Entité samlSettings
Cet article contient un modèle et une référence pour la configuration de SAML à l’échelle du serveur sur Tableau Server, en utilisant un fichier de configuration avec des clés et des valeurs pour l’entité samlSettings
. Ces informations complètent la procédure de configuration SAML dans Configurer SAML à l’échelle du serveur.
Pour créer un modèle de configuration SAML et l’appliquer à Tableau Server, procédez comme suit :
Consultez les deux sections suivantes qui décrivent le modèle et la manière dont il est structuré (Catégories et définitions de modèle et Modèle de configuration samlSettings).
Collez le code JSON affiché dans le modèle dans un nouveau fichier texte, et enregistrez-le en utilisant une extension .json.
Utilisez la Référence de l’entité de configuration SAML qui vous aidera à fournir les valeurs là où nécessaire.
Ajoutez des paires clé/valeur facultatives à votre environnement. Par exemple, si votre fichier de clé de certificat. SAM exige une phrase de passe, vous devez spécifier le mot de passe dans le paramètre
wgserver.saml.key.passphrase
à l’aide de la commande tsm configuration set.
Catégories et définitions de modèle
Le modèle utilise des espaces réservés pour chaque valeur de clé. Ces espaces réservés sont classés comme suit :
Obligatoire : Les attributs portant la mention
"required"
doivent être remplacés par des données valides avant que vous n’exécutiez la commande de configuration. Consultez la référence du fichier de configuration pour avoir des valeurs valides.Codé en dur : Les noms d’attribut précédés par un trait bas (_), par exemple
"_type"
contiennent des valeurs codées de manière irréversible. Ne modifiez pas ces valeurs.Valeurs par défaut : Les attributs définis sur une valeur qui n’est pas
"required"
sont les valeurs par défaut. Ce sont des attributs obligatoires que vous pouvez modifier en fonction de votre environnement.Ensembles vides : Les valeurs qui sont vides (
""
) peuvent être transmises telles quelles, ou vous pouvez fournir une valeur pour votre installation.
Important : toutes les options d’entité sont sensibles à la casse.
Modèle de configuration samlSettings
Collez ce code dans un fichier texte et personnalisez-le en fonction de votre environnement, en utilisant la référence ci-dessous.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Référence de l’entité de configuration SAML
La liste suivante indique toutes les options pouvant être incluses avec l’ensemble d’entité "samlSettings"
.
idpMetadataFile
Obligatoire. Le chemin et le nom de fichier du fichier XML sont générés par le fournisseur d’identités. Les métadonnées XML doivent inclure l’attribut de nom d’utilisateur (assertion).
Si vous avez effectué les étapes décrites dans Configurer SAML à l’échelle du serveur, voici la valeur que vous devriez entrer :
"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"
enabled
true | false
Obligatoire. Indique si l’authentification SAML est activée. Ne définissez pas cette option sur
true
avant d’avoir défini les autres options de configuration SAML requises.
returnURL
Il s’agit généralement de l’URL externe que les utilisateurs de Tableau Server entrent dans leur navigateur pour accéder au serveur, par exemple
https://tableau_server.example.com
. Cette valeur est utilisée pour créer l’attribut URL ACS lors de la configuration du fournisseur d’identités.
entityId
Obligatoire. Valeur d’identification de l’entité fournisseur de services (dans ce cas, Tableau Server).
