Configurer Tableau Cloud pour OpenID Connect
Cette rubrique explique comment configurer Tableau Cloud de manière à ce qu’il utilise OpenID Connect (OIDC) pour l’authentification unique (SSO). Il s’agit d’une étape dans un processus à plusieurs étapes. Les rubriques suivantes expliquent comment configurer et utiliser OIDC avec Tableau Cloud.
Aperçu OpenID Connect
Configuration Tableau Cloud pour OpenID Connect (vous êtes ici)
Remarques :
- avant d’effectuer la procédure décrite ici, vous devez configurer le fournisseur d’identité (IdP) OpenID comme décrit dans Configurer le fournisseur d’identité pour OpenID Connect.
- Vous pouvez également configurer l’authentification OIDC pour Tableau Cloud avec l’API Tableau REST à l’aide des Méthodes OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre).
- L’API REST et tabbcmd de Tableau ne prennent pas en charge l’authentification unique (SSO) OIDC. Pour utiliser tabcmd ou l’API REST(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Cloud en utilisant un compte TableauID.
Exigences
Paramètres
Identité du client : cette valeur est émise par le fournisseur d’identité et spécifie un identifiant pour le Tableau Cloud enregistré. Cela permet au fournisseur d’identité de savoir d’où vient la demande d’authentification.
Secret client : il s’agit d’un jeton utilisé par Tableau Cloud pour vérifier l’authenticité de la réponse du fournisseur d’identité. Cette valeur doit être conservée en lieu sûr.
URL de configuration : cette valeur spécifie l’URL vers laquelle le fournisseur d’identité redirige l’utilisateur une fois qu’il s’est authentifié. L’URL doit inclure l’hôte et le protocole (par exemple,
https://admin.okta.com/oauth2/default/.well-known/openid-configuration), mais Tableau fournit le point de terminaison de l’URL. Spécifie l’emplacement du document de découverte de la configuration du fournisseur qui contient les métadonnées du fournisseur OpenID.Remarque : Si votre IdP ne fournit pas d’URL de configuration, une URL se terminant par
.well-known/openid-configuration, pensez à utiliser les Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau pour configurer OIDC.
Paramètres facultatifs
Les paramètres facultatifs suivants peuvent être configurés à l’aide des Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau.
Invite : invite l’utilisateur à s’authentifier à nouveau et à donner son consentement. Par défaut, le consentement de l’utilisateur est activé.
Étendue personnalisée : valeur d’étendue personnalisée liée à l’utilisateur pour interroger l’IdP.
Authentification client : méthode d’authentification du point de terminaison du jeton. La valeur par défaut est
'client_secret_basic'. La valeur'client_secret_post'est pris en charge.Valeurs ACR essentielles : liste des valeurs essentielles de la classe de référence du contexte d’authentification utilisées pour l’authentification.
Valeurs ACR volontaires : liste des valeurs volontaires de classe de référence du contexte d’authentification utilisées pour l’authentification.
Revendications
Pour se connecter avec succès à Tableau Cloud, un utilisateur donné doit être provisionné dans le fournisseur d’identité OpenID Connect (OIDC), puis mappé à un compte utilisateur sur Tableau Cloud. OIDC utilise une méthode basée sur les revendications pour partager les attributs de compte utilisateur avec d’autres applications. Tableau Cloud s’appuie sur la revendication IdP pour mapper des comptes utilisateur depuis l’IdP vers les comptes hébergés sur Tableau Cloud. Les revendications incluent les attributs de compte utilisateur tels que l’adresse de courriel, le prénom, etc. Pour comprendre comment Tableau Cloud mappe les revendications de l’IdP à des comptes utilisateur, consultez Présentation de l’authentification.
Remarque : Les revendications sont sensibles à la casse.
Nom d’utilisateur : Par défaut, Tableau Cloud attend de l’IdP qu’il transmette la revendication du nom d’utilisateur. Selon votre IdP, il se peut que vous deviez configurer Tableau Cloud pour qu’il utilise une revendication IdP différente.
Remarque : Dans Tableau Cloud, le nom d’utilisateur est immuable et ne peut pas être mis à jour à tout moment.
Revendication de nom : Vous pouvez spécifier le nom ou le prénom et le nom de famille pour récupérer NomdAffichage pour l’utilisateur.
Étape 1 : Configurer OpenID Connect
Connectez-vous à Tableau Cloud en tant qu’administrateur de site et sélectionnez Paramètres > Authentification.
Sous l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez OpenID Connect (OIDC), puis entrez un nom pour la configuration.
Suivez les étapes ci-dessous pour configurer Tableau Cloud pour l’authentification OIDC.
