Authentification locale

Si le serveur est configuré pour utiliser le magasin d’identités local, Tableau Server authentifie les utilisateurs. Lorsque les utilisateurs se connectent et saisissent leurs identifiants, sur Tableau Desktop, tabcmd, l’API ou un client Web, Tableau Server vérifie les identifiants. Les noms d’utilisateur Tableau stockés dans le magasin d’identités sont associés avec des droits et des autorisations pour Tableau Server. Une fois l’authentification vérifiée, Tableau Server gère l’accès utilisateur (autorisation) pour les ressources Tableau.

Pour utiliser l’authentification locale, vous devez configurer Tableau Server avec un magasin d’identités local lors de l’installation. Vous ne pouvez pas utiliser l’authentification locale si votre Tableau Server a été configuré avec un magasin d’identités externe (LDAP, Active Directory, etc).

Remarque : Les pools d’identités, conçus pour compléter et prendre en charge d’autres options de provisionnement et d’authentification des utilisateurs dont vous pourriez avoir besoin dans votre organisation, prennent uniquement en charge l’authentification OpenID Connect (OIDC). Pour plus d’informations, consultez Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.

Stockage des mots de passe

Lorsque l’authentification locale est utilisée, le mot de passe de l’utilisateur est stocké après application de valeur salt et de hachage dans le référentiel. Les mots de passe ne sont jamais stockés directement. Ce qui est stocké est le résultat du mot de passe après application de la valeur salt et du hachage. Le serveur utilise la fonction de dérivation PBKDF2 avec la fonction de hachage HMAC SHA512.

Configurer les paramètres de mot de passe

Après avoir installé Tableau Server avec l’authentification locale, vous pouvez utiliser Tableau Server Manager (TSM) pour configurer plusieurs paramètres associés aux mots de passe :

  • Politiques de mot de passe : ces politiques définissent les exigences en matière de structure de mot de passe, par exemple la longueur, les types de caractères et autres exigences.

  • Expiration des mots de passe : activez et spécifiez l’expiration des mots de passe.

  • Limite de taux de connexion : Tableau Server introduit une restriction temporelle entre les tentatives de connexion après que l’utilisateur a entré 5 mots de passe incorrects. Les utilisateurs doivent attendre quelques secondes avant une nouvelle tentative de connexion. S’ils continuent d’entrer des mots de passe incorrects, les utilisateurs doivent patienter pendant des intervalles exponentiellement plus longs entre les tentatives de connexion. Par défaut, la durée maximum entre les tentatives de connexion est de 60 minutes.

    Verrouillez l’accès au compte après un trop grand nombre de tentatives infructueuses. Vous pouvez spécifier le nombre autorisé de tentatives infructueuses avant que les utilisateurs soient verrouillés. Pour plus d’informations sur la façon de débloquer l’accès à un compte verrouillé, consultez Afficher et gérer les utilisateurs sur un site.

  • Réinitialisation du mot de passe utilisateur : autorisez les utilisateurs à réinitialiser les mots de passe. Si vous activez la réinitialisation des mots de passe, Tableau Server sera configuré de manière à afficher un lien sur la page de connexion. Les utilisateurs qui oublient les mots de passe ou souhaitent réinitialiser un mot de passe peuvent cliquer sur le lien afin d’initier un flux de travail de réinitialisation de mot de passe. La réinitialisation des mots de passe doit être configurée à l’aide de l’interface en ligne de commande TSM, comme décrit ci-dessous.

  1. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.

  2. Cliquez sur Identité de l’utilisateur et accès dans l’onglet Configuration puis cliquez sur Méthode d’authentification.

  3. Sélectionnez Authentification locale dans le menu déroulant pour afficher les paramètres de mot de passe.

  4. Configurez les paramètres de mot de passe, puis cliquez sur Enregistrer les modifications en attente.

  5. Cliquez sur Modifications en attente en haut de la page :

  6. Cliquez sur Appliquer les modifications et redémarrer.

Pour la configuration initiale des politiques de mot de passe, nous vous recommandons d’utiliser le modèle de fichier de configuration ci-dessous pour créer un fichier json. Vous pouvez également définir toute clé de configuration unique répertoriée ci-dessous en utilisant la syntaxe décrite dans tsm configuration set.

  1. Copiez le modèle json suivant dans un fichier. Renseignez les valeurs de clé avec votre configuration de politique de mot de passe. Consultez la section de référence qui suit pour plus d’informations sur les options de clé.

