Configurer SCIM avec PingFederate

Les étapes ci-dessous décrivent comment configurer la gestion des utilisateurs, mettre les groupes en service et attribuer des rôles sur le site Tableau Cloud à l’aide de PingFederate.

Pendant que vous effectuez les étapes décrites ci-dessous, nous vous recommandons d’avoir à votre disposition la documentation PingFederate pour accompagner les procédures décrites ci-dessous.

Important :

cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la rubrique SCIM ainsi que la documentation de l’IdP.
L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau.

Étape 1 : Remplir les conditions préalables

Pour effectuer les procédures décrites dans ce document, les conditions préalables suivantes doivent être remplies :

Fournisseur SCIM : l’application SCIM Provisioner, installée et configurée. Pour plus d’informations, consultez la section concernant le Fournisseur SCIM(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation de PingIdentity.
Magasin de données : un magasin de données, tel que PingDirectory, configuré. Pour plus d’informations, consultez la section Configurer une connexion LDAP(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation de PingIdentity.
SAML dans les paramètres de protocole : Configurez les paramètres de protocole pour la fédération SAML.

Étape 2 : Commencer à configurer SAML dans Tableau Cloud

La fonctionnalité SCIM de Tableau Cloud exige que vous configuriez votre site pour la prise en charge de l’authentification unique SAML (SSO). Vous reviendrez sur cette configuration SAML plus loin dans cette rubrique, et la mettrez à jour.

Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.
Remarque : Il est impossible de renommer les configurations créées avant janvier 2025 (Tableau 2024.3).

Ignorez l’étape 1. Exporter les métadonnées depuis le fournisseur d’identité. Vous reviendrez à cette étape plus loin dans cette rubrique.
À l’étape 2. Téléverser les métadonnées dans Tableau, téléverser un espace réservé .xml fichier de métadonnées. Plus loin dans cette rubrique, vous remplacerez ce fichier par un fichier de métadonnées .xml valide provenant de PingFederate.
Cliquez sur Enregistrer.

Étape 3 : Activer la prise en charge du SCIM dans Tableau Cloud

Pour activer la prise en charge du SCIM dans Tableau Cloud, procédez comme suit. Vous utiliserez les informations de cette section pour activer le SCIM dans PingFederate.

Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Dans la page d’authentification, sous « Système de gestion d’identité interdomaine (SCIM) », cliquez sur le bouton Nouvelle configuration.
Dans la boîte de dialogue Nouvelle configuration SCIM, procédez comme suit :
1. Entrez un nom pour la configuration du SCIM.
2. Copiez l’URL de base à utiliser dans les paramètres SCIM de votre fournisseur d’identité.
3. Dans la liste déroulante « Authentification », sélectionnez la configuration d’authentification SAML à associer au SCIM.
4. Cliquez sur Enregistrer.
  Remarque :La section « Jeton SCIM » est alors remplie.
Sous Jeton SCIM, procédez comme suit :
1. Cliquez sur le bouton Nouveau secret.
2. Dans la boîte de dialogue Nouveau secret, cliquez à nouveau sur le bouton Nouveau secret. Un secret que vous venez de générer s’affiche.
3. Copiez le secret et stockez-le dans un endroit sûr. Nous utiliserons le secret à l’étape 4.2.1.
  Important :
  - Si vous fermez la configuration SCIM avant d’avoir ajouté le secret aux paramètres SCIM de votre fournisseur d’identité, vous pourrez modifier la configuration SCIM, mais vous devrez cliquer à nouveau sur « Nouveau secret » pour générer un nouveau secret.
  - Le secret est lié à l’utilisateur administrateur de site Tableau qui a créé la configuration SCIM. Si le rôle sur le site de cet utilisateur change ou si l’utilisateur n’est plus membre du site, le secret devient non valide. Dans ce cas, un autre administrateur de site peut générer un nouveau secret pour la configuration SCIM existante et l’ajouter aux paramètres SCIM du fournisseur d’identité. De plus, il peut créer une nouvelle configuration SCIM en s’assurant d’ajouter l’URL de base et le secret aux paramètres SCIM du fournisseur d’identité.
4. Cliquez sur Fermer.

Étape 4 : Activer l’authentification unique (SSO) dans PingFederate

Pour activer SAML SSO dans votre environnement PingFederate, vous devez procéder comme suit :

Créer une instance d’adaptateur d’IdP
Établir une connexion à un fournisseur de service
Mapper les attributs dans votre magasin de données Ping
Configurer la SSO SAML

Important : Notez que les étapes et les exemples décrits ici ne sont donnés qu’à des fins de démonstration.

