Configurer SAML avec OneLogin


Si vous utilisez OneLogin comme votre fournisseur d’identité SAML (IdP), les informations de cette rubrique vous aideront à configurer l’authentification SAML pour Tableau Cloud ou Tableau Cloud Manager (TCM).

Ces étapes partent de l’hypothèse que vous disposez des autorisations nécessaires pour modifier le portail OneLogin de votre entreprise, et que vous êtes familier avec la lecture de XML et les opérations de collage de valeurs dans des attributs.

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification sans que nous en ayons connaissance. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAML générique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
  • Les étapes de configuration dans l’IdP peuvent se présenter dans un ordre différent de celui que vous voyez dans Tableau.

Étape 1 : Démarrage

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- Page Nouvelle configuration

    Remarque : Les configurations créées avant novembre 2024 (Tableau 2024.3) ne peuvent pas être renommées.

Sinon, dans TCM, procédez comme suit :

  1. Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.

  2. Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML dans le menu déroulant Authentification.

  3. Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans OneLogin, procédez comme suit :

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur, connectez-vous à votre portail d’administration OneLogin, puis procédez comme suit :

  2. Dans la page Applications, sélectionnez Ajouter des applications. Recherchez Tableau, et dans les résultats, sélectionnez Authentification unique Tableau Cloud. Dans cette zone, vous configurez la connexion SAML.

    Remarque : l’option Authentification unique Tableau cloud pour OneLogin ne fonctionne pas avec Tableau Server.

  3. Dans la page Informations, configurez vos préférences de portail. Si vous avez plus d’un site Tableau Cloud, incluez le nom du site dans le champ Nom d’affichage pour aider les utilisateurs à savoir quel site sélectionner.

  4. Dans la page SSO, sélectionnez et copiez l'URI affichée dans le champ SLO Endpoint (HTTP) (Point de terminaison SLO (HTTP)).

    Remarque : bien que l’étiquette indique HTTP, l’URI fournie est une adresse https parce que le point de terminaison SLO (déconnexion unique) utilise le cryptage SSL/TLS.

  5. Dans la même page, sélectionnez More Actions (Plus d’actions) > SAML Metadata (Métadonnées SAML) et enregistrez le fichier de métadonnées OneLogin sur votre ordinateur.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Effectuez les étapes suivante après avoir enregistré le fichier de métadonnées SAML depuis OneLogin, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

  1. De retour dans Tableau Cloud, dans la page Nouvelle configuration, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis OneLogin.

    Important : en cas de problèmes lors du téléchargement du fichier de métadonnées OneLogin, envisagez d’utiliser un certificat autre que celui par défaut avec OneLogin. Pour créer un nouveau certificat, depuis le portail d’administration Onelogin, sélectionnez Sécurité > Certificats. Si vous créez un nouveau certificat, assurez-vous que l’application Tableau Cloud dans OneLogin utilise ce nouveau certificat.

  2. Passez à l’étape 3. Mapper les attributs et définissez les valeurs comme suit :

    1. Pour Nom d'utilisateur, entrez l'e-mail. Il s'agit de l'adresse e-mail que les utilisateurs utilisent pour se connecter à Tableau Cloud.

    2. Pour Adresse e-mail, entrez la valeur de l'attribut facultatif conformément à la documentation de l'IdP. Cet attribut est l'adresse e-mail où l'utilisateur doit recevoir des notifications si elle est différente du nom d'utilisateur. Il est uniquement utilisé à des fins de notification.

    3. Pour Nom d'affichage, sélectionnez la case d'option Prénom et nom.

      1. Pour Prénom, entrez FirstName.

      2. Pour Nom de famille, entrez LastName.

    Capture d'écran de la page de configuration SAML – Étape 3. Mapper les attributs

  3. Sous 4. Choisir le paramètre par défaut pour l’intégration de vues (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Pour TCM

  1. De retour dans TCM, dans la page Authentification, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis OneLogin.

    Important : en cas de problèmes lors du téléchargement du fichier de métadonnées OneLogin, envisagez d’utiliser un certificat autre que celui par défaut avec OneLogin. Pour créer un nouveau certificat, depuis le portail d’administration Onelogin, sélectionnez Sécurité > Certificats. Si vous créez un nouveau certificat, assurez-vous que l’application TCM dans OneLogin utilise ce nouveau certificat.

