Configurer et gérer des pools d’identités
Pour créer et gérer des pools d’identités, vous devez effectuer par programmation des appels contre le Méthodes des pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau. Pour ajouter ou gérer des utilisateurs dans un pool d’identités, vous pouvez utiliser l’interface utilisateur (UI) de Tableau Server directement ou via l’API REST de Tableau.
Le processus de configuration des pools d’identités est résumé dans les étapes suivantes.
- Configurer Tableau Server et établir une session.
- Provisionner les utilisateurs en configurant une nouvelle instance de magasin d’identités local. Remarque : Vous pouvez ignorer cette étape pour utiliser un magasin d’identités local existant ou le magasin d’identités externe que vous avez configuré dans TSM lors de l’installation de Tableau Server.
- Configurer l’authentification pour authentifier vos utilisateurs auprès de Tableau Server à l’aide d’OpenID Connect (OIDC).
- Créer un groupe d’identités qui utilise le magasin d’identités et l’authentification OIDC que vous avez configurés.
- Ajouter des utilisateurs à un pool d’identités en utilisant l’interface utilisateur de Tableau Server ou l’API REST pour permettre aux utilisateurs de se connecter à Tableau Server.
Après la configuration, vous pouvez tester, gérer, et dépanner vos pools d’identités.
Remarque : Vous pouvez utiliser la collection Postman des Pool d’identités(Le lien s’ouvre dans une nouvelle fenêtre) dans l’espace de travail Postman du développeur Salesforce pour découvrir, développer et tester les méthodes décrites dans cette rubrique.
Conditions préalables
Avant de commencer avec les pools d’identités, les conditions suivantes doivent être remplies :
- L’intégration avec un fournisseur d’identité (IdP) OIDC, tel qu’Okta, est déjà configurée
- Vous exécutez Tableau Server 2023.1 ou version ultérieure
- Vous avez effectué la migration d’identité(Le lien s’ouvre dans une nouvelle fenêtre), qui est requise pour les nouveaux déploiements et mises à niveau de Tableau Server
Démarrer
Étape 1 : Configurer Tableau Server et établir une session
L’activation des modifications associées à la configuration des pools d’identités nécessite une configuration TSM unique et une déclaration des variables de session et d’hôte.
Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (le nœud sur lequel TSM est installé) du groupement.
Exécutez la commande suivante :
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
Par exemple, vous pouvez exécuter les commandes suivantes pour configurer votre Tableau Server, http://myco:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Pour plus d’informations, consultez gateway.external_url(Le lien s’ouvre dans une nouvelle fenêtre).
(Facultatif) Exécutez les commandes suivantes pour ajouter une description pour le pool initial (TSM configuré) :
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
Par exemple, vous pouvez exécuter les commandes suivantes pour ajouter une description « Connexion pour les employés de MyCo » :
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Pour plus d’informations, consultez wgserver.authentication.identity_pools.default_pool_description(Le lien s’ouvre dans une nouvelle fenêtre).
Connectez-vous à Tableau Server en tant qu’administrateur effectuez les opérations suivantes :
- Accédez aux outils de développement du navigateur et accédez aux témoins de l’application.
- Notez la valeur workgroup_session_id.
Par exemple, si vous travaillez dans Chrome, cliquez avec le bouton droit n’importe où sur la page d’accueil de Tableau Server, cliquez avec le bouton droit et sélectionnez Inspecter. Cliquez sur Application dans le volet de navigation supérieur et cliquez sur Témoins dans le volet de navigation de gauche. Sous Témoins, cliquez sur votre nom Tableau Server, comme http://myco.com, et notez la valeur workgroup_session_id dans le volet central.
Dans le script ou l’outil de développement d’API que vous utilisez pour effectuer des demandes de pools d’identités à l’aide de l’OpenAPI REST de Tableau, procédez comme suit :
- Ajoutez la valeur workgroup_session_id en tant que variable globale.
- De plus, ajoutez le port 80, l’hôte (votre URL Tableau Server) et le protocole (HTTP ou HTTPS) à vos variables globales.
Par exemple, le tableau suivant montre les variables globales nécessaires pour votre Tableau Server, http://myco.
Variable globale | Valeur |
---|---|
ID de session de groupe de travail | XxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx |
Port | 80 |
Hôte | http://myco |
Protocole | HTTP |
Étape 2 : Configurer un magasin d’identités
Tableau Server vous demande de configurer un magasin d’identités pour provisionner ou approvisionner vos utilisateurs Tableau Server.
