Configurer Tableau Cloud ou TCM pour OpenID Connect

Cette rubrique explique comment configurer Tableau Cloud ou Tableau Cloud Manager (TCM) de manière à ce qu’il utilise OpenID Connect (OIDC) pour l’authentification unique (SSO). Il s’agit d’une étape dans un processus à plusieurs étapes. Les rubriques suivantes expliquent comment configurer et utiliser OIDC avec Tableau Cloud ou TCM.

  1. Aperçu de OpenID Connect

  2. Configurer le fournisseur d’identité pour OpenID Connect

  3. Configurer Tableau Cloud ou TCM pour OpenID Connect (vous êtes à cette étape)

Remarques :

Exigences

Paramètres

  • ID client : cette valeur est émise par l’IdP et spécifie un identifiant pour l’instance Tableau Cloud enregistrée ou TCM. Cela permet à l’IdP de savoir d’où vient la demande d’authentification.

  • Secret client : il s’agit d’un jeton utilisé par Tableau Cloud ou TCM pour vérifier l’authenticité de la réponse de l’IdP. Cette valeur doit être conservée en toute confidentialité.

  • URL de la configuration : cette valeur spécifie l’URL vers laquelle l’IdP redirige l’utilisateur une fois qu’il s’est authentifié. L’URL doit inclure l’hôte et le protocole (par exemple https://admin.okta.com/oauth2/default/.well-known/openid-configuration), mais Tableau fournit le point de terminaison de l’URL. Cette URL spécifie l’emplacement du document de découverte de la configuration du fournisseur qui contient les métadonnées du fournisseur OpenID.

    Remarque : si votre IdP ne fournit pas d’URL de configuration, utilisez une URL qui se termine par .well-known/openid-configuration. Pour Tableau Cloud, pensez à utiliser les Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans l’API REST de Tableau pour configurer OIDC.

Paramètres facultatifs

Remarque : s’applique à Tableau Cloud uniquement.

Vous pouvez configurer les paramètres facultatifs suivants à l’aide des Méthodes d’authentification OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) de l’API REST de Tableau.

  • Rapide : invite l’utilisateur à se ré-authentifier et à donner son consentement. Par défaut, le consentement de l’utilisateur est activé.

  • Portée personnalisée : valeur de portée personnalisée liée à l’utilisateur pour interroger l’IdP.

  • Authentification du client : méthode d’authentification du point de terminaison par jeton. La valeur par défaut est 'client_secret_basic'. La valeur 'client_secret_post' est prise en charge.

  • Valeurs ACR essentielles : liste des valeurs essentielles de la classe de référence de contexte d’authentification utilisées pour l’authentification.

  • Valeurs ACR volontaires : liste des valeurs volontaires de classe de référence de contexte d’authentification utilisées pour l’authentification.

Revendications

Pour se connecter avec succès à Tableau Cloud ou TCM, un utilisateur donné doit être activé dans l’IdP OpenID Connect (OIDC), puis mappé à un compte utilisateur sur Tableau Cloud ou TCM. OIDC utilise une méthode basée sur les revendications pour partager les attributs de compte utilisateur avec d’autres applications. Tableau Cloud ou TCM s’appuie sur la revendication de l’IdP pour mapper des comptes utilisateur depuis l’IdP vers les comptes hébergés sur Tableau Cloud ou TCM. Les revendications incluent les attributs de compte utilisateur tels que l’adresse e-mail, le nom de famille, etc. Pour comprendre comment Tableau Cloud ou TCM mappe les revendications d’IdP aux comptes utilisateur, consultez Présentation de l’authentification.

Remarque : le nom des revendications est sensible à la casse.

  • Nom d’utilisateur : par défaut, Tableau attend de l’IdP qu’il transmette la revendication de nom d’utilisateur. Selon votre IdP, il se peut que vous deviez configurer Tableau Cloud pour qu’il utilise une revendication d’IdP différente. Remarque : le nom d’utilisateur dans Tableau est immuable et ne peut être mis à jour à aucun moment.

  • Revendication de nom : vous pouvez spécifier le nom ou le nom de famille pour récupérer l’attribut DisplayName de l’utilisateur.

Étape 1 : Configurer OpenID Connect

Pour Tableau Cloud

  1. Connectez-vous à Tableau Cloud en tant qu’administrateur de site et sélectionnez ParamètresAuthentification.

  2. Dans l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez OpenID Connect (OIDC) et entrez un nom pour la configuration.

  3. Suivez les étapes pour configurer Tableau Cloud pour l’authentification OIDC en procédant comme suit :

    1. À l’étape 1, saisissez les informations requises de votre fournisseur d’identité, notamment l’ID client, le secret client et l’URL de configuration.

    2. À l’étape 2, copiez l’URL de redirection Tableau Cloud, puis collez-la dans le portail de votre fournisseur d’identité pour rediriger les utilisateurs une fois qu’ils se sont authentifiés.

    3. À l’étape 3, saisissez les revendications pour garantir le mappage correct du nom d’utilisateur et du nom d’affichage des utilisateurs.

    4. À l’étape 4, activez éventuellement la déconnexion unique (SLO) si votre fournisseur d’identité la prend en charge.

    5. À l’étape 5, vous pouvez éventuellement choisir comment les utilisateurs s’authentifient lorsqu’ils accèdent à la vue intégrée : dans une fenêtre contextuelle distincte ou à l’aide d’un iFrame intégré.

      Remarque : vous pouvez sélectionner le type d’authentification pour les vues intégrées dans la section Type d’authentification par défaut pour les vues intégrées de la page Authentification (sous les étapes de configuration OIDC).

