Authentification
L’authentification vérifie l’identité d’un utilisateur. Tous ceux qui doivent disposer d’un accès à Tableau Server, que ce soit pour gérer le serveur, publier, explorer ou administrer du contenu, doivent être ajoutés en tant qu’utilisateurs dans le référentiel Tableau Server. La méthode d’authentification peut être effectuée par Tableau Server (« authentification locale »), ou l’authentification peut être effectuée par un processus externe. Dans ce dernier cas, vous devez configurer Tableau Server pour des technologies d’authentification externe telles que Kerberos, SAML ou OpenID. Dans tous les cas, que l’authentification se fasse de manière locale ou externe, chaque identité d’utilisateur doit être représentée dans le référentiel Tableau Server. Le référentiel gère les métadonnées d’autorisation pour les identités d’utilisateurs.
Vous recherchez Tableau Server sur Windows? Consultez Authentification(Le lien s’ouvre dans une nouvelle fenêtre).
Bien que toutes les identités d’utilisateurs soient au bout du compte représentées et stockées dans le référentiel Tableau Server, vous devez gérer les comptes utilisateur pour Tableau Server dans un magasin d’identités. On distingue deux options de magasins d’identités mutuellement exclusives : LDAP et local. Tableau Server prend en charge les répertoires LDAP arbitraires, mais a été optimisé pour la mise en œuvre Active Directory LDAP. Alternativement, si vous n’exécutez pas un répertoire LDAP, vous pouvez utiliser le magasin d’identités local Tableau Server. Pour plus d’information, consultez Magasin d’identités.
Comme montré sur la table suivante, le type de magasin d’identités que vous implémentez déterminera en partie vos options d’authentification.
Magasin d’identités | Mécanisme d’authentification | ||||||||
---|---|---|---|---|---|---|---|---|---|
SAML | de base | SAML pour le site | Connexion | (Windows uniquement) Kerberos Se connecter (Microsoft SSPI) | OpenID Connect | Applications connectées | Authentification de confiance | SSL mutuel | |
Local | X | X | X | X | X | X | X | ||
Active Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
Les autorisations d’accès et de gestion sont implémentées via des rôles sur le site. Les rôles sur le site définissent quels utilisateurs sont des administrateurs, et quels utilisateurs sont des consommateurs de contenu et effectuent des publications sur le serveur. Pour plus d’information sur les administrateurs, rôles sur le site, groupes, utilisateur invité et tâches administratives liées aux utilisateurs, consultez Utilisateurs et Rôles sur le site pour les utilisateurs.
Remarque : Dans le contexte d’authentification, il est important de comprendre que les utilisateurs ne sont pas autorisés à accéder aux sources de données externes via Tableau Server du fait qu’ils possèdent un compte sur le serveur. En d’autres termes, dans la configuration par défaut, Tableau Server ne joue pas le rôle de proxy pour les sources de données externes. Un accès de ce type nécessite une configuration supplémentaire de la source de données sur Tableau Server ou l’authentification au niveau de la source de données lorsque l’utilisateur se connecte depuis Tableau Desktop.
Compatibilité de l’authentification supplémentaire
Certaines méthodes d’authentification peuvent être utilisées ensemble. Le tableau suivant présente les méthodes d’authentification qui peuvent être combinées. Les cellules marquées d’un « X » indiquent un ensemble d’authentification compatible. Les cellules vides indiquent des ensembles d’authentification incompatibles.
Applications connectées | Authentification de confiance | SAML à l’échelle du serveur | SAML pour le site | Connexion | (Windows uniquement) Connexion automatique (Microsoft SSPI) | SSL mutuel | OpenID Connect | |
Applications connectées à Tableau | S.O. | X | X | X | X | X | ||
Authentification de confiance | S.O. | X | X | X | X | X | ||
SAML à l’échelle du serveur | X | X | S.O. | X | ||||
SAML pour le site | X | X | X | S.O. | ||||
Kerberos | X | X | S.O. | |||||
Connexion automatique (Microsoft SSPI) | S.O. | |||||||
SSL mutuel | X | X | S.O. | |||||
OpenID Connect | X | X | S.O. | |||||
Jeton d’accès personnel (PAT) | * | * | * | * | * | * | * | * |
* Les PAT, de par leur conception, ne fonctionnent pas directement avec le mécanisme d’authentification répertorié dans ces colonnes pour s’authentifier auprès de l’API REST. Au lieu de cela, les PAT utilisent les identifiants du compte utilisateur Tableau Server pour s’authentifier auprès de l’API REST.
