Configurer SAML à l’échelle du serveur
Vous pouvez configurer SAML à l’échelle du serveur lorsque vous souhaitez que tous vos utilisateurs SSO (authentification unique) sur Tableau Server s’authentifient via un fournisseur d’identité (IdP) SAML unique, ou comme première étape dans la configuration de SAML spécifique à un site dans un environnement multisite.
Si vous avez configuré SAML à l’échelle du serveur et que vous êtes prêt à configurer un site, consultez Configurer le protocole SAML spécifique à un site.
Les étapes de configuration SAML que vous décrivons partent des hypothèses suivantes :
Vous maîtrisez bien les options de configuration de l’authentification SAML sur Tableau Server, comme décrit dans la rubrique SAML.
Vous avez vérifié que votre environnement répond aux Exigences en matière d’authentification SAML et obtenu les fichiers de certificat SAML décrits dans ces exigences.
Avant de commencer
Dans le cadre de votre plan de récupération après sinistre, nous vous recommandons de conserver une sauvegarde des fichiers de certificat et d’IdP dans un endroit sûr hors de Tableau Server. Les fichiers de ressources SAML que vous téléversez sur Tableau Server seront stockés et distribués sur d’autres nœuds par le service des fichiers client. Toutefois, les fichiers ne sont pas stockés dans un format récupérable. Consultez Service des fichiers client Tableau Server.
Remarque : si vous utilisez les mêmes fichiers de certificat pour SSL, vous pourriez aussi utiliser l’emplacement de certificat existant pour configurer SAML, et ajouter le fichier de métadonnées de l’IdP à ce répertoire lorsque vous le téléchargez ultérieurement dans cette procédure. Pour plus d’informations, consultez Utilisation d’un certificat SSL et de fichiers de clé pour SAML dans la section Exigences en matière d’authentification SAML.
Si vous exécutez Tableau Server dans un groupement, les certificats, clés et fichier de métadonnées SAML seront automatiquement distribués entre les nœuds lorsque vous activez SAML.
Cette procédure exige que vous téléversiez les certificats SAML vers TSM afin qu’ils soient correctement stockés et distribués dans la configuration de serveur. Les fichiers SAML doivent être disponibles pour le navigateur de l’ordinateur local sur lequel vous exécutez l’interface Web TSM dans le cadre de cette procédure.
Si vous avez rassemblé et enregistré les fichiers SAML sur Tableau Server comme recommandé dans la section précédente, exécutez l’interface Web TSM depuis l’ordinateur Tableau Server où vous avez copié les fichiers.
Si vous exécutez l’interface Web TSM à partir d’un autre ordinateur, vous devrez copier tous les fichiers SAML localement avant de continuer. Au fur et à mesure que vous suivez la procédure ci-dessous, accédez aux fichiers sur l’ordinateur local pour les téléverser sur TSM.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Dans l’onglet Configuration, sélectionnez Identité de l’utilisateur et accès puis sélectionnez l’onglet Méthodes d’authentification.

