Configurer SAML avec Microsoft Entra ID

Si vous avez configuré Microsoft Entra ID (également appelé Microsoft Azure Active Directory (Azure AD)) comme votre fournisseur d’identité (IdP) SAML, utilisez les informations de cette rubrique ainsi que la documentation de Microsoft Entra ID pour ajouter Tableau Cloud ou Tableau Cloud Manager (TCM) à vos applications SSO.

Remarques :

cette procédure concerne une application tierce et est susceptible de modification sans que nous en ayons connaissance. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
Les étapes de configuration dans l’IdP peuvent se présenter dans un ordre différent de celui que vous voyez dans Tableau.

Prérequis

Pour que vous puissiez configurer Tableau et SAML avec Entra ID, votre environnement doit respecter les conditions suivantes :

Respecter les prérequis(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation Tutoriel : Intégration de Microsoft Entra SSO avec Tableau Cloud

Créer un utilisateur de test Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation Tutoriel : Intégration de Microsoft Entra SSO avec Tableau Cloud

Étape 1 : Démarrage

Dans Tableau Cloud, procédez comme suit :

Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.
Remarque : Les configurations créées avant novembre 2024 (Tableau 2024.3) ne peuvent pas être renommées.

Sinon, dans TCM, procédez comme suit :

Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.
Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML dans le menu déroulant Authentification.
Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans Entra, procédez comme suit :

Remarque : pour TCM, vous utilisez l’application Tableau Cloud dans l’IdP pour configurer l’authentification TCM.

Connectez-vous au Centre d’administration Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) avec un rôle minimum d’Administrateur d’applications cloud.
Accédez à Applications d’entreprise > Nouvelle application.
Dans la page Parcourir la galerie Microsoft Entra, tapez « Tableau Cloud » dans la zone de recherche.
Cliquez sur Tableau Cloud dans les résultats de la recherche, puis dans le volet de droite, si vous le souhaitez, modifiez le nom par défaut de l’instance de l’application, puis cliquez sur Créer.
Remarques :
- L’ajout de l’instance de l’application Tableau Cloud peut demander un certain temps.
- Lors de la création d’une instance de l’application Tableau Cloud via la galerie, SAML est le seul type de configuration pris en charge pour l’intégration avec Tableau.
Dans le volet de gauche, accédez à Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, à côté de Configuration SAML de base, cliquez sur Modifier, puis procédez comme suit :
1. Dans la zone de texte Identificateur (ID d’entité), saisissez l’URL d’espace réservé suivante que vous modifierez à nouveau à l’étape 3.2 : https://sso.online.tableau.com/public/sp/metadata?alias=<entityid>
2. Dans la zone de texte URL de réponse , saisissez l’URL d’espace réservé suivante que vous modifierez à nouveau à l’étape 3.2 : https://sso.online.tableau.com/public/sp/
3. Cliquez sur Enregistrer.
Ensuite, à côté de Certificat de signature SAML, cliquez sur Modifier.
Cliquez sur Télécharger pour télécharger le XML de métadonnées de fédération.
Enfin, à côté de Attributs et revendications, cliquez sur Modifier pour préparer l’étape 2.2 ci-dessous.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML depuis Entra, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

De retour dans Tableau Cloud, dans la page Nouvelle configuration, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées que vous avez enregistré depuis Entra. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.
Sous 3. Attributs de la carte, copiez les noms d’attributs correspondants (assertions) depuis la section Attributs et revendications d’Entra :
1. Dans le champ Nom d’utilisateur, entrez mail ou userprincipalname, ou copiez l’URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Pour les champs facultatifs restants, copiez les noms de revendication d’URL.
Sous 4. Choisissez les valeurs par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu Tableau intégré.
Cliquez sur le bouton Enregistrer et continuer.
Accédez à 5. Obtenir les métadonnées Tableau Cloud pour préparer l’étape 3.1.

Pour TCM

De retour dans TCM, dans la page Authentification, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées que vous avez enregistré depuis Entra. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.
Sous 3. Attributs de la carte, copiez les noms d’attributs correspondants (assertions) depuis la section Attributs et revendications d’Entra :
1. Dans le champ Nom d’utilisateur, entrez mail ou userprincipalname, ou copiez l’URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Pour les champs facultatifs restants, copiez les noms de revendication d’URL.
Cliquez sur le bouton Enregistrer et continuer.
Accédez à 4. Obtenir les métadonnées Tableau Cloud pour préparer l’étape 3.1.

Étape 3 : Configurer l’application Tableau Cloud dans votre IdP

De retour dans Entra, dans la page Configurer l’authentification unique avec SAML, à côté de Configuration SAML de base, cliquez sur Modifier, et procédez comme suit :
1. Dans Identifiant (ID d’entité), effectuez l’une des opérations suivantes :
  - Sous 5. Obtenir les métadonnées Tableau Cloud dans Tableau Cloud, copiez l’URL ID d’entité Tableau Cloud.
  - Sous 4. Obtenir les métadonnées Tableau Cloud dans TCM, copiez l’URL ID d’entité Tableau Cloud.
2. Dans URL de réponse, effectuez l’une des opérations suivantes :
  - Sous 5. Obtenir les métadonnées Tableau Cloud dans Tableau Cloud, copiez l’URL ACS de Tableau Cloud.
  - Sous 4. Obtenir les métadonnées Tableau Cloud dans TCM, copiez l’URL ACS de Tableau Cloud.
3. Cliquez sur Enregistrer.

Étape 4 : Tester la configuration SAML

Dans Entra, procédez comme suit :

Attribuer l’utilisateur test Microsoft Entra(Le lien s’ouvre dans une nouvelle fenêtre) comme décrit dans la documentation Tutoriel : Intégration de Microsoft Entra SSO avec Tableau Cloud.

Dans Tableau Cloud ou TCM, procédez comme suit :

Ajoutez cet utilisateur Entra à Tableau Cloud ou TCM pour tester la configuration SAML.
- Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.
- Pour ajouter des utilisateurs dans TCM, consultez la rubrique Gérer les utilisateurs avec Tableau Cloud Manager.
Effectuez l’une des actions suivantes :
- Dans Tableau Cloud, dans la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.
- Dans TCM, sur la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit être déjà activé dans l’IdP et ajouté à Tableau Cloud ou TCM avec configuration du type d’authentification SAML.

Remarques supplémentaires sur la prise en charge de SAML avec Microsoft Entra ID

Pour éviter d’activer la déconnexion unique (SLO) initiée par le fournisseur de services, assurez-vous que les métadonnées d’IdP chargées dans les paramètres SAML de Tableau Cloud ou TCM ne contiennent pas le point de terminaison SLO. Alternativement, dans les métadonnées d’IdP que vous chargez dans les paramètres SAML de Tableau Cloud ou TCM, vous pouvez remplacer la valeur « SingleLogoutService » existante par « https://sso.online.tableau.com/public/idp/SSO ».
Si vous utilisez l’authentification unique initiée par l’IdP pour votre application, ne fournissez pas de valeur « URL de connexion » dans l’application Tableau Cloud ou TCM à partir de la galerie dans Entra. Si vous entrez une valeur pour ce champ, l’authentification unique initiée par l’IdP sera contournée.

Retour en haut

Aide de Tableau Cloud