Étape 4.1 : Créer une instance d’adaptateur d’IdP

Suivez les instructions de chaque section ci-dessous pour créer l’adaptateur de formulaire HTML(Le lien s’ouvre dans une nouvelle fenêtre). PingFederate utilise des adaptateurs d’IdP, tels que l’adaptateur de formulaire HTML, pour authentifier les utilisateurs. Un adaptateur d’IdP recherche les informations de session et fournit une identification utilisateur à PingFederate.

Connectez-vous à la console d’administration de PingFederate.
Sélectionnez Authentication (Authentification) > IdP Adapters (Adaptateurs d’IdP).
Dans la page « IdP Adapters », cliquez sur le bouton Create New Instance (Créer une nouvelle instance) pour démarrer la configuration d’une nouvelle instance d’adaptateur.

Étape 4.1.1 : Créer une instance d’adaptateur (première partie)

Dans la page Créer une instance d’adaptateur, sous l’onglet Type, procédez comme suit :
1. Pour INSTANCE NAME (NOM DE L’INSTANCE), entrez un nom. Par exemple, « credentailsValidatoreInstance ».
2. Pour INSTANCE ID (ID D’INSTANCE), entrez une valeur. Par exemple, « 3 ».
3. Dans la liste déroulante TYPE, sélectionnez HTML Form IdP Adapter (Adaptateur de fournisseur d’identités de formulaire HTML).
4. Conservez la valeur de PARENT INSTANCE (INSTANCE PARENT) telle quelle (None).
5. Cliquez sur le bouton « Next » (Suivant).

Étape 4.1.2 : Créer un validateur d’identifiants

Sous l’onglet IdP Adapter (Adaptateur d’IdP), procédez comme suit :
1. Faites défiler vers le bas de la page et cliquez sur le bouton Manage Password Credential Validators (Gérer les validateurs d’informations d’identification des mots de passe).
2. Dans la page de gestion des validateurs d’identifants des mots de passe, cliquez sur le bouton Create New Instance (Créer une nouvelle instance).
Dans la page Create Credentials Validator Instance (Créer une instance de validateur d’informations d’identification), sous l’onglet Type, procédez comme suit :
1. Pour INSTANCE NAME (NOM DE L’INSTANCE), entrez un nom. Par exemple, « instanceValidateurIdentifiants ».
2. Pour INSTANCE ID (ID D’INSTANCE), entrez une valeur. Par exemple, « 3 ».
3. Dans la liste déroulante TYPE, sélectionnez LDAP Username Password Credential Validator (Validateur d’informations d’authentification de mots de passe LDAP).
4. Conservez la valeur de PARENT INSTANCE (INSTANCE PARENT) telle quelle (None).
5. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Instance Configuration (Configuration de l’instance), procédez comme suit :
1. Dans la liste déroulante LDAP DATASTORE (MAGASIN DE DONNÉES LDAP), sélectionnez la source de données Ping Directory précédemment configurée.
2. Dans le champ SEARCH BASE (BASE DE RECHERCHE), entrez la valeur suivante : dc=example,dc=com.
3. Dans le champ SEARCH FILTER (FILTRE DE RECHERCHE), entrez la valeur suivante : mail=${username}
4. Conservez les autres paramètres tels quels.
5. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Summary (Récapitulatif), vérifiez les informations et cliquez sur le bouton Save (Enregistrer).
Retournez à la page Manage Password Credential Validators (Gérer les validateurs d’identifiants des mots de passe) et cliquez sur le bouton Done (Terminé).
Retournez à la page Create Adapter Instance (Créer une instance d’adaptateur). Sous la section « Password Credential Validator Instance » (Instance du validateur d’identifiants des mots de passe), procédez comme suit :
1. Cliquez sur le lien Add a new row to `Credential Validators` (Ajouter une nouvelle ligne aux « Validateurs d’informations d’identification »).
2. Dans le menu déroulant qui s’affiche, sélectionnez l’instance du validateur que vous venez de créer. Par exemple, « instanceValidateurIdentifiants ».
3. Cliquez sur le lien Update (Mettre à jour).
4. Cliquez sur le bouton « Next » (Suivant).