Identifie votre configuration Tableau Server auprès du fournisseur d’identités. Nous vous recommandons d’entrer la même valeur que l’option
returnURL
.
idpUsernameAttribute
Obligatoire. Dans les métadonnées du fournisseur d’identités, trouvez l’attribut utilisé pour spécifier les valeurs de nom d’utilisateur, et entrez le nom de l’attribut. La valeur par défaut est
username
.
certFile
Obligatoire. Entrez l’emplacement et nom du fichier pour le fichier de certificat x509 (.crt) pour SAML. Par exemple :
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"
Pour plus d’informations, consultez Exigences en matière d’authentification SAML et Configurer SAML à l’échelle du serveur.
keyFile
Obligatoire. Spécifiez l’emplacement du fichier de clé privée (.key) qui accompagne le fichier de certificat. Par exemple :
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"
Remarque : si vous utilisez une clé RSA PKCS#8 qui nécessite une phrase de passe, vous devez définir la phrase de passe à l’aide d’une entité configKey (voir Exemple de fichier de configuration) ou avec Exemple de fichier de configuration tsm configuration set. La clé pour la phrase de passe utilisant ces méthodes est
wgserver.saml.key.passphrase
. La valeur doit être une chaîne non nulle.
idpDomainAttribute
Pour les entreprises qui utilisent LDAP ou Active Directory, cette valeur spécifie l’attribut SAML que Tableau Server référencera pour déterminer le nom de domaine. Par exemple, si votre fournisseur d’identités spécifie le nom de domaine dans l’attribut
domain
, vous spécifiezdomain
pour cette valeur. Remarque : pour les organisations dont les utilisateurs se connectent à partir de plusieurs domaines, cette valeur est obligatoire.Si vous ne fournissez pas une valeur pour cette clé, la valeur utilisée dépend du paramètre du magasin d’identités sur Tableau Server :
Pour le magasin d’identités local, la valeur
idpDomainAttribute
est ignorée.Pour les magasins d’identités Active Directory ou LDAP, Tableau utilise le nom de domaine qualifié complet du paramètre de configuration
wgserver.domain.default
.Pour obtenir la valeur pour
wgserver.domain.default
, vous pouvez exécuter la commande suivante :tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Facultatif. Autoriser les utilisateurs à utiliser l’authentification SAML lorsqu’ils se connectent depuis Tableau Desktop.
Par défaut, ce paramètre n’est pas activé, et le comportement est alors équivalent à « false ». Si l’authentification unique depuis les applications du client Tableau ne fonctionne pas avec votre fournisseur d’identités, vous pouvez définir cette option sur « true » pour désactiver l’authentification SAML via Tableau Desktop.
appNoSAML
true | false
Facultatif. Autorisez l’utilisation de SAML pour la connexion depuis des versions antérieures de l’application Tableau Mobile. Les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure ignorent cette option. Pour désactiver les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure, désactivez SAML comme option de connexion client sur Tableau Server.
logoutEnabled
true | false
Facultatif. Permet la déconnexion unique pour les utilisateurs qui se sont connectés avec SAML. La valeur par défaut est
true
.Les métadonnées de configuration du fournisseur d’identités doivent inclure un point de terminaison de déconnexion unique avec liaison POST.
Ce paramètre ne s’applique qu’à SAML à l’échelle du serveur
Lorsqu’il est défini sur
false
, Tableau Server ne tente pas d’effectuer une déconnexion unique.
logoutUrl
Facultatif. Entrez l’URL de redirection après que les utilisateurs se sont déconnectés du serveur. La définition de cette option nécessite que
logoutEnabled
soit défini surtrue
.Par défaut, il s’agit de la page de connexion de Tableau Server. Vous pouvez spécifier une URL absolue ou relative.
maxAuthenticationAge
Facultatif. Précise le nombre maximal de secondes autorisées entre l’authentification d’un utilisateur sur le fournisseur d’identités et le traitement du message AuthNResponse. La valeur par défaut est -1, ce qui signifie que maxAuthenticationAge n’est pas défini ou est ignoré par défaut. Avant février 2022, la valeur par défaut était 7200 (2 heures).
