Gestion des utilisateurs dans les déploiements avec magasins d’identités externes
Cette rubrique fournit des informations techniques importantes sur les points que vous devez maîtriser si vous utilisez Active Directory pour authentifier les utilisateurs pour Tableau Server. Tableau Server prend en charge la connexion à un répertoire externe à l’aide de LDAP. Dans ce scénario, Tableau Server importe des utilisateurs du répertoire LDAP externe dans le référentiel Tableau Server en tant qu’utilisateurs système.
Répertoires LDAP arbitraires
Le nom d’utilisateur système dans Tableau est tout attribut que vous définissez dans le cadre de la configuration LDAP, par exemple « cn ». Cela s’applique à la fois aux fonctionnalités d’importation d’utilisateur individuels et de synchronisation de groupe. Consultez Référence de configuration du magasin d’identités externe.
Comportement de liaison de l’utilisateur lors de la connexion
Vous devrez peut-être mettre à jour votre configuration LDAP de manière à autoriser la jointure avec les noms d’utilisateur ajoutés au DN. Plus précisément, vous devrez mettre à jour votre configuration LDAP lorsque Tableau Server est configuré avec un annuaire LDAP arbitraire (par exemple, OpenLDAP) qui utilise des UPN ou des adresses de courriel comme noms d’utilisateur.
Tableau Server recherchera un utilisateur donné en fonction du nom d’utilisateur fourni lors de la connexion. Tableau Server tentera alors d’établir la liaison avec le nom d’utilisateur ajouté au DN. Dans le cas où Tableau Server a été configuré avec GSSAPI, nom d’utilisateur@REALM (nom de domaine) sera utilisé.
Active Directory
Le contenu du reste de cette rubrique suppose que vous maîtrisez la gestion des utilisateurs Active Directory et que vous connaissez les concepts de base de domaine et de schéma Active Directory.
Remarque : dans le contexte de la synchronisation d’utilisateurs et de groupes, Tableau Server configuré avec un magasin d’identités LDAP est équivalent à Active Directory. Les fonctionnalités de synchronisation Active Directory dans Tableau Server fonctionnent sans problème avec des solutions de répertoire LDAP correctement configurées.
Authentification des utilisateurs Active Directory et Tableau Server
Tableau Server stocke tous les noms d’utilisateur dans le magasin d’identités Tableau Server, qui est gérée par le référentiel. Si Tableau Server est configuré pour utiliser Active Directory pour l’authentification, l’utilisateur que vous spécifiez est importé à partir d’Active Directory dans le magasin d’identités. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d’identification sont transmises à Active Directory, qui prend la responsabilité de l’authentification de l’utilisateur; Tableau Server n’effectue pas cette authentification. (Par défaut, NTLM est utilisé pour l’authentification, mais vous pouvez activer Kerberos ou SAML pour la fonctionnalité de connexion unique. Cependant, dans tous ces cas, l’authentification est laissé à Active Directory.) Cependant, les noms d’utilisateur Tableau stockés dans le magasin d’identités sont associés avec des droits et des autorisations pour Tableau Server. Donc, une fois l’authentification vérifiée, Tableau Server gère l’accès de l’utilisateur (autorisation) pour les ressources Tableau.
Atttributs du nom d’utilisateur Active Directory et Tableau Server
Active Directory identifie de façon unique les objets utilisateur à l’aide de différents attributs. (Pour des détails, consultez Attributs de nom utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web MSDN.) Tableau Server repose sur deux attributs de nom utilisateur d’Active Directory :
sAMAccountName
. Cet attribut spécifie le nom de connexion initialement conçu pour être utilisé avec les anciennes versions de Windows. Dans de nombreuses organisations, ce nom est combiné avec le nom NetBIOS à des fins d’authentification, en utilisant un format tel queexample\jsmith
, oùexample
est le nom NetBIOS etjsmith
est la valeursAMAccountName
. En raison du concept original dans Windows, la valeursAMAccountName
doit être inférieure à 20 caractères.Dans la console administrative Ordinateurs et utilisateurs Active Directory de Windows, cette valeur se trouve dans le champ étiqueté Nom d’ouverture de session de l’utilisateur (avant Windows 2000) sur l’onglet Compte de l’objet utilisateur.
