Activer l’authentification SAML sur un site ou sur TCM

Cette rubrique explique comment activer SAML sur le site ou sur Tableau Cloud Manager (TCM) et sélectionner des utilisateurs devant faire l’objet d’une authentification unique (SSO). Elle décrit également les étapes permettant de passer d’une authentification SAML à l’authentification Tableau par défaut. Avant d’activer SAML, nous vous recommandons de lire la section Configuration SAML requise pour Tableau Cloud, y compris Effets de la modification du type d’authentification sur Tableau Bridge.

Remarque : L’activation de l’authentification SAML pour TCM nécessite une configuration et une intégration d’application distinctes de celles de Tableau Cloud.

Cette rubrique part du principe que vous êtes déjà familier avec les informations des rubriques Authentification et Fonctionnement de SAML.

Informations de configuration spécifiques à l’IdP

Les étapes décrites dans les sections ci-après dans cette rubrique fournissent la procédure de base que vous pouvez utiliser avec la documentation de votre fournisseur d’identité pour configurer SAML pour votre Tableau Cloud site ou pour TCM. Vous pouvez obtenir des étapes de configuration spécifiques à l’IdP pour les IdP suivants :

Activer SAML

Pour Tableau Cloud

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- page nouvelle configuration

    Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Pour TCM

Dans TCM, procédez autrement comme suit :

  1. Connectez-vous à TCM en tant qu’administrateur de nuage, et sélectionnez Paramètres > Authentification.

  2. Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML à partir du menu déroulant Authentification.

  3. Cliquez sur la flèche déroulante Configuration (obligatoire).

Étapes de configuration SAML

Cette section vous guide à travers les étapes de configuration qui s’affichent dans l’onglet Authentification de la page Paramètres de Tableau Cloud ou TCM.

Remarque : Pour terminer ce processus,vous aurez également besoin de la documentation fournie par votre IdP. Cherchez des sujets traitant de la configuration ou de la définition d’un fournisseur de services en vue d’une connexion SAML, ou de l’ajout d’une application.

Étape 1 : Exporter les métadonnées depuis le fournisseur d’identité

Accédez à votre fournisseur d’identité, connectez-vous au compte de votre fournisseur d’identité et utilisez les instructions disponibles dans la documentation de votre fournisseur d’identité pour télécharger les métadonnées de votre fournisseur d’identité. Les métadonnées du fournisseur d’identité permettent à Tableau Cloud ou TCM de se connecter à votre fournisseur d’identité.

Pour l’étape 1, la documentation du fournisseur d’identité vous guidera également sur la manière de fournir des métadonnées à un fournisseur de services. Vous serez invité à télécharger un fichier de métadonnées SAML ou du code XML s’affichera. Si du code XML s’affiche, copiez et collez le code dans un nouveau fichier texte et enregistrez le fichier avec une extension .xml.

Étape 2 : Téléverser les métadonnées vers Tableau

Pour Tableau Cloud, sur la page Nouvelle configuration de Tableau Cloud, importez le fichier de métadonnées (.xml) que vous avez téléchargé depuis le fournisseur d’identité, ou configuré manuellement à partir du fichier XML fourni.

Pour TCM, sur la page Authentification de TCM, importez le fichier de métadonnées (.xml) que vous avez téléchargé depuis le fournisseur d’identité, ou configuré manuellement à partir du fichier XML fourni.

Remarques : 

  • Après avoir téléversé les métadonnées du fournisseur d’identité, les deux champs ID d’entité du fournisseur d’identité et URL du service d’authentification unique du fournisseur d’identité se remplissent automatiquement.
  • Si vous modifiez la configuration, vous devrez télécharger le fichier de métadonnées pour que Tableau puisse utiliser l’ID du bon fournisseur d’identité et l’URL du service SSO.
  • Vous pouvez utiliser le bouton Effacer les métadonnées du fournisseur d’identité si vous devez téléverser un nouveau fichier de métadonnées.
Étape 3 : Mapper les attributs

Les attributs contiennent des données d’authentification, d’autorisation et autres renseignements sur un utilisateur.

Remarque : Tableau Cloud ou TCM requiert l’attribut NameID dans la réponse SAML. Vous pouvez fournir d’autres attributs pour mapper les noms d’utilisateur dans Tableau, mais le message de réponse doit inclure l’attribut NameID.

  • Courriel : (Obligatoire) Saisissez le nom de l’attribut qui enregistre les noms d’utilisateur des utilisateurs (adresses de courriel).

  • Nom à afficher : (Facultatif mais recommandé) Certains IdP utilisent des attributs séparés pour les prénoms et noms, tandis que d’autres stockent le nom complet dans un seul attribut.

    Sélectionnez le bouton qui correspond à la manière dont votre IdP stocke les noms. Par exemple, si le fournisseur d’identités associe le prénom et le nom dans un attribut, sélectionnez Nom à afficher, puis entrez le nom de l’attribut.

