des données. Cette approche garantit que les utilisateurs ne voient que les informations qu’ils sont autorisés à voir.
  • Personnalisation : en transmettant des attributs utilisateur comme l’emplacement et le rôle, votre contenu peut être personnalisé pour n’afficher que les informations pertinentes pour l’utilisateur qui y accède, ce qui lui permet de trouver plus facilement les informations dont il a besoin.

Résumé des étapes de transmission des attributs utilisateur

Le processus d’activation des attributs utilisateur dans un flux de travail est résumé dans les étapes suivantes :

  1. Activer le paramètre des attributs utilisateur
  2. Inclure des attributs utilisateur dans le JWT
  3. Vérifier que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres pertinents
  4. Vérifier le contenu

Étape 1 : Activer le paramètre des attributs utilisateur

Pour des raisons de sécurité, les attributs utilisateur ne sont validés dans un flux de travail d’authentification que lorsque le paramètre d’attribut utilisateur est activé par un administrateur de site.

  1. Connectez-vous à Tableau Cloud et cliquez sur Paramètres > Authentification.

  2. Sous « Contrôler l’accès des utilisateurs dans l’en-tête du flux de travail d’authentification », cochez la case Activer la capture des attributs utilisateur dans les flux de travail d’authentification.

Pour plus d’informations concernant les paramètres du site, consultez Contrôler l’accès des utilisateurs dans les flux de travail d’authentification.

Étape 2 : Inclure les revendications des attributs utilisateur dans le JWT

Assurez-vous que le jeton Web JSON (JWT) contienne les attributs utilisateur.

Remarque : Les attributs du JWT sont soumis à une limite de 4 096 caractères, à l’exception des attributs scope et scp . Si les attributs du JWT, y compris les attributs utilisateur, dépassent cette limite, Tableau supprime les attributs et transmet l’attribut ExtraAttributesRemoved à la place. L’auteur du contenu peut ensuite créer un calcul avec l’attribut ExtraAttributesRemoved pour déterminer comment afficher le contenu aux yeux des utilisateurs lorsque l’attribut a été détecté.

Exemple

Supposons que vous ayez un employé, Fred Suzuki, un gestionnaire situé dans la région Sud. Vous devez vous assurer que lorsque Fred examine les rapports, il ne puisse voir que les données de la région Sud. Dans un tel scénario, vous pouvez inclure l’attribut utilisateur « Region » dans le JWT, comme dans l’exemple ci-dessous.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Étape 3 : S’assurer que l’auteur du contenu inclut des fonctions d’attribut

Assurez-vous que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres associés pour contrôler les données pouvant s’afficher dans son contenu. Pour que les revendications d’attributs utilisateur soient transmises à Tableau, le contenu doit contenir l’une des fonctions d’attribut utilisateur suivantes :

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La fonction utilisée par l’auteur de contenu varie selon que les attributs utilisateur soient censés renvoyer une ou plusieurs valeurs. Pour plus d’informations sur ces fonctions et des exemples de chacune d’elles, consultez Fonctions utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.

Remarques :

  • Il est impossible de prévisualiser le contenu de ces fonctions lors de la création dans Tableau Desktop ou Tableau Cloud. La fonction renverra les valeurs NULL ou FALSE. Pour vous assurer que les fonctions utilisateur fonctionnent comme prévu, nous recommandons à l’auteur de vérifier les fonctions après avoir mis le contenu à disposition.
  • Pour s’assurer que le contenu s’affiche comme prévu, l’auteur de contenu peut envisager d’inclure un calcul utilisant l’attribut ExtraAttributesRemoved qui 1) vérifie cet attribut et 2) détermine quoi faire avec le contenu si c’est le cas, par exemple afficher un message. Tableau ajoute l’attribut ExtraAttributesRemoved et supprime tous les autres attributs (à l’exception de scp ou de scope) uniquement lorsque les attributs du JWT dépassent 4 096 caractères. Cela permet d’assurer des performances optimales et de respecter les limitations de stockage.

Exemple

En poursuivant l’exemple présenté à l’Étape 2 : Inclure les revendications des attributs utilisateur dans le JWT ci-dessus, pour transmettre la revendication d’attribut utilisateur « Zone géographique » à un classeur, l’auteur peut inclure USERATTRIBUTEINCLUDES. Par exemple USERATTRIBUTEINCLUDES('Region', [Region]), où « Région » est l’attribut utilisateur et [Région] est une colonne dans les données. À l’aide du nouveau calcul, l’auteur peut créer une table contenant les données des gestionnaires et des ventes. Lorsque le calcul est ajouté, le classeur renvoie des valeurs « False », comme prévu.

Pour afficher uniquement les données associées à la région Sud dans le classeur intégré, l’auteur peut créer un filtre et le personnaliser de manière à afficher les valeurs lorsque la zone géographique Sud est « True ». Lorsque le filtre est appliqué, le classeur se vide comme prévu, car la fonction renvoie des valeurs « False » et le filtre est personnalisé pour afficher uniquement les valeurs « True ».

Étape 4 : Vérifier le contenu

Vérifiez et validez le contenu.

Exemple

Pour conclure l’exemple de Étape 3 : S’assurer que l’auteur du contenu inclut des fonctions d’attribut ci-dessus, vous pouvez voir que les données de vente de la vue sont personnalisées pour Fred Suzuki parce que son contexte utilisateur est la région Sud.

Les responsables des régions représentées dans le classeur devraient voir la valeur associée à leur région. Par exemple, Sawdie Pawthorne de la région Ouest voit les données spécifiques à sa région.

Les gestionnaires dont les régions ne sont pas représentées dans le classeur voient un classeur vide.

Problèmes connus et restrictions

Il existe quelques problèmes connus et restrictions dont vous devez tenir compte lorsque vous utilisez des fonctions d’attribut utilisateur.

Images vides lors de l’utilisation de l’API REST de Tableau

Les requêtes de l’API REST de Tableau Interroger une image d’aperçu(Le lien s’ouvre dans une nouvelle fenêtre), Interroger une image de classeur(Le lien s’ouvre dans une nouvelle fenêtre) et Obtenir une image de vue personnalisée(Le lien s’ouvre dans une nouvelle fenêtre) produisent des images vides.

Limites

  • Les fonctions d’attribut utilisateur dans les sources de données publiées (.pds) ne sont pas prises en charge.
  • Les fonctions d’attribut utilisateur dans les flux de travail Tableau Bridge ne sont pas prises en charge.
Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!