Configurer les applications connectées avec OAuth 2.0 Trust
En tant qu’administrateur de site Tableau Cloud, vous pouvez enregistrer un serveur d’autorisation externe (EAS) pour établir une relation de confiance entre votre Tableau Cloud et EAS en utilisant le protocole de la norme OAuth 2.0. En établissant une relation de confiance, vous pouvez :
- Fournir à vos utilisateurs une expérience d’authentification unique (SSO) pour le contenu Tableau intégré dans vos applications externes via le fournisseur d’identité (IdP) que vous avez déjà configuré pour votre site Tableau Cloud
- Autoriser par programme l’accès à l’API REST de Tableau (et l’API Metadata depuis Tableau Cloud d’octobre 2023) pour le compte des utilisateurs à l’aide d’un jeton Web JSON (JWT)
Lorsque le contenu Tableau intégré est chargé dans votre application externe, un flux OAuth standard est utilisé. Après s’être correctement authentifiés auprès de leur IdP, les utilisateurs sont automatiquement authentifiés auprès de Tableau Cloud. Suivez les étapes décrites ci-dessous pour enregistrer votre EAS auprès de votre site Tableau Cloud.
Important :
- certaines des procédures décrites dans cette rubrique nécessitent une configuration avec des logiciels et des services tiers. Nous avons tout mis en œuvre pour vérifier les procédures permettant d’activer la fonctionnalité EAS sur Tableau Cloud. Cependant, les logiciels et services tiers peuvent changer ou votre entreprise peut être différente. En cas de problèmes, veuillez vous référer à la documentation du fournisseur tiers pour obtenir de l’aide et connaître les détails de configuration qui font autorité.
- Pour que le jeton de session soit valide, les horloges de l’application externe et du serveur hébergeant l’application externe doivent être définies sur le temps universel coordonné (UTC). Si l’une ou l’autre des horloges utilise une norme différente, l’application connectée ne sera pas approuvée.
Étape 1 : Avant de commencer
Pour enregistrer un EAS avec
| Revendication | Nom | Description ou valeur requise |
"kid" | ID de clé | Obligatoire (dans l’en-tête). Un identifiant de clé unique du fournisseur d’identité. |
"iss" | Émetteur | Obligatoire (dans l’en-tête ou en tant que revendication). URI d’émetteur unique, |
"alg" | Algorithme | Obligatoire (dans l’en-tête). Algorithme de signature JWT. Les noms des algorithmes pris en charge sont répertoriés dans la page Class JWSAlgorithm(Le lien s’ouvre dans une nouvelle fenêtre) de la documentation javadoc.io. |
"sub" | Sujet | Nom d’utilisateur |
"aud" | Audience | La valeur doit être : " Pour obtenir le LUID du site, vous pouvez utiliser la méthode de Connexion de l’API REST de Tableau ou suivre les étapes ci-dessous pour copier le LUID du site. Remarque : vous devez enregistrer un EAS en suivant la procédure décrite ici avant de pouvoir copier le ID du site.
|
"exp" | Date d’expiration | |
"jti" | ID JWT | La demande d’ID JWT fournit un identifiant unique pour le jeton JWT et est sensible à la casse. |
"scp" | Portée | Pour l’intégration de workflows, les valeurs prises en charge incluent : " Remarques :
Pour les workflows d’autorisation de l’API REST, consultez Méthodes d’API REST prenant en charge l’autorisation JWT. Pour les workflows de l’API Metadata qui utilisent l’API REST pour l’authentification, la seule portée prise en charge est |
https://tableau.com/oda | Accès à la demande – revendication (activer la capacité) | Pour intégrer des workflows uniquement. La valeur doit être " |
https://tableau.com/groups | Accès à la demande – revendication (préciser le nom du groupe) | Pour intégrer des workflows uniquement. La valeur doit correspondre au nom d’un ou plusieurs groupes dans Tableau Cloud. Pour plus d’informations, consultez la section Accès à la demande (intégration de workflows uniquement) ci-dessous. |
| (Attributs utilisateur) | (Valeurs des attributs utilisateur) | Pour intégrer des workflows uniquement. Vous pouvez inclure des attributs utilisateur dans le JWT. Ensuite, lorsque les fonctions d’attribut utilisateur sont utilisées dans le contenu intégré, Tableau vérifie le contexte de l’utilisateur authentifié et détermine les données qui peuvent être affichées lors de l’exécution. Remarques :
|
Remarque : les revendications JWT ci-dessus sont documentées dans la section Noms de revendications enregistrés(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation distribuée par l’organisation Internet Engineering Task Force (IETF).
