Configuration SAML requise pour Tableau Cloud

Avant de configurer SAML pour Tableau Cloud ou Tableau Cloud Manager (TCM), obtenez ce dont vous avez besoin pour remplir les conditions.

Exigences liées au fournisseur d’identité (IdP) pour la configuration de Tableau

La configuration de Tableau Cloud ou TCM pour SAML nécessite le respect des conditions suivantes :

  • Accès administrateur à votre locataire ou votre site Tableau Cloud. Vous devez disposer d’un accès administrateur au locataire ou au site Tableau Cloud sur lequel vous souhaitez activer SAML.

  • Liste des utilisateurs qui utiliseront SSO pour accéder à Tableau Cloud ou TCM. Vous devez collecter les noms d’utilisateur des utilisateurs auxquels vous souhaitez autoriser l’accès SSO à Tableau.

  • Compte IdP qui prend en charge SAML 2.0 Vous avez besoin d’un compte auprès d’un fournisseur d’identité externe. PingFederate, SiteMinder et Open AM en sont quelques exemples. L’IdP doit prendre en charge SAML 2.0. Vous devez disposer d’un accès administrateur à ce compte.

  • SHA256 est utilisé comme algorithme de signature. Depuis mai 2020, Tableau bloque les assertions et les certificats d’IdP qui sont signés avec l’algorithme SHA-1.

  • Fournisseur IdP qui prend en charge l’importation/exportation de métadonnées XML. Un fichier de métadonnées créé manuellement peut fonctionner, mais le support technique de Tableau ne peut pas vous aider en ce qui concerne la génération manuelle du fichier ou la résolution des problèmes.

  • Fournisseur d’IdP qui applique un âge maximum de 24 jours ou moins (2073600 secondes) pour les jetons. Si l’IdP autorise un âge maximum pour les jetons qui est supérieur à l’âge maximum fixé dans Tableau (2 073 600 secondes), Tableau ne reconnaîtra pas le jeton comme valide. Dans ce scénario, les utilisateurs recevront des messages d’erreur (Échec de la connexion. Réessayez.) lors de la tentative de connexion à Tableau Cloud ou TCM.

  • SSO avec MFA est activé. Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.

    Important : outre ces exigences, nous vous recommandons de dédier un compte d’administrateur de site qui soit toujours configuré pour TableauID avec MFA(Le lien s’ouvre dans une nouvelle fenêtre). En cas de problème avec SAML ou l’IdP, un compte dédié Tableau avec un compte MFA garantit que vous avez toujours accès à votre site.

Remarques sur la compatibilité SAML et les exigences

  • Initié par le fournisseur de services ou l’IdP : Tableau prend en charge l’authentification SAML qui commence avec le fournisseur d’identités (IdP) ou de services (SP).

  • Déconnexion unique (SLO) : Tableau prend en charge à la fois la déconnexion unique initiée par le fournisseur de services (SP) et par le fournisseur d’identité (IdP).

    Remarque : pour obtenir l’URL de SLO pour votre site ou votre locataire, vous pouvez téléchargez le fichier XML de métadonnées généré par votre locataire ou votre site Tableau Cloud, et vous y référer. Vous trouverez ce fichier en accédant à l’un des emplacements suivants :

    • Dans Tableau Cloud, Paramètres > Authentification > Nouvelle configuration ou Modifier la configuration.

    • Dans TCM, Paramètres > Authentification.

  • tabcmd et API REST : pour utiliser tabcmd ou l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Cloud en utilisant un jeton d’accès personnel (PAT). Pour utiliser l’API REST de Tableau Cloud Manager(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à TCM à l’aide d’un jeton d’accès personnel (PAT).

  • Assertions chiffrées : Tableau prend en charge les assertions en texte clair ou chiffrées.

  • Reconfiguration de Tableau Bridge requise : Tableau Bridge prend en charge l’authentification SAML, mais un changement d’authentification exige de reconfigurer le client Bridge. Pour plus d’informations, consultez Effets de la modification du type d’authentification sur Tableau Bridge.

  • Algorithme de signature requis : pour tous les nouveaux certificats SAML, Tableau Cloud ou TCM exige l’algorithme de signature SHA256 (ou supérieur).

  • Taille de la clé RSA et de la courbe ECDSA : le certificat d’IdP doit utiliser une clé RSA de puissance 2048 ou une courbe ECDSA de taille 256.
  • Attribut NameID : Tableau requiert l’attribut NameID dans la réponse SAML.

