Cette rubrique explique comment activer SAML sur le site et sélectionner des utilisateurs SSO. Elle décrit également les étapes permettant de passer d’une authentification SAML à l’authentification TableauID par défaut. Avant d’activer SAML, nous vous recommandons de lire la section Configuration SAML requise pour Tableau Cloud, y compris Effets de la modification du type d’authentification sur Tableau Bridge.

Cette rubrique part du principe que vous êtes déjà familier avec les informations des rubriques Authentification et Fonctionnement de SAML.

Informations de configuration spécifiques à l’IdP

Les étapes décrites dans les sections ci-après dans cette rubrique fournissent la procédure de base que vous pouvez utiliser avec la documentation de votre IdP pour configurer SAML pour votre site Tableau Cloud. Vous pouvez obtenir des étapes de configuration spécifiques à l’IdP pour les IdP suivants :

Activer SAML

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Dans l’onglet Authentification, sélectionnez Activer une méthode d’authentification supplémentaire, sélectionnez SAML, puis sélectionnez Modifier la connexion.

    Capture d’écran de la page des paramètres d’authentification du site Tableau Cloud

Étapes de configuration SAML

Cette section vous guide dans chaque étape de la procédure de configuration qui s’affiche dans la page Authentification de l’interface utilisateur Web Tableau Cloud. Dans une installation Tableau Server auto-hébergée, cette page s’affiche uniquement lorsque SAML spécifique à un site est activé au niveau du serveur. Il est activé par défaut dans Tableau Cloud.

Remarque : Pour terminer ce processus,vous aurez également besoin de la documentation fournie par votre IdP. Cherchez des sujets traitant de la configuration ou de la définition d’un fournisseur de services en vue d’une connexion SAML, ou de l’ajout d’une application.

Étape 1 : Exporter les métadonnées depuis Tableau

Pour créer une connexion SAML entre Tableau Cloud et votre IdP, vous devez échanger les métadonnées requises entre les deux services. Pour obtenir des métadonnées de Tableau Cloud, suivez l’une des étapes suivantes. Consultez la documentation de configuration SAML de l’IdP pour confirmer l’option correcte.

  • Sélectionnez Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML Tableau Cloud, l’URL de l’ACS (Assertion Consumer Service) et le certificat X.509.

  • Sélectionnez Télécharger le certificat de chiffrement et d’ouverture de session si votre IdP attend les informations requises d’une manière différente. Par exemple, si vous êtes invité à saisir l’entité Tableau Cloud ID, ACS URL et le certificat X.509 dans des emplacements séparés.

    L’image suivante a été modifiée de manière à montrer que ces paramètres sont identiques dans Tableau Cloud et Tableau Server.

Étapes 2 et 3 : Étapes externes

Pour l’étape 2, pour importer les métadonnées que vous avez exportées à l’étape 1, connectez-vous à votre compte IdP et utilisez les instructions fournies par la documentation de l’IdP pour soumettre les métadonnées Tableau Cloud.

Pour l’étape 3, la documentation du fournisseur d’identités vous guidera également sur la manière de fournir des métadonnées à un fournisseur de services. Vous serez invité à télécharger un fichier de métadonnées ou du code XML. s’affichera. Si du code XML s’affiche, copiez et collez le code dans un nouveau fichier texte et enregistrez le fichier avec une extension .xml.

Étape 4 : Importer les métadonnées de l’dP sur le site Tableau

Sur la page d’Authentification de Tableau Cloud, importez le fichier de métadonnées que vous avez téléchargé depuis l’IdP ou configuré manuellement à partir de XML, s’il est fourni.

Étape 5 : Concordance d’attributs

Les attributs contiennent des données d’authentification, d’autorisation et autres renseignements sur un utilisateur. Dans la colonne Nom d’assertion du fournisseur d’identité (IdP), fournissez les attributs contenant les informations demandées par Tableau Cloud.

Remarque : Tableau Cloud requiert l’attribut NameID dans la réponse SAML. Vous pouvez fournir d’autres attributs pour mapper les noms d’utilisateur dans Tableau Cloud, mais le message de réponse doit inclure l’attribut NameID.

  • Courriel : (Obligatoire) Saisissez le nom de l’attribut qui enregistre les adresses de courriel des utilisateurs.

  • Nom à afficher : (Facultatif mais recommandé) Certains IdP utilisent des attributs séparés pour les prénoms et noms, tandis que d’autres stockent le nom complet dans un seul attribut.

