Configuration de SAML avec Okta


Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour Tableau Cloud ou Tableau Cloud Manager (TCM). Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L'intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
  • L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau.

Étape 1 : Prise en main

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- page nouvelle configuration

    Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Dans TCM, procédez autrement comme suit :

  1. Connectez-vous à TCM en tant qu’administrateur de nuage, et sélectionnez Paramètres > Authentification.

  2. Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML à partir du menu déroulant Authentification.

  3. Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans la console administrateur Okta, procédez comme suit : 

Remarque : Pour TCM, vous utilisez « l’application Tableau Cloud » dans le fournisseur d’identité pour configurer l’authentification TCM.

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur et connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Parcourir le catalogue d’applications.

  3. Recherchez et cliquez sur « Tableau Cloud », puis cliquez sur le bouton Ajouter une intégration. L’onglet Paramètres généraux s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, modifiez le nom du site dans le champ Étiquette d’application pour vous aider à différencier les instances de vos applications Tableau Cloud.

  5. Accédez à l’onglet Se connecter, cliquez sur Modifier, et procédez comme suit :

    1. Sous Détails des métadonnées, copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant “metadata.xml” par défaut.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML dans Okta, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

  1. Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.

  2. Mappez les noms d'attributs (assertions) sous 3. Mapper les attributs avec les noms d’attributs correspondants (assertions) dans la page Mappages de profils d’utilisateurs Tableau Cloud de la console administrateur Okta.

  3. À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration d’iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Pour TCM

  1. Retournez à TCM, à la page authentification, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.

  2. Mappez les noms d'attributs (assertions) sous 3. Mapper les attributs avec les noms d’attributs correspondants (assertions) dans la page Mappages de profils d’utilisateurs Tableau Cloud de la console administrateur Okta.

  3. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer « l’application Tableau Cloud » dans votre fournisseur d’identité

Pour Tableau Cloud, La procédure de cette section utilisera les informations décrites sous 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat dans la page Nouvelle configuration de Tableau Cloud. Pour TCM, La procédure de cette section utilisera les informations décrites sous 4. Obtenir les métadonnées Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat dans la page Authentification de TCM.

Remarque : Pour TCM, vous utilisez « l’application Tableau Cloud » dans le fournisseur d’identité pour configurer l’authentification TCM.

  1. Dans la console administrateur Okta, cliquez sur l'icône Affectations pour ajouter vos utilisateurs ou vos groupes.

  2. Lorsque vous avez terminé, cliquez sur Terminé.

  3. Cliquez sur l’onglet Se connecter et dans la section Paramètres, cliquez sur Modifier.

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Activer la déconnexion unique.

    2. Copiez la valeur « URL de déconnexion unique » à partir du fichier de métadonnées de Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’information, consultez Configurer la déconnexion unique en utilisant SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances de Tableau.

    3. Dans la zone de texte Paramètres de connexion avancés, entrez la valeur que vous avez copiée à l’étape b.

    4. À côté de Certificat de signature, cliquez sur le bouton Parcourir et accédez au fichier de certificat que vous avez téléchargé dans la section ci-dessus.

    5. Sélectionnez le fichier et cliquez sur le bouton Téléverser.

    6. Lorsque vous avez terminé, cliquez sur Enregistrer.

  5. Sélectionnez Applications > Applications, cliquez sur l’application Tableau Cloud, sélectionnez l’onglet Se connecter et procédez comme suit :

    1. Cliquez sur Modifier.

    2. Sous Paramètres de connexion avancés, dans la zone de texte ID d’entité Tableau Cloud de la console administrateur Okta, collez la valeur ID d’entité Tableau Cloud à partir de Tableau Cloud ou TCM.

    3. Dans la zone de texte URL ACS Tableau Cloud de la console administrateur Okta, collez la valeur URL ACS Tableau Cloud à partir de Tableau Cloud ou TCM.

    Remarque : Les paramètres de configuration SAML de Tableau Cloud et TCM apparaissent dans un ordre différent de celui de la page paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL ACS Tableau Cloud sont saisis dans les champs correspondants d’Okta.

  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Étape 4 : Tester la configuration SAML

Dans Okta, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à Okta et attribuez-le à « l’application Tableau Cloud ».

Dans Tableau Cloud ou TCM, procédez comme suit :

  1. Ajoutez cet utilisateur Okta à Tableau Cloud pour tester la configuration SAML.

  2. Effectuez l’une des actions suivantes :

    • Dans Tableau Cloud, à la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

    • Dans TCM, à la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà mis en service dans le fournisseur d’identité et ajouté à votre Tableau Cloud ou TCM avec le type d’authentification SAML configuré.

Remarque : Si la connexion échoue, envisagez de conserver tel quel l’attribut NameID dans Tableau.

Étape 5 : Ajouter des utilisateurs à un site Tableau Cloud compatible SAML ou un TCM

Si vous envisagez d’utiliser SCIM pour mettre en service vos utilisateurs depuis Okta, n’ajoutez pas manuellement vos utilisateurs à Tableau Cloud. Pour plus d’informations, consultez Configurer Configurer SCIM avec Okta. Si vous n’utilisez pas SCIM, suivez les étapes ci-dessous pour ajouter des utilisateurs supplémentaires à votre site. Remarque : La mise en service SCIM n’est pas disponible pour TCM.

La procédure décrite dans cette section est effectuée sur la page Utilisateurs de Tableau Cloud.

  1. Une fois les étapes ci-dessus terminées, dans le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans :

À propos de l’activation de l’intégration d’iFrame

Remarque : S’applique uniquement à Tableau Cloud.

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta pour permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour les visualisations intégrées. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Détournement de clic(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) sur le site Web d’OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Personnalisations > Autre et accédez à la section Intégration d’IFrame.

  3. Cliquez sur Modifier, cochez la case Autoriser l’intégration d’iFrame, puis cliquez sur Sauvegarder.

Retour en haut