Activer l’authentification SAML sur un site ou sur TCM
Cette rubrique explique comment activer SAML sur le site
Remarque : l’activation de l’authentification SAML pour TCM nécessite une configuration et une intégration d’applications distinctes de Tableau Cloud.
Cette rubrique part du principe que vous êtes déjà familier avec les informations des rubriques Authentification et Fonctionnement de SAML.
Informations de configuration spécifiques à l’IdP
Les étapes décrites plus loin dans les section ultérieures de cette rubrique décrivent la procédure de base que vous pouvez utiliser avec la documentation de votre IdP pour configurer SAML pour votre Tableau Cloud site
Activer SAML
Pour Tableau Cloud
Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.
Remarque : Les configurations créées avant janvier 2025 (Tableau 2024.3) ne peuvent pas être renommées.
Pour TCM
Sinon, dans TCM, procédez comme suit :
Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.
Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML dans le menu déroulant Authentification.
Cliquez sur la flèche déroulante Configuration (obligatoire).
Étapes de configuration SAML
Cette section vous guide dans chaque étape de la procédure de configuration qui s’affiche dans l’onglet Authentification de la page Tableau Cloud
Remarque : Pour terminer ce processus,vous aurez également besoin de la documentation fournie par votre IdP. Cherchez des sujets traitant de la configuration ou de la définition d’un fournisseur de services en vue d’une connexion SAML, ou de l’ajout d’une application.
Accédez à votre IdP, connectez-vous à votre compte IdP et utilisez les instructions fournies par la documentation de votre IdP pour télécharger les métadonnées de votre IdP. Les métadonnées de l’IdP permettent à Tableau Cloud
Pour l’étape 1, la documentation de l’IdP vous expliquera également comment fournir des métadonnées à un fournisseur de services. Elle vous indiquera comment télécharger un fichier de métadonnées SAML ou affichera un code XML. Si du code XML s’affiche, copiez et collez le code dans un nouveau fichier texte et enregistrez le fichier avec une extension .xml.
Pour Tableau Cloud, dans la page Nouvelle configuration de Tableau Cloud, importez le fichier de métadonnées (.xml) que vous avez téléchargé depuis l’IdP ou configuré manuellement à partir du fichier XML, s’il est fourni.
Pour TCM, dans la page Authentification de TCM, importez le fichier de métadonnées (.xml) que vous avez téléchargé depuis l’IdP ou configuré manuellement à partir du fichier XML, s’il est fourni.
Remarques :
- Une fois que vous avez téléchargé les métadonnées IdP, les deux champs ID de l’entité IdP et URL du service SSO de l’IdP sont automatiquement renseignés.
- Si vous modifiez la configuration, vous devrez charger le fichier de métadonnées pour que Tableau sache qu’il doit utiliser l’ID de l’entité IdP et l’URL du service SSO de l’IdP corrects.
- Vous pouvez utiliser le bouton Effacer les métadonnées de l’IdP si vous devez charger un nouveau fichier de métadonnées.
Les attributs contiennent des informations d’authentification, d’autorisation et autres informations sur un utilisateur.
Remarque : Tableau Cloud
Nom d’utilisateur : (Obligatoire) Saisissez le nom de l’attribut qui enregistre les noms d’utilisateur (adresses e-mail) des utilisateurs.
Adresse e-mail : (Facultatif) Saisissez le nom de l’attribut qui contient l’adresse e-mail utilisée par l’IdP pendant le processus d’authentification pour permettre aux utilisateurs de recevoir des notifications à une adresse e-mail différente du nom d’utilisateur. L’attribut d’adresse e-mail est utilisé uniquement à des fins de notifications, et non pour la connexion.
Nom à afficher : (Facultatif mais recommandé) Certains IdP utilisent des attributs séparés pour les prénoms et noms, tandis que d’autres stockent le nom complet dans un seul attribut.
Sélectionnez le bouton qui correspond à la manière dont votre IdP stocke les noms. Par exemple, si l’IdP associe le prénom et le nom dans un attribut, sélectionnez Nom à afficher, puis entrez le nom de l’attribut.
Remarque : s’applique à Tableau Cloud uniquement.
Sélectionnez la méthode selon laquelle les utilisateurs se connectent aux vues intégrées. Les options consistent à ouvrir une fenêtre contextuelle séparée affichant le formulaire de connexion de l’IdP ou à utiliser un cadre en ligne (iframe).
Important : les iframes pouvant être vulnérables aux attaques par détournement de clic, les IdP ne prennent pas tous en charge l’authentification via un iframe. Dans le cas d’une attaque par détournement de clic, l’intrus tente d’inciter les utilisateurs à cliquer ou à entrer un contenu. Il affiche la page d’attaque dans une couche transparente sur une page isolée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).
