Configuration SAML requise pour Tableau Online

Avant de configurer SAML pour Tableau Online, obtenez ce dont vous avez besoin pour remplir les conditions.

Exigences liées au fournisseur d'identité (IdP) pour la configuration de Tableau

Remarques sur la compatibilité SAML et les exigences

Utilisation de SSO SAML dans les applications du client Tableau

Effets sur Tableau Bridge d'un changement de type d'authentification

Exigences liées aux données XML

Exigences liées au fournisseur d'identité (IdP) pour la configuration de Tableau

La configuration de Tableau Online pour SAML nécessite le respect des conditions suivantes :

  • Accès administrateur à votre site Tableau Online. Vous devez disposer d'un accès administrateur au site Tableau Online sur lequel vous souhaitez activer SAML.

  • Liste des utilisateurs qui utiliseront SSO pour accéder à Tableau Online. Vous devez collecter les adresses de messagerie des utilisateurs auxquels vous souhaitez autoriser l'accès SSO à Tableau Online.

  • Compte IdP qui prend en charge SAML 2.0 Vous avez besoin d'un compte auprès d'un fournisseur d'identité externe. PingFederate, SiteMinder et Open AM en sont quelques exemples. L'IdP doit prendre en charge SAML 2.0. Vous devez disposer d'un accès administrateur à ce compte.

  • SHA256 est utilisé comme algorithme de signature. Depuis mai 2020, Tableau Online bloque les assertions et les certificats de l’IdP qui sont signés avec l’algorithme SHA-1.

  • Fournisseur IdP qui prend en charge l'importation/exportation de métadonnées XML. Un fichier de métadonnées créé manuellement peut fonctionner, mais le support technique de Tableau ne peut pas vous aider en ce qui concerne la génération manuelle du fichier ou la résolution des problèmes.

  • Fournisseur d'IdP qui applique un âge maximum de 24 jours ou moins (2073600 secondes) pour les jetons. Si l'IdP autorise un âge maximum pour les jetons qui est supérieur à l'âge maximum fixé dans Tableau Online (2073600 secondes), Tableau Online ne reconnaîtra pas le jeton comme étant valide. Dans ce scénario, les utilisateurs recevront des messages d'erreur (Échec de la connexion. Veuillez réessayer.) en essayant de se connecter à Tableau Online.

Important : Outre ces exigences, nous vous recommandons de dédier un compte d'administrateur de site qui soit toujours configuré pour l'authentification TableauID. En cas de problème avec SAML ou l'IdP, un compte TableauID dédié garantit que vous avez toujours accès à votre site.

Remarques sur la compatibilité SAML et les exigences

  • Initié par le fournisseur de services ou l'IdP : Tableau Online prend uniquement en charge l'authentification SAML qui commence avec le fournisseur d'identité (IdP) ou de services (SP).

  • Déconnexion unique (SLO) : Tableau Online prend uniquement en charge la déconnexion unique initiée par le fournisseur de service. La SLO initiée par l'IdP n'est pas prise en charge.

  • tabcmd et API REST : pour utiliser tabcmd ou l'API REST(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Online en utilisant un compte TableauID.

  • Assertions en texte clair : Tableau Online ne prend pas en charge les assertions cryptées.

  • Reconfiguration de Tableau Bridge requise : Tableau Bridge prend en charge l'authentification SAML, mais un changement d'authentification exige de reconfigurer le client Bridge. Pour plus d'informations, consultez Effets sur Tableau Bridge d'un changement de type d'authentification.

  • Algorithme de signature requis : pour tous les nouveaux certificats SAML, Tableau Online exige l’algorithme de signature SHA256 (ou plus).

  • Attribut NameID : Tableau Online requiert l'attribut NameID dans la réponse SAML.

Utilisation de SSO SAML dans les applications du client Tableau

Tableau Online Les utilisateurs dotés d'informations d'identification SAML peuvent également se connecter à leur site depuis Tableau Desktop ou l'application Tableau Mobile. Pour une compatibilité optimale, nous recommandons que la version de l'application du client Tableau corresponde à celle de Tableau Online.

La connexion à Tableau Online depuis Tableau Desktop ou Tableau Mobile utilise une connexion initiée par un fournisseur de services.

Redirection d'utilisateurs authentifiés vers les clients Tableau

Lorsqu'un utilisateur se connecte à Tableau Online, Tableau Online envoie une demande SAML (AuthnRequest) à l'IdP, qui inclut la valeur RelayState de l'application Tableau. Si l'utilisateur s'est connecté à Tableau Online depuis un client Tableau tel que Tableau Desktop ou Tableau Mobile, il est important que la valeur RelayState soit renvoyée dans la réponse SAML de l'IdP à Tableau.

Si la valeur RelayState n'est pas renvoyée correctement dans ce scénario, l'utilisateur est emmené sur la page d'accueil de Tableau Online dans la navigateur Web plutôt que d'être redirigé vers l'application depuis laquelle il s'est connecté.

Adressez-vous avec votre fournisseur d'identité et votre équipe informatique interne pour vérifier que cette valeur sera incluse dans la réponse SAML de l'IdP.

Effets sur Tableau Bridge d'un changement de type d'authentification

Lorsque vous modifiez le type d'authentification du site, les publicateurs qui utilisent Tableau Bridge pour leurs actualisations d'extraits programmées ont besoin de dissocier le client Bridge et de le ré-authentifier à l'aide de la nouvelle méthode. 

Dissocier le client Bridge supprime toutes les sources de données, si bien que les utilisateurs doivent également configurer à nouveau toutes leurs programmations d'actualisation. Le changement de type d'authentification n'affecte pas les requêtes en direct Bridge ni les actualisations qui s'exécutent en direct depuis le site Tableau Online (par exemple pour les données sous-jacentes dans le cloud).

Nous vous recommandons d'informer les utilisateurs Bridge des changements d'authentification pour leur site avant de les appliquer. Sinon, ils en prendront conscience en recevant des erreurs d'authentification du client Bridge, ou lorsque le client s'ouvre avec une zone de source de données vide.

Exigences liées aux données XML

Vous configurez SAML à l'aide de documents de métadonnées XML qui sont générés par Tableau Online et par votre IdP. Durant le processus d'authentification, l'IdP et Tableau Online échangent des informations d'authentification à l'aide de ces documents XML. Si XML ne remplit pas ces conditions, des erreurs peuvent se produire lorsque vous configurez SAML ou lorsque les utilisateurs tentent de se connecter.

Tableau Online prend uniquement en charge les demandes HTTP POST pour les communications SAML. HTTP Redirect n'est pas pris en charge. Dans le document XML de métadonnées SAML qui est exporté par l'IdP, l'attribut Binding doit être défini sur HTTP-POST.

Merci de vos commentaires !