Configurer SAML avec Microsoft Entra ID

Si vous avez configuré Microsoft Entra ID (également appelé Microsoft Azure Active Directory (Azure AD)) comme fournisseur d’identité (IdP) SAML, utilisez les informations de cette rubrique et la documentation de Microsoft Entra pour ajouter Tableau Cloud ou Tableau Cloud Manager (TCM) à vos applications basées sur l’authentification unique.

Remarques :

cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau.

Conditions préalables

Pour que vous puissiez configurer Tableau et SAML avec Entra ID, votre environnement doit se présenter ainsi :

Répondre aux conditions préalables(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation du tutoriel : Intégration de l’authentification unique Microsoft Entra avec Tableau Cloud

Créer un utilisateur de test Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation du tutoriel : Intégration de l’authentification unique Microsoft Entra avec Tableau Cloud

Étape 1 : Mise en route

Dans Tableau Cloud, procédez comme suit :

Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.
Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Dans TCM, procédez autrement comme suit :

Connectez-vous à TCM en tant qu’administrateur de nuage, et sélectionnez Paramètres > Authentification.
Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML à partir du menu déroulant Authentification.
Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans Entra, procédez comme suit :

Remarque : Pour TCM, vous utilisez « l’application Tableau Cloud » dans le fournisseur d’identité pour configurer l’authentification TCM.

Connectez-vous au Centre d’administration Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) au moins en tant qu’administrateur d’applications nuage.
Accédez à Applications d’entreprise > Nouvelle application.
Sur la page Parcourir la galerie Microsoft Entra, tapez « Tableau Cloud » dans la zone de recherche.
Cliquez sur Tableau Cloud dans les résultats de la recherche, et dans le volet de droite, modifiez éventuellement le nom par défaut de l’instance d’application, puis cliquez sur Créer.
Remarques :
- L’ajout de l’instance de l’application Tableau Cloud peut prendre quelques instants.
- Lors de la création d’une instance de l’application Tableau Cloud via la galerie, SAML est le seul type de configuration pris en charge pour l’intégration avec Tableau.
Dans le volet de gauche, accédez à Authentification unique.
Sur la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Sur la page Configurer l’authentification unique avec SAML, à côté de Configuration SAML de base, cliquez sur Modifier et procédez comme suit :
1. Dans la zone de texte Identifiant (ID d’entité), entrez l’URL d’espace réservé suivant que vous modifierez à nouveau à l’étape 3.2 : https://sso.online.tableau.com/public/sp/metadata?alias=<entityid>
2. Dans la zone de texte URL de réponse, entrez l’URL d’espace réservé suivant que vous modifierez à nouveau à l’étape 3.2 : https://sso.online.tableau.com/public/sp/
3. Cliquez sur Enregistrer.
Ensuite, à côté de Certificat de signature SAML, cliquez sur Modifier.
Cliquez sur Télécharger pour télécharger le fichier XML des métadonnées de fédération.
Enfin, à côté de Attributs et revendications, cliquez sur Modifier pour préparer l’étape 2.2 ci-dessous.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML dans Entra, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Entra. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.
À l’étape 3. Attributs de la carte, copiez les noms d’attributs correspondants (assertions) dans la section Attributs et revendications d’Entra :
1. Pour le champ Nom d’utilisateur, entrez mail ou userprincipalname, ou copiez l’URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Pour les champs facultatifs restants, copiez les noms de revendication d’URL.
À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu Tableau intégré.
Cliquez sur le bouton Enregistrer et continuer.
Allez à l’étape 5. Obtenir les métadonnées de Tableau Cloud pour préparer l’étape 3.1.

Pour TCM

Retournez à TCM, à la page authentification, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Entra. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.
À l’étape 3. Attributs de la carte, copiez les noms d’attributs correspondants (assertions) dans la section Attributs et revendications d’Entra :
1. Pour le champ Nom d’utilisateur, entrez mail ou userprincipalname, ou copiez l’URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Pour les champs facultatifs restants, copiez les noms de revendication d’URL.
Cliquez sur le bouton Enregistrer et continuer.
Allez à l’étape 4. Obtenir les métadonnées de Tableau Cloud pour préparer l’étape 3.1.

Étape 3 : Configurer « l’application Tableau Cloud » dans votre fournisseur d’identité

Retournez à Entra, sur la page Configurer l’authentification unique avec SAML, à côté de Configuration SAML de base, cliquez sur Modifier et procédez comme suit :
1. Pour Identifiant (ID d’entité), effectuez l’une des opérations suivantes :
  - Dans Tableau Cloud, sous 5. Obtenir les métadonnées Tableau Cloud, copiez l’URL ID d’entité Tableau Cloud.
  - Dans TCM, sous 4. Obtenir les métadonnées Tableau Cloud, copiez l’URL ID d’entité Tableau Cloud.
2. Pour URL de réponse, effectuez l’une des opérations suivantes :
  - Dans Tableau Cloud, sous 5. Obtenir les métadonnées Tableau Cloud, copiez l’URL ACS Tableau Cloud.
  - Dans TCM, sous 4. Obtenir les métadonnées Tableau Cloud, copiez l’URL ACS Tableau Cloud.
3. Cliquez sur Enregistrer.

Étape 4 : Tester la configuration SAML

Dans Entra, procédez comme suit :

Affectez l’utilisateur de test Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation du tutoriel : Intégration de l’authentification unique Microsoft Entra avec Tableau Cloud.

Dans Tableau Cloud ou TCM, procédez comme suit :

Ajoutez cet utilisateur Entra à Tableau Cloud ou TCM pour tester la configuration SAML.
- Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.
- Pour ajouter des utilisateurs dans TCM, consultez la rubrique Gérer les utilisateurs avec Tableau Cloud Manager.
Effectuez l’une des actions suivantes :
- Dans Tableau Cloud, à la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.
- Dans TCM, à la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà mis en service dans le fournisseur d’identité et ajouté à votre Tableau Cloud ou TCM avec le type d’authentification SAML configuré.

Notes supplémentaires concernant la prise en charge de SAML avec Microsoft Entra ID

Pour éviter d’activer la déconnexion unique (SLO) initiée par le fournisseur de services (SP), assurez-vous que les métadonnées du fournisseur d’identité téléversées dans les paramètres SAML de Tableau Cloud ou TCM ne contiennent pas le point de terminaison SLO. Alternativement, dans les métadonnées du fournisseur d’identité que vous téléversez dans les paramètres SAML de Tableau Cloud ou TCM, vous pouvez remplacer la valeur « SingleLogoutService » existante par « https://sso.online.tableau.com/public/idp/SSO ».
Si vous utilisez l’authentification unique initiée par le fournisseur d’identité pour votre application, n’indiquez pas la valeur « URL de connexion » dans l’application Tableau Cloud ou TCM depuis la galerie dans Entra. Indiquer une valeur pour ce champ contournera l’authentification unique initiée par le fournisseur d’identité.

Retour en haut

Aide de Tableau Cloud