Configurer SAML avec Okta

Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour votre site Tableau Cloud. Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L’intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification sans que nous en ayons connaissance. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAML générique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.

Étape 1 : Ouvrir les paramètres SAML de Tableau Cloud

Pour configurer l’application Okta, vous avez besoin d’utiliser les informations présentes dans les paramètres SAML de Tableau Cloud.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Dans l’onglet Authentification, cochez la case Activer une méthode d’authentification supplémentaire, sélectionnez SAML, puis cliquez sur la flèche déroulante Configuration (requis).

    Capture d’écran de la page des paramètres d’authentification du site Tableau Cloud

Étape 2 : Ajouter Tableau Cloud à vos applications Okta

Les étapes décrites dans cette section sont effectuées dans la console d’administration Okta.

  1. Ouvrez un nouveau navigateur et connectez-vous à votre console d’administration Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Browse App Catalog (Parcourir le catalogue d’applications).

  3. Recherchez et sélectionnez « Tableau Cloud », puis cliquez sur le bouton Add Integration (Ajouter une intégration). L’onglet Paramètres généraux s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, incluez le nom du site dans le champ Étiquette d’application pour aider les utilisateurs à différencier vos différentes instances d’application Tableau Cloud.

Étape 3 : Configurer SAML

Les étapes décrites dans cette section sont effectuées à la fois dans la console d’administration Okta et dans les paramètres de configuration SAML de Tableau Cloud.

  1. Dans la console d’administration Okta, cliquez sur l’icône Assignments (Attributions) pour ajouter vos utilisateurs ou groupes.

  2. Une fois que vous avez fini, cliquez sur Done (Terminé).

  3. Cliquez sur l’onglet Sign On (Connexion) et dans la section Paramètres, cliquez sur Edit (Modifier).

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Enable SLO (Activer la déconnexion unique).

    2. Copiez la valeur « URL de déconnexion unique » depuis le fichier de métadonnées Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’informations, consultez Configurer la déconnexion unique à l’aide de SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances Tableau.

    3. Dans la zone de texte Paramètres de connexion avancés, saisissez la valeur que vous avez copiée à l’étape b.

    4. Revenez aux paramètres de configuration SAML de Tableau Cloud, et sous 1. Exporter des métadonnées depuis Tableau Cloud, cliquez sur le bouton Télécharger le certificat.

    5. Revenez à la console d’administration Okta, à côté de Signature Certificate (Certificat de signature), cliquez sur le bouton Browse (Parcourir) et accédez au fichier que vous avez téléchargé à l’étape d.

    6. Sélectionnez le fichier et cliquez sur le bouton Upload (Charger).

    7. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

  5. Revenez aux paramètres de configuration SAML de Tableau Cloud et à l’étape Méthode 2 : Copier les métadonnées et télécharger le certificat 1, copiez l’ID de l’entité Tableau Cloud.

  6. Revenez à la console de l’administrateur Okta et procédez comme suit :

    1. Sélectionnez Applications > Applications, cliquez sur l’application Tableau Cloud, puis sélectionnez l’onglet Sign On (Connexion).

    2. Cliquez sur Modifier.

    3. Sous Advanced Sign-on Settings (Paramètres de connexion avancés), dans la zone de texte Tableau Cloud entity ID (ID de l’entité Tableau Cloud), collez l’URL.

    4. Répétez les étapes 7 et 8 pour l’URL du service ACS de Tableau Cloud.

      Remarque : les paramètres de configuration SAML Tableau Cloud apparaissent dans un ordre différent de celui de la page de paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL de l’ACS de Tableau Cloud sont entrés dans les champs corrects d’Okta.

    5. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

  7. Revenez aux paramètres de configuration SAML Tableau Cloud et à l’étape 1, Méthode 2 : Copier les métadonnées et télécharger le certificat, cliquez sur le bouton Télécharger le certificat.

  8. Revenez à l’application Tableau Cloud dans la console d’administration Okta, et sous l’onglet Sign On (Connexion), cliquez sur Edit (Modifier), puis procédez comme suit :

    1. Sous Metadata details (Détails des métadonnées), copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant le fichier "metadata.xml" par défaut.

  9. Revenez aux paramètres de configuration SAML Tableau Cloud et à sous 4. Charger les métadonnées dans Tableau Cloud, cliquez sur le bouton Choisir un fichier, puis sélectionnez le fichier metadata.xml pour télécharger le fichier. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.

  10. Mappez les noms d’attributs (assertions) dans la page Mappages de profils utilisateur Tableau Cloud aux noms d’attributs correspondants sous 5. Attributs de correspondance dans les paramètres de configuration SAML de Tableau Cloud.

  11. Sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration. Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit déjà activé dans l’IdP et ajouté à votre instance Tableau Cloud avec le type d’authentification SAML configuré.

    Remarque : si la connexion échoue, envisagez de conserver l’attribut NameID dans Tableau tel quel.

Étape 4 : Tester la configuration SAML dans Tableau Cloud

Dans Okta, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à Okta et attribuez-le à l’application Tableau Cloud.

Dans Tableau Cloud, procédez comme suit :

  1. Ajoutez cet utilisateur Okta à Tableau Cloud pour tester la configuration SAML. Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.

  2. Dans le volet de gauche, accédez à la page Utilisateurs.

  3. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site.

Étape 5 : Activer l’intégration d’iFrame (facultatif)

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta de manière à permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour une visualisation intégrée. L’intégration des trames en ligne peut offrir une expérience utilisateur plus transparente lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lorsqu’il accède aux pages contenant des visualisations intégrées.

Attention : les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web où l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console d’administration Okta.

  2. Dans le volet de gauche, sélectionnez Customizations (Personnalisations) > Other (Autre) et accédez à la section IFrame Embedding (Intégration d’iFrame).

  3. Cliquez sur Edit (Modifier), cochez la case Allow iFrame embedding (Autoriser l’intégration d’iFrame), puis cliquez sur Save (Enregistrer).

Merci de vos commentaires !Avis correctement envoyé. Merci