Si votre IdP ne prend pas en charge la connexion depuis un iframe, sélectionnez S’authentifier dans une fenêtre contextuelle séparée.
Pour créer une connexion SAML entre
Cliquez sur le bouton Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML Tableau Cloud, l’URL de l’ACS (Assertion Consumer Service) et le certificat X.509.
Sélectionnez Télécharger le certificat si votre IdP attend les informations requises sous une autre forme. Par exemple, si vous êtes invité à entrer l’entité Tableau Cloud ID, ACS URL et le certificat X.509 dans des emplacements séparés.
Pour créer une connexion SAML entre Tableau Cloud et votre IdP, vous devez échanger les métadonnées requises entre les deux services. Pour obtenir des métadonnées de Tableau Cloud, suivez l’une des méthodes suivantes. Consultez la documentation de configuration SAML de l’IdP pour confirmer l’option correcte.
Cliquez sur le bouton Exporter les métadonnées pour télécharger un fichier XML contenant l’ID d’entité SAML Tableau Cloud, l’URL de l’ACS (Assertion Consumer Service) et le certificat X.509.
Sélectionnez Télécharger le certificat si votre IdP attend les informations requises sous une autre forme. Par exemple, si vous êtes invité à entrer l’entité Tableau Cloud ID, ACS URL et le certificat X.509 dans des emplacements séparés.
Pour l’Étape 5, utilisez les instructions fournies par la documentation de l’IdP pour soumettre les métadonnées TCM.
Pour l’Étape 6, utilisez les instructions fournies par la documentation de l’IdP pour soumettre les métadonnées Tableau Cloud.
Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit être déjà activé dans l’IdP et ajouté à Tableau Cloud
Si vous ne parvenez pas à vous connecter à TCM, commencez par les étapes de dépannage suggérées dans la page Authentification. Si ces étapes ne résolvent pas ces problèmes, consultez Résoudre les problèmes liés à SAML.
Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit être déjà activé dans l’IdP et ajouté à Tableau Cloud
Si vous ne parvenez pas à vous connecter à Tableau Cloud, commencez par les étapes de dépannage suggérées dans la page Nouvelle configuration. Si ces étapes ne résolvent pas ces problèmes, consultez Résoudre les problèmes liés à SAML.
Sélectionnez des utilisateurs Tableau Cloud
Lorsque vous ajoutez ou importez des utilisateurs, spécifiez également leur type d’authentification. Sur la page Utilisateurs, vous pouvez modifier le type d’authentification des utilisateurs à tout moment après leur ajout.
Pour plus d’informations, consultez l’un des articles suivants :
la rubrique Ajouter des utilisateurs à un site ou Importer des utilisateurs pour Tableau Cloud
la rubrique Gérer les utilisateurs avec Tableau Cloud Manager pour TCM
Remarque : s’applique à Tableau Cloud uniquement.
Permettre aux utilisateurs de choisir leur type d’authentification
Lorsque cette option est sélectionnée, seule une fenêtre contextuelle est prise en charge. Dans cette fenêtre contextuelle, deux options de connexion apparaissent là où une vue est intégrée : un bouton de connexion qui utilise l’authentification unique (SSO) et un lien permettant d’utiliser les identifiants Tableau comme alternative.
Conseil : avec cette option, les utilisateurs ont besoin de savoir quelle de connexion choisir. Dans le cadre de la notification que vous envoyez à vos utilisateurs après les avoir ajoutés au site d’authentification unique, faites-leur savoir quel type d’authentification utiliser pour divers scénarios d’authentification. Par exemple, les vues intégrées, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.
Tableau et l’authentification multifacteur (MFA)
Cette option exige que les utilisateurs s’authentifient avec des identifiants
Liste des configurations d’authentification
Lorsqu’une option de configuration spécifique est sélectionnée, la manière dont les utilisateurs se connectent aux vues intégrées est déterminée par le paramètre que vous avez configuré à l’étape 6 ci-dessus pour la configuration nommée.
Utiliser l’authentification Tableau
Si un site
Si vous ne voulez plus qu’un fournisseur d’identité gère l’authentification ou pour demander à tous les utilisateurs de se connecter à l’aide de leurs informations d’identification
Si vous souhaitez que SAML reste activé pour certains utilisateurs seulement et demander aux autres d’utiliser
Modifier le type d’authentification du site
Pour Tableau Cloud
Depuis janvier 2025 (Tableau 2024.3), vous pouvez configurer plusieurs types et méthodes d’authentification sur un site. Pour modifier l’authentification que vous souhaitez rendre disponible sur le site, activez ou désactivez les configurations d’authentification.
Connectez-vous au site Tableau Cloud en tant qu’administrateur de site.
Sélectionnez Paramètres > Authentification.
Désactivez ou activez les configurations d’authentification pour le site en cliquant sur le menu Actions et en sélectionnant Désactiver ou Activer.