userPrincipalName
(UPN). Cet attribut spécifie un nom d’utilisateur dans le formatjsmith@example.com
oùjsmith
est le préfixe UPN et@example.com
le suffixe UPN.Dans la console administrative Utilisateurs et ordinateurs de Windows, le nom UPN est la concaténation de deux champs de l’onglet Compte de l’objet utilisateur : le champ Nom d’ouverture de session de l’utilisateur et la liste déroulante de domaine à côté.
Ajout d’utilisateurs d’Active Directory
Vous pouvez ajouter utilisateurs individuellement d’Active Directory, soit en les saisissant dans l’environnement de serveur ou en créant un fichier CSV et en important les utilisateurs. Vous pouvez également ajouter des utilisateurs Active Directory en créant un groupe via Active Directory et en important tous les utilisateurs du groupe. Le résultat peut être différent suivant l’approche que vous utilisez.
Importation du préfixe UPN comme nom d’utilisateur
Vous ne pouvez pas importer l’intégralité de l’UPN en tant que nom d’utilisateur.
Dans la plupart des cas, le nom d’utilisateur que Tableau Server importera dans le magasin d’identités sera la valeur sAMAccountName. Pour plus d’informations sur les exceptions à ce comportement, consultez Importing UPN Prefix as Username in Non-Standard Scenarios with Active Directory(Le lien s’ouvre dans une nouvelle fenêtre) dans la base de connaissances Tableau.
Ajouter des groupes d’utilisateurs
Si vous importez un groupe d’utilisateurs Active Directory, Tableau importera tous les utilisateurs du groupe avec le sAMAccountName
.
Comportement de synchronisation lors de la suppression d’utilisateurs d’Active Directory
Les utilisateurs ne peuvent pas être supprimés automatiquement de Tableau Server via une opération de synchronisation Active Directory. Les utilisateurs qui sont désactivés, supprimés ou retirés des groupes dans Active Directory restent sur Tableau Server si bien que vous pouvez vérifier et réattribuer le contenu des utilisateurs avant de supprimer définitivement le compte d’utilisateur.
Par contre, Tableau Server agira sur les objets utilisateur différemment selon le statut des changements de cet objet utilisateur dans Active Directory. Deux scénarios peuvent se présenter : suppression/désactivation des utilisateurs d’Active Directory ou suppression des utilisateurs de groupes synchronisés d’Active Directory.
Lorsque vous supprimez ou désactivez un utilisateur d’Active Directory puis que vous le synchronisez avec le groupe de cet utilisateur sur Tableau Server, ceci se produit :
- L’utilisateur est supprimé du groupe Tableau Server que vous avez synchronisé.
- Le rôle de l’utilisateur est défini sur « sans licence ».
- L’utilisateur appartient toujours au groupe Tous les utilisateurs.
- L’utilisateur ne parvient pas à se connecter à Tableau Server.
Lorsque vous supprimez un utilisateur d’un groupe d’Active Directory puis que vous synchronisez ce groupe sur Tableau Server, ceci se produit :
- L’utilisateur est supprimé du groupe Tableau Server que vous avez synchronisé.
- Le rôle de l’utilisateur est conservé. Il n’est pas défini sur « sans licence ».
- L’utilisateur appartient toujours au groupe Tous les utilisateurs.
- L’utilisateur dispose toujours d’autorisation pour Tableau Server avec un accès à tout ce que le groupe Tous les utilisateurs est autorisé à utiliser.
Dans les deux cas, pour supprimer complètement l’utilisateur de Tableau Server, l’administrateur de serveur doit supprimer l’utilisateur de la page Utilisateurs de serveur dans Tableau Server.
