Configuration SAML requise pour Tableau Cloud


Avant de configurer SAML pour Tableau Cloud ou pour Tableau Cloud Manager (TCM), obtenez ce dont vous avez besoin pour remplir les conditions.

Exigences liées au fournisseur d’identité (IdP) pour la configuration de Tableau

La configuration de Tableau Cloud ou TCM pour SAML nécessite le respect des conditions suivantes :

  • Accès administrateur à votre site Tableau Cloud ou votre locataire. Vous devez disposer d’un accès administrateur au site Tableau Cloud ou au locataire sur lequel vous souhaitez activer SAML.

  • Liste des utilisateurs qui utiliseront l’authentification unique pour accéder à Tableau Cloud ou TCM. Vous devez collecter les des noms d’utilisateurs pour les utilisateurs auxquels vous souhaitez autoriser l’accès par authentification unique (SSO) à Tableau.

  • Compte IdP qui prend en charge SAML 2.0 Vous avez besoin d’un compte auprès d’un fournisseur d’identité externe. PingFederate, SiteMinder et Open AM en sont quelques exemples. L’IdP doit prendre en charge SAML 2.0. Vous devez disposer d’un accès administrateur à ce compte.

  • SHA256 est utilisé comme algorithme de signature. Depuis mai 2020, Tableau bloque les assertions et les certificats du fournisseur d’identité qui sont signés avec l’algorithme SHA-1.

  • Fournisseur IdP qui prend en charge l’importation/exportation de métadonnées XML. Un fichier de métadonnées créé manuellement peut fonctionner, mais le support technique de Tableau ne peut pas vous aider en ce qui concerne la génération manuelle du fichier ou la résolution des problèmes.

  • Fournisseur d’IdP qui applique un âge maximum de 24 jours ou moins (2073600 secondes) pour les jetons. Si le fournisseur d’identité autorise un âge maximum pour les jetons qui est supérieur à l’âge maximum fixé dans Tableau (2073600 secondes), Tableau ne reconnaîtra pas le jeton comme étant valide. Dans ce scénario, les utilisateurs recevront des messages d’erreur (Échec de la connexion. Réessayez.) en essayant de se connecter à Tableau Cloud ou TCM.

  • SSO avec MFA est activé. Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité SSO SAML est une exigence de Tableau.

    Important : outre ces exigences, nous vous recommandons de dédier un compte administrateur de site qui soit toujours configuré pour l’authentification TableauID avec MFA(Le lien s’ouvre dans une nouvelle fenêtre). En cas de problème avec SAML ou le fournisseur d’identité, un compte Tableau dédié avec authentification multifacteur garantit que vous avez toujours accès à votre site.

Remarques sur la compatibilité SAML et les exigences

  • Initié par le fournisseur de services ou le fournisseur d’identité : Tableau prend uniquement en charge l’authentification SAML qui commence avec le fournisseur d’identité (IdP) ou de services (SP).

  • Déconnexion unique (SLO) : Tableau prend en charge à la fois la déconnexion unique initiée par le fournisseur de services (SP) et la déconnexion unique initiée par le fournisseur d’identité (IdP).

    Remarque : pour obtenir l’URL de la déconnexion unique de votre site ou votre locataire, téléchargez et consultez le fichier XML de métadonnées généré par votre site Tableau Cloud ou votre locataire. Vous pouvez trouver ce fichier en accédant à l’un des emplacements suivants :

    • Dans Tableau Cloud, Paramètres > Authentification > Nouvelle configuration ou Modifier la configuration.

    • Dans TCM, Paramètres > Authentification.

  • tabcmd et API REST : Pour utiliser tabcmd ou l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Cloud en utilisant un jeton d’accès personnel. Pour utiliser l’API REST de Tableau Cloud Manager(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à TCM en utilisant un jeton d’accès personnel.

  • Assertions chiffrées : Tableau prend en charge les assertions en texte clair ou chiffrées.

  • Reconfiguration de Tableau Bridge requise : Tableau Bridge prend en charge l’authentification SAML, mais un changement d’authentification exige de reconfigurer le client Bridge. Pour plus d’informations, consultez Effets de la modification du type d’authentification sur Tableau Bridge.

  • Algorithme de signature requis : pour tous les nouveaux certificats SAML, Tableau Cloud ou TCM exige l’algorithme de signature SHA256 (ou plus).