Compatibilité de l’authentification client
Authentification gérée via une interface utilisateur (UI)
Clients | Mécanisme d’authentification | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
SAML | de base | SAML pour le site | Connexion | (Windows uniquement) Kerberos Se connecter (Microsoft SSPI) | OpenID Connect | Applications connectées | Authentification de confiance | SSL mutuel | Jeton d’accès personnel (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (iOS uniquement *) | X ** | X | X | |||
Navigateurs Web | X | X | X | X | X | X | X *** | X | X |
* L’authentification unique Kerberos n’est pas pris en charge pour Android, mais un recours au nom d’utilisateur et au mot de passe est possible. Pour plus d’informations, voir Remarque 5 : plateforme Android.
** SSPI n’est pas compatible avec la version Workspace ONE de l’application Tableau Mobile.
*** Uniquement dans l’intégration des flux de travail.
Authentification gérée par programmation
Clients | Mécanisme d’authentification | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
SAML | de base | SAML pour le site | Connexion | (Windows uniquement) Kerberos Se connecter (Microsoft SSPI) | OpenID Connect | Applications connectées | Authentification de confiance | SSL mutuel | Jeton d’accès personnel (PAT) | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
Authentification locale
Si le serveur est configuré pour utiliser l’authentification locale, Tableau Server authentifie les utilisateurs. Lorsque les utilisateurs se connectent et saisissent leurs identifiants, sur Tableau Desktop, tabcmd, l’API ou un client Web, Tableau Server vérifie les identifiants.
Pour activer ce scénario, vous devez d’abord créer une identité pour chaque utilisateur. Pour créer une identité, vous spécifiez un nom d’utilisateur et un mot de passe. Pour accéder à un contenu sur le serveur ou interagir avec ce contenu, les utilisateurs doivent également se voir attribuer un rôle sur le site. Les identités de l’utilisateur peuvent être ajoutées à Tableau Server dans l’interface du serveur à l’aide de Commandes tabcmd ou de l’API REST(Le lien s’ouvre dans une nouvelle fenêtre).
Vous pouvez également créer des groupes dans Tableau Server pour vous aider à gérer et à attribuer des rôles à des ensembles importants de groupes d’utilisateurs connexes (par exemple "Marketing").
Lorsque vous configurez Tableau Server pour l’authentification locale, vous pouvez définir des stratégies de mot de passe et configurer le verrouillage des comptes en cas de tentatives de mot de passe infructueuses. Consultez Authentification locale.
Remarque : Tableau avec authentification multifacteur (MFA) est disponible uniquement pour Tableau Cloud.
Solutions d’authentification externe
Tableau Server peut être configuré pour utiliser diverses solutions d’authentification externe.
Kerberos
Vous pouvez configurer Tableau Server en vue de l’utilisation de Kerberos pour Active Directory. Consultez Kerberos.
SAML
Vous pouvez configurer Tableau Server de manière à utiliser l’authentification SAML (Security Assertion Markup Language). Avec SAML, un fournisseur d’identité externe (IdP) authentifie l’information d’authentification de l’utilisateur et envoie une assertion de sécurité à Tableau Server qui fournit l’information sur l’identité de l’utilisateur.
Pour plus d’informations, consultez SAML.
OpenID Connect
OpenID Connect (OIDC) est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) tel que Google. Après s’être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés auprès de Tableau Server. Pour pouvoir utiliser OIDC sur Tableau Server, le serveur doit être configuré pour utiliser le magasin d’identités local. Les magasins d’identités Active Directory ou LDAP ne sont pas pris en charge avec OIDC. Pour plus d’informations, consultez OpenID Connect.
SSL mutuel
À l’aide de SSL mutuel, vous pouvez fournir aux utilisateurs de Tableau Desktop, Tableau Mobile, et autres clients Tableau approuvés une expérience d’accès direct sécurisé à Tableau Server. Avec SSL mutuel, lorsqu’un client possédant un certificat SSL valide se connecte à Tableau Server, Tableau Server confirme l’existence du certificat client et authentifie l’utilisateur, d’après le username sur le certificat client. Si le client ne possède pas un certificat SSL valide, Tableau Server peut refuser la connexion. Pour plus d’informations, consultez Configurer l’authentification SSL mutuel.