Étape 2 : enregistrer votre EAS avec Tableau Cloud
En enregistrant votre EAS auprès de Tableau Cloud, vous établissez une relation de confiance entre l’EAS et
Remarque : certains EAS prennent en charge l’option d’afficher une boîte de dialogue de consentement qui demande l’approbation des utilisateurs pour que l’application accède au contenu Tableau. Pour garantir la meilleure expérience à vos utilisateurs, nous vous recommandons de configurer votre EAS pour qu’il consente automatiquement à la demande d’application externe au nom des utilisateurs.
En tant qu’
Dans le volet de gauche, sélectionnez Paramètres > Applications connectées.
Cliquez sur la flèche déroulante du bouton Nouvelle application connectée et sélectionnez OAuth 2.0 Trust.
- Dans la boîte de dialogue Créer une application connectée, effectuez l’une des opérations suivantes :
Dans la zone de texte Nom, saisissez un nom pour l’application connectée.
Dans la zone de texte URL de l’émetteur, collez l’URL de l’émetteur de l’EAS.
Sélectionnez l’option Activer l’application connectée. Pour des raisons de sécurité, une application connectée est désactivée par défaut lors de sa création.
Une fois terminé, cliquez sur le bouton Créer.
Une fois l’application connectée créée, copiez l’ID de site de l’application connectée. L’ID de site est utilisé pour la revendication "aud" (Audience) du JWT décrite à l’étape 1 ci-dessus.
Étape 3 : Étapes suivantes
Pour intégrer des workflows
Après avoir configuré
Pour plus d’informations sur l’intégration de contenu Tableau, consultez l’un des éléments suivants ou les deux :
- Intégrez des métriques, consultez la rubrique Intégrer des métriques dans des pages Web(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.
- Intégrez des vues et des métriques à l’aide de l’API v3 d’intégration de Tableau(Le lien s’ouvre dans une nouvelle fenêtre).
Remarque : pour que les utilisateurs s’authentifient avec succès lorsqu’ils accèdent au contenu intégré, leurs navigateurs doivent être configurés de manière à autoriser les cookies tiers.
Contrôler où le contenu peut être intégré à l’aide de la liste de domaines autorisés pour l’intégration
Depuis
Par défaut, le paramètre de site unrestrictedEmbedding pour l’intégration est défini sur true pour permettre une intégration sans restriction. Sinon, vous pouvez également définir le paramètre sur false et spécifie les domaines dans lesquels le contenu Tableau des applications externes peut être intégré à l’aide du paramètre allowList.
Pour plus d’informations, consultez l’un des articles suivants :
- Mettre à jour les paramètres d’intégration pour le site(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau
- Paramètre de site Tableau pour l’intégration(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau Embedding API v3.
Pour les workflows d’autorisation de l’API REST
Une fois le jeton JWT configuré, vous devez ajouter le jeton JWT valide à la demande de connexion à l’API REST pour un accès autorisé. Pour plus d’informations, voir Portées d’accès pour les applications connectées.
Pour les workflows de l’API Metadata
Une fois le jeton JWT configuré, vous devez ajouter le jeton JWT valide à la demande de connexion de l’API REST. Pour plus d’informations, voir Portées d’accès pour les applications connectées.
