Configuration de SAML avec AD FS

Vous pouvez configurer Active Directory Federation Services (AD FS) en tant que fournisseur d’identité SAML et ajouter Tableau Cloud à vos applications d’authentification unique prises en charge. Lorsque vous intégrez AD FS avec SAML et Tableau Cloud, vos utilisateurs peuvent se connecter à Tableau Cloud en utilisant leurs identifiants réseau standard.

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAML générique ainsi que la documentation de l’IdP.
  • À compter de février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.

Conditions préalables

Avant que vous puissiez configurer Tableau Cloud et SAML avec AD FS, votre environnement doit se présenter ainsi :

  • Serveur exécutant Microsoft Windows Server 2008 R2 (ou ultérieur) avec AD FS 2.0 (ou ultérieur) et IIS installés.

  • Nous vous recommandons de sécuriser votre serveur AD FS (par exemple, en utilisant un proxy inverse). Lorsque votre serveur AD FS est accessible en dehors de votre pare-feu, Tableau Cloud peut rediriger les utilisateurs vers la page de connexion hébergée par AD FS.

  • Compte d’administrateur de site qui utilise l’authentification TableauID. Si l’authentification unique SAML échoue, vous pouvez toujours vous connecter à Tableau Cloud en tant qu’administrateur de site.

Étape 1 : Exporter les métadonnées depuis Tableau Cloud

  1. Connectez-vous à Tableau Cloud en tant qu’administrateur de site.

    Si vous avez plus d’un site pour Tableau Cloud, sélectionnez le site pour lequel vous souhaitez activer SAML dans la liste déroulante des sites.

  2. Sélectionnez Paramètres > Authentification.
  3. Dans l’onglet Authentification, cochez la case Activer une méthode d’authentification supplémentaire, sélectionnez SAML, puis cliquez sur la flèche déroulante Configuration (obligatoire).

    Paramètres d’authentification

  4. À l’étape 1, Méthode 1 : Exporter les métadonnées, cliquez sur bouton Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML de Tableau Cloud, l’URL ACS (Assertion Consumer Service) et le certificat X.509.

Étape 2 : Configurer AD FS pour accepter les demandes de connexion de Tableau Cloud

La configuration d’AD FS de manière à accepter les demandes de connexion Tableau Cloud est un processus à plusieurs étapes qui commence par l’importation du fichier de métadonnées XML Tableau Cloud dans AD FS.

  1. Effectuez l’une des opérations suivantes pour ouvrir l’Assistant Ajout d’approbation de partie de confiance :

  2. Windows Server 2008 R2 :

    1. Sélectionnez Menu Démarrer > Outils d’administration> AD FS 2.0.

    2. Dans AD FS 2.0, sous Relations d’approbation, faites un clic droit sur le dossier Approbations de partie de confiance, puis cliquez sur Ajouter l’approbation de partie de confiance.

    Windows Server 2012 R2 :

    1. Ouvrez Gestionnaire de serveur, puis dans le menu Outils, cliquez sur Gestion AD FS.

    2. Dans Gestion AD FS, dans le menu Action, cliquez sur Ajouter l’approbation de partie de confiance.

  3. Dans la boîte Assistant Ajout d’approbation de partie de confiance, cliquez sur Démarrer.

  4. Dans la page Sélectionner une source de données, sélectionnez Importer les données concernant la partie de confiance à partir d’un fichier, puis cliquez sur Parcourir pour rechercher le fichier de métadonnées XML Tableau Cloud. Par défaut ce fichier est appelé samlspmetadata.xml.

  5. Cliquez sur Suivant, et dans la page Spécifier un nom d’affichage, entrez un nom et une description pour l’approbation de la partie de confiance dans les zones Nom d’affichage et Remarques.

  6. Cliquez sur Suivant pour ignorer la page Configurer l’authentification multifacteur maintenant.

  7. Cliquez sur Suivant pour ignorer la page Choisir les règles d’autorisation d’émission.

  8. Cliquez sur Suivant pour ignorer la page Prêt à ajouter l’approbation.

  9. Dans la page Terminer, sélectionnez la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l’assistant se ferme, puis cliquez sur Fermer.

Ensuite, vous utiliserez la boîte de dialogue Modifier les règles de revendication pour ajouter une règle vérifiant que les assertions envoyées par AD FS correspondent aux assertions attendues par Tableau Cloud. Tableau Cloud a besoin d’une adresse de courriel au minimum. Cependant, en ajoutant le nom et le prénom en plus de l’adresse de courriel, vous garantissez que les noms d’utilisateur affichés dans Tableau Cloud sont identiques à ceux de votre compte AD.