Utilisation de SSO SAML dans les applications du client Tableau

Remarque : s’applique à Tableau Cloud uniquement.

Tableau Cloud Les utilisateurs dotés d’informations d’identification SAML peuvent également se connecter à leur site depuis Tableau Desktop ou l’application Tableau Mobile. Pour une compatibilité optimale, nous recommandons que la version de l’application du client Tableau corresponde à celle de Tableau Cloud.

La connexion à Tableau Cloud depuis Tableau Desktop ou Tableau Mobile utilise une connexion initiée par un fournisseur de services.

Redirection d’utilisateurs authentifiés vers les clients Tableau

Lorsqu’un utilisateur se connecte à Tableau Cloud, Tableau Cloud envoie une demande SAML (AuthnRequest) à l’IdP, qui inclut la valeur RelayState de l’application Tableau. Si l’utilisateur s’est connecté à Tableau Cloud depuis un client Tableau tel que Tableau Desktop ou Tableau Mobile, il est important que la valeur RelayState soit renvoyée dans la réponse SAML de l’IdP à Tableau.

Si la valeur RelayState n’est pas renvoyée correctement dans ce scénario, l’utilisateur est emmené sur la page d’accueil de Tableau Cloud dans la navigateur Web plutôt que d’être redirigé vers l’application depuis laquelle il s’est connecté.

Adressez-vous avec votre fournisseur d’identité et votre équipe informatique interne pour vérifier que cette valeur sera incluse dans la réponse SAML de l’IdP.

Effets de la modification du type d’authentification sur Tableau Bridge

Lorsque vous modifiez l’IdP ou le type d’authentification du site, les publicateurs qui utilisent Tableau Bridge pour leurs actualisations d’extraits programmées doivent dissocier le client Bridge et de le ré-authentifier à l’aide de la nouvelle méthode ou configuration d’IdP.

Pour les anciennes programmations, la dissociation du client Bridge supprime toutes les sources de données. Vous devez donc reconfigurer les programmations d’actualisation. Pour les programmations en ligne, après avoir réassocié le client, vous devez reconfigurer le pool de clients Bridge.

Le changement de type d’authentification n’affecte pas les requêtes en direct Bridge ni les actualisations qui s’exécutent en direct depuis le site Tableau Cloud (par exemple pour les données sous-jacentes dans le cloud).

Nous vous recommandons d’informer les utilisateurs Bridge des changements d’authentification pour leur site avant de les appliquer. Sinon, ils en prendront conscience en recevant des erreurs d’authentification du client Bridge, ou lorsque le client s’ouvre avec une zone de source de données vide.

Exigences liées aux données XML

Vous configurez SAML à l’aide de documents de métadonnées XML qui sont générés par Tableau Cloud ou TCM et par l’IdP. Durant le processus d’authentification, l’IdP et Tableau échangent des informations d’authentification à l’aide de ces documents XML. Si XML ne remplit pas ces conditions, des erreurs peuvent se produire lorsque vous configurez SAML ou lorsque les utilisateurs tentent de se connecter.

HTTP POST et HTTP REDIRECT : Tableau Cloud ou TCM prend en charge les demandes HTTP POST et REDIRECT pour les communications SAML. Dans le document XML des métadonnées SAML qui est exporté par l’IdP, l’attribut Binding peut être défini sur :

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Adhésion dynamique à un groupe à l’aide d’assertions SAML dans Tableau Cloud :

Remarque : s’applique à Tableau Cloud uniquement.

Depuis juin 2024 (Tableau 2024.2), si SAML est configuré et que le paramètre de la fonctionnalité est activé, vous pouvez contrôler l’adhésion à un groupe de manière dynamique via des revendications personnalisées incluses dans la réponse XML SAML envoyée par le fournisseur d’identité (IdP).

Lorsque l’option est configurée, lors de l’authentification utilisateur, l’IdP envoie l’assertion SAML qui contient deux revendications personnalisées d’adhésion à un groupe : groupe (https://tableau.com/groups) et noms de groupes (par exemple, « Group1 » et « Group2 ») dans lesquels inclure l’assertion de l’utilisateur. Tableau valide l’assertion, puis autorise l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Adhésion dynamique à un groupe à l’aide d’assertions .

Exemple de réponse XML SAML 

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>