Accès à la demande (intégration de workflows uniquement)
À partir d’octobre 2023, si votre site dispose d’un modèle de licence Analytique embarquée(Le lien s’ouvre dans une nouvelle fenêtre) basé sur l’utilisation, vous pouvez étendre l’accès à votre contenu Tableau intégré à davantage d’utilisateurs grâce à l’accès à la demande. Avec l’accès à la demande, vous permettez à vos utilisateurs d’interagir avec le contenu Tableau intégré authentifié via votre application connectée sans avoir besoin de provisionner ces utilisateurs dans votre site Tableau Cloud. L’accès à la demande vous évite d’avoir à ajouter et à gérer des utilisateurs dans Tableau Cloud pour prendre en charge l’accès au contenu intégré.
Fonctionnement de l’accès à la demande
L’accès au contenu Tableau intégré à l’aide de l’accès à la demande est déterminé par les autorisations au niveau du groupe, soit héritées (par exemple, au niveau du projet), soit directement appliquées au contenu. Les utilisateurs tels que les administrateurs de site, les propriétaires ou chefs de projet et les propriétaires de contenu peuvent attribuer des autorisations au niveau du groupe sur le contenu. Lorsque les utilisateurs accèdent au contenu intégré activé via la fonction d’accès à la demande, Tableau vérifie que le jeton JWT contient les revendications d’appartenance au groupe correctes avant d’afficher le contenu.
Conditions préalables
Les critères suivants doivent être remplis pour permettre l’accès à la demande au contenu intégré :
- Le site utilise un modèle de licence Analytique embarquée(Le lien s’ouvre dans une nouvelle fenêtre) basé sur l’utilisation
- La fonctionnalité d’accès à la demande est activée pour le groupe
- Les autorisations de groupe sont spécifiées pour le contenu Tableau
- L’application connectée Tableau est créée
- Le jeton JWT utilisé par l’application connectée inclut les revendications
https://tableau.com/odaethttps://tableau.com/groups - Le contenu Tableau est intégré dans une application externe
Lorsque ces critères sont remplis, vos utilisateurs peuvent interagir avec le contenu Tableau intégré qui est activé via la fonction d’accès à la demande.
Activer la fonctionnalité d’accès à la demande
Si vous souhaitez activer la fonctionnalité d’accès à la demande pour un groupe, lors de la création ou de la modification d’un groupe, vous devez cocher la case Autoriser l’accès à la demande. Pour plus d’informations sur la création de groupes, consultez Créer un groupe et lui ajouter des utilisateurs.
Vous pouvez activer cette fonctionnalité à l’aide de l’API REST de Tableau. Pour plus d’informations, consultez les méthodes Créer un groupe(Le lien s’ouvre dans une nouvelle fenêtre) et Mettre à jour le groupe(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Fonctionnalités lorsque l’accès à la demande est activé
Les utilisateurs accédant au contenu Tableau intégré disposent de fonctionnalités(Le lien s’ouvre dans une nouvelle fenêtre) d’affichage sur le contenu. Les utilisateurs disposent de fonctionnalités d’affichage, quel que soit le modèle sélectionné ou les fonctionnalités personnalisées éventuellement configurées pour le groupe (par exemple, un utilisateur doté du rôle Viewer ne pourra jamais télécharger une source de données même si cette fonctionnalité lui est explicitement accordée sur un source de données spécifique).
Surveiller l’accès à la demande
Si vous disposez de Tableau Cloud avec Advanced Management(Le lien s’ouvre dans une nouvelle fenêtre), vous pouvez utiliser le journal d’activité pour surveiller l’utilisation de l’accès à la demande. Les événements du journal d’activité qui capturent l’accès à la demande incluent, sans s’y limiter, l’accès aux vues et la connexion. Pour plus d’informations sur ces événements, consultez Référence du type d’événement du journal d’activité.
Limites
Étant donné que le workflow d’accès à la demande permet à certains utilisateurs accédant au contenu Tableau intégré d’être anonymes et éphémères sur Tableau Cloud, les fonctionnalités suivantes ne sont pas disponibles pour les utilisateurs qui accèdent à un contenu intégré via la fonction d’accès à la demande :
- Créer des vues personnalisées
- Partager un contenu à l’aide du bouton de partage de contenu
- S’abonner à un contenu pour recevoir des instantanés d’informations par e-mail
Note: À partir de février 2024 (Tableau 2024.1), les requêtes d'API Tableau REST peuvent être effectuées en tant qu'utilisateur disposant d'un accès à la demande.