Étape 4.1.3 : Créer une instance d’adaptateur (deuxième partie)

Retournez à l’onglet Extended Contract (Contrat prolongé) et procédez comme suit :
1. Dans la section Extended the Contract (Prolongation du contrat), procédez comme suit :
  1. Dans la zone de texte, entrez « sn » et cliquez sur le bouton Add (Ajouter).
2. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Adapter Attributes (Attributs de l’adaptateur), procédez comme suit :
1. Dans la liste déroulante UNIQUE USER KEY ATTRIBUT (ATTRIBUT DE CLÉ D’UTILISATEUR UNIQUE), sélectionnez username (nom d’utilisateur).
2. Pour username, cochez la case Pseudonym (Pseudonyme).
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Adapter Contract Mapping (Mappage du contrat de l’adaptateur), cliquez sur le bouton Configure Adapter Contract (Configurer le contrat de l’adaptateur).

Étape 4.1.4 : Configurer le mappage du contrat de l’adaptateur (première partie)

Sous l’onglet Adapter Sources & Users Lookup (Rechercher des sources d’adaptateur et des utilisateurs), cliquez sur le bouton Add Attribute Source (Ajouter une source d’attribut).

Étape 4.1.5 : Configurer la recherche de sources d’attributs et d’utilisateurs

Sous l’onglet Data Store (Magasin de données), procédez comme suit :
1. Pour ATTRIBUTE SOURCE ID (ID DE SOURCE D’ATTRIBUT), entrez un nom. Par exemple, « rechercheUtilisateurSourceAttribut ».
2. Dans ATTRIBUTE SOURCE DESCRIPTION (DESCRIPTION DE LA SOURCE D’ATTRIBUT), entrez une description. Par exemple, « sourceIdAttribut ».
3. Dans ACTIVE DATA STORE (MAGASIN DE DONNÉES ACTIF), sélectionnez le magasin de données Ping Directory qui a été précédemment configuré.
4. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet LDAP Directory Search (Recherche dans le répertoire LDAP), procédez comme suit :
1. Pour BASE DN (DN DE BASE), entrez la valeur suivante : dc=example,dc=com
2. Dans la section Attributes to return from search (Attributs à retourner lors de la recherche), procédez comme suit :
  1. Dans la colonne ROOT OBJECT CLASS (CLASSE D’OBJET RACINE), sélectionnez Show All Attributes (Afficher tous les attributs).
  2. Dans la zone de texte de la colonne Option, sélectionnez givenName (prénom), puis cliquez sur le bouton Add Attribute (Ajouter un attribut).
  3. Dans la zone de texte, sélectionnez sn, puis cliquez sur le bouton Add Attribute (Ajouter un attribut).
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet LDAP Filter (Filtre LDAP), procédez comme suit :
1. Dans la zone de texte FILTER (FILTRE), entrez la valeur suivante : mail=${username}
2. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Summary (Récapitulatif), cliquez sur le bouton Save (Enregistrer).

Étape 4.1.6 : Configurer le mappage du contrat de l’adaptateur (deuxième partie)

Sous l’onglet Attribute Sources & User Lookup (Rechercher des sources d’attribut et des utilisateurs), sélectionnez le contrat d’adaptateur que vous venez de créer. Par exemple, « sourceIdAttribut ».
Sous l’onglet Adapter Contact Fulfillment (Traitement des contacts de l’adaptateur), procédez comme suit :
1. Pour givenName, sélectionnez LDAP (sourceIdAttribut) dans la liste déroulante Source, puis prénom dans la liste déroulante Value (Valeur).
2. Pour policy.action, laissez la valeur de la liste déroulante Source telle quelle (Adaptater).
3. Pour sn, dans la liste déroulante Source, sélectionnez LDAP (sourceIdAttribut); dans la liste déroulante Value (Valeur), sélectionnez sn.
4. Pour username, conservez la valeur telle quelle (Adapter).
5. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Issuance Criteria (Critères d’émission), cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Summary (Récapitulatif), vérifiez les informations et cliquez sur le bouton Save (Enregistrer).

Étape 4.2 : Créer une connexion à un fournisseur de service

Suivez chacune des sections ci-dessous pour créer une connexion à un fournisseur de service (SP). PingFederate utilise les connexions à un SP pour l’authentification unique (SSO) initiée par l’IdP.