    Capture d’écran de l’étape 3 de la configuration de SAML pour le site dans Tableau Cloud -- mapper les attributs

Étape 4 : Choisir la valeur par défaut pour les vues intégrées

Remarque : S’applique uniquement à Tableau Cloud.

Sélectionnez la méthode selon laquelle les utilisateurs se connectent aux vues intégrées. Les options consistent à ouvrir une fenêtre contextuelle séparée affichant le formulaire de connexion de l’IdP ou à utiliser un cadre en ligne (iframe).

Important : Les trames en ligne pouvant être vulnérables aux attaques pardétournement de clic, les fournisseurs d’identité ne prennent pas tous en charge l’authentification par le biais d’une trame en ligne. Dans le cas d’une attaque par détournement de clic, l’intrus tente d’inciter les utilisateurs à cliquer ou à entrer un contenu. Il affiche la page d’attaque dans une couche transparente sur une page isolée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

Si votre IdP ne prend pas en charge la connexion depuis un iframe, sélectionnez S’authentifier dans une fenêtre contextuelle séparée.

Étape 4 : Obtenir des métadonnées Tableau (TCM)

Pour créer une connexion SAML entre TCM et votre fournisseur d’identité, vous devez échanger les métadonnées requises entre les deux services. Pour obtenir des métadonnées de TCM, suivez l’une des méthode suivantes. Consultez la documentation de configuration SAML de l’IdP pour confirmer l’option correcte.

  • Sélectionnez le bouton Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML Tableau Cloud, l’URL de l’ACS (Assertion Consumer Service) et le certificat X.509.

  • Sélectionnez Télécharger le certificat si votre fournisseur d’identité attend les informations requises d’une manière différente. Par exemple, si vous êtes invité à saisir l’entité Tableau Cloud ID, ACS URL et le certificat X.509 dans des emplacements séparés.

Étape 5 : Obtenir des métadonnées Tableau (Tableau Cloud)

Pour créer une connexion SAML entre Tableau Cloud et votre IdP, vous devez échanger les métadonnées requises entre les deux services. Pour obtenir des métadonnées de Tableau Cloud, suivez l’une des Méthode suivantes. Consultez la documentation de configuration SAML de l’IdP pour confirmer l’option correcte.

  • Sélectionnez le bouton Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML Tableau Cloud, l’URL de l’ACS (Assertion Consumer Service) et le certificat X.509.

  • Sélectionnez Télécharger le certificat si votre fournisseur d’identité attend les informations requises d’une manière différente. Par exemple, si vous êtes invité à saisir l’entité Tableau Cloud ID, ACS URL et le certificat X.509 dans des emplacements séparés.

    Instructions concernant l’exportation ou la copie de métadonnées à partir de Tableau Cloud.

Étape 5 : Configurer le fournisseur d’identité (TCM)

Pour l’étape 5, utilisez les instructions dans la documentation du fournisseur d’identité pour soumettre les métadonnées de TCM.

Étape 6 : Configurer le fournisseur d’identité (Tableau Cloud)

Pour l’étape 6, utilisez les instructions dans la documentation du fournisseur d’identité pour soumettre les métadonnées Tableau Cloud.

Étape 6 : Tester la configuration et résoudre les problèmes liés à SAML (TCM)

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà mis en service dans le fournisseur d’identité et ajouté à votre Tableau Cloud ou TCM avec le type d’authentification SAML configuré.

Si vous ne parvenez pas à vous connecter à TCM, commencez par les étapes de dépannage suggérées sur la page Authentification. Si ces étapes ne résolvent pas le problème, consultez Résoudre les problèmes liés à SAML.

Étape 7 : Tester la configuration et résoudre les problèmes liés à SAML (Tableau Cloud)

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà mis en service dans le fournisseur d’identité et ajouté à votre Tableau Cloud ou TCM avec le type d’authentification SAML configuré.

Si vous ne parvenez pas à vous connecter à Tableau Cloud, commencez par les étapes de dépannage suggérées sur la page Nouvelle configuration. Si ces étapes ne résolvent pas le problème, consultez Résoudre les problèmes liés à SAML.

Gérer les utilisateurs

Sélectionnez des utilisateurs existants de Tableau Cloud ou TCM ou ajoutez de nouveaux utilisateurs pour lesquels vous souhaitez approuver l’authentification unique.

Lorsque vous ajoutez ou importez des utilisateurs, spécifiez également leur type d’authentification. Sur la page Utilisateurs, vous pouvez modifier le type d’authentification des utilisateurs à tout moment après leur ajout.

Pour plus d’informations, consultez l’un des articles suivants :

Type d’authentification par défaut pour les vues intégrées

Remarque : S’applique uniquement à Tableau Cloud.

  • Autoriser les utilisateurs à choisir leur type d’authentification

    Lorsque vous sélectionnez cette option, seule une fenêtre contextuelle sera prise en charge. Dans cette fenêtre contextuelle, deux options de connexion apparaissent là où une vue est intégrée : un bouton de connexion qui utilise l’authentification SSO, et un lien permettant d’utiliser les identifiants Tableau comme alternative.