Dans Méthode d’authentification, sélectionnez SAML.
Dans la section SAML qui apparaît, terminez l’étape 1 de l’interface utilisateur en entrant les paramètres suivants (ne cochez pas encore à ce stade la case d’activation de SAML pour le serveur) :
URL de retour Tableau Server : l’URL à laquelle les utilisateurs de Tableau Server accèderont, par exemple https://tableau-server.
L’utilisation de https://localhost ou d’une URL avec une barre oblique de fin (par exemple http://tableau_server/) n’est pas prise en charge.
ID d’identité SAML : ID d’entité qui identifie votre installation de Tableau Server de manière unique pour l’IdP.
Vous pouvez entrer à nouveau votre URL Tableau Server ici. Si vous comptez activer ultérieurement SAML spécifique à un site, cette URL sert également de base pour chaque ID unique de site.
Fichiers de certificats et de clés SAML : cliquez sur Sélectionner un fichier pour téléverser chacun de ces fichiers.
Si vous utilisez un fichier de la clé protégé par une phrase de passe PKCS#8, vous devez entrer la phrase de passe avec l’interface en ligne de commande TSM :
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Une fois que vous avez fourni les informations demandées à l’étape 1 de l’interface utilisateur, le bouton Télécharger le fichier de métadonnées XML à l’étape 2 de l’interface utilisateur devient disponible.
Cochez maintenant la case Activer l’authentification SAML pour le serveur au-dessus de l’étape 1 de l’interface utilisateur.
Effectuez les paramètres SAML restants.
Aux étapes 2 et 3, échangez les métadonnées entre Tableau Server et le fournisseur d’identité. (Vous souhaiterez peut-être consulter à ce stade la documentation de l’IdP.)
Sélectionnez Télécharger le fichier de métadonnées XML et spécifiez l’emplacement du fichier.
Si vous configurez SAML avec AD FS,vous pouvez revenir à Étape 3 : Configurer AD FS pour accepter les demandes de connexion de Tableau Server dans « Configurer SAML avec AD FS sur Tableau Server ».
Pour les autres IdP, accédez au compte de votre IdP pour ajouter Tableau Server à ses applications (en tant que fournisseur de services), en fournissant les métadonnées Tableau comme approprié.
Suivez les instructions sur le site Web ou la documentation de l’IdP pour télécharger les métadonnées de l’IdP. Enregistrez le fichier .xml sur le même emplacement que celui contenant vos fichiers de certificat et de clé SAML. Par exemple :
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xmlRevenez à l’interface utilisateur Web TSM. Pour l’étape 4 de l’interface utilisateur, entrez le chemin d’accès du fichier de métadonnées du fournisseur d’identités, puis cliquez sur Sélectionner le fichier.

À l’étape 5, dans certains cas, vous devrez peut-être modifier les valeurs d’assertion dans la configuration Tableau Server pour qu’elles correspondent aux noms d’assertion transmis par votre fournisseur d’identité.
Vous pouvez trouver les noms d’assertion dans la configuration SAML de l’IdP. Si différents noms d’assertion sont transmis par votre fournisseur d’identités, vous devez mettre à jour Tableau Server pour utiliser la même valeur d’assertion.
Conseil : les « Assertions » sont un composant SAML clé, et le concept d’assertions de mappage peut être complexe à première vue. Il peut être utile de placer ceci dans un contexte de données tabulaires dans lequel le nom de l’assertion (attribut) est équivalent à un en-tête de colonne dans la table. Vous entrez ce nom d’en-tête plutôt qu’un exemple de valeur apparaissant dans cette colonne.
À l’étape 6, sélectionnez les applications Tableau pour lesquelles vous souhaitez offrir une expérience d’authentification unique aux utilisateurs.
Remarque : L’option de désactivation de l’accès mobile est ignorée par les appareils exécutant l’application Tableau Mobile version 19.225.1731 et ultérieure. Pour désactiver SAML pour les appareils exécutant ces versions, vous devez désactiver SAML comme option de connexion client sur Tableau Server.
Pour la redirection de déconnexion SAML, si votre fournisseur d’identités prend en charge la déconnexion unique (SLO), entrez la page vers laquelle vous souhaitez rediriger les utilisateurs après qu’ils se sont déconnectés (relativement au chemin d’accès que vous avez entré pour l’URL de retour Tableau Server).
(Facultatif) À l’étape 7, procédez comme suit :
Ajoutez une valeur séparée par des virgules pour l’attribut
AuthNContextClassRef. Pour plus d’informations sur la façon dont cet attribut est utilisé, consultez Remarques sur la compatibilité SAML et les exigences.Spécifiez un attribut de domaine si vous n’envoyez pas le domaine dans le cadre du nom d’utilisateur (par exemple,
domain\username). Pour plus d’informations, consultez Exécution de plusieurs domaines.
(Facultatif) À l’étape 8, cochez la case Activer la capture des attributs utilisateur pendant l’authentification SAML. Pour plus d’informations à propos des attributs utilisateur, consultez Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur.