Dans la console d’administration de PingFederate, accédez à Applications > SP Connections (Connexions SP).
Dans la page SP Connections (Connexions SP), cliquez sur le bouton Create Connection (Créer une connexion).
Sous l’onglet Connection Template (Modèle de connexion), conservez le paramètre tel quel (DO NOT USE A TEMPLATE FOR THIS CONNECTION (NE PAS UTILISER UN MODÈLE POUR CETTE CONNEXION)) et cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Connection Type (Type de connexion), procédez comme suit :
1. Cochez la case BROWSER SSO Profiles (Profils SSO du NAVIGATEUR).
  1. Dans la liste déroulante PROTOCOL (PROTOCOLE), conservez la valeur telle quelle (SAML 2.0).
2. Cochez la case OUTBOUND PROVISIONING (PROVISIONNEMENT SORTANT).
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Connection Options (Options de connexion), cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Import Metadata (Importer des métadonnées), conservez la valeur telle quelle (NONE), puis cliquez sur le bouton « Next » (Suivant).
Sous l’onglet General Info (Informations générales), procédez comme suit :
1. Pour PARTNERS ENTITY ID (ID D’ENTITÉ PARTENAIRE), entrez l’ID d’entité Tableau Cloud issu de la configuration SAML dans Tableau Cloud que vous avez démarrée à l’étape 2. Par exemple, « https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb ».
2. Pour CONNECTION NAME (NOM DE LA CONNEXION), entrez un nom. Par exemple, « Connecteur SCIM ».
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Outbound Provisioning (Provisionnement sortant), cliquez sur le bouton Configure Provisioning (Configurer la mise en service).

Étape 4.2.1 : Créer un canal de configuration

Sous l’onglet Target (Cible), procédez comme suit :
1. Pour SCIM URL (URL SCIM), entrez l’URL de base de la configuration SCIM de Tableau Cloud que vous avez créée à l’étape 3. Par exemple, « https://scim.online.tableau.com/pods/cd-main/sites/25db875a-cace-4769-8429-d7b210879ef2/scim/v2 ».
2. Pour SCIM VERSION (VERSION SCIM), conservez la valeur telle quelle (2.0).
3. Dans la liste déroulante AUTHENTICATION METHOD (MÉTHODE D’AUTHENTIFICATION), sélectionnez OAUTH 2 BEARER TOKEN (JETON OAUTH 2 DU PORTEUR).
4. Pour ACCESS TOKEN (JETON D’ACCÈS), entrez le secret du jeton SCIM de la configuration SCIM de Tableau Cloud que vous avez créée à l’étape 3.
5. Pour UNIQUE USER IDENTIFIER (IDENTIFIANT UTILISATEUR UNIQUE), conservez la valeur telle quelle (userName).
6. Pour RESULTS PER PAGE (RÉSULTATS PAR PAGE), entrez la valeur suivante : 25. Nous vous recommandons de modifier cette valeur pour obtenir de meilleures performances.
7. Pour PROVISIONING OPTIONS (OPTIONS DE PROVISIONNEMENT), assurez-vous que les cases suivantes soient cochées :
  1. USER CREATE (CRÉER UTILISATEUR)
  2. USER UPDATE (MISE À JOUR UTILISATEUR)
  3. USER DISABLE /DELETE (DÉSACTIVER/SUPPRIMER UTILISATEUR)
  4. PROVISION DISABLED USERS (UTILISATEURS DÉSACTIVÉS PAR LA MISE EN SERVICE)
8. Pour REMOVE USER ACTION (SUPPRIMER ACTION UTILISATEUR), conservez cette valeur telle quelle (Disable). Nous recommandons d’utiliser cette option pour définir le rôle de l’utilisateur sur « Sans licence » dans Tableau Cloud s’il est supprimé du fournisseur d’identité PingFederate.
9. Pour GROUP NAME SOURCE (SOURCE DU NOM DE GROUPE), procédez comme suit :
  1. Dans la liste déroulante, conservez la valeur telle quelle (Common Name).
  2. Cochez la case USE PATCH FOR GROUP UPDATES (UTILISER LE CORRECTIF POUR LES MISES À JOUR DE GROUPE).
10. Pour CUSTOM ATTRIBUTE SCHEMA URNS (URNES DE SCHÉMA D’ATTRIBUT PERSONNALISÉ), entrez la valeur suivante :
  urn:ietf:params:scim:schemas:extension:tableau:3.0:User,urn:ietf:params:scim:schemas:extension:tableau:3.0
11. Cliquez sur le bouton « Next » (Suivant).
Dans la page Configure Channels (Configurer les canaux), sous l’onglet Target (Cible), cliquez sur le bouton Create (Créer).
Sous l’onglet Channel Info (Information sur le canal), pour CHANNEL NAME,entrez un nom et cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Source, procédez comme suit :
1. Dans la liste déroulante ACTIVE DATA STORE (MAGASIN DE DONNÉES ACTIF), sélectionnez le magasin de données Ping.
2. Dans la liste déroulante TYPE, sélectionnez LDAP.
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Source Settings (Paramètres de la source), vérifiez les valeurs suivantes :
1. Pour ENTRY GUID ATTRIBUTE (ATTRIBUT GUID DE L’ENTRÉE), la valeur doit être entryUUID.
2. Pour GROUP MEMBER ATTRIBUTE (ATTRIBUT DU MEMBRE DU GROUPE), la valeur doit être uniqueMember.
3. Pour USER OBJECTCLASS (CLASSE D’OBJET UTILISATEUR), la valeur doit être inetOrgPerson.
4. Pour GROUP OBJECTCLASS (CLASSE D’OBJET DE GROUPE), la valeur doit être groupOfUniqueNames.
5. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Source Location (Emplacement source), procédez comme suit :
1. Pour BASE DN (DN DE BASE), entrez la valeur suivante : dc=example,dc=com
2. Dans la section Users (Utilisateurs), pour FILTER (FILTRE), entrez la valeur suivante : objectClass=inetOrgPerson
3. Dans la section Groups (Groupes), pour FILTER (FILTRE), entrez la valeur suivante : objectClass=groupOfUniqueNames
4. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Attribute Mapping (Mappage d’attributs), procédez comme suit :
1. Remplacez l’attribut userName par « mail » de la manière suivante :
  1. Dans la ligne userName, cliquez sur Edit (Modifier).
  2. Sous la classe Root Object, sélectionnez <Show All Attributes> (Afficher tous les attributs).
  3. Dans la liste déroulante Attributes (Attributs), sélectionnez mail.
  4. Cliquez sur le bouton Add Attribute (Ajouter un attribut).
  5. À côté de l’attribut uuid, cliquez sur le lien Remove (Supprimer).
2. Conservez les attributs restants tels quels.
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Activation & Summary (Activation et récapitulatif), procédez comme suit :
1. Pour Channel Status (État du canal), sélectionnez Active (Actif).
2. Cliquez sur le bouton Save Draft (Enregistrer les modifications).

