Aide de Tableau Server sur Linux

Vous pouvez utiliser les commandes tsm authentication pour activer, désactiver et configurer les options d’authentification utilisateur pour Tableau Server.

tsm authentication kerberos <commands>

Activez, désactivez et configurez l’authentification utilisateur Kerberos sur Tableau Server. Consultez Configurer Kerberos.

Synopsis

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

Options pour kerberos configure

-kt, --keytab-file <keytab_file.keytab>

Obligatoire.

Spécifie le fichier .keytab de service utilisé pour les demandes à KDC.

tsm authentication list

Répertoriez les paramètres de configuration associés à l’authentification existante du serveur.

Synopsis

tsm authentication list [--verbose][global options]

Options

v, --verbose

Facultatif.

Affichez tous les paramètres configurés.

tsm authentication mutual-ssl <commands>

Activez, désactivez et configurez SSL mutuel pour l’authentification utilisateur sur Tableau Server. Pour en savoir plus sur SSL mutuel, consultez Configurer l’authentification SSL mutuel.

Avant d’activer SSL mutuel, vous devez activer et configurer SSL pour la communication externe. Pour plus d’informations, consultez Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.

Synopsis

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

Options

-cf, --ca-cert <certificate-file.crt>

Facultatif.

Spécifie l’emplacement et le nom du fichier pour le fichier de certificat. Le fichier doit être un certificat de confiance valide émis par une autorité de certification (par exemple Verisign).

-fb, --fallback-to-basic <true | false>

Facultatif.

Spécifie si Tableau Server doit accepter le nom d’utilisateur et le mot de passe pour l’authentification en cas d’échec de l’authentification SSL.

La valeur par défaut est « false », pour indiquer que, configuré pour SSL mutuel, Tableau Server n’autorise pas la connexion en cas d’échec de l’authentification SSL. Par contre, Tableau Server accepte l 'authentification par nom d’utilisateur et mot de passe depuis les clients d’API REST, même si cette option est définie sur false.

-m, --user-name-mapping <upn | ldap | cn>

Facultatif.

Spécifie la syntaxe du nom d’utilisateur (UPN, LDAP ou CN) à récupérer depuis la banque d’identités ou le répertoire. Le syntaxe doit correspondre au format du sujet ou au nom alternatif du sujet sur le certificat utilisateur.

-rf, --revocation-file <revoke-file.pem>

Facultatif.

Spécifie l’emplacement et le nom du fichier pour le fichier de liste de révocation du certificat. Ce fichier peut être un fichier .pem ou .der.

tsm authentication openid <commandes>

Activez, désactivez et configurez l’authentification utilisateur OpenID Connect (OIDC) sur Tableau Server.

Synopsis

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

Options pour openid configure

Remarque : les options doivent être définies lors de la configuration initiale ou lors de la reconfiguration. Les options individuelles ne peuvent pas être définies séparément.

-a, --client-authentication <string>

Obligatoire.

Spécifie la méthode d’authentification clients personnalisée pour OpenID Connect.

Pour configurer Tableau Server de manière à utiliser l’IdP Salesforce, définissez cette valeur sur client_secret_post.

-cs, --client-secret <string>

Obligatoire.

Spécifie le secret du client du fournisseur. Il s’agit d’un jeton utilisé par Tableau pour vérifier l’authenticité de la réponse de l’IdP. Cette valeur est un secret et doit être protégée.

-cu, --config-url <url>

Obligatoire.

Spécifie l’emplacement du document de découverte de la configuration du fournisseur qui contient les métadonnées du fournisseur OpenID. Si le fournisseur héberge un fichier JSON public, utilisez --config-url. Sinon, spécifiez un chemin d’accès sur l’ordinateur local et un nom de fichier à l’aide de --metadata-file.

-mf, --metadata-file <chemin-fichier>, --config-file <fichier-config.json>

Facultatif.

Spécifie le chemin d’accès local au document JSON de découverte OIDC statique.

-i, --client-id <client-id>

Obligatoire.

Spécifie l’identificateur du client du fournisseur que l’IDP a affecté à votre application.