Cliquez sur Enregistrer les modifications en attente après avoir entré vos données de configuration.
Cliquez sur Modifications en attente en haut de la page :

Cliquez sur Appliquer les modifications et redémarrer.
Avant de commencer
Avant de commencer, procédez comme suit :
Accédez au site Web ou à l’application de votre IdP, et exportez le fichier XML des métadonnées de l’IdP.
Vérifiez que les métadonnées XML obtenues à partir de l’IdP incluent un élément SingleSignOnService dans lequel la liaison est définie sur
HTTP-POST, comme dans l’exemple suivant :<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Rassemblez les fichiers de certificats et placez-les sur Tableau Server.
Dans le dossier Tableau Server, créez un nouveau dossier appelé SAML et placez les copies des fichiers de certificat SAML dans ce dossier. Par exemple :
C:\Program Files\Tableau\Tableau Server\SAMLIl est conseillé d’utiliser cet emplacement parce que le compte utilisateur qui exécute Tableau Server dispose des autorisations nécessaires pour accéder à ce dossier.
Étape 1 : Configurer l’URL de retour, l’ID de l’entité SAML et spécifier les fichiers de certificats et de clés
Ouvrez l’interpréteur d’invite de commande et configurez les paramètres SAML pour le serveur (en remplaçant les valeurs d’espace réservé par le chemin d’accès à l’environnement et les noms de fichiers).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"Pour plus d’informations, consultez
tsm authentication saml configure.Si vous utilisez une clé PKCS#8 protégée par une phrase de passe, entrez la phrase de passe comme suit :
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Si SAML n’est pas déjà activé sur Tableau Server (par exemple, vous le configurez pour la première fois, ou vous l’avez désactivé), activez-le maintenant :
tsm authentication saml enableAppliquez les modifications :
tsm pending-changes applySi les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes applyaffichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Étape 2 : Générer les métadonnées Tableau Server et configurer l’IdP
Exécutez la commande suivante pour générer le fichier de métadonnées XML requis pour Tableau Server.
tsm authentication saml export-metadata -f <file-name.xml>Vous pouvez spécifier un nom de fichier, ou omettre le paramètre
-fpour créer un fichier par défaut appelésamlmetadata.xml.Sur le site Web de votre IdP ou dans son application :
Ajoutez Tableau Server en tant que fournisseur de services.
Pour plus d’informations sur la procédure à suivre, consultez la documentation de l’IdP. Lors de la configuration de Tableau Server en tant que fournisseur de services, vous importerez le fichier de métadonnées Tableau Server que vous avez généré à l’aide de la commande
export-metadata.Vérifiez que votre IdP utilise username comme attribut pour vérifier les utilisateurs.
Étape 3 : Associer les assertions
Dans certains cas, vous devrez peut-être modifier les valeurs d’assertion dans la configuration de Tableau Server pour qu’elles correspondent aux noms d’assertion qui sont transmis par votre IdP.
Vous pouvez trouver les noms d’assertion dans la configuration SAML de l’IdP. Si différents noms d’assertion sont transmis par votre fournisseur d’identités, vous devez mettre à jour Tableau Server pour utiliser la même valeur d’assertion.
Conseil : les « Assertions » sont un composant SAML clé, et le concept d’assertions de mappage peut être complexe à première vue. Il peut être utile de placer ceci dans un contexte de données tabulaires dans lequel le nom de l’assertion (attribut) est équivalent à un en-tête de colonne dans la table. Vous entrez ce nom d’en-tête plutôt qu’un exemple de valeur apparaissant dans cette colonne.
Le tableau suivant présente les valeurs par défaut des assertions et la clé de configuration qui enregistre la valeur.
| Affirmation | Valeur par défaut | Clé |
|---|---|---|
| Nom d’utilisateur | username | wgserver.saml.idpattribute.username |
| Nom d’affichage | displayName | Tableau ne prend pas en charge ce type d’attribut. |
| Courriel | email | Tableau ne prend pas en charge ce type d’attribut. |
| Domaine | (non mappé par défaut) | wgserver.saml.idpattribute.domain |
Pour modifier une valeur donnée, exécutez la commande tsm configuration set avec la paire clé :valeur appropriée.
Par exemple, pour modifier l’assertion username sur la valeur name, exécutez les commandes suivantes :
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
Alternativement, vous pouvez utiliser la commande tsm authentication saml map-assertions pour modifier une valeur donnée.
Par exemple, pour définir l’assertion de domaine sur une valeur appelée domain et spécifier sa valeur en tant que « exemple.myco.com », exécutez les commandes suivantes :
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Facultatif : Désactiver l’utilisation de SAML pour certains types de clients
Par défaut, Tableau Desktop et l’application Tableau Mobile autorisent l’authentification SAML.
Si votre IdP ne prend pas en charge cette fonctionnalité, vous pouvez désactiver la connexion SAML pour les clients Tableau à l’aide des commandes suivantes :
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Remarque : l’option --mobile-access disable est ignorée par les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure. Pour désactiver SAML pour les appareils exécutant ces versions, vous devez désactiver SAML comme option de connexion client sur Tableau Server.
tsm pending-changes apply
Facultatif : ajouter la valeur AuthNContextClassRef
Ajoutez une valeur séparée par des virgules pour l’attribut AuthNContextClassRef. Pour plus d’informations sur la façon dont cet attribut est utilisé, consultez Remarques sur la compatibilité SAML et les exigences.
Pour définir cet attribut, exécutez les commandes suivantes :
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
Tester la configuration
Dans votre navigateur Web, ouvrez une nouvelle page ou un nouvel onglet, et entrez l’URL de Tableau Server.