Surnoms de domaine
Dans Tableau Server, le surnom du domaine correspond au nom de domaine NetBIOS de Windows. Dans une forêt Windows Active Directory, le nom de domaine qualifié complet (FQDN) peut être n’importe quel nom NetBIOS. Le nom NetBIOS est utilisé comme identifiant de domaine lorsqu’un utilisateur se connecte à des ressources Active Directory.
Par exemple le FQDN west.na.corp.lan
pourrait être configuré avec le nom NetBIOS (surnom) SEATTLE
. L’utilisateur jsmith
de ce domaine peut se connecter avec un des noms suivants :
west.na.corp.example.com\jsmith
SEATTLE\jsmith
Si vous souhaitez que vos utilisateurs se connectent à Tableau Server avec un nom NetBIOS au lieu du FQDN, vous devrez alors vérifier que la valeur du surnom pour chaque domaine où la connexion des utilisateurs est définie. Consultez editdomain pour des informations sur la manière d’afficher et de définir la valeur du surnom pour chaque domaine.
Prise en charge de plusieurs domaines
Vous pouvez ajouter des utilisateurs et des groupes à partir d’un domaine différent du domaine de l’ordinateur Tableau Server dans les cas suivants :
La confiance réciproque entre le domaine du serveur et un autre domaine a été établie.
Le domaine du serveur fait confiance au domaine des utilisateurs (confiance réciproque). Voir Exigences d’approbation de domaine pour les déploiements Active Directory.
La première fois que vous ajoutez un utilisateur ou un groupe à partir du domaine non serveur, vous devez spécifier le nom de domaine complet avec le nom de l’utilisateur ou du groupe. Tout utilisateur ou groupe supplémentaire que vous ajoutez de ce domaine peut être ajouté à l’aide du surnom de domaine, à condition que le surnom corresponde au nom NetBIOS. Si Tableau Server se connecte à plusieurs domaines, vous devez également spécifier les autres domaines auxquels Tableau Server se connecte en définissant l’option wgserver.domain.whitelist
(version 2020.3 et antérieure) ou wgserver.domain.accept_list
(version 2020.4 et ultérieure) avec TSM. Pour plus d’informations, consultez wgserver.domain.whitelist ou wgserver.domain.accept_list.
Surnoms en double
Si les surnoms des utilisateurs ne sont pas uniques sur plusieurs domaines, la gestion des utilisateurs ayant le même surnom dans Tableau peut être source de confusion. Tableau Server affichera le même nom pour deux utilisateurs. Prenons l’exemple d’une entreprise disposant de deux domaines, exemple.lan et exemple2.lan. Si l’utilisateur Marc Dupont existe dans les deux domaines, l’ajout de cet utilisateur à des groupes et à d’autres tâches administratives prêtera à confusion dans Tableau Server. Dans ce cas de figure, envisagez de mettre à jour le surnom dans Active Directory pour l’un des utilisateurs afin de différencier les comptes.
Connectez-vous à Tableau Server avec le nom NetBIOS.
Les utilisateurs peuvent se connecter à Tableau Server à l’aide du surnom de domaine (nom NetBIOS), par exemple, SEATTLE\jsmith
.
Tableau Server ne peut pas interroger le nom NetBIOS pour un FQDN donné. Par conséquent, Tableau définit le surnom d’un FQDN donné selon la première entrée dans l’espace de nom. Par exemple, avec le FQDN west.na.corp.lan
, Tableau définit le surnom sur west
.
Par conséquent, vous devrez peut-être modifier le surnom du domaine dans Tableau Server pour que les utilisateurs puissent se connecter avec. Si vous ne mettez pas à jour le surnom, les utilisateurs devront se connecter avec le nom de domaine qualifié complet. Pour plus d’informations, consultez Utilisateurs d’un nouveau domaine incapables de se connecter et n’apparaissant pas dans la liste des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) dans la base de connaissances de Tableau.