-id, --ignore-domain <true | false>

Facultatif. Par défaut : false

Définissez cette valeur sur true si les conditions suivantes sont remplies :

• Vous utilisez des adresses e-mail comme noms d’utilisateur dans Tableau Server

• Vous avez configuré des utilisateurs dans l’IdP avec plusieurs noms de domaine

• Vous souhaitez ignorer la partie nom de domaine de la revendication email de l’IdP

Avant de poursuivre, examinez les noms d’utilisateurs qui seront utilisés en définissant cette option sur true. Des conflits de nom d’utilisateur peuvent se produire. Dans de tels cas, le risque de divulgation d’informations est élevé. Voir Configuration requise pour utiliser OpenID Connect.

-if, --iframed-idp-enabled <true | false>

Facultatif. Par défaut : false

Spécifie si l’IdP est autorisé au sein d’un iFrame. L’IdP doit désactiver la protection contre les détournements de clics pour autoriser la présentation iFrame.

-ij, --ignore-jwk <true | false>

Facultatif. Par défaut : false

Définissez cette valeur sur true si votre IdP ne prend pas en charge la validation JWK. Dans ce cas, nous vous recommandons d’authentifier la communication avec votre IdP en utilisant TLS mutuel ou un autre protocole de sécurité de couche réseau.

-r, --return-url <return-url>

URL de votre serveur. Il s’agit généralement du nom public de votre serveur, par exemple "http://example.tableau.com".

-sn, --custom-scope-name <string>

Facultatif.

Spécifie une valeur d’étendue personnalisée liée à l’utilisateur que vous pouvez utiliser pour interroger l’IdP. Voir Configuration requise pour utiliser OpenID Connect.

Options pour openid map-claims

Utilisez ces options pour modifier les revendications OIDC par défaut que Tableau Server utilisera pour communiquer avec votre IdP. Voir Configuration requise pour utiliser OpenID Connect.

-i, --id <string>

Facultatif. Par défaut : sub

Modifiez cette valeur si votre IdP n’utilise pas la revendication sub pour identifier de manière unique les utilisateurs dans le jeton d’ID. La revendication de l’IdP que vous spécifiez doit contenir une seule chaîne unique.

-un, --user-name <string>

Facultatif. Par défaut : email

Redéfinissez cette valeur sur la revendication de l’IdP que votre organisation utilisera pour mapper les noms d’utilisateur stockés dans Tableau Server.

tsm authentication pat-impersonation <commands>

Vous pouvez activer et désactiver l’emprunt d’identité des jetons d’accès personnels pour les administrateurs sur Tableau Server.

Pour plus d’informations sur les jetons d’accès personnels, consultez Jetons d’accès personnels.

Synopsis

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

Pour voir si l’emprunt d’identité par jeton d’accès personnel est activée, exécutez la commande suivante :

tsm authentication list

tsm authentication saml <commands>

Configurez Tableau Server pour qu’il prenne en charge l’authentification unique à l’aide de SAML 2.0 standard, activez ou désactivez SAML pour un site, mappez les noms d’attribut d’assertion entre Tableau Server et le fournisseur d’identité (IdP).

Commandes disponibles

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

Configurez les paramètres SAML pour le serveur. Spécifiez les fichiers de métadonnées et de certificat SAML, fournissez les informations supplémentaires requises, définissez des options supplémentaires.

Si vous configurez SAML pour la première fois ou que vous l’avez précédemment désactivé, vous devez exécuter cette commande avec tsm authentication saml enable. Pour plus d’informations, consultez Configurer SAML à l’échelle du serveur.

Synopsis

tsm authentication saml configure [options] [global options]

Options

-e, --idp-entity-id <id>

Requis pour la configuration SMTP initiale. Sinon, facultatif. Valeur d’ID de l’entité d’IdP.

Généralement cette valeur est la même que l’URL de renvoi de Tableau Server (spécifiée dans le paramètre --idp-return-url). L’ID d’entité que vous entrez sert de base à la génération d’ID d’entités spécifiques à des sites. Par exemple, si vous entrez ce qui suit :

http://tableau-server

Un site configuré pour SAML peut afficher l’ID d’entité suivante :

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

Pour trouver l’ID d’entité d’un site, accédez à la page Paramètres du site et sélectionnez l’onglet Authentification. Lorsque SAML est activé, l’ID d’entité est affiché dans la première étape de la configuration de SAML spécifique à un site, l’exportation des métadonnées.