Pour optimiser la durée de la session, utilisez la même valeur de délai d’attente que celle définie sur le fournisseur d’identités.
maxAssertionTime
Facultatif. Précise le nombre maximal de secondes pendant lesquelles une assertion SAML est utilisable (à partir de sa création). La valeur par défaut est 3000 (50 minutes).
sha256Enabled
true | false
Facultatif. Le type de signature que Tableau Server utilisera lors de l’envoi de messages au fournisseur d’identités. Si défini sur
true
, Tableau Server signera les messages avec l’algorithme de signature SHA 256. Si défini surfalse
, Tableau Server signera les messages avec SHA 1. La valeur par défaut esttrue
.Cette option définit l’algorithme de signature pour les messages suivants que Tableau Server signe :
- Messages AuthnRequest lorsque
signRequests
est activé. - Messages LogoutRequest si
logoutEnabled
est activé.
- Messages AuthnRequest lorsque
signRequests
true | false
Facultatif. Précise si Tableau Server signera les messages AuthnRequests qui sont envoyés au fournisseur d’identités. Les demandes signées ne sont pas toujours nécessaires pour tous les fournisseurs d’identités. Nous recommandons de signer les demandes afin de garantir l’option la plus sûre lors de la configuration de SAML. Pour vérifier si votre fournisseur d’identités accepte la demande signée, inspectez les métadonnées IdP : si
wantAuthnRequestsSigned
est défini surtrue
, votre fournisseur d’identités acceptera les demandes signées.La valeur par défaut est
true
. Pour désactiver les demandes signées, définissez cette option surfalse
.
acceptableAuthnContexts
Facultatif. Définit l’attribut SAML
AuthNContextClassRef
. Cet attribut optionnel impose la validation de certains « contextes » d’authentification dans les flux initiés par le fournisseur d’identités. Définissez un ensemble de valeurs séparées par une virgule pour cet attribut. Une fois cet attribut défini, Tableau Server vérifie que la réponse SAML contient au moins l’une des valeurs répertoriées. Si la réponse SAML ne contient pas l’une des valeurs configurées, l’authentification sera rejetée, même si l’utilisateur s’est authentifié avec succès avec l’IdP.Si vous laissez cette option vide, il en résultera un comportement par défaut : toute réponse SAML authentifiée avec succès permettra à un utilisateur d’obtenir une session dans Tableau Server.
iFramedIdpEnabled
true | false
Facultatif. La valeur par défaut est
false
, ce qui signifie que, lorsque les utilisateurs sélectionnent le bouton de connexion dans une vue intégrée, le formulaire de connexion du fournisseur d’identités s’ouvre dans une fenêtre contextuelle.Si vous définissez cette valeur sur « true », et qu’un utilisateur SAML de serveur déjà connecté accède à une page Web comportant une vue intégrée, l’utilisateur n’a pas besoin de se connecter pour voir la vue.
Vous pouvez définir cette valeur sur « true » uniquement si le fournisseur d’identités prend en charge la connexion dans un iframe. L’option iframe offrant moins de sécurité qu’une fenêtre contextuelle, tous les fournisseurs d’identités ne la prennent pas en charge. Si la page de connexion du fournisseur d’identités met en œuvre la protection contre le détournement de clic, comme c’est le cas pour la plupart d’entre eux, la page de connexion ne peut pas s’afficher dans un iframe, et l’utilisateur ne peut pas se connecter.
Si votre fournisseur d’identité prend en charge la connexion par un iframe, vous devrez peut-être l’activer explicitement. Toutefois, même si vous pouvez utiliser cette option, elle désactive la protection contre le détournement de clic de Tableau Server pour SAML, et présente donc toujours un risque de sécurité.
Transmettre le fichier de configuration à Tableau Server
Après avoir fourni une valeur appropriée pour chaque entité que vous incluez dans le modèle de configuration, utilisez les commandes suivantes pour transmettre le fichier .json et appliquer les paramètres à Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Voir également
Une fois la configuration SAML initiale terminée, utilisez tsm authentication mutual-ssl <commands> pour définir des valeurs supplémentaires.
Pour la référence de ligne de commande relative à la configuration de SAML, consultez tsm authentication saml <commands>.