Applications connectées
Confiance directe
Les applications connectées Tableau permettent une expérience d’authentification transparente et sécurisée en facilitant une relation de confiance explicite entre votre site Tableau Serveur et les applications externes dans lesquelles le contenu Tableau est intégré. L’utilisation d’applications connectées permet également d’autoriser par programmation l’accès à l’API REST de Tableau à l’aide de jetons Web JSON (JWT). Pour plus d’informations, consultez Utiliser les applications connectées Tableau pour l’intégration d’applications.
Confiance du serveur EAS ou Oauth 2.0
Vous pouvez enregistrer un serveur d’autorisation externe (EAS) avec Tableau Serveur de manière à établir une relation de confiance entre votre Tableau Server et le serveur EAS à l’aide du protocole standard Oauth 2.0. La relation de confiance offre à vos utilisateurs une expérience d’authentification unique, par le biais de votre IdP, pour accéder au contenu Tableau intégré. De plus, l’enregistrement d’un EAS permet d’autoriser par programmation l’accès à l’API REST de Tableau à l’aide de jetons Web JSON (JWT). Pour plus d’informations, consultez Configurer les applications connectées à l’aide de la confiance Oauth 2.0.
Authentification de confiance
L’authentification de confiance (également appelée « Tickets de confiance ») vous permet de configurer une relation de confiance entre Tableau Server et un ou plusieurs serveurs Web. Lorsque Tableau Server reçoit des demandes d’un serveur Web de confiance, il suppose que le serveur Web a vérifié toutes les authentifications nécessaires. Tableau Server reçoit la demande avec un jeton ou billet échangeable, et offre à l’utilisateur une vue personnalisée qui prend en compte son rôle et ses autorisations. Pour plus d’informations, consultez Authentification de confiance.
LDAP
Vous pouvez également configurer Tableau Server de manière à ce qu’il utilise LDAP pour l’authentification utilisateur. Les utilisateurs sont authentifiés en soumettant leurs identifiants à Tableau Server, qui tente ensuite d’effectuer la liaison à l’instance LDAP à l’aide des identifiants de l’utilisateur. Si la liaison fonctionne, les identifiants sont valides et Tableau Server accorde une session à l’utilisateur.
Une « liaison » est l’étape de poignée de main/d’authentification qui a lieu lorsqu’un client tente d’accéder à un serveur LDAP. Tableau Server effectue cette opération pour lui-même lorsqu’il émet diverses requêtes de non-authentification associées (par exemple l’importation d’utilisateurs et de groupes).
Vous pouvez configurer le type de liaison que Tableau Server doit utiliser lorsque vous vérifiez les identifiants de l’utilisateur. Tableau Server prend en charge GSSAPI et la liaison simple. La liaison simple transmet les identifiants directement à l’instance LDAP. Nous vous recommandons de configurer SSL pour chiffrer la communication de liaison. L’authentification dans ce scénario peut être fournie par la solution LDAP native ou avec un processus externe, par exemple SAML.
Pour en savoir plus sur la planification et la configuration de LDAP, consultez Magasin d’identités et Référence de configuration du magasin d’identités externe.
Autres scénarios d’authentification
API REST : Connexion et déconnexion (Authentification)(Le lien s’ouvre dans une nouvelle fenêtre)
Remarque : L’API REST ne prend pas en charge l’authentification unique (SSO) SAML.
Authentification des appareils mobiles : Authentification unique pour Tableau Mobile(Le lien s’ouvre dans une nouvelle fenêtre)
Certificat de confiance pour les clients TSM : Connexion des clients TSM
Intégration PAM pour l’administration TSM : Authentification TSM
Accès aux données et authentification de la source
Vous pouvez configurer Tableau Server de manière à ce qu’il prenne en charge plusieurs protocoles d’authentification différents sur plusieurs sources de données différentes. L’authentification de la connexion de données peut être indépendante de l’authentification Tableau Server.
Par exemple, vous pouvez configurer l’authentification utilisateur pour Tableau Server avec l’authentification locale, tout en configurant l’authentification OAuth ou SAML pour des sources de données spécifiques. Consultez Authentification de la connexion de données.