Configuration de SAML avec Okta

Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour votre site Tableau Cloud. Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L'intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAML générique ainsi que la documentation de l’IdP.
  • À compter de février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.

Étape 1 : Ouvrir les paramètres SAML de Tableau Cloud

Pour configurer l’application Okta, vous avez besoin d’utiliser les informations présentes dans les paramètres SAML de Tableau Cloud.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Dans l’onglet Authentification, cochez la case Activer une méthode d’authentification supplémentaire, sélectionnez SAML, puis cliquez sur la flèche déroulante configuration (obligatoire).

    Capture d’écran de la page des paramètres d’authentification du site Tableau Cloud

Étape 2 : Ajouter Tableau Cloud à vos applications Okta

Les étapes décrites dans cette section sont effectuées dans la console administrateur Okta.

  1. Ouvrez un nouvel onglet de navigateur et connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Parcourir le catalogue d’applications.

  3. Recherchez et cliquez sur « Tableau Cloud », puis cliquez sur le bouton Ajouter une intégration. L’onglet Paramètres généraux s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, modifiez le nom du site dans le champ Étiquette d’application pour vous aider à différencier les instances de vos applications Tableau Cloud.

Étape 3 : Configurer SAML

Les étapes décrites dans cette section sont effectuées à la fois dans la console administrateur Okta et dans les paramètres de configuration SAML de Tableau Cloud.

  1. Dans la console administrateur Okta, cliquez sur l'icône Affectations pour ajouter vos utilisateurs ou vos groupes.

  2. Lorsque vous avez terminé, cliquez sur Terminé.

  3. Cliquez sur l’onglet Se connecter et dans la section Paramètres, cliquez sur Modifier.

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Activer la déconnexion unique.

    2. Copiez la valeur « URL de déconnexion unique » à partir du fichier de métadonnées de Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’information, consultez Configurer la déconnexion unique en utilisant SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances de Tableau.

    3. Dans la zone de texte Paramètres de connexion avancés, entrez la valeur que vous avez copiée à l’étape b.

    4. Retournez aux Tableau Cloud Paramètres de configuration SAML. À l’étape 1 : Exportez des métadonnées depuis Tableau Cloud, cliquez sur le bouton Télécharger le certificat.

    5. Retournez à la console administrateur Okta, en regard de Certificat de signature, cliquez sur le bouton Parcourir et accédez au fichier que vous avez téléchargé à l’étape d.

    6. Sélectionnez le fichier et cliquez sur le bouton Téléverser.

    7. Lorsque vous avez terminé, cliquez sur Enregistrer.

  5. Retournez aux Tableau Cloud Paramètres de configuration SAML. À l’étape 1, Méthode 2 : Copier les métadonnées et télécharger le certificat 1, copiez l’Tableau CloudID d’entité.

  6. Retournez à la console administrateur Okta et procédez comme suit :

    1. Sélectionnez Applications > Applications, cliquez sur l’application Tableau Cloud, puis sélectionnez l’onglet Se connecter.

    2. Cliquez sur Modifier.

    3. Sous Paramètres de connexion avancés, dans la zone de texte ID d’entité Tableau Cloud, collez l’URL.

    4. Répétez les étapes 7 et 8 pour l’URL ACS Tableau Cloud.

      Remarque : Les paramètres de configuration SAML Tableau Cloud apparaissent dans un ordre différent de celui de la page paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL ACS Tableau Cloud sont saisis dans les champs correspondants d’Okta.

    5. Lorsque vous avez terminé, cliquez sur Enregistrer.

  7. Retournez aux Tableau Cloud Paramètres de configuration SAML. À l’étape Méthode 2 : Copier les métadonnées et télécharger le certificat, cliquez sur le boutonTélécharger le certificat.

  8. Retournez à l’application Tableau Cloud dans la console administrateur Okta, sur l’onglet Se connecter, cliquez sur Modifier, et procédez comme suit :

    1. Sous Détails des métadonnées, copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant “metadata.xml” par défaut.

  9. Retournez aux Tableau Cloud Paramètres de configuration SAML. À l’étape 4 : Téléverser les métadonnées sur Tableau Cloud, cliquez sur le bouton Choisir un fichier et sélectionnez le fichier metadata.xml pour téléverser le fichier. Les valeurs de l’ID d’entité de l’IdP et URL de l’authentification unique sont remplies automatiquement.

  10. Mappez les noms d’attributs (assertions) de la page Mappages de profils utilisateur Tableau Cloud avec les noms d’attributs correspondants de l’étape 5. Concordance d’attributs dans les Tableau Cloud Paramètres de configuration SAML.

  11. À l’étape 7. Tester la configuration, cliquez sur le bouton Tester la configuration. Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà provisionné dans l’IdP et ajouté à votre Tableau Cloud avec le type d’authentification SAML configuré.

    Remarque : Si la connexion échoue, envisagez de conserver tel quel l’attribut NameID dans Tableau.

Étape 4 : Ajouter des utilisateurs à un site Tableau compatible SAML

Si vous envisagez d’utiliser SCIM pour provisionner vos utilisateurs depuis Okta, n’ajoutez pas manuellement vos utilisateurs à Tableau Cloud. Pour plus d’information, consultez Configurer Configurer SCIM avec Okta. Si vous n’utilisez pas SCIM, suivez les étapes ci-dessous pour ajouter des utilisateurs à votre site.

Les étapes décrites dans cette section sont effectuées sur la page Utilisateurs de Tableau Cloud.

  1. Une fois l’Étape 3 : Configurer SAML terminée, revenez à votre site Tableau Cloud.

  2. Dans le volet de gauche, accédez à la page Utilisateurs.

  3. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site.

Étape 5 : Activer l’intégration d’iFrame (facultatif)

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta pour permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour les visualisations intégrées. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Détournement de clic(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) sur le site Web d’OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Personnalisations > Autre et accédez à la section Intégration d’IFrame.

  3. Cliquez sur Modifier, cochez la case Autoriser l’intégration d’iFrame, puis cliquez sur Sauvegarder.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!