Le navigateur vous redirige vers le formulaire de connexion de l’IdP.
Entrez votre nom d’utilisateur et votre mot de passe pour l’authentification unique.

L’IdP vérifie vos informations d’identification et vous redirige vers votre page de démarrage Tableau Server.
Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur
Les attributs utilisateur sont des métadonnées utilisateur définies par votre organisation. Les attributs utilisateur peuvent être utilisés pour déterminer l’accès selon un modèle d’autorisation de contrôle d’accès basé sur les attributs (Attribute-based access control, ABAC). Les attributs utilisateur peuvent concerner n’importe quel aspect du profil utilisateur, y compris les rôles professionnels, l’appartenance au service, le niveau de gestion, etc. Ils peuvent également être associés à des contextes utilisateur d’exécution, comme l’endroit d’où l’utilisateur est connecté ou sa préférence linguistique.
En incluant des attributs utilisateur dans votre flux de travail, vous pouvez contrôler et personnaliser l’expérience utilisateur grâce à l’accès aux données et à la personnalisation.
- Accès aux données : les attributs utilisateur peuvent être utilisés pour appliquer des politiques de sécurité des données. Cette approche garantit que les utilisateurs ne voient que les informations qu’ils sont autorisés à voir.
- Personnalisation : en transmettant des attributs utilisateur comme l’emplacement et le rôle, votre contenu peut être personnalisé pour n’afficher que les informations pertinentes pour l’utilisateur qui y accède, ce qui lui permet de trouver plus facilement les informations dont il a besoin.
Résumé des étapes de transmission des attributs utilisateur
Le processus d’activation des attributs utilisateur dans un flux de travail est résumé dans les étapes suivantes :
- Activer le paramètre des attributs utilisateur
- Inclure des attributs utilisateur dans l’assertion
- Vérifier que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres pertinents
- Vérifier le contenu
Étape 1 : Activer le paramètre des attributs utilisateur
Pour des raisons de sécurité, les attributs utilisateur ne sont validés dans un flux de travail d’authentification que lorsque le paramètre d’attribut utilisateur est activé par un
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Dans l’onglet CONFIGURATION, sélectionnez Identité de l’utilisateur et accès > Méthode d’authentification.
Sous Méthode d’authentification, sélectionnez SAML dans le menu déroulant.
Sous Étape 8, cochez la case Activer la capture des attributs utilisateur pendant l’authentification SAML.
Lorsque vous avez terminé, procédez comme suit :
Cliquez sur Enregistrer les modifications en attente.
Cliquez sur le bouton Modifications en attente en haut de la page.
Cliquez sur Appliquer les modifications et redémarrer.
Étape 2 : Inclure l’attribut utilisateur dans l’assertion
Assurez-vous que l’assertion contient les attributs utilisateur.
Remarque : Les attributs de la réponse SAML sont soumis à une limite de 4 096 caractères, à l’exception des attributs scope et scp. Si les attributs de la réponse, y compris les attributs utilisateur, dépassent cette limite, Tableau supprime les attributs et transmet l’attribut ExtraAttributesRemoved à la place. L’auteur du contenu peut ensuite créer un calcul avec l’attribut ExtraAttributesRemoved pour déterminer comment afficher le contenu aux yeux des utilisateurs lorsque l’attribut a été détecté.
Exemple