Après désactivation de la configuration SAML, les métadonnées et les informations d’IdP sont préservées. De cette manière, si vous souhaitez la réactiver, vous n’avez pas besoin de paramétrer à nouveau la connexion entre SAML et l’IdP.
Pour TCM
Connectez-vous à TCM en tant qu’administrateur Cloud.
Sélectionnez Paramètres > Authentification.
Désélectionnez la case à cocher Activer une méthode d’authentification supplémentaire.
Mettre à jour le certificat SAML
Le certificat utilisé pour les métadonnées du site Tableau est fourni par Tableau et n’est pas configurable. Pour mettre à jour le certificat pour SAML spécifique , vous devez télécharger un nouveau certificat sur votre IdP et rééchanger les métadonnées avec Tableau Cloud.
Pour Tableau Cloud
Connectez-vous au site en tant qu’administrateur de site et sélectionnez Paramètres > Authentification.
Sous Types d’authentification, accédez à la configuration SAML que vous souhaitez mettre à jour, cliquez sur le menu Actions et sélectionnez Modifier.
Ouvrez un nouvel onglet ou une nouvelle fenêtre, et connectez-vous au compte de votre IdP.
Suivez les instructions fournies par la documentation de l’IdP pour télécharger un nouveau certificat SAML.
Téléchargez le nouveau fichier de métadonnées XML à fournir à Tableau Cloud.
Revenez à la page Modifier la configuration dans Tableau Cloud et à l’étape 2, chargez le fichier de métadonnées que vous avez téléchargé depuis l’IdP.
Faites défiler la page et cliquez sur le bouton Enregistrer et continuer.
Pour TCM
Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.
Dans la liste déroulante Authentification, sélectionnez SAML > Configuration (obligatoire).
Ouvrez un nouvel onglet ou une nouvelle fenêtre, et connectez-vous au compte de votre IdP.
Suivez les instructions fournies par la documentation de l’IdP pour télécharger un nouveau certificat SAML.
Téléchargez le nouveau fichier de métadonnées XML à fournir à TCM.
Revenez à la page Authentification dans TCM et, à l’étape 2, chargez le fichier de métadonnées que vous avez téléchargé depuis l’IdP.
Faites défiler la page et cliquez sur le bouton Enregistrer et continuer.
Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur
Les attributs utilisateur sont des métadonnées utilisateur définies par votre entreprise. Les attributs utilisateur peuvent être utilisés pour déterminer l’accès dans un modèle d’autorisation de contrôle d’accès basé sur les attributs (ABAC). Les attributs utilisateur peuvent être n’importe quel aspect du profil utilisateur, y compris les rôles professionnels, l’appartenance au service, le niveau de gestion, etc. Ils peuvent également être associés à des contextes utilisateur d’exécution, tels que l’endroit où l’utilisateur est connecté ou sa préférence linguistique.
En incluant des attributs utilisateur dans votre workflow, vous pouvez contrôler et personnaliser l’expérience utilisateur grâce à l’accès aux données et à la personnalisation.
- Accès aux données : les attributs utilisateur peuvent être utilisés pour appliquer des stratégie de sécurité des données. Cette approche garantit que les utilisateurs n’ont accès qu’aux informations qu’ils sont autorisés à voir.
- Personnalisation : en transmettant des attributs utilisateur tels que l’emplacement et le rôle, votre contenu peut être personnalisé de manière à afficher uniquement les informations pertinentes pour l’utilisateur qui y accède, lequel trouvera ainsi plus facilement les informations dont il a besoin.
Résumé des étapes de transmission des attributs utilisateur
Le processus d’activation des attributs utilisateur dans un workflow est résumé dans les étapes suivantes :
- Activer le paramètre des attributs utilisateur
- Inclure des attributs utilisateur dans l’assertion
- Vérifier que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres pertinents
- Vérifier le contenu
Étape 1 : Activer le paramètre des attributs utilisateur
Pour des raisons de sécurité, les attributs utilisateur ne sont validés dans un workflow d’authentification que lorsque le paramètre d’attribut utilisateur est activé par un administrateur de site.
Connectez-vous à Tableau Cloud et cliquez sur Paramètres > Authentification.
Sous Contrôler l’accès utilisateur dans l’en-tête Workflows d’authentification, cochez la case Activer la capture des attributs utilisateur dans les workflows d’authentification.
Pour plus d’informations sur les paramètres de site, consultez Contrôler l’accès des utilisateurs dans les workflows d’authentification.
Étape 2 : Inclure un attribut utilisateur dans l’assertion
Assurez-vous que l’assertion contient les attributs utilisateur.
