Configuration SAML requise pour Tableau Cloud
Avant de configurer SAML pour Tableau Cloud, obtenez ce dont vous avez besoin pour remplir les conditions.
- Exigences liées au fournisseur d’identité (IdP) pour la configuration de Tableau
- Remarques sur la compatibilité SAML et les exigences
- Utilisation de SSO SAML dans les applications du client Tableau
- Effets de la modification du type d’authentification sur Tableau Bridge
- Exigences liées aux données XML
Exigences liées au fournisseur d’identité (IdP) pour la configuration de Tableau
La configuration de Tableau Cloud pour SAML nécessite le respect des conditions suivantes :
Accès administrateur à votre site Tableau Cloud. Vous devez disposer d’un accès administrateur au site Tableau Cloud sur lequel vous souhaitez activer SAML.
Liste des utilisateurs qui utiliseront SSO pour accéder à Tableau Cloud. Vous devez collecter les des noms d’utilisateurs pour les utilisateurs auxquels vous souhaitez autoriser l’accès SSO à Tableau Cloud.
Compte IdP qui prend en charge SAML 2.0 Vous avez besoin d’un compte auprès d’un fournisseur d’identité externe. PingFederate, SiteMinder et Open AM en sont quelques exemples. L’IdP doit prendre en charge SAML 2.0. Vous devez disposer d’un accès administrateur à ce compte.
SHA256 est utilisé comme algorithme de signature. Depuis mai 2020, Tableau Cloud bloque les assertions et les certificats de l’IdP qui sont signés avec l’algorithme SHA-1.
Fournisseur IdP qui prend en charge l’importation/exportation de métadonnées XML. Un fichier de métadonnées créé manuellement peut fonctionner, mais le support technique de Tableau ne peut pas vous aider en ce qui concerne la génération manuelle du fichier ou la résolution des problèmes.
Fournisseur d’IdP qui applique un âge maximum de 24 jours ou moins (2073600 secondes) pour les jetons. Si l’IdP autorise un âge maximum pour les jetons qui est supérieur à l’âge maximum fixé dans Tableau Cloud (2073600 secondes), Tableau Cloud ne reconnaîtra pas le jeton comme étant valide. Dans ce scénario, les utilisateurs recevront des messages d’erreur (Échec de la connexion. Veuillez réessayer.) en essayant de se connecter à Tableau Cloud.
SSO avec MFA est activé. Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.
Important : outre ces exigences, nous vous recommandons de dédier un compte administrateur de site qui soit toujours configuré pour l’authentification TableauID avec MFA(Le lien s’ouvre dans une nouvelle fenêtre). En cas de problème avec SAML ou le fournisseur d’identité, un compte Tableau dédié avec authentification multifacteur garantit que vous avez toujours accès à votre site.
Remarques sur la compatibilité SAML et les exigences
Initié par le fournisseur de services ou l’IdP : Tableau Cloud prend uniquement en charge l’authentification SAML qui commence avec le fournisseur d’identité (IdP) ou de services (SP).
Déconnexion unique (SLO) : Tableau Cloud prend en charge à la fois le SLO initié par le fournisseur de services (SP) et le SLO initié par le fournisseur d’identité (IdP).
Remarque : pour obtenir l’URL SLO de votre site, téléchargez et consultez le fichier XML de métadonnées généré par votre site Tableau Cloud. Vous pouvez trouver ce fichier en accédant à Paramètres > Authentification. Sous le type d’authentification SAML, cliquez sur la flèche déroulante Configuration (obligatoire), puis cliquez sur le bouton Exporter les métadonnées à l’étape 1.
tabcmd et API REST : pour utiliser tabcmd ou l’API REST(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Cloud en utilisant un compte TableauID.
Assertions chiffrées :Tableau Cloud prend en charge les assertions en texte clair ou chiffrées.
Reconfiguration de Tableau Bridge requise : Tableau Bridge prend en charge l’authentification SAML, mais un changement d’authentification exige de reconfigurer le client Bridge. Pour plus d’informations, consultez Effets de la modification du type d’authentification sur Tableau Bridge.
Algorithme de signature requis : pour tous les nouveaux certificats SAML, Tableau Cloud exige l’algorithme de signature SHA256 (ou plus).
