Prise en charge du client Tableau pour l’authentification unique Kerberos

Cet article décrit certaines exigences et nuances relatives à l’utilisation de l’authentification unique (SSO) Kerberos avec Tableau Server, selon le client Tableau spécifique et le système d’exploitation. Les clients Tableau dont il est question dans cet article incluent les navigateurs Web courants, Tableau Desktop et l’application Tableau Mobile.

Prise en charge du client de navigateur courant

Pour utiliser l’authentification unique Kerberos basée sur un navigateur, les conditions suivantes doivent être remplies :

  • Kerberos doit être activé sur Tableau Server.

  • L’utilisateur doit avoir un nom d’utilisateur et un mot de passe pour se connecter à Tableau Server.

    Remarque : Si l’authentification unique Kerberos échoue, les utilisateurs peuvent revenir à la connexion par nom d’utilisateur et mot de passe, si un système de repli est en place.

  • L’utilisateur doit être authentifié sur Active Directory via Kerberos sur l’ordinateur client ou l’appareil mobile. Plus spécifiquement, cela signifie qu’il possède un billet TGT (Ticket Granting Ticket) Kerberos.

Tableau Desktop et clients de navigateur

Sur Windows ou sur le Mac, vous pouvez utiliser l’authentification unique Kerberos pour vous connecter à Tableau Server depuis les versions suivantes de Tableau Desktop ou un navigateur. Là où cela est indiqué, une configuration supplémentaire est requise.

Windows

  • Tableau Desktop 10.3 ou ultérieur pris en charge.
  • Internet Explorer : pris en charge, peut nécessiter une configuration (voir Remarque 1)
  • Chrome : pris en charge, peut nécessiter une configuration (voir Remarque 1)
  • Firefox : nécessite une configuration (voir Remarque 2)
  • Safari : non pris en charge

Mac OS X

  • Tableau Desktop 10.3 ou ultérieur
  • Safari : pris en charge
  • Chrome : voir Remarque 3
  • Firefox : voir Remarque 2
  • Internet Explorer - non pris en charge

Clients de l’application Tableau Mobile

Sur un appareil iOS ou Android, vous pouvez utiliser les versions suivantes de Tableau Mobile ou un navigateur mobile pour l’authentification Kerberos sur Tableau Server :

iOS

Android : voir Remarque 5

  • Application Tableau Mobile
  • Chrome

Remarques sur les systèmes d’exploitation et les navigateurs

Les remarques suivantes décrivent les exigences de configuration ou les problèmes associés à des combinaisons spécifiques de systèmes d’exploitation et de clients.

Remarque 1 : Internet Explorer ou Chrome sur le bureau Windows

L’authentification unique Kerberos est prise en charge à la fois sur Internet Explorer et Chrome, mais nécessite une configuration dans les Options Internet de Windows :

  1. Activez Authentification Windows intégrée.

  2. Vérifiez que l’URL Tableau Server se trouve dans la zone Intranet locale.

    Internet Explorer peut parfois détecter des zones Intranet et configurer ce paramètre. S’il n’a pas détecté et configuré l’URL de Tableau Server., vous devez ajouter manuellement l’URL à la zone Intranet locale.

Pour activer l’authentification Windows intégrée :

  1. Dans le panneau de configuration Windows, ouvrez Options Internet.

  2. Dans l’onglet Avancé, défilez vers le bas jusqu’à la section Sécurité.

  3. Sélectionnez Activer l’authentification Windows intégrée.

  4. Cliquez sur Appliquer.

Pour vérifier ou ajouter l’URL Tableau Server à la zone Intranet locale :

  1. Dans le panneau de configuration Windows, ouvrez Options Internet.

  2. Dans l’onglet Sécurité, sélectionnez Intranet local, puis cliquez sur Sites.

  3. Dans la boîte de dialogue Intranet local, cliquez sur Avancé.

    Dans le champ Sites Web, recherchez l’URL interne Tableau Server.

    Dans certaines entreprises, les administrateurs informatiques utilisent un caractère générique (*) pour spécifier des URL internes. Par exemple, l’URL suivante inclut tous les serveurs dans l’espace de nom interne example.lan dans la zone Intranet locale :

    https://*.example.lan

    L’image suivante présente une URL spécifique de https://tableau.example.lan.

  4. Si l’URL de Tableau Server ou une URL avec caractère générique n’est pas spécifiée dans le champ Sites Web, entrez l’URL de Tableau Server dans le champ Ajouter le site Web à la zone, cliquez sur Ajouter, puis sur OK.

    Si l’URL de Tableau Server figure déjà dans Sites Web, vous pouvez simplement fermer la boîte de dialogue.

Remarque 2 : Firefox sur le bureau Windows et Mac OS X

Vous pouvez utiliser Firefox avec l’authentification unique Kerberos, soit sur Windows, soit sur Mac, pour vous connecter à Tableau Server. Pour cela, vous devez effectuer la procédure suivante pour configurer la prise en charge de Kerberos sur Firefox :

  1. Dans Firefox, entrez about:config dans la barre d’adresses.

  2. Cliquez sur I’ll be careful, I promise (Je promets de procéder avec prudence) si vous recevez un avertissement concernant la modification des paramètres avancés.

  3. Entrez negotiate dans la zone de Recherche.

  4. Double-cliquez sur network.negotiate-auth.allow-non-fqdn, puis définissez la valeur sur true.

  5. Double-cliquez sur network.negotiate-auth.trusted-uris et entrez le nom de domaine qualifié complet de Tableau Server. Par exemple, tableau.example.com.

Remarque 3 : Chrome sur bureau Mac OS X

Selon la documentation de Chrome, l’authentification unique Kerberos fonctionne sur Mac lorsque vous lancez Chrome depuis une fenêtre Terminal avec la commande suivante :  :

open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"

tableauserver.example.com est l’URL de Tableau Server dans votre environnement.

Nous avons toutefois constaté des résultats incohérents lors de nos tests. De ce fait, si vous souhaitez utiliser l’authentification unique Kerberos sur un Mac, nous vous recommandons d’utiliser Safari ou Firefox. Pour plus d’informations, consultez la section Authentification intégrée dans Authentification HTTP(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web de The Chromium Projects.

Remarque : Les utilisateurs peuvent continuer d’utiliser Chrome sur Mac OS X pour se connecter à Tableau Server, mais peuvent être invités à se connecter avec leur nom d’utilisateur et leur mot de passe (l’authentification unique peut ne pas fonctionner).

Remarque 4 : Mobile Safari ou Tableau Mobile sur iOS

L’authentification SSO Kerberos est prise en charge si iOS est configuré pour Kerberos. Un profil de configuration de l’authentification Kerberos doit être installé sur le périphérique iOS. Cette tâche est généralement accomplie par le service informatique de l’entreprise. L’assistance Tableau ne peut pas apporter son aide dans la configuration des périphériques iOS pour Kerberos. Consultez la rubrique consacrée à l’Authentification(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement de Tableau Mobile.

Remarque 5 : plateforme Android

Kerberos SSO n’est pas pris en charge sur l’application Tableau Mobile avec le système d’exploitation Android. Vous pouvez toujours utiliser votre appareil Android et l’application Tableau Mobile ou un navigateur mobile pris en charge pour vous connecter à Tableau Server si une solution de repli est configurée dans Kerberos pour les cas où l’authentification unique n’accepte pas l’authentification par nom d’utilisateur et mot de passe. Dans ce scénario, plutôt que de s’authentifier avec Kerberos, les utilisateurs seront invités à saisir leurs identifiants lors de l’accès à Tableau Server.

Informations complémentaires

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!