Authentification
L’authentification désigne les options de connexion des utilisateurs à leur site Tableau Cloud et leur mode d’accès après la connexion initiale. L’authentification vérifie l’identité d’un utilisateur.
Tableau Cloud prend en charge plusieurs types d’authentification, que vous pouvez configurer sur la page Authentification.
Cette rubrique est destinée aux administrateurs de site devant configurer l’authentification sur un site. Pour les administrateurs Cloud configurant l’authentification pour Tableau Cloud Manager, consultez Authentification Tableau Cloud Manager.
Quel que soit le type d’authentification que vous configurez pour votre site, l’authentification multifacteur (MFA) est requise lors de l’accès à Tableau Cloud. Cette exigence contractuelle est entrée en vigueur le 1er février 2022. Pour plus d’informations, consultez À propos de l’authentification multifacteur et Tableau Cloud ci-dessous.
Tableau avec MFA : Il s’agit du type d’authentification intégré et par défaut. Les utilisateurs doivent fournir une combinaison de 1) identifiants Tableau (également appelées TableauID), composées d’un nom d’utilisateur et d’un mot de passe stockés dans Tableau Cloud, et 2) une méthode de vérification MFA, telle qu’une application d’authentification ou une clé de sécurité, pour confirmer l’identité d’un utilisateur. Pour plus d’informations, consultez Authentification multifacteur et Tableau Cloud.
- Tableau: Si Tableau n’a pas encore mis à jour votre site pour exiger Tableau avec MFA, vous pouvez continuer à utiliser ce type d’authentification de manière temporaire. Les utilisateurs saisissent leurs identifiants TableauID directement sur la page de connexion de Tableau Cloud.
Google : si votre entreprise utilise des applications Google, vous pouvez autoriser Tableau Cloud à utiliser des comptes Google pour l’authentification unique (SSO) avec MFA à l’aide d’OpenID Connect (OIDC). Lorsque vous activez l’authentification Google, les utilisateurs sont dirigés sur la page de connexion Google où ils entrent leurs identifiants stockés par Google.
OIDC : une autre manière d’utiliser l’authentification SSO se fait par l’intermédiaire de la couche d’identification générique OpenID Connect (OIDC). Pour ce faire, vous utilisez un fournisseur d’identité (IdP) tiers avec MFA et configurez le site pour établir une relation d’approbation avec l’IdP. Lorsque vous activez OIDC, les utilisateurs sont redirigés vers la page de connexion du fournisseur d’identités, où ils saisissent leurs identifiants SSO, qui sont déjà stockés sur le fournisseur d’identités.
Salesforce : si votre entreprise utilise Salesforce, vous pouvez autoriser Tableau Cloud à utiliser des comptes Salesforce pour l’authentification unique (SSO) avec MFA à l’aide d’OpenID Connect(OIDC). Lorsque vous activez l’authentification Salesforce, les utilisateurs sont dirigés sur la page de connexion Salesforce où ils entrent leurs identifiants stockés et gérés dans Salesforce. Une configuration minimale peut être requise. Pour plus d’informations, consultez Authentification Salesforce.
SAML : une autre manière d’utiliser l’authentification SSO se fait par l’intermédiaire de la norme SAML (Security Assertion Markup Language). Pour ce faire, vous utilisez un fournisseur d’identité (IdP) tiers avec MFA et configurez le site pour établir une relation d’approbation avec l’IdP. Lorsque vous activez SAML, les utilisateurs sont redirigés vers la page de connexion du fournisseur d’identités, où ils saisissent leurs identifiants SSO, qui sont déjà stockés sur le fournisseur d’identités.
Remarques :
- Les autorisations d’accès et de gestion sont implémentées via des rôles sur le site. Les rôles sur le site définissent quels utilisateurs sont des administrateurs, et quels utilisateurs sont des consommateurs de contenu et effectuent des publications sur le site. Pour plus d’information sur les administrateurs, rôles sur le site, groupes, utilisateur invité et tâches administratives liées aux utilisateurs, consultez Gérer les utilisateurs et les groupes et Définir les rôles sur le site des utilisateurs.
- Dans le cadre de l’authentification, il est important de comprendre que les utilisateurs ne sont pas autorisés à accéder aux sources de données externes sur Tableau Cloud du fait qu’ils y possèdent un compte. En d’autres termes, dans la configuration par défaut, Tableau Cloud ne joue pas le rôle de mandataire pour les sources de données externes. Un accès de ce type nécessite une configuration supplémentaire de la source de données sur Tableau Cloud ou l’authentification au niveau de la source de données lorsque l’utilisateur se connecte depuis Tableau Desktop.
À propos de l’authentification multifacteur et Tableau Cloud
Pour faire face à la montée et à l’évolution constante des menaces de sécurité qui peuvent paralyser une organisation, L’authentification MFA est devenue une exigence de Tableau Cloud à partir du 1er février 2022. MFA est un outil efficace pour améliorer la sécurité de connexion et protéger votre entreprise et ses données contre les menaces de sécurité. Pour plus d’informations, consultez la FAQ sur l’authentification multifacteur Salesforce(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Salesforce.
Pour renforcer la sécurité du compte, l’authentification multifacteur (MFA) est une méthode d’authentification qui doit être utilisée conjointement avec l’une des autres méthodes d’authentification décrites ci-dessus. Vous pouvez procéder de l’une des deux manières suivantes :
SSO et MFA (méthode recommandéee) : pour satisfaire à l’exigence MFA, activez MFA avec votre fournisseur d’identité SSO (IdP).
