OpenID Connect

Vous pouvez configurer Tableau Cloud ou Tableau Cloud Manager (TCM) de manière à prendre en charge OpenID Connect (OIDC) pour l’authentification unique (SSO). OIDC est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) tel que Google ou Salesforce. Après s’être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés sur Tableau Cloud ou TCM.

La configuration d’OIDC implique plusieurs étapes. Les rubriques de cette section fournissent des informations générales sur l’utilisation de Tableau Cloud ou TCM avec OIDC et proposent une procédure pour configurer l’IdP et Tableau Cloud ou TCM.

Pour configurer OIDC avec l’API REST de Tableau, consultez Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau. Remarque : s’applique à Tableau Cloud uniquement.

Présentation de l’authentification

Cette section décrit le processus d’authentification OpenID Connect (OIDC) avec Tableau Cloud ou TCM.

1. Un utilisateur tente de se connecter à Tableau Cloud ou TCM depuis un ordinateur client.

2. Tableau Cloud redirige la demande d’authentification vers la passerelle de l’IdP.

3. L’utilisateur est invité à s’authentifier et l’authentification auprès de l’IdP réussit. L’IdP répond par une URL de redirection vers Tableau Cloud ou TCM. Un code d’autorisation pour l’utilisateur est fourni avec l’URL de redirection.

4. Le client est redirigé vers Tableau Cloud ou TCM et présente le code d’autorisation.

5. Tableau Cloud ou TCM présente le code d’autorisation du client à l’IdP ainsi que ses propres identifiants client. Tableau Cloud ou TCM est également client de l’IdP. Cette étape a pour but de prévenir les attaques d’usurpation d’identité ou les attaques de l’homme du milieu.

6. L’IdP renvoie un jeton d’accès et un jeton d’ID à Tableau Cloud ou TCM.

  • Validation du jeton Web JSON (JWT) : par défaut, Tableau procède à la validation du jeton JWT de l’IdP. Lors de la découverte, Tableau récupère les clés publiques spécifiées par jwks_uri dans le document de découverte de configuration de l’IdP. Tableau valide le jeton d’ID d’expiration puis vérifie la signature Web JSON (JWS), l’émetteur (IdP) et l’ID du client. Pour en savoir plus sur le processus JWT, consultez la documentation OIDC, 10(Le lien s’ouvre dans une nouvelle fenêtre). Signatures et cryptage(Le lien s’ouvre dans une nouvelle fenêtre), et norme proposée par l’IETF, Jeton Web JSON(Le lien s’ouvre dans une nouvelle fenêtre). Nous vous recommandons de laisser la validation JWT activée, à moins que votre IdP ne la prenne pas en charge.

  • L’ID de jeton est un ensemble de paires de clés d’attributs pour l’utilisateur. Les paires de clés sont appelées revendications. Voici un exemple de revendication IdP pour un utilisateur :

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud ou TCM identifie l’utilisateur à partir des revendications de l’IdP et termine la demande d’authentification à partir de l’étape 1.Tableau Cloud peut être configuré pour utiliser différentes revendications pour ce processus. Voir Exigences.

8. Tableau Cloud ou TCM autorise l’utilisateur.

Fonctionnement de Tableau avec OpenID Connect

OpenID Connect (OIDC) est un protocole flexible qui prend en charge de nombreuses options pour les informations échangées entre un fournisseur de services (ici, ou TCMTableau Cloud) et un IdP. La liste suivante fournit des détails sur l’implémentation d’OIDC par Tableau Cloud et TCM. Ces détails peuvent vous aider à comprendre quels types d’informations Tableau Cloud ou TCM envoie et attend, et comment configurer un IdP.

  • Tableau Cloud et TCM prend uniquement en charge le flux de code d’autorisation OpenID, comme décrit dans Spécifications finales d’OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation d’OpenID Connect.

  • Tableau Cloud et TCM s’appuie sur l’utilisation de la découverte ou d’une URL de fournisseur pour récupérer les métadonnées de l’IdP.

  • Tableau Cloud et TCM prend en charge l’authentification du client client_secret_basic (par défaut) et client_secret_post , et autres paramètres définis dans la spécification OpenID Connect. Vous pouvez les configurer à l’aide de l’API REST de Tableau.

Adhésion dynamique à un groupe à l’aide d’assertions OIDC

Remarque : s’applique à Tableau Cloud uniquement.

Depuis juin 2024, si l’authentification OIDC est configurée et le paramètre de fonctionnalité activé, vous pouvez contrôler dynamiquement l’adhésion à un groupe via des revendications personnalisées incluses dans le jeton Web JSON (JWT) envoyé par le fournisseur d’identité (IdP).

Une fois configuré, lors de l’authentification de l’utilisateur, l’IdP envoie l’assertion OIDC qui contient deux revendications personnalisées d’adhésion à un groupe : groupe (https://tableau.com/groups) et noms de groupes (par exemple, « Group1 » et « Group2 ») dans lesquels inclure l’assertion de l’utilisateur. Tableau valide l’assertion, puis autorise l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Adhésion dynamique à un groupe à l’aide d’assertions.

Exemple JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]