  1. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.

  2. Dans la page Choisir le type de règle, pour Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.

  3. Dans la page Configurer une règle de revendication, dans Nom de la règle de revendication, donnez à la règle un nom qui vous paraît logique.

  4. Dans Magasin d’attributs, sélectionnez Active Directory, terminez le mappage comme indiqué ci-dessous, puis cliquez sur Terminer.

  5. Le mappage est sensible à la casse et nécessite une orthographe exacte, vérifiez donc votre saisie par deux fois. Le tableau ci-dessous montre les attributs communs et les mappages de revendications. Vérifiez les attributs avec votre configuration Active Directory spécifique.

    Remarque : Tableau Cloud requiert l’attribut NameID dans la réponse SAML. Vous pouvez fournir d’autres attributs pour mapper les noms d’utilisateur dans Tableau Cloud, mais le message de réponse doit inclure l’attribut NameID.

    Attribut LDAPType de revendication envoyée

    Selon la version d’AD FS :

    Utilisateur-Nom-Principal
    ou
    Adresses de courriel

     

    courriel
    ou
    Adresse de courriel

    PrénomPrénom
    SurnomNom

Si vous exécutez AD FS 2016 ou une version ultérieure, vous devez alors ajouter une règle pour passer en revue toutes les valeurs de revendication. Si vous utilisez une ancienne version d’AD FS, passez à la procédure suivante pour exporter les métadonnées AD FS.

  1. Cliquez sur Ajouter une règle.
  2. Sous Modèle de règle de revendication, sélectionnez Transférer ou Filtrer une revendication entrante.
  3. Sous Nom de la règle de revendication, saisissez Windows.
  4. Dans la fenêtre contextuelle Modifier la règle - Windows :
    • Sous Type de revendication entrante, sélectionnez Nom du compte Windows.
    • Sélectionnez Transférer toutes les valeurs de revendication.
    • Cliquez sur OK.

Vous allez maintenant exporter les métadonnées AD FS que vous importerez ultérieurement dans Tableau Cloud. Vous allez également vous assurer que les métadonnées sont correctement configurées et encodées pour Tableau Cloud, et vérifier les exigences AD FS pour votre configuration SAML.

  1. Exportez les métadonnées AD FS Federation dans un fichier XML puis téléchargez le fichier depuis https://<nom du serveur adfs>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Ouvrez le fichier de métadonnées dans un éditeur de texte tel que Sublime Text ou Notepad++, et vérifiez qu’il est correctement encodé comme UTF-8 sans BOM.

    Si le fichier affiche un autre type d’encodage, enregistrez-le à partir de l’éditeur de texte avec l’encodage correct.

  3. Vérifiez que AD FS utilise l’authentification basée sur les formulaires. Les connexions se faisant dans une fenêtre du navigateur, vous devez utiliser AD FS pour activer ce type d’authentification par défaut.

    Modifiez c :\inetpub\adfs\ls\web.config, recherchez la balise , et déplacez la ligne pour qu’elle apparaisse en premier dans la liste. Enregistrez le fichier pour que IIS puisse automatiquement le recharger.

    Remarque : si vous ne voyez pas le fichier c :\inetpub\adfs\ls\web.config, IIS n’est pas installé ni configuré sur votre serveur AD FS.

  4. Configurez un autre identificateur de partie de confiance AD FS. Cela permet à votre système de contourner n’importe quel problème AD FS avec une déconnexion SAML.

    Effectuez l’une des actions suivantes :

    Windows Server 2008 R2 :

    1. Dans AD FS 2.0, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, et cliquez sur Propriétés.

    2. Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername>/public/sp/metadata puis cliquez sur Ajouter.

    Windows Server 2012 R2 :

    1. Dans Gestion AD FS, dans la liste Approbations de partie de confiance, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, et cliquez sur Propriétés.

    2. Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername/public/sp/metadata puis cliquez sur Ajouter.

    Remarque : AD FS peut être utilisé avec Tableau Server pour une seule partie se fiant à la même instance. AD FS ne peut pas être utilisé pour plusieurs parties se fiant à la même instance, par exemple, plusieurs sites SAML de site ou plusieurs configurations SAML de serveur et de site.