-r, --idp-return-url <idp-return-url>

Requis pour la configuration SMTP initiale. Sinon, facultatif. URL de renvoi de SAML configurée dans l’IdP. Il s’agit généralement de l’URL externe de Tableau Server, par exemple https://tableau-server.

Remarques

• http://localhost ne fonctionne pas avec un serveur externe.

• L’ajout d’une barre oblique de fin à l’URL (par exemple https://tableau_server/) n’est pas pris en charge.

-i, --idp-metadata <idp-metadata.xml>

Requis pour la configuration SMTP initiale. Sinon, facultatif. Indiquez l’emplacement et le nom du fichier de métadonnées XML que vous avez exporté depuis les paramètres de l’IdP.

Par exemple, /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

-cf, --cert-file <certificate.crt>

Requis pour la configuration SMTP initiale. Sinon, facultatif. Emplacement et nom du fichier pour le fichier de certificat x509 pour SAML. Pour connaître la configuration requise pour le fichier de certificat, consultez Exigences en matière d’authentification SAML.

Par exemple, /var/opt/tableau/tableau_server/data/saml/<file.crt>

-kf, --key-file <certificate.key>

Requis pour la configuration SMTP initiale. Sinon, facultatif. Emplacement et nom du fichier de clé accompagnant le certificat.

Par exemple, /var/opt/tableau/tableau_server/data/saml/<file.key>

-a, --max-auth-age <max-auth-age>

Facultatif. La valeur par défaut est -1 (depuis Tableau 2020.4.15, 2021.1.12, 2021.2.9,2021.3.8, 20214.4, 2022 et versions ultérieures). La précédente valeur par défaut était 7200 (2 heures).

Nombre maximal de secondes autorisées entre l’authentification de l’utilisateur et le traitement du message AuthNResponse.

Nous vous recommandons de conserver cette valeur par défaut, qui désactive la vérification de l’âge maximum d’authentification. Si cette valeur est différente de celle de votre IdP, les utilisateurs se connectant à Tableau Server peuvent voir une erreur de connexion. Pour plus d’informations sur cette erreur, consultez l’article Erreur intermittente « Impossible de se connecter » avec SAML SSO sur Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances de Tableau.

-d, --desktop-access <enable | disable>

Facultatif. La valeur par défaut est « enable ».

Cette option s’applique uniquement à SAML à l’échelle du serveur. Utilisez SAML pour vous connecter au serveur depuis Tableau Desktop. Si l’authentification unique depuis les applications du client Tableau ne fonctionne pas avec votre IdP, vous pouvez définir cette option sur disable.

-m, --mobile-access <enable | disable>

Facultatif. La valeur par défaut est « enable ».

Autorisez l’utilisation de SAML pour la connexion depuis des versions antérieures de l’application Tableau Mobile. Les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure ignorent cette option. Pour désactiver les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure, désactivez SAML comme option de connexion client sur Tableau Server.

-so, --signout <enable | disable>

Facultatif. Activé par défaut.

Activez ou désactivez la déconnexion SAML pour Tableau Server.

-su, --signout-url <url>

Facultatif. Entrez l’URL de redirection après que les utilisateurs se sont déconnectés du serveur. Par défaut, il s’agit de la page de connexion de Tableau Server. Vous pouvez spécifier une URL absolue ou relative.

Exemple

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

tsm authentication saml enable et saml disable

Activez ou désactivez l’authentification SAML au niveau du serveur. Dans ce contexte, tous les sites et utilisateurs que vous activez pour SAML ont affaire à un seul fournisseur d’identité.

Synopsis

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

Exportez le fichier de métadonnées .xml Tableau Server que vous utiliserez pour configurer SAML IdP.

Synopsis

tsm authentication saml export-metadata [options] [global options]

Options

-f, --file [/path/to/file.xml]

Facultatif.

Spécifie l’emplacement et le nom de fichier où les métadonnées seront écrites. Si vous n’incluez pas cette option, export-metadata enregistre le fichier sur le répertoire actuel et le nomme samlmetadata.xml.