    Sélectionnez le bouton qui correspond à la manière dont votre IdP stocke les noms. Par exemple, si le fournisseur d’identités associe le prénom et le nom dans un attribut, sélectionnez Nom à afficher, puis entrez le nom de l’attribut.

    Capture d’écran de l’Étape 5 de la configuration de SAML pour le site dans Tableau Cloud - attributs correspondants

Étape 6 : Options d’intégration

Sélectionnez la méthode selon laquelle les utilisateurs se connectent aux vues intégrées. Les options consistent à ouvrir une fenêtre contextuelle séparée affichant le formulaire de connexion de l’IdP ou à utiliser un cadre en ligne (iframe).

Attention : Les trames en ligne pouvant être vulnérables aux attaques pardétournement de clic, les fournisseurs d’identités ne prennent pas tous en charge l’authentification par le biais d’une trame en ligne. Dans le cas d’une attaque par détournement de clic, l’intrus tente d’inciter les utilisateurs à cliquer ou à entrer un contenu. Il affiche la page d’attaque dans une couche transparente sur une page isolée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

Si votre IdP ne prend pas en charge la connexion depuis un iframe, sélectionnez S’authentifier dans une fenêtre contextuelle séparée.

Voir également Type d’authentification par défaut pour les vues intégrées

Étape 7 : Résolution des problèmes

Démarrez les étapes de dépannage suggérées sur la page d’Authentification. Si ces étapes ne résolvent pas ces problèmes, consultez le Résoudre les problèmes liés à SAML.

Gérer les utilisateurs

Sélectionnez des utilisateurs existants de Tableau Cloud, ou ajoutez de nouveaux utilisateurs auxquels vous souhaitez permettre l’ouverture de session unique.

Lorsque vous ajoutez ou importez des utilisateurs, spécifiez également leur type d’authentification. Sur la page Utilisateurs, vous pouvez modifier le type d’authentification des utilisateurs à tout moment après leur ajout.

Pour plus d’informations, consultez Ajouter des utilisateurs à un site ou Importer des utilisateurs.

Type d’authentification par défaut pour les vues intégrées

Une des tâches d’activation de SAML sur votre site consiste à spécifier la manière dont les utilisateurs accèdent à des vues intégrées dans les pages Web.

  • Autoriser les utilisateurs à choisir leur type d’authentification

    Lorsque vous sélectionnez cette option, deux options de connexion apparaissent là où une vue est intégrée : un bouton de connexion qui utilise l’authentification SSO, et un lien permettant d’utiliser TableauID comme alternative.

    Conseil : avec cette option, les utilisateurs ont besoin de savoir quelle alternative choisir. Dans le cadre de la notification que vous envoyez à vos utilisateurs après les avoir ajoutés au site d’authentification unique, faites-leur savoir quel type d’authentification utiliser pour divers scénarios d’authentification. Par exemple, les vues intégrées, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.

  • Tableau

    Cette option exige que les utilisateurs s’authentifient avec un TableauID même si SAML est activé sur le site. Elle est généralement réservée aux administrateurs dans le cadre de la résolution des problèmes liés aux vues intégrées et à SAML.

  • SAML

    Avec cette option, la manière dont les utilisateurs SAML se connectent aux vues intégrées est déterminée par le paramètre que vous sélectionnez à l’étape 6 ci-dessus.

Utiliser l’authentification TableauID

Si un site est configuré pour SAML, vous pouvez modifier ses paramètres de sorte à demander à des utilisateurs précis ou à tous les utilisateurs de se connecter à l’aide de leurs informations d’identification TableauID.

  • Si vous ne voulez plus qu’un fournisseur d’identité gère l’authentification d’un site ou pour demander à tous les utilisateurs de se connecter à l’aide de leur informations d’identification TableauID, vous pouvez modifier le type d’authenfication au niveau du site.

  • Si vous souhaitez laisser SAML activé pour certains utilisateurs seulement et demander aux autres de se connecter avec TableauID, vous pouvez modifier le type d’authentification au niveau utilisateur.

    Pour plus d’informations, consultez Définir le type d’authentification utilisateur.

Modifier le type d’authentification du site

  1. Connectez-vous à Tableau Cloud en tant qu’administrateur de site et sélectionnez le site.

  2. Sélectionnez Paramètres > Authentification.

  3. Dans Type d’authentification, sélectionnez TableauID.

Après désactivation de la configuration SAML, les métadonnées et les informations d’IdP sont préservées. De cette manière, si vous voulez la réactiver, vous n’avez pas besoin de paramétrer à nouveau la connexion entre SAML et l’IdP.

Voir également

Accéder à des sites depuis des clients connectés

Merci de vos commentaires!