Étape 3 : Importer les métadonnées AD FS dans Tableau Cloud

  1. Dans Tableau Cloud, revenez à ParamètresAuthentification.

  2. À l’étape 4. Téléverser les métadonnées sur Tableau, dans la zone du fichier de métadonnées de l’IdP, indiquez le nom du fichier que vous avez exporté à partir de AD FS (FederationMetadata.xml).

  3. Ignorez l’étape 5. Concordance d’attributs.

    Vous avez déjà créé une règle de revendication dans AD FS pour mapper les noms d’attribut à ce que Tableau Cloud attend.

  4. Cliquez sur le bouton Enregistrer les modifications.

  5. Gérez les utilisateurs en effectuant l’une des actions suivantes :

    • Si vous n’avez pas encore ajouté d’utilisateurs à votre site, accédez à la page Utilisateurs à partir du volet de gauche et cliquez sur Ajouter des utilisateurs. Vous pouvez ensuite ajouter des utilisateurs manuellement ou importer un fichier CSV contenant les informations utilisateur. Pour plus d’informations, consultez Ajouter des utilisateurs à un site ou Importer des utilisateurs.

    • Si vous avez déjà ajouté des utilisateurs à votre site, accédez à la page Utilisateurs à partir du volet de gauche, cliquez sur Actions à côté de l’utilisateur de votre choix, puis cliquez sur Authentification. Modifiez la méthode d’authentification pour utiliser SAML, puis cliquez sur le bouton Mettre à jour.

  6. (facultatif) Retournez à la page Authentification et testez la connexion SAML à l’étape 7. Tester la configuration en cliquant sur le bouton Tester la configuration.

    Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà provisionné dans l’IdP et ajouté à votre Tableau Cloud avec le type d’authentification SAML configuré.

Votre site Tableau Cloud est désormais prêt pour que les utilisateurs s’authentifient avec AD FS et SAML. Ils continueront d’accéder à https://online.tableau.com, mais une fois qu’ils auront entré leur de nom d’utilisateur, la page les redirigera vers la page de connexion AD FS (comme dans l’étape de test facultative ci-dessus) et les invitera à saisir leurs identifiants AD.

Remarque : en cas d’erreurs lors du test SAML, connectez-vous, à l’étape 7. Tester la configuration de la procédure de configuration de Tableau Cloud SAML, cliquez sur Télécharger le fichier journal, et utilisez les renseignements qui s’y trouvent pour corriger l’erreur.

Exigences supplémentaires et astuces

  • Après avoir configuré l’intégration SAML entre AD FS et Tableau Cloud, vous devez mettre à jour Tableau Cloud de manière à refléter les modifications utilisateur spécifiques que vous apportez dans Active Directory, par exemple l’ajout ou la suppression d’utilisateurs.

    Vous pouvez ajouter des utilisateurs automatiquement ou manuellement :

    • Pour ajouter des utilisateurs automatiquement : créez un script (à l’aide de PowerShell, Python ou d’un fichier batch) pour pousser les modifications AD sur Tableau Cloud. Le script peut utiliser la commande tabcmd ou l’API REST pour interagir avec Tableau Cloud.

    • Pour ajouter des utilisateurs manuellement : Connectez-vous à l’interface utilisateur Web de Tableau Cloud, accédez à la page Utilisateurs, cliquez sur Ajouter des utilisateurs, et entrez les noms d’utilisateur des utilisateurs ou téléversez un fichier CSV contenant leurs informations.

    Remarque : si vous souhaitez supprimer un utilisateur mais conserver les ressources de contenu qu’il possède, modifiez le propriétaire du contenu avant de supprimer l’utilisateur. La suppression d’un utilisateur entraîne également la suppression du contenu qu’il possède.

  • Dans Tableau Cloud, l’ d’un utilisateur est son identifiant unique. Comme décrit dans les étapes de configuration d’AD FS pour l’acceptation des demandes de Tableau Cloud, les Tableau Cloud des utilisateurs doivent correspondre à l’ du nom d’utilisateur enregistrée dans AD.

  • À l’ Étape 2 : Configurer AD FS pour accepter les demandes de connexion de Tableau Cloud, vous avez ajouté une règle de revendication dans AD FS afin que les attributs de prénom, de nom et l’ de l’utilisateur correspondent entre AD FS et Tableau Cloud. Sinon, vous pouvez utiliser l’étape 5. L’option Concordance d’attributs dans Tableau Cloud produit le même effet.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!