    {
    "configKeys": {
     "wgserver.localauth.policies.mustcontainletters.enabled": false,
      "wgserver.localauth.policies.mustcontainuppercase.enabled": false,
      "wgserver.localauth.policies.mustcontainnumbers.enabled": false,
      "wgserver.localauth.policies.mustcontainsymbols.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.value": 8,
      "wgserver.localauth.policies.maximumpasswordlength.enabled": false,
      "wgserver.localauth.policies.maximumpasswordlength.value": 255,
      "wgserver.localauth.passwordexpiration.enabled": false,
      "wgserver.localauth.passwordexpiration.days": 90,
      "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
      "wgserver.localauth.ratelimiting.maxattempts.enabled": false,
      "wgserver.localauth.ratelimiting.maxattempts.value": 5,
      "vizportal.password_reset": false
    		}
    }
  2. Exécutez tsm settings import -f file.json pour transmettre le fichier json avec les valeurs appropriées à Tableau Services Manager et configurer Tableau Server.

  3. Exécutez la commande tsm pending-changes apply pour appliquer les modifications. Consultez tsm pending-changes apply.

Référence du fichier de configuration

Ce tableau répertorie toutes les options que vous pouvez utiliser pour configurer les politiques de mot de passe.

wgserver.localauth.policies.mustcontainletters.enabled

Valeur par défaut : false

Requiert au moins une lettre dans les mots de passe.

wgserver.localauth.policies.mustcontainuppercase.enabled

Valeur par défaut : false

Requiert au moins une lettre majuscule dans les mots de passe.

wgserver.localauth.policies.mustcontainnumbers.enabled

Valeur par défaut : false

Requiert au moins un nombre dans les mots de passe.

wgserver.localauth.policies.mustcontainsymbols.enabled

Valeur par défaut : false

Requiert au moins un caractère spécial dans les mots de passe.

wgserver.localauth.policies.minimumpasswordlength.enabled

Valeur par défaut : false

Appliquer une longueur minimum pour les mots de passe.

wgserver.localauth.policies.minimumpasswordlength.value

Valeur par défaut : 8

Le nombre minimum de caractères que les mots de passe doivent contenir. Entrez une valeur comprise entre 4 et 255 inclus. Vous devez définir wgserver.localauth.policies.minimumpasswordlength.enabled sur true pour appliquer cette valeur.

wgserver.localauth.policies.maximumpasswordlength.enabled

Valeur par défaut : false

Appliquer une longueur maximum pour les mots de passe.

wgserver.localauth.policies.maximumpasswordlength.value

Valeur par défaut : 255

Le nombre maximum de caractères que les mots de passe doivent contenir. Entrez une valeur comprise entre 8 et 225 inclus. Vous devez définir wgserver.localauth.policies.maximumpasswordlength.enabled sur true pour appliquer cette valeur.

wgserver.localauth.passwordexpiration.enabled

Valeur par défaut : false

Appliquer une expiration au mot de passe.

wgserver.localauth.passwordexpiration.days

Valeur par défaut : 90

Nombre de jours avant l’expiration d’un mot de passe. Entrez une valeur comprise entre 1 et 365 inclus. Vous devez définir wgserver.localauth.passwordexpiration.enabled sur true pour appliquer cette valeur.

wgserver.localauth.ratelimiting.maxbackoff.minutes

Valeur par défaut : 60

Durée maximum entre les tentatives de connexion après qu’un utilisateur a saisi plusieurs mots de passe incorrects. Entrez une valeur comprise entre 5 et 1440 inclus.

wgserver.localauth.ratelimiting.maxattempts.enabled

Valeur par défaut : false

Appliquez le verrouillage du compte après la saisie de 5 mots de passe incorrects. Pour modifier le nombre de mots de passe incorrects déclenchant le verrouillage du compte, activez wgserver.localauth.ratelimiting.maxattempts.value.

wgserver.localauth.ratelimiting.maxattempts.value

Valeur par défaut : 5

Nombre de mots de passe incorrects qu’un utilisateur peut entrer avant de déclencher un verrouillage de compte. Entrez une valeur comprise entre 5 et 100 inclus. Vous devez définir wgserver.localauth.ratelimiting.maxattempts.enabled sur true pour appliquer cette valeur.

vizportal.password_reset

Valeur par défaut : false

Autorisez les utilisateurs à réinitialiser les mots de passe. Pour que cette fonctionnalité soit opérationnelle, Tableau Server doit être configuré pour envoyer un courriel. Consultez Configurer les paramètres SMTP.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!