- Taille de la clé RSA et de la courbe ECDSA : Le certificat IdP doit avoir une force de clé RSA de 2048 ou une taille de courbe ECDSA de 256.
Attribut NameID : Tableau Cloud requiert l’attribut NameID dans la réponse SAML.
Utilisation de SSO SAML dans les applications du client Tableau
Tableau Cloud Les utilisateurs dotés d’informations d’identification SAML peuvent également se connecter à leur site depuis Tableau Desktop ou l’application Tableau Mobile. Pour une compatibilité optimale, nous recommandons que la version de l’application du client Tableau corresponde à celle de Tableau Cloud.
La connexion à Tableau Cloud depuis Tableau Desktop ou Tableau Mobile utilise une connexion initiée par un fournisseur de services.
Redirection d’utilisateurs authentifiés vers les clients Tableau
Lorsqu’un utilisateur se connecte à Tableau Cloud, Tableau Cloud envoie une demande SAML (AuthnRequest
) à l’IdP, qui inclut la valeur RelayState de l’application Tableau. Si l’utilisateur s’est connecté à Tableau Cloud depuis un client Tableau tel que Tableau Desktop ou Tableau Mobile, il est important que la valeur RelayState soit renvoyée dans la réponse SAML de l’IdP à Tableau.
Si la valeur RelayState n’est pas renvoyée correctement dans ce scénario, l’utilisateur est emmené sur la page d’accueil de Tableau Cloud dans la navigateur Web plutôt que d’être redirigé vers l’application depuis laquelle il s’est connecté.
Adressez-vous avec votre fournisseur d’identité et votre équipe informatique interne pour vérifier que cette valeur sera incluse dans la réponse SAML de l’IdP.
Effets de la modification du type d’authentification sur Tableau Bridge
Lorsque vous modifiez le type d’authentification du site ou modifiez l’IdP, les publicateurs qui utilisent Tableau Bridge pour les actualisations d’extraits planifiées devront déconnecter et reconnecter le client, puis se réauthentifier à l’aide de la nouvelle méthode ou de la nouvelle configuration IdP.
Pour les planifications héritées, la dissociation du client Bridge supprime toutes les sources de données, vous devez donc reconfigurer les planifications d’actualisation. Pour les planifications en ligne, après avoir reconnecté le client, vous devez reconfigurer le pool de clients Bridge.
Le changement de type d’authentification n’affecte pas les requêtes en direct Bridge ni les actualisations qui s’exécutent en direct depuis le site Tableau Cloud (par exemple pour les données sous-jacentes dans le nuage).
Nous vous recommandons d’informer les utilisateurs Bridge des changements d’authentification pour leur site avant de les appliquer. Sinon, ils en prendront conscience en recevant des erreurs d’authentification du client Bridge, ou lorsque le client s’ouvre avec une zone de source de données vide.
Exigences liées aux données XML
Vous configurez SAML à l’aide de documents de métadonnées XML qui sont générés par Tableau Cloud et par votre IdP. Durant le processus d’authentification, l’IdP et Tableau Cloud échangent des informations d’authentification à l’aide de ces documents XML. Si XML ne remplit pas ces conditions, des erreurs peuvent se produire lorsque vous configurez SAML ou lorsque les utilisateurs tentent de se connecter.
HTTP POST et HTTP REDIRECT : Tableau Cloudprend en charge les demandes HTTP POST et REDIRECT pour les requêtes SAML. Dans le document XML de métadonnées SAML qui est exporté par l’IdP, l’attribut Binding
peut être défini sur :
HTTP-POST
HTTP-REDIRECT
HTTP-POST-SimpleSign
Appartenance à un groupe dynamique à l’aide d’assertions SAML :
À compter de
Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion SAML qui contient deux revendications personnalisées des membres du groupe : le groupe (https://tableau.com/groups
) et les noms de groupe (par exemple, « Group1 » et « Group2 ») pour affirmer l’appartenance de l’utilisateur à ce groupe. Tableau valide l’assertion et autorise ensuite l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.
Exemple de réponse SAML XML
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ..... ..... <saml2:Assertion ..... ..... xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="https://tableau.com/groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group1 </saml2:AttributeValue> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group2 </saml2:AttributeValue> <saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>