  2. Passez à l’étape 3. Mapper les attributs et définissez les valeurs comme suit :

    1. Pour Nom d'utilisateur, entrez l'e-mail. Il s’agit de l’adresse e-mail que les utilisateurs utilisent pour se connecter à TCM.

    2. Pour Adresse e-mail, entrez la valeur de l’attribut facultatif conformément à la documentation de l’IdP. Cet attribut est l'adresse e-mail où l'utilisateur doit recevoir des notifications si elle est différente du nom d'utilisateur. Il est uniquement utilisé à des fins de notification.

    3. Pour Nom d'affichage, sélectionnez la case d'option Prénom et nom.

      1. Pour Prénom, entrez FirstName.

      2. Pour Nom de famille, entrez LastName.

    Capture d'écran de la page de configuration SAML – Étape 3. Mapper les attributs

  3. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer l’application « Tableau Cloud » dans votre IdP

Pour Tableau Cloud, la procédure décrite dans cette section utilisera les informations de l’étape 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat sur la page Nouvelle configuration dans Tableau Cloud.

Pour TCM, la procédure décrite dans cette section utilisera les informations de 4. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat sur la page Authentification dans TCM.

  1. De retour dans le portail OneLogin, dans l’application Tableau Cloud ou TCM, sur la page Configuration, procédez comme suit :

    1. Pour Consumer URL (URL du consommateur) dans le portail OneLogin, collez la valeur URL ACS de Tableau Cloud de Tableau Cloud ou TCM.

    2. Pour Audience (Public) dans le portail OneLogin, collez la valeur ID d’entité Tableau Cloud depuis Tableau Cloud ou TCM.

    Capture d’écran de la nouvelle page de configuration de Tableau Cloud SAML – Étape 5. Exporter des métadonnées depuis Tableau Cloud

  2. Accédez à la page SSO, sélectionnez SHA-256 comme SAML Signature Algorithm (Algorithme de signature. SAML).

  3. Accédez à Parameters (Paramètres) et assurez-vous que les valeurs apparaissent comme suit :

    Champ Tableau Cloud ou TCMValeur
    Nom d’utilisateurE-mail
    PrénomPrénom
    NomNom

Étape 4 : Tester la configuration SAML

Dans OneLogin, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à OneLogin et attribuez-le à « Application Tableau Cloud ».

Dans Tableau Cloud ou TCM, procédez comme suit :

  1. Ajoutez cet utilisateur OneLogin à Tableau pour tester la configuration SAML.

  2. Effectuez l’une des actions suivantes :

    • Dans Tableau Cloud, dans la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

    • Dans TCM, sur la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit être déjà activé dans l’IdP et ajouté à Tableau Cloud ou TCM avec configuration du type d’authentification SAML.

Étape 5 : Ajouter des utilisateurs supplémentaires au site Tableau Cloud compatible SAML ou à TCM

Pour ajouter des utilisateurs supplémentaires à votre site, suivez les étapes ci-dessous. La procédure décrite dans cette section s’effectue dans la page Utilisateurs de Tableau Cloud ou de TCM.

  1. Une fois les étapes ci-dessus terminées, depuis le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans :

À propos de l’activation de l’intégration iFrame

Remarque : s’applique à Tableau Cloud uniquement.

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes permettent de configurer OneLogin afin que votre tableau de bord OneLogin soit intégré dans une trame en ligne (iFrame) sur un autre site. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les page Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur, et connectez-vous à votre portail d’administration OneLogin.

  2. Dans le menu Paramètres, cliquez sur Paramètres de compte.

  3. Dans la page De base, sous Protection du tramage, sélectionnez la case à cocher Désactiver la protection du tramage (X-Frame-Options).

Retour en haut
Merci de vos commentaires !Avis correctement envoyé. Merci