À l’étape 1, saisissez les informations requises de votre IdP, notamment l’ID client, le secret client et l’URL de configuration.
À l’étape 2, copiez l’URL de redirection Tableau Cloud et collez-la dans le portail de votre IdP pour rediriger les utilisateurs une fois qu’ils se sont authentifiés.
À l’étape 3, saisissez les revendications pour garantir le mappage correct du nom d’utilisateur et du nom d’affichage des utilisateurs.
À l’étape 4, activez éventuellement la déconnexion unique (SLO) si votre IdP le prend en charge.
À l’étape 5, vous pouvez éventuellement choisir comment les utilisateurs s’authentifient lorsqu’ils accèdent à la vue intégrée : dans une fenêtre contextuelle distincte ou à l’aide d’une trame en ligne (iFrame) intégrée.
Remarque : Vous pouvez sélectionner le type d’authentification pour les vues intégrées sous l’onglet Type d’authentification par défaut pour les vues intégrées sur la page Authentification (sous les étapes de configuration OIDC).
Une fois terminé, cliquez sur le bouton Enregistrer les modifications.
Remarque : Lors de la modification de la configuration OIDC, le secret client est masqué et doit être ressaisi avant que les modifications puissent être enregistrées.
Étape 2 : Tester la configuration
Nous vous recommandons fortement de tester la configuration pour éviter tout scénario de verrouillage. Tester la configuration permet de vous assurer que vous avez configuré OIDC correctement avant de modifier le type d’authentification de vos utilisateurs vers OIDC. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà provisionné dans le fournisseur d’identité et ajouté à votre Tableau Cloud avec le type d’authentification OIDC configuré.
Remarque : Si vous n’êtes pas certain des revendications, terminez la configuration et testez-la. Tester la configuration produira une nouvelle fenêtre affichant les détails des mappages de revendications, y compris les revendications de nom d’utilisateur et de nom d’affichage. Certains IdP peuvent mapper l’adresse de courriel au nom d’utilisateur Tableau.
À l’étape 6, dans l’onglet Authentification et alors qu’OpenID Connect (OIDC) est sélectionné, cliquez sur le bouton Tester la configuration. Une nouvelle fenêtre s’affiche avec des informations sur la configuration.
Lorsque c’est fait, terminez la configuration OIDC en ajoutant des utilisateurs à votre site en suivant l’étape ci-dessous.
Étape 3 : Ajouter des utilisateurs à un site Tableau compatible avec OpenID Connect
Les étapes décrites dans cette section sont effectuées sur la page Utilisateurs de Tableau Cloud.
Après avoir terminé les étapes ci-dessus, revenez à votre site Tableau Cloud.
Dans le volet de gauche, sélectionnez la page Utilisateurs.
Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site.
Résolution des problèmes
Utilisez les rubriques suivantes pour résoudre les problèmes que vous rencontrez avec OpenID Connect (OIDC) dans Tableau Cloud.
Le protocole OIDC est pris en charge par de nombreux fournisseurs d’identité. Le protocole OIDC est un norme ouverte et flexible, et de ce fait, les implémentations de la norme ne sont pas toutes identiques. La plupart des erreurs que les administrateurs rencontrent lors de la configuration de Tableau Cloud pour OIDC proviennent de la différence d’implémentation d’OIDC selon les fournisseurs d’identité. Si vous rencontrez des erreurs lorsque vous configurez OIDC avec Tableau Cloud, nous vous recommandons de faire appel à votre fournisseur d’identité pour les résoudre.
Connexion à partir de la ligne de commande
Même si Tableau Cloud est configuré de manière à utiliser OIDC, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à Tableau Cloud à l’aide de tabcmd, de l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre) ou de l’utilitaire de ligne de commande de Tableau Data Extract(Le lien s’ouvre dans une nouvelle fenêtre) (fourni avec Tableau Desktop).
Échec de la connexion
Dans certains cas, la connexion à Tableau Cloud peut échouer et vous obtiendrez le message suivant :
Échec de connexion : l’authentification du fournisseur d’identité a échoué pour l’utilisateur <nomdutilisateur_de_IdP>. Impossible de trouver l’utilisateur dans Tableau Cloud.
Cette erreur signifie généralement qu’un nom d’utilisateur stocké dans Tableau Cloud ne correspond pas à celui fourni par le fournisseur d’identité. Pour résoudre ce problème, assurez-vous que les noms d’utilisateur correspondent. Par exemple, si le nom d’utilisateur de Jeanne Dupont est stocké dans votre fournisseur d’identité sous la forme « jdupont@exemple.com », il doit également être stocké dans Tableau Cloud sous la forme « jdupont@exemple.com ».