Configuration SAML requise pour Tableau Cloud

Avant de configurer SAML pour Tableau Cloud, obtenez ce dont vous avez besoin pour remplir les conditions.

Exigences liées au fournisseur d’identité (IdP) pour la configuration de Tableau

La configuration de Tableau Cloud pour SAML nécessite le respect des conditions suivantes :

  • Accès administrateur à votre site Tableau Cloud. Vous devez disposer d’un accès administrateur au site Tableau Cloud sur lequel vous souhaitez activer SAML.

  • Liste des utilisateurs qui utiliseront SSO pour accéder à Tableau Cloud. Vous devez collecter les noms d’utilisateur des utilisateurs auxquels vous souhaitez autoriser l’accès SSO à Tableau Cloud.

  • Compte IdP qui prend en charge SAML 2.0 Vous avez besoin d’un compte auprès d’un fournisseur d’identité externe. PingFederate, SiteMinder et Open AM en sont quelques exemples. L’IdP doit prendre en charge SAML 2.0. Vous devez disposer d’un accès administrateur à ce compte.

  • SHA256 est utilisé comme algorithme de signature. Depuis mai 2020, Tableau Cloud bloque les assertions et les certificats de l’IdP qui sont signés avec l’algorithme SHA-1.

  • Fournisseur IdP qui prend en charge l’importation/exportation de métadonnées XML. Un fichier de métadonnées créé manuellement peut fonctionner, mais le support technique de Tableau ne peut pas vous aider en ce qui concerne la génération manuelle du fichier ou la résolution des problèmes.

  • Fournisseur d’IdP qui applique un âge maximum de 24 jours ou moins (2073600 secondes) pour les jetons. Si l’IdP autorise un âge maximum pour les jetons qui est supérieur à l’âge maximum fixé dans Tableau Cloud (2 073 600 secondes), Tableau Cloud ne reconnaîtra pas le jeton comme étant valide. Dans ce scénario, les utilisateurs recevront des messages d’erreur (Échec de la connexion. Veuillez réessayer.) en essayant de se connecter à Tableau Cloud.

  • SSO avec MFA est activé. Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.

    Important : outre ces exigences, nous vous recommandons de dédier un compte d’administrateur de site qui soit toujours configuré pour TableauID avec MFA(Le lien s’ouvre dans une nouvelle fenêtre). En cas de problème avec SAML ou l’IdP, un compte dédié Tableau avec un compte MFA garantit que vous avez toujours accès à votre site.

     

Remarques sur la compatibilité SAML et les exigences

  • Initié par le fournisseur de services ou l’IdP : Tableau Cloud prend uniquement en charge l’authentification SAML qui commence avec le fournisseur d’identité (IdP) ou de services (SP).

  • Déconnexion unique (SLO) : Tableau Cloud prend en charge à la fois la déconnexion unique initiée par le fournisseur de services (SP) et la déconnexion unique initiée par le fournisseur d’identité (IdP).

    Remarque : pour obtenir l’URL de SLO pour votre site, téléchargez et consultez le fichier XML de métadonnées généré par votre site Tableau Cloud. Vous trouverez ce fichier en accédant à Paramètres > Authentification. Sous le type d’authentification SAML, cliquez sur la flèche déroulante Configuration (requis), puis cliquez sur le bouton Exporter les métadonnées à l’Étape 1, Méthode 1.

  • tabcmd et API REST : pour utiliser tabcmd ou l’API REST(Le lien s’ouvre dans une nouvelle fenêtre), les utilisateurs doivent se connecter à Tableau Cloud en utilisant un compte TableauID.

  • Assertions chiffrées : Tableau Cloud prend en charge les assertions en texte clair ou chiffrées.

  • Reconfiguration de Tableau Bridge requise : Tableau Bridge prend en charge l’authentification SAML, mais un changement d’authentification exige de reconfigurer le client Bridge. Pour plus d’informations, consultez Effets de la modification du type d’authentification sur Tableau Bridge.

  • Algorithme de signature requis : pour tous les nouveaux certificats SAML, Tableau Cloud exige l’algorithme de signature SHA256 (ou plus).

  • Taille de la clé RSA et de la courbe ECDSA : Le certificat d’IdP doit utiliser une clé RSA de puissance 2048 ou une courbe ECDSA de taille 256.
  • Attribut NameID : Tableau Cloud requiert l’attribut NameID dans la réponse SAML.