Supposons que vous ayez un employé, Fred Suzuki, un gestionnaire situé dans la région Sud. Vous devez vous assurer que lorsque Fred examine les rapports, il ne puisse voir que les données de la région Sud. Dans un tel scénario, vous pouvez inclure l’attribut utilisateur Region dans la réponse SAML comme dans l’exemple ci-dessous.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Étape 3 : S’assurer que l’auteur du contenu inclut des fonctions d’attribut
Assurez-vous que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres associés pour contrôler les données pouvant s’afficher dans son contenu. Pour que les assertions d’attributs utilisateur soient transmises à Tableau, le contenu doit contenir l’une des fonctions d’attribut utilisateur suivantes :
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
La fonction utilisée par l’auteur de contenu varie selon que les attributs utilisateur soient censés renvoyer une ou plusieurs valeurs. Pour plus d’informations sur ces fonctions et des exemples de chacune d’elles, consultez Fonctions utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.
Remarques :
- Il est impossible de prévisualiser le contenu de ces fonctions lors de la création dans Tableau Desktop ou Tableau Cloud. La fonction renverra les valeurs NULL ou FALSE. Pour vous assurer que les fonctions utilisateur fonctionnent comme prévu, nous recommandons à l’auteur de vérifier les fonctions après avoir mis le contenu à disposition.
- Pour s’assurer que le contenu s’affiche comme prévu, l’auteur de contenu peut envisager d’inclure un calcul utilisant l’attribut
ExtraAttributesRemovedqui 1) vérifie cet attribut et 2) détermine quoi faire avec le contenu si c’est le cas, par exemple afficher un message. Tableau ajoute l’attributExtraAttributesRemovedet supprime tous les autres attributs (à l’exceptionscpde ouscope) uniquement lorsque les attributs dans le fichier XML SAML dépassent 4 096 caractères. Cela permet d’assurer des performances optimales et de respecter les limitations de stockage.
Exemple
Si l’on reprend l’exemple présenté à l’Étape 2 : Inclure l’attribut utilisateur dans l’assertion ci-dessus, pour transmettre l’assertion d’attribut utilisateur « Région » à un classeur, l’auteur peut inclure USERATTRIBUTEINCLUDES. Par exemple USERATTRIBUTEINCLUDES('Region', [Region]), où « Region » est l’attribut utilisateur et [Region] est une colonne dans les données. À l’aide du nouveau calcul, l’auteur peut créer une table contenant les données des gestionnaires et des ventes. Lorsque le calcul est ajouté, le classeur renvoie des valeurs « False », comme prévu.

Pour afficher uniquement les données associées à la région Sud dans le classeur intégré, l’auteur peut créer un filtre et le personnaliser de manière à afficher les valeurs lorsque la zone géographique Sud est « True ». Lorsque le filtre est appliqué, le classeur se vide comme prévu, car la fonction renvoie des valeurs « False » et le filtre est personnalisé pour afficher uniquement les valeurs « True ».

Étape 4 : Vérifier le contenu
Vérifiez et validez le contenu.
Exemple
Pour conclure l’exemple de Étape 3 : S’assurer que l’auteur du contenu inclut des fonctions d’attribut ci-dessus, vous pouvez voir que les données de vente de la vue sont personnalisées pour Fred Suzuki parce que son contexte utilisateur est la région Sud.

Les responsables des régions représentées dans le classeur devraient voir la valeur associée à leur région. Par exemple, Sawdie Pawthorne de la région Ouest voit les données spécifiques à sa région.

Les gestionnaires dont les régions ne sont pas représentées dans le classeur voient un classeur vide.
Problèmes connus et restrictions
Il existe quelques problèmes connus et restrictions dont vous devez tenir compte lorsque vous utilisez des fonctions d’attribut utilisateur.