  4. Une fois que vous avez terminé, cliquez sur le bouton Enregistrer les modifications.

Remarque : lorsque vous modifiez la configuration OIDC, le secret client est masqué et vous devez le saisir à nouveau pour que les modifications soient enregistrées.

Pour TCM

  1. Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.

  2. Dans l’onglet Authentification, cochez la case Activer une méthode d’authentification supplémentaire.

  3. Sélectionnez OpenID Connect (OIDC) dans le menu déroulant et cliquez sur la flèche déroulante Configuration (obligatoire).

  4. Suivez les étapes pour configurer TCM pour l’authentification OIDC en procédant comme suit :

    1. À l’étape 1, saisissez les informations requises de votre fournisseur d’identité, notamment l’ID client, le secret client et l’URL de configuration.

    2. À l’étape 2, copiez l’URL de redirection TCM, puis collez-la dans le portail de votre IdP pour rediriger les utilisateurs une fois qu’ils se sont authentifiés.

    3. À l’étape 3, saisissez les revendications pour garantir le mappage correct du nom d’utilisateur et du nom d’affichage des utilisateurs.

    4. À l’étape 4, activez éventuellement la déconnexion unique (SLO) si votre fournisseur d’identité la prend en charge.

  5. Une fois que vous avez terminé, cliquez sur le bouton Enregistrer les modifications.

Remarque : lorsque vous modifiez la configuration OIDC, le secret client est masqué et vous devez le saisir à nouveau pour que les modifications soient enregistrées.

Étape 2 : Tester la configuration

Nous vous recommandons vivement de tester la configuration pour éviter tout scénario de verrouillage. Le test de la connexion vous permet de vérifier que vous avez correctement configuré OIDC avant de modifier le type d’authentification de vos utilisateurs sur OIDC. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit déjà activé dans l’IdP et ajouté à Tableau Cloud ou TCM avec configuration du type d’authentification OIDC.

Remarque : si vous n’êtes pas sûr des revendications à utiliser, terminez la configuration et testez-la. Le test de la configuration produit une nouvelle fenêtre comportant les détails des mappages de revendications, y compris les revendications de nom d’utilisateur et de nom d’affichage. Certains fournisseurs d’identité peuvent mapper l’adresse e-mail au nom d’utilisateur Tableau.

Pour Tableau Cloud

  1. Dans l’onglet Authentification pendant qu’OpenID Connect (OIDC) est sélectionné, à l’étape 6, cliquez sur le bouton Configuration du test. Une nouvelle fenêtre s’affiche avec des détails sur la configuration.

  2. Une fois que vous avez terminé, finissez de configurer OIDC en ajoutant des utilisateurs à votre site en suivant l’étape ci-dessous.

Pour TCM

  1. Dans l’onglet Authentification, pendant qu’OpenID Connect (OIDC) est sélectionné, à l’étape 5, cliquez sur le bouton Tester la configuration. Une nouvelle fenêtre s’affiche avec des détails sur la configuration.

  2. Une fois que vous avez terminé, finissez de configurer OIDC en ajoutant des utilisateurs à votre locataire comme décrit dans l’étape ci-dessous.

Étape 3 : Ajouter des utilisateurs à un site Tableau compatible OpenID Connect ou à TCM

Les étapes décrites dans cette section se font dans la page Utilisateurs de Tableau Cloud ou de TCM.

  1. Après avoir effectué les étapes ci-dessus, revenez à votre site Tableau Cloud ou à TCM.

  2. Dans le volet de gauche, sélectionnez la page Utilisateurs.

  3. Suivez la procédure décrite dans l’une des rubriques suivantes :

Résolution des problèmes

Utilisez les sections suivantes pour résoudre les problèmes que vous rencontrez avec OpenID Connect (OIDC) dans Tableau Cloud ou TCM.

Le protocole OIDC est pris en charge par de nombreux fournisseurs d’identité. Le protocole OIDC est un norme ouverte et flexible, et de ce fait, les implémentations de la norme ne sont pas toutes identiques. La plupart des erreurs que les administrateurs rencontrent lors de la configuration de Tableau Cloud ou TCM pour OIDC proviennent des différences d’implémentation d’OIDC selon les fournisseurs d’identité. Si vous rencontrez des erreurs lorsque vous configurez OIDC avec Tableau, nous vous recommandons de faire appel à votre IdP pour les résoudre.

Connexion à partir de la ligne de commande

Pour Tableau Cloud

Même si Tableau Cloud est configuré de manière à utiliser OIDC, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à Tableau Cloud à l’aide de tabcmd, de l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre) ou de l’utilitaire de ligne de commande Tableau Data Extract(Le lien s’ouvre dans une nouvelle fenêtre) (fourni avec Tableau Desktop).

Pour TCM

De la même façon, même si TCM est configuré pour utiliser OIDC, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à l’API REST de Tableau Cloud Manager(Le lien s’ouvre dans une nouvelle fenêtre).

Échec de la connexion

Dans certains cas, la connexion à Tableau Cloud ou TCM peut échouer avec le message suivant :

Login failure: Identity Provider authentication unsuccessful for user <username_from_IdP> (Échec de la connexion : l’authentification du fournisseur d’identité a échoué pour l’utilisateur <username_from_IdP>). Impossible de trouver l’utilisateur dans Tableau Cloud.

Cette erreur signifie généralement qu’un nom d’utilisateur stocké sur Tableau ne correspond pas à celui fourni par l’IdP. Pour résoudre ce problème, assurez-vous que les valeurs de nom d’utilisateur correspondent. Par exemple, si le nom d’utilisateur Jeanne Dupont est stocké dans l’IdP sous la forme « jdupont@exemple.com », il doit également l’être dans Tableau Cloud ou TCM sous la forme « jdupont@exemple.com ».