Étape 4.3 : Mapper les attributs SCIM à votre magasin de données Ping

Suivez les étapes ci-dessous pour mapper les attributs SCIM dans le magasin de données Ping via la console d’administration PingData.

Connectez-vous à la console administrateur PingData.
Dans le volet de navigation de gauche, accédez à LDAP Schema (Schéma LDAP) et cliquez sur l’onglet Attribute Types (Types d’attributs).

Étape 4.3.1 : Créer de nouveaux types d’attributs

Cliquez sur le bouton Actions et sélectionnez New Attribute Type (Nouveau type d’attribut).
Dans la boîte de dialogue New Attribute Type (Nouveau type d’attribut), procédez comme suit :
1. Pour Name (Nom), entrez la valeur suivante : siteRoles
2. Dans Description, entrez une description. Par exemple, « Attribut personnalisé pour les rôles sur le site sur Tableau Cloud ».
3. Cliquez sur Save (Enregistrer).
Répétez l’étape ci-dessus et procédez comme suit dans la boîte de dialogue New Attribute Type (Nouveau type d’attribut) :
1. Pour Name (Nom), entrez la valeur suivante : entitlements
2. Dans Description, entrez une description. Par exemple, « Attribut personnalisé pour les droits sur Tableau Cloud ».
3. Cliquez sur Save (Enregistrer).

Étape 4.3.2 : Créer une nouvelle classe d’objets

En haut de la page, cliquez sur l’onglet Object Class (Classe d’objet), cliquez sur le bouton Actions, puis sélectionnez New Object Class (Nouvelle classe d’objet).
Dans la boîte de dialogue New Object Class, procédez comme suit :
1. Pour Name (Nom), entrez la valeur suivante : Tableau.
2. Dans Description, entrez une description. Par exemple, « Ajouter un attribut siteRoles en tant que droits ».
3. Dans la liste déroulante Parent, sélectionnez inetOrgPerson.
4. Dans la liste déroulante Type, sélectionnez Structural (Structurel).
5. Dans la section Attributes (Attributs), procédez comme suit :
  1. Pour Required Attribute (Attribut obligatoire), trouvez et sélectionnez sn, puis cliquez sur le bouton fléché Add item (Ajouter un élément).
  2. Pour Required Attributes, recherchez et sélectionnez cn, puis cliquez sur le bouton fléché Add item.
  3. Pour Required Attributes, trouvez et sélectionnez objectClass, puis cliquez sur le bouton fléché Add item.
  4. Pour Optional Attributes (Attributs facultatifs), trouvez et sélectionnez siteRoles, puis cliquez sur le bouton fléché Add item.
  5. Pour Optional Attributes, trouvez et sélectionnez entitlements (droits), puis cliquez sur le bouton de fléché Add item.
6. Cliquez sur Save (Enregistrer).