Remarque : les attributs de la réponse SAML sont soumis à une limite de 4096 caractères, à l’exception des attributs scope ou scp. Si les attributs de la réponse, y compris les attributs utilisateur, dépassent cette limite, Tableau supprime les attributs et transmet l’attribut ExtraAttributesRemoved à la place. L’auteur du contenu peut ensuite créer un calcul avec l’attribut ExtraAttributesRemoved pour déterminer comment afficher le contenu aux yeux des utilisateurs lorsque l’attribut a été détecté.
Exemple
Supposons que vous ayez un employé, Fred Suzuki, qui est un responsable dans la région Sud. Vous devez vous assurer que, lorsqu’il examine les rapports, Fred ne peut voir que les données de la région Sud. Dans un tel cas, vous pouvez inclure l’attribut utilisateur « Region » dans la réponse SAML, comme dans l’exemple ci-dessous.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Étape 3 : Vérifier que l’auteur du contenu inclut des fonctions d’attribut
Assurez-vous que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres associés pour contrôler les données pouvant s’afficher dans son contenu. Pour que les assertions d’attributs utilisateur soient transmises à Tableau, le contenu doit inclure l’une des fonctions d’attribut utilisateur suivantes :
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
La fonction utilisée par l’auteur du contenu varie selon que les attributs utilisateur sont censés renvoyer une seule valeur ou plusieurs valeurs. Pour en savoir plus sur ces fonctions et consulter des exemples de chacune d’elles, consultez Fonctions utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.
Remarques :
- l’aperçu du contenu avec ces fonctions n’est pas disponible lors de la création dans Tableau Desktop ou Tableau Cloud. La fonction retournera des valeurs NULL ou FALSE. Pour que les fonctions utilisateur fonctionnent comme prévu, nous recommandons à l’auteur de les vérifier après avoir mis le contenu à disposition.
- Pour s’assurer que le contenu s’affiche comme prévu, l’auteur de contenu peut envisager d’inclure un calcul utilisant l’attribut
ExtraAttributesRemovedpour 1) vérifier cet attribut et 2) déterminer que faire avec le contenu, par exemple afficher un message. Tableau ajoute uniquement l’attributExtraAttributesRemovedet supprime tous les autres attributs (à l’exception descpouscope) lorsque les attributs SAML XML excèdent 4 096 caractères. Cette mesure permet d’assurer des performances optimales et de respecter les limitations de stockage.
Exemple
Si l’on poursuit l’exemple présenté dans Étape 2 : Inclure un attribut utilisateur dans l’assertion ci-dessus, l’auteur peut inclure USERATTRIBUTEINCLUDES pour transmettre l’assertion d’attribut utilisateur « region » à un classeur, par exemple USERATTRIBUTEINCLUDES('Region', [Region])où « Region » est l’attribut utilisateur et [Region] est une colonne dans les données. À l’aide du nouveau calcul, l’auteur peut créer une table contenant les données Responsable et Ventes. Lorsque le calcul est ajouté, le classeur renvoie des valeurs « False » comme prévu.
Pour afficher uniquement les données associées à la région Sud dans le classeur intégré, l’auteur peut créer un filtre et le personnaliser de manière à afficher les valeurs lorsque la région Sud est « True ». Lorsque le filtre est appliqué, le classeur devient vide comme prévu, car la fonction renvoie des valeurs « False » et le filtre est personnalisé pour afficher les valeurs « True » uniquement.
Étape 4 : Vérifier le contenu
Vérifiez le contenu et validez-le.
Exemple
Pour conclure l’exemple de l’Étape 3 : Vérifier que l’auteur du contenu inclut des fonctions d’attribut ci-dessus, vous pouvez voir que les données de vente dans la vue sont personnalisées pour Fred Suzuki parce que son contexte utilisateur est la région Sud.
Les responsables des régions représentées dans le classeur devraient voir la valeur associée à leur région. Par exemple, Sawdie Pawthorne, de la région Ouest, voit des données spécifiques à sa région.
Les responsables dont les régions ne sont pas représentées dans le classeur voient un classeur vide.
Problèmes connus et limitations
Il existe quelques problèmes connus et restrictions dont vous devez tenir compte lorsque vous utilisez des fonctions d’attribut utilisateur.
Images vides en cas d’utilisation de l’API REST de Tableau
Les requêtes de l’API REST de Tableau Interroger une image d’aperçu(Le lien s’ouvre dans une nouvelle fenêtre), Interroger une image de classeur(Le lien s’ouvre dans une nouvelle fenêtre) et Obtenir une image de vue personnalisée(Le lien s’ouvre dans une nouvelle fenêtre) produisent des images vides.
Limites
- Les fonctions d’attribut utilisateur dans les sources de données publiées (.pds) ne sont pas prises en charge.
- Les fonctions d’attribut utilisateur dans les workflowsl Tableau Bridge ne sont pas prises en charge.