Problèmes connus (intégration des workflows uniquement)
Il existe quelques problèmes connus liés à l’utilisation d’applications connectées. Ils seront corrigés dans une future version.
Fonctionnalités de la barre d’outils : lorsque le paramètre de barre d’outils est défini pour le contenu intégré, les fonctionnalités de la barre d’outils ne fonctionneront pas toutes. Pour contourner ce problème, nous vous recommandons de masquer le paramètre de la barre d’outils comme dans l’exemple ci-dessous.
<tableau-viz id='tab-viz' src='https://online.tableau.com/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- Sources de données publiées : les sources de données publiées définies sur Inviter l’utilisateur pour les informations d’identification de la base de données ne s’afficheront pas. Pour contourner ce problème, si possible, nous recommandons aux propriétaires de sources de données d’intégrer à la place leurs informations d’identification pour la base de données.
Résolution des problèmes
Lorsque le contenu intégré ne s’affiche pas dans votre application personnalisée ou l’API REST de Tableau, vous pouvez utiliser les outils de développement d’un navigateur pour inspecter et identifier les codes d’erreur associés à la fonctionnalité EAS activée sur
Reportez-vous au tableau ci-dessous pour consulter la description du code d’erreur et la résolution potentielle.
| Code d’erreur | Résumé | Description | Résolution ou explication potentielle |
| 5 | SYSTEM_USER_NOT_FOUND | L’utilisateur de Tableau est introuvable | sub' (sujet) dans le jeton JWT est le nom d’utilisateur (adresse e-mail) de l’utilisateur Tableau Cloud authentifié. Cette valeur est sensible à la casse. |
| 16 | LOGIN_FAILED | Échec de la connexion | Cette erreur est généralement causée par l’un des problèmes de réclamation suivants dans le JWT :
|
| 67 | FEATURE_NOT_ENABLED | L’accès à la demande n’est pas pris en charge | L’accès à la demande est disponible uniquement via les sites Tableau Cloud sous licence. |
| 142 | EXTERNAL_AUTHORIZATION_SERVER_NOT_FOUND | EAS introuvable | Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 143 | EXTERNAL_AUTHORIZATION_SERVER_LIMIT_EXCEEDED | Limite EAS dépassée | Le site a atteint le nombre maximal autorisé (1) de serveurs d’autorisation externes enregistrés (EAS). |
| 144 | INVALID_ISSUER_URL | URL de l’émetteur non valide | L’ URL de l’émetteur n’est pas valide ou il manque l’attribut 'iss' (émetteur) dans le jeton JWT. |
| 149 | EAS_INVALID_JWKS_URI | URI JWKS manquant | L’URI JWKS n’existe pas dans les métadonnées IdP ou l’URI JWKS n’est pas configuré dans Tableau. Pour résoudre ce problème, configurez un URI JWKS valide. |
| 150 | EAS_RETRIEVE_JWK_SOURCE_FAILED | Échec de la récupération de la source de clé | Pour résoudre ce problème, vérifiez que l’URI JWKS est correctement configuré. |
| 151 | EAS_RETRIEVE_METADATA_FAILED | Échec de la récupération des métadonnées à partir de issuerUrl | Pour résoudre ce problème, vérifiez que l’URI JWKS est correctement configuré. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | Point de terminaison de métadonnées EAS manquant | Pour résoudre ce problème, vérifiez que l’EAS est configuré correctement et que l’émetteur approprié est appelé. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Émetteur manquant | Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 10083 | BAD_JWT | L’en-tête JWT contient des problèmes | Il manque les revendications 'kid' (ID du secret) ou 'clientId' (émetteur) dans l’en-tête JWT. Pour résoudre ce problème, assurez-vous que ces informations sont incluses. |
| 10084 | JWT_PARSE_ERROR | JWT contient des problèmes | Pour résoudre le problème, vérifiez les points suivants :