Étape 4,4 : Configurer SAML

Suivez la procédure ci-dessous pour modifier la connexion SP que vous avez créée précédemment pour prendre en charge la SSO SAML.

Dans la console d’administration de PingFederate, en haut de la page, sélectionnez Applications > SP Connections (Connexions SP).
Dans la page SP Connections, procédez comme suit :
1. Cliquez sur le nom de la connexion que vous avez créée à l’étape 4.2.
2. Cliquez sur l’onglet Connection (Connexion).
Sous l’onglet Connection, conservez les sélections telles quelles et cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Connections Options (Options de connexion), conservez la sélection telle quelle (BROWSER SSO) et cliquez sur le bouton « Next ».
Sous l’onglet Import Metadata (Importer les métadonnées), conservez la sélection telle quelle (NONE) et cliquez sur le bouton « Next ».
Sous l’onglet General Info (Informations générales), procédez comme suit :
1. Pour PARTNERS ENTITY ID (ID D’ENTITÉ PARTENAIRE), remplacez le texte par l’ID d’entité Tableau Cloud issu de la configuration SAML dans Tableau Cloud que vous avez démarrée à l’étape 2. Par exemple, https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb.
2. (Facultatif) Mettez à jour le CONNECTION NAME (NOM DE CONNEXION).
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Browser SSO (SSO du navigateur), cliquez sur le bouton Configure Browser SSO (Configurer la SSO du navigateur).
Sous l’onglet SAML Profiles (Profils SAML), procédez comme suit :
1. Dans la section Single Sign-On (SSO) Profiles (Profils SSO) procédez comme suit :
  1. Cochez la case IDP-INITIATED SSO (SSO INITIÉE PAR L’IDP).
  2. Cochez la case SP-INITIATED SSO (SSO INITIÉE PAR LE SP).
2. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Assertion Lifetime (Durée de vie de l’assertion), conservez les valeurs telles quelles et cliquez sur le bouton « Next ».
Sous l’onglet Assertion Creation (Création d’assertion), cliquez sur le bouton Configure Assertion Creation (Configurer la création d’assertion).
Sous l’onglet Identity Mapping (Mappage d’identité), conservez la sélection telle quelle (STANDARD) et cliquez sur le bouton « Next ».
Sous l’onglet Attribute Contract (Contrat d’attribut), procédez comme suit :
1. Dans la section « Subject Name Format » (Format du nom du sujet), conservez la valeur telle quelle (urn:oasis:names:tc:SAML:nameid-format:unspecified).
2. Dans la section Extend the Contract (Étendre le contrat), procédez comme suit :
  1. Dans la zone de texte, entrez la valeur suivante : FirstName
  2. Sous Attribute Name Format (Format du nom d’attribut), sélectionnez urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  3. Cliquez sur le bouton Add (Ajouter).
  4. Dans la zone de texte, entrez la valeur suivante : LastName
  5. Sous Attribute Name Format (Format du nom d’attribut), sélectionnez urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  6. Cliquez sur le bouton Add.
3. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Authentication Source Mapping (Mappage de la source d’authentification), cliquez sur le bouton Map New Adapter Instance (Mapper une nouvelle instance d’adaptateur).
Dans la page IdP Adapter Mapping (Mappage de l’adaptateur de l’IdP), sous l’onglet Adapter Instance (Instance de l’adaptateur), sélectionnez l’adaptateur que vous avez créé à l’étape 4.1.1 et cliquez sur le bouton « Next » (Suivant). Par exemple, « instanceValidateurIdentifiants ».
Sous l’onglet Mapping Method (Méthode de mappage), conservez la valeur telle (USER ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION), puis cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Attribute Contract Fulfillment (Attribut d’exécution du contrat), procédez comme suit :
1. À côté de FirstName (Prénom), procédez comme suit :
  1. Dans la liste déroulante Source, sélectionnez Adapter (Adaptateur).
  2. Dans la liste déroulante Valeur, sélectionnez givenName (Petit nom).
2. À côté de LastName (Nom), procédez comme suit :
  1. Dans la liste déroulante Source, sélectionnez Adapter (Adaptateur).
  2. Dans la liste déroulante Valeur, sélectionnez sn.
3. À côté de SAML_SUBJECT,
  1. Dans la liste déroulante Source, sélectionnez Adapter (Adaptateur).