Utilisation de SSO SAML dans les applications du client Tableau

Tableau Cloud Les utilisateurs dotés d’informations d’identification SAML peuvent également se connecter à leur site depuis Tableau Desktop ou l’application Tableau Mobile. Pour une compatibilité optimale, nous recommandons que la version de l’application du client Tableau corresponde à celle de Tableau Cloud.

La connexion à Tableau Cloud depuis Tableau Desktop ou Tableau Mobile utilise une connexion initiée par un fournisseur de services.

Redirection d’utilisateurs authentifiés vers les clients Tableau

Lorsqu’un utilisateur se connecte à Tableau Cloud, Tableau Cloud envoie une demande SAML (AuthnRequest) à l’IdP, qui inclut la valeur RelayState de l’application Tableau. Si l’utilisateur s’est connecté à Tableau Cloud depuis un client Tableau tel que Tableau Desktop ou Tableau Mobile, il est important que la valeur RelayState soit renvoyée dans la réponse SAML de l’IdP à Tableau.

Si la valeur RelayState n’est pas renvoyée correctement dans ce scénario, l’utilisateur est emmené sur la page d’accueil de Tableau Cloud dans la navigateur Web plutôt que d’être redirigé vers l’application depuis laquelle il s’est connecté.

Adressez-vous avec votre fournisseur d’identité et votre équipe informatique interne pour vérifier que cette valeur sera incluse dans la réponse SAML de l’IdP.

Effets de la modification du type d’authentification sur Tableau Bridge

Lorsque vous modifiez l’IdP ou le type d’authentification du site, les publicateurs qui utilisent Tableau Bridge pour leurs actualisations d’extraits programmées doivent dissocier le client Bridge et de le ré-authentifier à l’aide de la nouvelle méthode ou configuration d’IdP.

Pour les anciennes programmations, la dissociation du client Bridge supprime toutes les sources de données. Vous devez donc reconfigurer les programmations d’actualisation. Pour les programmations en ligne, après avoir réassocié le client, vous devez reconfigurer le pool de clients Bridge.

Le changement de type d’authentification n’affecte pas les requêtes en direct Bridge ni les actualisations qui s’exécutent en direct depuis le site Tableau Cloud (par exemple pour les données sous-jacentes dans le cloud).

Nous vous recommandons d’informer les utilisateurs Bridge des changements d’authentification pour leur site avant de les appliquer. Sinon, ils en prendront conscience en recevant des erreurs d’authentification du client Bridge, ou lorsque le client s’ouvre avec une zone de source de données vide.

Exigences liées aux données XML

Vous configurez SAML à l’aide de documents de métadonnées XML qui sont générés par Tableau Cloud et par votre IdP. Durant le processus d’authentification, l’IdP et Tableau Cloud échangent des informations d’authentification à l’aide de ces documents XML. Si XML ne remplit pas ces conditions, des erreurs peuvent se produire lorsque vous configurez SAML ou lorsque les utilisateurs tentent de se connecter.

HTTP POST et HTTP REDIRECT : Tableau Cloud prend en charge les demandes HTTP POST et REDIRECT pour les communications SAML. Dans le document XML des métadonnées SAML qui est exporté par l’IdP, l’attribut Binding peut être défini sur :

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Adhésion dynamique à un groupe à l’aide d’assertions SAML :

Depuis juin 2024 (Tableau 2024.2), si SAML est configuré et que le paramètre de la fonctionnalité est activé, vous pouvez contrôler l’adhésion à un groupe de manière dynamique via des revendications personnalisées incluses dans la réponse XML SAML envoyée par le fournisseur d’identité (IdP).

Lorsque l’option est configurée, lors de l’authentification utilisateur, l’IdP envoie l’assertion SAML qui contient deux revendications personnalisées d’adhésion à un groupe : groupe (https://tableau.com/groups) et noms de groupes (par exemple, « Group1 » et « Group2 ») dans lesquels inclure l’assertion de l’utilisateur. Tableau valide l’assertion, puis autorise l’accès aux groupes et au contenu dont les autorisations dépendent de ces groupes.

Pour plus d’informations, consultez Adhésion dynamique à un groupe à l’aide d’assertions .

Exemple de réponse XML SAML 

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Merci de vos commentaires !Avis correctement envoyé. Merci