    Conseil : Avec cette option, les utilisateurs ont besoin de savoir quelle option de connexion choisir. Dans le cadre de la notification que vous envoyez à vos utilisateurs après les avoir ajoutés au site d’authentification unique, faites-leur savoir quel type d’authentification utiliser pour divers scénarios d’authentification. Par exemple, les vues intégrées, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.

  • Tableau avec MFA

    Cette option exige que les utilisateurs s’authentifient avec des authentifiants Tableau avec l’authentification multifacteur même si SAML est activé sur le site. Pour se connecter à Tableau avec la MFA, les utilisateurs doivent définir une méthode de vérification pour confirmer leur identité chaque fois qu’ils se connectent à Tableau Cloud. Pour plus d’informations, consultez Authentification multifacteur et Tableau Cloud.

  • Liste des configurations d’authentification

    Lorsque vous sélectionnez une option de configuration spécifique, la manière dont les utilisateurs se connectent aux vues intégrées est déterminée par le paramètre que vous avez configuré à l’étape 6 ci-dessus pour la configuration désignée.

Utiliser l’authentification Tableau

Si un site ou un locataire est configuré pour SAML, vous pouvez modifier les paramètres du de manière à exiger que certains utilisateurs ou tous les utilisateurs se connectent à l’aide de leurs identifiants Tableau.

  • Si vous ne voulez plus qu’un fournisseur d’identité gère l’authentification ou pour exiger que tous les utilisateurs se connectent à l’aide de leurs identifiants Tableau, vous pouvez modifier le type d’authenfication au niveau du site ou du locataire. Consultez la section Modifier le type d’authentification du site, ci-dessous.

  • Si vous souhaitez laisser SAML activé pour certains utilisateurs seulement et demander aux autres de se connecter avec Tableau, vous pouvez modifier le type d’authentification au niveau utilisateur. Pour plus d’informations, consultez Définir le type d’authentification utilisateur.

Modifier le type d’authentification du site

Pour Tableau Cloud

À partir de novembre 2024 (Tableau 2024.3), vous pouvez activer plusieurs types et méthodes d’authentification sur un site. Pour modifier l’authentification que vous souhaitez rendre disponible sur le site, activez ou désactivez les configurations d’authentification.

  1. Connectez-vous au site Tableau Cloud en tant qu’administrateur de site.

  2. Sélectionnez Paramètres > Authentification.

  3. Désactivez ou activez les configurations d’authentification pour le site en cliquant sur le menu Actions et en sélectionnant Désactiver ou Activer.

Après désactivation de la configuration SAML, les métadonnées et les informations du fournisseur d’identité sont préservées. De cette manière, si vous voulez la réactiver, vous n’avez pas besoin de paramétrer à nouveau la connexion entre SAML et le fournisseur d’identité.

Pour TCM

  1. Connectez-vous à TCM en tant qu’administrateur de nuage.

  2. Sélectionnez Paramètres > Authentification.

  3. Décochez la caseActiver une méthode d’authentification supplémentaire.

Mettre à jour le certificat SAML

Le certificat utilisé pour les métadonnées du site Tableau est fourni par Tableau et n’est pas configurable. Pour mettre à jour le certificat pour SAML , vous devez téléverser un nouveau certificat sur votre fournisseur d’identités et rééchanger les métadonnées avec Tableau Cloud.

Pour Tableau Cloud

  1. Connectez-vous au site en tant qu’administrateur de site, et sélectionnez ParamètresAuthentification.

  2. Sous Types d’authentification, accédez à la configuration SAML que vous souhaitez mettre à jour, cliquez sur le menu Actions et sélectionnez Modifier.

  3. Ouvrez un nouvel onglet ou une nouvelle fenêtre, et connectez-vous au compte de votre fournisseur d’identité.

  4. Suivez les instructions fournies par la documentation de l’IdP pour télécverser un nouveau certificat SAML.

  5. Téléchargez le nouveau fichier de métadonnées XML à fournir à Tableau Cloud.

  6. Revenez à la page Modifier la configuration dans Tableau Cloud, et à l’étape 2, téléversez le fichier de métadonnées que vous avez téléchargé depuis le fournisseur d’identité.

  7. Faites défiler la page et cliquez sur le bouton Enregistrer et continuer.

Pour TCM

  1. Connectez-vous à TCM en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Dans la liste déroulante Authentification, sélectionnez SAML > Configuration (obligatoire).

  3. Ouvrez un nouvel onglet ou une nouvelle fenêtre, et connectez-vous au compte de votre fournisseur d’identité.

  4. Suivez les instructions fournies par la documentation de l’IdP pour télécverser un nouveau certificat SAML.

  5. Téléchargez le nouveau fichier de métadonnées XML à fournir à TCM.

  6. Revenez à la page Authentification dans TCM, et à l’étape 2, téléversez le fichier de métadonnées que vous avez téléchargé depuis le fournisseur d’identité.

  7. Faites défiler la page et cliquez sur le bouton Enregistrer et continuer.

Voir également

Accéder à des sites depuis des clients connectés

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!