  2. Dans la liste déroulante Valeur, sélectionnez username (nom d’utilisateur).
4. Cliquez sur le bouton « Next ».
Sous l’onglet Issuance Criteria (Critères d’émission), cliquez sur le bouton « Next ».
Sous l’onglet Summary (Récapitulatif), vérifiez les informations et cliquez sur le bouton Done (Terminé).
Sous l’onglet Assertion Creation, vérifiez les informations et cliquez sur le bouton Done (Terminé).
Sous l’onglet Assertion Creation, cliquez sur le bouton « Next ».
Dans la page Protocol Settings (Paramètres du protocole), cliquez sur le bouton Configure Protocol Settings (Configurer les paramètres du protocole).
Dans la page Protocol Settings, sous l’onglet Assertion Consumer Service URL (URL du service d’assertion du consommateur), procédez comme suit :
1. Cochez la case située sous Default (Par défaut).
2. Sous Binding (Liaison), sélectionnez POST.
3. Sous Endpoint URL (URL du point de terminaison), entrez l’URL ACS de la configuration SAML dans Tableau Cloud que vous avez démarrée à l’étape 2 et cliquez sur le bouton Add (Ajouter). Par exemple, « https://sso.online.tableau.com/public/sp/SSO/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb ».
4. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Allowable SAML Bindings (Liaisons SAML pouvant être autorisées), procédez comme suit :
1. Assurez-vous que les cases POST (PUBLIER) et REDIRECT (REDIRIGER) soient cochées, puis décochez les autres cases.
2. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Signature Policy (Stratégie de signature), cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Encryption Policy (Stratégie de chiffrement), conservez la sélection telle quelle (None) et cliquez sur le bouton « Next ».
Sous l’onglet Summary (Récapitulatif), vérifiez les informations et cliquez sur le bouton Done (Terminé).
Dans la page Browser SSO (SSO du navigateur), sous l’onglet Protocol Settings (Paramètres du protocole), cliquez sur le bouton « Next ».
Sous l’onglet Summary, vérifiez les informations et cliquez sur le bouton Done.
Dans la page SP Connection (Connexion SP), sous l’onglet General Info (Informations générales), cliquez sur le bouton « Next ».
Sous l’onglet Configure Browser SSO (Configurer la SSO du navigateur), cliquez sur le bouton « Next » .
Sous l’onglet Credentials (Identifiants), cliquez sur le bouton Configure Credentials (Configurer les identifiants).
Sous l’onglet Digital Signature Settings(Paramètres de signature numérique), effectuez l’une des opérations suivantes :
- Si vous avez déjà un certificat de signature valide et existant, procédez comme suit :
  1. Dans le menu déroulant SIGNING CERTIFICATE (SIGNATURE DU CERTIFICAT), sélectionnez le certificat existant et cliquez sur le bouton « Next » (Suivant).
  2. Passez à l’étape 38.
- Si vous n’avez pas un certificat de signature valide et existant, procédez comme suit :
  1. Cliquez sur le bouton Gérer les certificats.
  2. Passez à l’étape 33.
Dans la page Certificate Management (Gestion du certificat) cliquez sur le bouton Create New (Créer un nouveau).
Dans la page Create Certificate (Créer un certificat), sous l’onglet Create Certificate, procédez comme suit :
1. Pour COMMON NAME (NOM COURANT), entrez un nom. Par exemple, « PingFedCert ».
2. Pour ORGANISATION (ORGANISATION), entrez un nom. Par exemple, « Tableau ».
3. Pour COUNTRY (PAYS), entrez un nom de pays.
4. Cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Summary (Récapitulatif), assurez-vous que la case MAKE THIS ACTIVE CERTIFICATE (RENDRE CE CERTIFICAT ACTIF) est cochée et cliquez sur le bouton Save (Enregistrer).
Sous l’onglet Certificate Manage (Gérer le certificat), cliquez sur le bouton Done (Terminé).
Dans la page Credentials (Identifiants), procédez comme suit :
1. Dans le menu déroulant SIGNING CERTIFICATE (SIGNATURE DU CERTIFICAT), sélectionnez le certificat que vous venez de créer.
2. Cliquez sur le bouton « Next ».
Sous l’onglet Summary, cliquez sur le bouton Done.
Dans la page SP Connection (Connexion SP), sous l’onglet Outbound Provisioning (Provisionnement sortant), cliquez sur le bouton « Next ».
Sous l’onglet Activation & Summary (Activation et récapitulatif), vérifiez les détails et cliquez sur le bouton Done.