Tableau avec MFA (méthode alternative) : si vous ne travaillez pas directement avec un IdP SSO, vous pouvez à la place activer une combinaison 1) d’identifiants TableauID, qui sont stockées avec Tableau Cloud, et 2) une méthode de vérification supplémentaire avant que vous et vos utilisateurs puissiez accéder au site. Nous recommandons également aux utilisateurs de configurer des codes de récupération comme méthode de vérification de sauvegarde, en cas d’urgence uniquement. Pour plus d’informations, consultez Authentification multifacteur et Tableau Cloud.
À propos de Google, OIDC, Salesforce ou SAML
Si vous activez l’authentification externe sur votre site, vous pouvez sélectionner les utilisateurs dont vous souhaitez qu’ils puissent se connecter à l’aide de leurs identifiants externes et ceux qui doivent utiliser leurs identifiants Tableau (Tableau ID). Vous pouvez autoriser Tableau ID et un fournisseur externe sur un site, mais chaque utilisateur doit être configuré pour utiliser un type ou l’autre. Vous pouvez configurer les options d’authentification utilisateur sur la page Utilisateurs.
Important : outre les exigences d’authentification décrites ci-dessus, nous vous recommandons de dédier un compte d’administrateur de site qui soit toujours configuré pour Tableau avec l’authentification MFA. En cas de problème avec SAML ou l’IdP, un compte Tableau avec MFA dédié garantit que vous avez toujours accès à votre site.
Remarques sur la configuration de méthodes d’authentification supplémentaires
À partir de novembre 2024 (Tableau 2024.3), vous pouvez configurer une ou plusieurs méthodes d’authentification pour votre site.
Chaque configuration d’authentification nécessite un nom. Les configurations existantes créées avant novembre 2024 recevront automatiquement un nom. Par exemple, si SAML a été configuré pour votre site avant novembre 2024, le nom de la configuration est « SAML initial ». Les noms des configurations existantes ne peuvent pas être modifiés.
Le nombre maximal de configurations qu’un site peut avoir dépend du moment où le site a été créé et si SAML ou OIDC a été configuré.
Pour les sites créés avant la mise à niveau de novembre 2024 :
Si vous avez configuré SAML uniquement ou OIDC uniquement avant la mise à niveau de novembre 2024, vous pouvez créer jusqu’à 19 configurations.
Si vous avez configuré SAML puis OIDC, ou OIDC puis SAML avant la mise à niveau de novembre 2024, vous pouvez créer jusqu’à 18 configurations.
Pour les sites créés après la mise à niveau de novembre 2024, vous pouvez créer jusqu’à 20 configurations.
Remarque : Les configurations peuvent être activées, désactivées et supprimées. Cependant, la configuration SAML associée à SCIM ne peut pas être désactivée ni supprimée tant que la fonctionnalité SCIM n’est pas désactivée. Pour plus d’informations à propos de SCIM, consultez Automatiser la mise en service des utilisateurs et la synchronisation des groupes via un fournisseur d’identité externe.
Autoriser l’accès direct depuis des clients connectés Tableau
Par défaut, une fois que tous les utilisateurs ont fourni leurs identifiants pour se connecter à un site, ils peuvent par la suite accéder directement au site Tableau Cloud depuis un client Tableau connecté. Pour en savoir plus, consultez Accéder à des sites depuis des clients connectés.
Remarque : En option, vous devrez peut-être ajouter*.salesforce.com
si l’authentification MFA avec Tableau est activée pour votre site et que votre environnement utilise des proxys qui empêchent les clients d’accéder à d’autres services nécessaires.
Autres scénarios d’authentification : incorporation et intégration
Vous pouvez intégrer l’analytique directement dans les flux de travail de vos utilisateurs en incorporant Tableau dans des portails Web personnalisés, des applications et des produits orientés clients. Pour intégrer des applications externes avec Tableau Cloud et incorporer du contenu Tableau Cloud, d’autres mécanismes permettent d’authentifier les utilisateurs qui accèdent à Tableau en fonction du flux de travail prévu :
Intégration avec les applications connectées Tableau :
Confiance directe : les applications connectées Tableau permettent une expérience d’authentification transparente et sécurisée en facilitant une relation de confiance explicite entre votre site Tableau Cloud et les applications externes dans lesquelles le contenu Tableau est intégré. La relation de confiance offre à vos utilisateurs une expérience d’authentification unique (SSO) sans avoir à effectuer une intégration avec un fournisseur d’identité. L’utilisation d’applications connectées permet également d’autoriser par programmation l’accès à l’API REST de Tableau à l’aide de jetons Web JSON (JWT). Pour plus d’informations, consultez Configurer les applications connectées avec Direct Trust.
ConfianceOAuth 2.0 : vous pouvez enregistrer un serveur d’autorisation externe (EAS) avec Tableau Cloud de manière à établir une relation de confiance entre votre site et le serveur EAS à l’aide du protocole standard Oauth 2.0. La relation de confiance offre à vos utilisateurs une expérience d’authentification unique (SSO), par le biais de votre IdP, pour accéder au contenu Tableau intégré. De plus, l’enregistrement d’un EAS permet d’autoriser par programmation l’accès à l’API REST de Tableau à l’aide de jetons Web JSON (JWT). Pour plus d’informations, consultez Configurer les applications connectées à l’aide de la confiance Oauth 2.0.
Intégration Salesforce : améliorez l’analyse de vos données grâce à des modèles d’apprentissage automatique et à une analyse statistique complète à l’aide d’Einstein Discovery. Pour plus d’informations, consultez Configurer l’intégration Einstein Discovery.
Intégration Slack : mettez les notifications Tableau à la disposition des utilisateurs Tableau sous licence dans leur espace de travail Slack. Pour plus d’informations, consultez Intégrer Tableau à un espace de travail Slack.