  • Taille de la clé RSA et de la courbe ECDSA : le certificat du fournisseur d’identité doit avoir une force de clé RSA de 2048 ou une taille de courbe ECDSA de 256.

  • Attribut NameID : Tableau requiert l’attribut NameID dans la réponse SAML.

Utilisation de SSO SAML dans les applications du client Tableau

Remarque : S’applique uniquement à Tableau Cloud.

Tableau Cloud Les utilisateurs dotés d’informations d’identification SAML peuvent également se connecter à leur site depuis Tableau Desktop ou l’application Tableau Mobile. Pour une compatibilité optimale, nous recommandons que la version de l’application du client Tableau corresponde à celle de Tableau Cloud.

La connexion à Tableau Cloud depuis Tableau Desktop ou Tableau Mobile utilise une connexion initiée par un fournisseur de services.

Redirection d’utilisateurs authentifiés vers les clients Tableau

Lorsqu’un utilisateur se connecte à Tableau Cloud, Tableau Cloud envoie une demande SAML (AuthnRequest) à l’IdP, qui inclut la valeur RelayState de l’application Tableau. Si l’utilisateur s’est connecté à Tableau Cloud depuis un client Tableau tel que Tableau Desktop ou Tableau Mobile, il est important que la valeur RelayState soit renvoyée dans la réponse SAML de l’IdP à Tableau.

Si la valeur RelayState n’est pas renvoyée correctement dans ce scénario, l’utilisateur est emmené sur la page d’accueil de Tableau Cloud dans la navigateur Web plutôt que d’être redirigé vers l’application depuis laquelle il s’est connecté.

Adressez-vous avec votre fournisseur d’identité et votre équipe informatique interne pour vérifier que cette valeur sera incluse dans la réponse SAML de l’IdP.

Effets de la modification du type d’authentification sur Tableau Bridge

Lorsque vous modifiez le type d’authentification du site ou modifiez l’IdP, les publicateurs qui utilisent Tableau Bridge pour les actualisations d’extraits planifiées devront déconnecter et reconnecter le client, puis se réauthentifier à l’aide de la nouvelle méthode ou de la nouvelle configuration IdP.

Pour les planifications héritées, la dissociation du client Bridge supprime toutes les sources de données, vous devez donc reconfigurer les planifications d’actualisation. Pour les planifications en ligne, après avoir reconnecté le client, vous devez reconfigurer le pool de clients Bridge.

Le changement de type d’authentification n’affecte pas les requêtes en direct Bridge ni les actualisations qui s’exécutent en direct depuis le site Tableau Cloud (par exemple pour les données sous-jacentes dans le nuage).

Nous vous recommandons d’informer les utilisateurs Bridge des changements d’authentification pour leur site avant de les appliquer. Sinon, ils en prendront conscience en recevant des erreurs d’authentification du client Bridge, ou lorsque le client s’ouvre avec une zone de source de données vide.

Exigences liées aux données XML

Vous configurez SAML à l’aide de documents de métadonnées XML qui sont générés par Tableau Cloud ou TCM et par le fournisseur d’identité. Durant le processus d’authentification, le fournisseur d’identité et Tableau échangent des informations d’authentification à l’aide de ces documents XML. Si XML ne remplit pas ces conditions, des erreurs peuvent se produire lorsque vous configurez SAML ou lorsque les utilisateurs tentent de se connecter.

HTTP POST et HTTP REDIRECT : Tableau Cloud ou TCM prend en charge les demandes HTTP POST et REDIRECT pour les requêtes SAML. Dans le document XML de métadonnées SAML qui est exporté par l’IdP, l’attribut Binding peut être défini sur :

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Membres de groupe dynamique utilisant des d’assertions SAML dans Tableau Cloud :

Remarque : S’applique uniquement à Tableau Cloud.

À compter de juin 2024 (Tableau 2024.2), si SAML est configuré et le paramètre de la fonctionnalité est activé, vous pouvez contrôler dynamiquement les membres du groupe au moyen de revendications personnalisées incluses dans la réponse SAML XML envoyée par le fournisseur d’identité (IdP).

Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion SAML qui contient deux revendications personnalisées des membres du groupe : le groupe (https://tableau.com/groups) et les noms de groupe (par exemple, « Group1 » et « Group2 ») pour affirmer l’appartenance de l’utilisateur à ce groupe. Tableau valide l’assertion et autorise ensuite l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Contrôle dynamique des membres de groupes à l’aide d’assertions .

Exemple de réponse SAML XML

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Retour en haut