Configurer SAML avec OneLogin


Si vous utilisez OneLogin comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour Tableau Cloud ou Tableau Cloud Manager (TCM).

Ces étapes partent de l’hypothèse que vous disposez des autorisations nécessaires pour modifier le portail OneLogin de votre entreprise, et que vous êtes familier avec la lecture de XML et les opérations de collage de valeurs dans des attributs.

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAML générique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
  • L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau.

Étape 1 : Prise en main

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- page nouvelle configuration

    Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Dans TCM, procédez autrement comme suit :

  1. Connectez-vous à TCM en tant qu’administrateur de nuage, et sélectionnez Paramètres > Authentification.

  2. Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML à partir du menu déroulant Authentification.

  3. Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans OneLogin, procédez comme suit :

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur, connectez-vous à votre portail d’administration OneLogin et procédez comme suit :

  2. Dans la page Applications, sélectionnez Ajouter des applications. Recherchez Tableau, et dans les résultats, sélectionnez Tableau Cloud SSO. Dans cette zone, vous configurez la connexion SAML.

    Remarque : l’option Tableau Cloud SSO SSO pour OneLogin ne fonctionne pas avec Tableau Server.

  3. Dans la page Informations, configurez vos préférences de portail. Si vous avez plus d’un site Tableau Cloud, incluez le nom du site dans le champ Nom d’affichage pour aider les utilisateurs à savoir quel site sélectionner.

  4. Dans la page SSO, sélectionnez et copiez l'URI affichée dans le champ SLO Endpoint (HTTP).

    Remarque : bien que l’étiquette indique HTTO, l’URI fournie est une adresse https parce que le point de terminaison SLO (single logout) utilise le chiffrement SSL/TLS.

  5. Dans la même page, sélectionnez Autres actionsMétadonnées SAML, et enregistrez le fichier de métadonnées OneLogin sur votre ordinateur.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Procédez comme suit après avoir téléchargé le fichier de métadonnées SAML depuis OneLogin, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

  1. Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez téléchargé depuis OneLogin.

    Important : si vous rencontrez des problèmes lors du téléversement du fichier de métadonnées OneLogin, envisagez d’utiliser un certificat autre que celui par défaut avec OneLogin. Pour créer un nouveau certificat, depuis le portail d’administration Onelogin, sélectionnez Sécurité > Certificats. Si vous créez un nouveau certificat, assurez-vous que l’application Tableau Cloud dans OneLogin utilise ce nouveau certificat.

  2. Continuez à 3. Mapper les attributs et définissez les valeurs comme suit :

    1. Pour Nom d’utilisateur, entrez le courriel. Il s’agit de l’adresse de courriel avec laquelle les utilisateurs se connectent à Tableau Cloud.

    2. Pour Adresse de courriel, entrez la valeur d’attribut facultative conformément à la documentation du fournisseur d’identité. Cet attribut est l’adresse de courriel à laquelle l’utilisateur recevra des notifications si elle diffère du nom d’utilisateur. Il ne sera utilisé qu’à des fins de notification.

    3. Pour Nom d’affichage, sélectionnez la case d’option Prénom et nom.

      1. Pour Prénom, entrez le prénom.

      2. Pour Nom de famille, entrez le nom de famille.

    Capture d'écran de la page de configuration SAML -- étape 3. Mapper les attributs

  3. À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration d’iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Pour TCM

  1. Retournez à TCM, à la page authentification, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez téléchargé depuis OneLogin.

    Important : si vous rencontrez des problèmes lors du téléversement du fichier de métadonnées OneLogin, envisagez d’utiliser un certificat autre que celui par défaut avec OneLogin. Pour créer un nouveau certificat, depuis le portail d’administration Onelogin, sélectionnez Sécurité > Certificats. Si vous créez un nouveau certificat, assurez-vous que l’application TCM dans OneLogin utilise ce nouveau certificat.

  2. Continuez à 3. Mapper les attributs et définissez les valeurs comme suit :

    1. Pour Nom d’utilisateur, entrez le courriel. Il s’agit de l’adresse de courriel avec laquelle les utilisateurs se connectent à TCM.

    2. Pour Adresse de courriel, entrez la valeur d’attribut facultative conformément à la documentation du fournisseur d’identité. Cet attribut est l’adresse de courriel à laquelle l’utilisateur recevra des notifications si elle diffère du nom d’utilisateur. Il ne sera utilisé qu’à des fins de notification.

    3. Pour Nom d’affichage, sélectionnez la case d’option Prénom et nom.

      1. Pour Prénom, entrez le prénom.

      2. Pour Nom de famille, entrez le nom de famille.

    Capture d'écran de la page de configuration SAML -- étape 3. Mapper les attributs

  3. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer « l’application Tableau Cloud » dans votre fournisseur d’identité

Pour Tableau Cloud, La procédure de cette section utilisera les informations décrites sous 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat dans la page Nouvelle configuration de Tableau Cloud.

Pour TCM, La procédure de cette section utilisera les informations décrites sous 4. Obtenir les métadonnées Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat dans la page Authentification de TCM.

  1. Retournez au portail OneLogin, sur la page Configuration de l’application Tableau Cloud ou TCM, procédez comme suit :

    1. Pour URL du consommateur dans le portail OneLogin, collez la valeur URL ACS Tableau Cloud à partir de Tableau Cloud ou TCM.

    2. Pour Public dans le portail OneLogin, collez la valeur ID d’entité Tableau Cloud à partir de Tableau Cloud ou TCM.

    Capture d’écran de la page Nouvelle configuration SAML de Tableau Cloud -- étape 5. Exporter les métadonnées depuis Tableau Cloud

  2. Accédez à la page SSO, sélectionnez SHA-256 comme algorithme de signature SAML.

  3. Accédez à la page Paramètres et vérifiez que les valeurs apparaissent comme suit :

    Champ Tableau Cloud ou TCMValeur
    Nom d’utilisateurCourriel
    PrénomPrénom
    NomNom

Étape 4 : Tester la configuration SAML

Dans OneLogin, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à OneLogin et attribuez-le à « l’application Tableau Cloud ».

Dans Tableau Cloud ou TCM, procédez comme suit :

  1. Ajoutez cet utilisateur OneLogin à Tableau pour tester la configuration SAML.

  2. Effectuez l’une des actions suivantes :

    • Dans Tableau Cloud, à la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

    • Dans TCM, à la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà mis en service dans le fournisseur d’identité et ajouté à votre Tableau Cloud ou TCM avec le type d’authentification SAML configuré.

Étape 5 : Ajouter des utilisateurs à un site Tableau Cloud compatible SAML ou un TCM

Procédez comme suit pour ajouter des utilisateurs supplémentaires à votre site. La procédure décrite dans cette section est effectuée sur la page Utilisateurs de Tableau Cloud ou TCM.

  1. Une fois les étapes ci-dessus terminées, dans le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans :

À propos de l’activation de l’intégration d’iFrame

Remarque : S’applique uniquement à Tableau Cloud.

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes permettent de configurer OneLogin afin que votre tableau de bord OneLogin soit intégré dans une trame en ligne (iFrame) sur un autre site. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Détournement de clic(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) sur le site Web d’OWASP (Open Web Application Security Project).

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur, et connectez-vous à votre portail admin OneLogin.

  2. Dans le menu Paramètres, cliquez sur Paramètres de compte.

  3. Dans la page De base, sous Protection du tramage, sélectionnez la case à cocher Désactiver la protection du tramage (X-Frame-Options).

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!