Étape 5 : Exporter les métadonnées depuis PingFederate

Pour terminer la configuration de SAML dans Tableau Cloud, vous aurez besoin du fichier de métadonnées SAML (.xml) de PingFederate à télécharger sur Tableau Cloud.

Dans la console d’administration de PingFederate,accédez à System (Système) > Protocol Metadata (Métadonnées du protocole) > Metadata Export (Exportation de métadonnées).
Dans la page Metadata Export, sous l’onglet Metadata Role (Rôle des métadonnées), conservez la sélection telle quelle (I AM THE IDENTITY PROVIDER (IDP)) et cliquez sur le bouton « Next » (Suivant).
Sous l’onglet Metadata Mode (Mode des métadonnées), conservez la sélection telle quelle (USE A CONNECTION FOR METADATA GENERATION) et cliquez sur le bouton « Next ».
Sous l’onglet Connection Metadata (Métadonnées de la connexion), dans le menu déroulant, sélectionnez la connexion SP que vous avez créée à l’étape 4.2 et cliquez sur le bouton « Next ».
Sous l’onglet Metadata Signing (Signature des métadonnées), dans le menu déroulant SIGNING CERTIFICATE (CERTIFICAT DE SIGNATURE), sélectionnez le certificat que vous avez créé à l’étape 4.4, puis cliquez sur le bouton « Next ».
Sous l’onglet Export & Summary (Exportation et récapitulatif), cliquez sur le bouton Export (Exporter) pour télécharger le fichier de métadonnées PingFederate, puis cliquez sur le bouton Done (Terminé).

Étape 6 : Commencer à configurer SAML dans Tableau Cloud

Les étapes suivantes doivent être effectuées dans Tableau Cloud.

Retournez à Tableau Cloud, à la page Nouvelle configuration, à l’étape 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis PingFederate à l’étape 5. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont alors remplies automatiquement.
À l’étape 3, mappez les noms d’attributs (assertions). Mapper les attributs aux noms d’attributs correspondants dans PingFederate.
À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration d’iFrame ci-dessous.
Cliquez sur le bouton Enregistrer et continuer.

À propos de l’activation de l’intégration d’iFrame

Remarque : S’applique uniquement à Tableau Cloud.

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta pour permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour les visualisations intégrées. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Détournement de clic(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) sur le site Web d’OWASP (Open Web Application Security Project).

Remarques pour la prise en charge du SCIM avec PingFederate

En raison des limitations de PingFederate, une mise à jour du siteRole sur un groupe ne lancera pas de mises à jour du siteRole sur les utilisateurs de ce groupe. Il peut en résulter une affectation d’attribut siteRole obsolète. Pour contourner ce problème, vous pouvez utiliser une mise à jour d’attributs non personnalisés parallèlement à la mise à jour de l’attribut siteRole pour lancer la mise à jour siteRole. Cette opération peut être effectuée manuellement ou automatiquement selon l’une des options suivantes :
- Gérez les siteRoles uniquement sur l’objet utilisateur.
- Après une mise à jour de groupe, mettez manuellement à jour les attributs pour cet utilisateur. Il n’est pas nécessaire qu’il s’agisse d’un attribut pris en charge par SCIM comme le rôle sur le site. Il peut s’agir d’un attribut de description ou de nom.
- Configurez une expression OGNL (Object-Graph Navigation Language) dans PingFederate et effectuez les mises à jour des membres du groupe avant le démarrage de Ping Server. Au démarrage de Ping Server, cela déclenchera une mise à jour des attributs siteRole.
- Configurez une expression OGNL dans PingFederate. Configurez également un groupe statique inversé et une tâche cron pour déclencher des mises à jour de siteRole.
Une expression OGNL dans PingFederate évaluera les attributs de l’utilisateur et leur appartenance au groupe pour déterminer son siteRole.

Retour en haut

Merci de vos commentaires!

Votre commentaire s été envoyé avec succès. Merci!

Aide de Tableau Cloud