-o, --overwrite

Facultatif.

Écrase un fichier existant du même nom que celui spécifié dans -f, ou du nom par défaut si -f n’est pas inclus. Si un fichier spécifié dans -f existe et que -o n’est pas inclus, la commande ne remplace pas le fichier existant.

tsm authentication saml map-assertions

Mappe les attributs entre l’IdP et Tableau Server. Fournissez le nom que l’IdP utilise pour l’attribut spécifié dans chaque argument.

Synopsis

tsm authentication saml map-assertions --user-name <user-name> [global options]

Options

-r, --user-name <user-name-attribute>

Facultatif. L’attribut dans lequel l’IdP stocke le nom d’utilisateur. Sur Tableau Server, il s’agit du nom d’affichage.

-e, --email <email-name-attribute>

Ne pas utiliser. Cette option n’est pas prise en charge par Tableau.

-o, --domain <domain-name-attribute>

Facultatif. L’attribut dans lequel l’IdP stocke le nom de domaine. Utilisez cette option si vous ajoutez des utilisateurs d’un domaine différent du domaine de l’ordinateur Tableau Server. Pour plus d’informations, consultez Exécution de plusieurs domaines.

-d --display-name <display-name-attribute>

Ne pas utiliser. Cette option n’est pas prise en charge par Tableau.

Exemple pour saml map-assertions

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> ou tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable et sitesaml disable

Configurez le serveur de manière à activer ou désactiver l’authentification SAML au niveau du site. L’activation de l’authentification SAML spécifique à un site vous permet d’accéder à Paramètres > onglet Authentification dans l’interface Web de Tableau Server. L’onglet Authentification contient les paramètres de configuration SAML spécifique à un site.

Utilisez la commande sitesaml enable avec saml configure si vous n’avez pas encore configuré le serveur de manière à autoriser SAML spécifique à un site. Pour plus d’informations, consultez Configurer SAML spécifique à un site.

Synopsis

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication trusted <commands>

Configurez l’authentification fiable (tickets approuvés) pour l’authentification utilisateur sur Tableau Server.

Synopsis

tsm authentication trusted configure [options] [global options]

Options

-th, --hosts <string>

Facultatif.

Spécifie les noms d’hôte de confiance (ou les adresses IPv4) des serveurs Web qui hébergeront les pages avec contenu Tableau.

S’il y a plusieurs valeurs, entrez les noms dans une liste séparée par des virgules où chaque valeur est encapsulée dans des guillemets doubles.

Par exemple :

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

ou

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

Facultatif.

Détermine le nombre de caractères de chaque ticket de confiance. La valeur par défaut de 24 caractères fournit 144 bits de caractère aléatoire. Elle peut être remplacée par un nombre entier compris entre 9 et 255 inclus.

Options globales

-h, --help

Facultatif.

Affichez l’aide de la commande.

-p, --password <password>

Requis, en même temps que -u ou --username si aucune session n’est active.

Spécifiez le mot de passe de l’utilisateur spécifié dans -u ou --username.

Si le mot de passe inclut des espaces ou des caractères spéciaux, mettez-le entre guillemets :

--password 'my password'

-s, --serveur https://<hostname>:8850</hostname>

Facultatif.

Utilisez l’adresse spécifiée pour Tableau Services Manager. L’URL doit commencer par https, inclure le port 8850 et utiliser le nom de serveur, et non l’adresse IP. Par exemple, https://<tsm_hostname>:8850. Si aucun serveur n’est spécifié, https://<localhost | dnsname>:8850 est présupposé.

--trust-admin-controller-cert

Facultatif.

Utilisez cet indicateur pour approuver le certificat auto-signé sur le contrôleur TSM. Pour plus d’informations sur les connexions d’approbation de certificat et d’interface en ligne de commande, reportez-vous à la rubrique Connexion des clients TSM.

-u, --username <user>

Requis si aucune session n’est active, en même temps que -p ou --password.

Spécifiez un compte utilisateur. Si vous n’incluez pas cette option, la commande s’exécute à l’aide des informations d’identification avec lesquelles vous vous êtes connecté.