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT n’a pas pu trouver les clés | Impossible de trouver le secret. Pour résoudre ce problème, vérifiez que l’émetteur approprié est appelé. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Problème avec l’algorithme de signature JWT | Pour résoudre le problème, vous pouvez supprimer l’algorithme de signature. |
| 10088 | RSA_KEY_SIZE_INVALID | Problème avec les exigences de signature JWT | Pour résoudre ce problème, vérifiez auprès de l’EAS ou de l’IdP que le JWT est signé avec une taille de clé RSA de 2048. |
| 10091 | JTI_ALREADY_USED | JWT unique requis | Le JWT a déjà été utilisé dans le processus d’authentification. Pour résoudre ce problème, l’EAS ou l’IdP doit générer un nouveau JWT. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | Le domaine du contenu intégré n’est pas spécifié | Pour résoudre ce problème, assurez-vous que le paramètre unrestrictedEmbedding est défini sur true ou que le paramètre domainAllowlist inclut les domaines dans lesquels le contenu Tableau est intégré à l’aide de la méthode Mettre à jour les paramètres d’intégration pour le site(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau. |
| 10094 | MISSING_REQUIRED_JTI | ID JWT manquant | Pour résoudre ce problème, vérifiez que 'jti’ (ID JWT) est inclus dans le jeton JWT. |
| 10095 | EXTERNAL_AUTHZ_SERVER_DISABLED | EAS désactivé | L’application connectée pour l’EAS enregistrée sur le site est désactivée. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp' (délai d’expiration) excède la période de validité maximum par défaut. Pour résoudre ce problème, examinez les revendications enregistrées(Le lien s’ouvre dans une nouvelle fenêtre) requises pour un JWT valide et assurez-vous que la valeur correcte ne dépasse pas 10 minutes. | |
| 10097 | SCOPES_MALFORMED | Problèmes avec la revendication d’étendue | Cette erreur peut se produire lorsque la revendication 'scp' (étendue) est manquante dans le jeton JWT ou n’est pas transmise en tant que type de liste. Pour résoudre ce problème, vérifiez que 'scp' est inclus dans le jeton JWT et transmis en tant que type de liste. Pour obtenir de l’aide sur le dépannage d’un jeton JWT, consultez Débogueur(Le lien s’ouvre dans une nouvelle fenêtre) sur le site auth0. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | Le jeton JWT n’est ni signé ni chiffré | Tableau ne prend pas en charge les jetons JWT non signés ou chiffrés. |
| 10099 | SCOPES_MISSING_IN_JWT | Réclamation relative aux étendues manquantes | Le JWT ne contient pas la réclamation 'scp' (étendue) requise. Pour résoudre ce problème, vérifiez que 'scp' est inclus dans le jeton JWT. Pour obtenir de l’aide sur le dépannage d’un jeton JWT, consultez Débogueur(Le lien s’ouvre dans une nouvelle fenêtre) sur le site auth0. |
| 10100 | JTI_PERSISTENCE_FAILED | Erreur d’ID JWT inattendue | Une erreur inattendue s’est produite avec 'jti' (ID JWT). Pour résoudre ce problème, un nouveau JWT avec un nouveau 'jti' doit être généré. |
| 10101 | EPHEMERAL_USER_LOGIN_FAILED_SITE_NOT_UBP_ENABLED | L’accès à la demande n’est pas pris en charge | Le site ne dispose pas de la licence basée sur l’utilisation pour l’Analytique embarquée, or ce modèle est requis pour activer l’accès à la demande. Pour plus d’informations, voir Comprendre les modèles de licences. |
| 10102 | EPHEMERAL_USER_NOT_SUPPORTED | L’accès à la demande n’est pas pris en charge lorsque l’attribut iframe-auth est activé | Cette erreur peut se produire lorsque l’attribut iframe-auth est activé. Pour résoudre ce problème, vérifiez que l’API Tableau Embedding version 3.6 ou ultérieure est utilisée. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT dépasse la taille maximale | Cette erreur peut se produire lorsque la taille du JWT dépasse 8 000 octets. Pour résoudre ce problème, assurez-vous que seules les revendications nécessaires sont transmises à Tableau Cloud. |