OpenID Connect

Vous pouvez configurer Tableau Cloud de manière à ce qu’il prenne en charge OpenID (OIDC) pour l’authentification unique (SSO). OIDC est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) tel que Google ou Salesforce. Après s’être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés auprès de Tableau Cloud.

La configuration d’OIDC implique plusieurs étapes. Les rubriques de cette section fournissent des informations générales sur l’utilisation de Tableau Cloud avec OIDC et proposent une procédure pour configurer l’IdP et Tableau Cloud.

Pour configurer OIDC avec l’API REST de Tableau, consultez Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.

Présentation de l’authentification

Cette section décrit le processus d’authentification OpenID Connect (OIDC) avec Tableau Cloud.

1. Un utilisateur tente de se connecter à Tableau Cloud depuis un ordinateur client.

2. Tableau Cloud redirige la demande d’authentification vers la passerelle de l’IdP.

3. L’utilisateur est invité à s’authentifier et l’authentification auprès de l’IdP réussit. L’IdP répond par une URL de redirection vers Tableau Cloud. Un code d’autorisation pour l’utilisateur est fourni avec l’URL de redirection.

4. Le client est redirigé vers Tableau Cloud et présente le code d’autorisation.

5. Tableau Cloud présente le code d’autorisation du client à l’IdP ainsi que ses propres identifiants client. Tableau Cloud est également client de l’IdP. Cette étape a pour but de prévenir les attaques d’usurpation d’identité ou les attaques de l’homme du milieu.

6. L’IdP renvoie un jeton d’accès et un jeton d’ID à Tableau Cloud.

  • Validation du jeton Web JSON (JWT) : par défaut, Tableau Cloud procède à la validation du jeton JWT de l’IdP. Lors de la découverte, Tableau Cloud récupère les clés publiques spécifiées par jwks_uri dans le document de découverte de la configuration de l’IdP. Tableau Cloud valide la date d’expiration du jeton d’ID puis vérifie la signature Web JSON (JWS), l’émetteur (IdP) et l’ID du client. Pour en savoir plus sur le processus JWT, consultez la documentation OIDC, 10(Le lien s’ouvre dans une nouvelle fenêtre). Signatures et cryptage(Le lien s’ouvre dans une nouvelle fenêtre), et norme proposée par l’IETF, Jeton Web JSON(Le lien s’ouvre dans une nouvelle fenêtre). Nous vous recommandons de laisser la validation JWT activée, à moins que votre IdP ne la prenne pas en charge.

  • L’ID de jeton est un ensemble de paires de clés d’attributs pour l’utilisateur. Les paires de clés sont appelées revendications. Voici un exemple de revendication IdP pour un utilisateur :

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identifie l’utilisateur à partir des revendications de l’IdP et termine la demande d’authentification à partir de l’étape 1.Tableau Cloud peut être configuré pour utiliser différentes revendications pour ce processus. Voir Exigences.

8. Tableau Cloud autorise l’utilisateur.

Comment Tableau Cloud fonctionne avec OpenID Connect

OpenID Connect (OIDC) est un protocole flexible qui prend en charge de nombreuses options pour les informations échangées entre un fournisseur de services (ici, Tableau Cloud) et un IdP. La liste suivante fournit des détails sur l’implémentation d’OIDC par Tableau Cloud. Ces détails peuvent vous aider à comprendre quels types d’informations Tableau Cloud envoie et attend, et comment configurer un IdP.

  • Tableau Cloud prend uniquement en charge le flux de code d’autorisation OpenID, comme décrit dans les spécifications finales d’OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) de la documentation d’OpenID Connect.

  • Tableau Cloud s’appuie sur l’utilisation de la découverte ou d’une URL de fournisseur pour récupérer les métadonnées de l’IdP.

  • Tableau Cloud prend en charge l’authentification client client_secret_basic (par défaut) et client_secret_post , et d’autres paramètres indiqués dans la spécification OpenID Connect. Vous pouvez les configurer à l’aide de l’API REST de Tableau.

Adhésion dynamique à un groupe à l’aide d’assertions OIDC

Depuis juin 2024, si l’authentification OIDC est configurée et le paramètre de fonctionnalité activé, vous pouvez contrôler dynamiquement l’adhésion à un groupe via des revendications personnalisées incluses dans le jeton Web JSON (JWT) envoyé par le fournisseur d’identité (IdP).

Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion OIDC qui contient deux revendications personnalisées d’adhésion à un groupe : groupe (https://tableau.com/groups) et noms de groupes (par exemple, « Group1 » et « Group2 ») dans lesquels inclure l’assertion de l’utilisateur. Tableau valide l’assertion, puis autorise l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Adhésion dynamique à un groupe à l’aide d’assertions.

Exemple JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Merci de vos commentaires !Avis correctement envoyé. Merci