Lors de la configuration d’un pool d’identités, vous pouvez utiliser un magasin d’identités local(Le lien s’ouvre dans une nouvelle fenêtre) nouveau ou existant, ou vous pouvez utiliser un magasin d’identités externe(Le lien s’ouvre dans une nouvelle fenêtre), soit Active Directory (AD) soit Lightweight Directory Access Protocol (LDAP), si ce magasin d’identités externe a été configuré lors de l’installation de Tableau Server.
Remarque : les nouvelles instances AD ou LDAP qui ne sont pas l’instance AD ou LDAP que vous avez configurée dans TSM lors de l’installation de Tableau Server (également appelées pool initial (configuré par TSM)) ne sont pas configurables avec des pools d’identités.
Pour configurer un nouveau magasin d’identités local, suivez la procédure ci-dessous. Passez à l’Étape 3 : Configurer l’authentificaiton si vous souhaitez utiliser un magasin d’identités local existant ou le magasin d’identités que vous avez configuré lors de l’installation de Tableau Server.
Faites une demande Se connecter(Le lien s’ouvre dans une nouvelle fenêtre) à l’API REST de Tableau afin qu’il génère un jeton d’identifiant.
Exemple
URI
POST https://myco/api/3.19/auth/signin
Une fois le jeton d’identification généré, ajoutez le jeton d’identification à l’en-tête de toutes les demandes d’API ultérieures.
Configurez le magasin d’identités en appelant le point de terminaison Configurer le magasin d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI de l’API REST Tableau.
Dans la requête, précisez ce qui suit :
- Type. La valeur du type est toujours 0 pour un type de magasin d’identités local. Si vous souhaitez utiliser un magasin d’identités local existant ou le magasin d’identités que vous avez configuré dans TSM lors de l’installation de Tableau Server, vous n’avez pas besoin de configurer une nouvelle instance de magasin d’identités local. Passez plutôt à l’étape 3 : Configurer l’authentification, ci-dessous.
- Nom. Le nom du doit être unique.
- Nom d’affichage. Facultatif.
Exemple
URI
https://myco/api/services/authn-service/identity-stores/
Corps de la requête (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Corps de réponse
Aucun
Étape 3 : Configurer l’authentificaiton
Vous pouvez configurer la méthode d’authentification OpenID Connect (OIDC) pour authentifier vos utilisateurs.
Remarque : OIDC est actuellement la seule méthode d’authentification configurable avec des pools d’identités, quel que soit le type de magasin d’identités utilisé avec le pool d’identités.
Après avoir configuré un magasin d’identités, appelez le point de terminaison Créer une configuration d’authentification(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI de l’API REST Tableau.
Dans la requête, précisez ce qui suit :
Type d’authentification. La valeur du type d’authentification est "
OIDC
".- iFrame. La valeur par défaut de l’iFrame est "
false
". L’ID client, le secret client, l’URL de configuration, la demande d’ID, l’authentification client et la demande de nom d’utilisateur requis pour l’OIDC.
- L’ID client, le secret client est fourni par votre fournisseur d’identités OIDC.
- L’URL de configuration est également fournie par votre fournisseur d’identités. L’URL peut généralement utiliser le format suivant :
https://<idp_url>/.well-known/openid-configuration
. - La valeur par défaut de la demande d’ID est "
sub
". Pour plus d’information, consultez Modification de la revendication sub. - La valeur par défaut de l’authentification client est "
CLIENT_SECRET_BASIC
". - La valeur par défaut de la demande de nom d’utilisateur est "
email
". Pour plus d’information, consultez Par défaut : utilisation d’une revendication email pour mapper les utilisateurs.
À propos de la demande de nom d’utilisateur
Tableau utilise la demande de nom d’utilisateur à des fins de correspondance d’identité. Si vous fournissez des identifiants lors de l’ajout d’utilisateurs à Tableau Server, l’identifiant est utilisé pour correspondre à la valeur fournie dans la demande de nom d’utilisateur. Si aucun identifiant n’est fourni, Tableau utilise par défaut le nom d’utilisateur défini dans Tableau Server.
Remarques :
- Si vous avez l’intention d’utiliser cette configuration d’authentification avec un pool d’identités qui utilise AD comme magasin d’identités, assurez-vous que l’utilisateur affecté a la valeur AD sAMAccountName dans la demande de nom d’utilisateur.
- Si vous avez l’intention d’utiliser cette configuration d’authentification avec un pool d’identités qui utilise LDAP comme magasin d’identités, assurez-vous que l’utilisateur affecté a la valeur de nom d’utilisateur LDAP dans la demande de nom d’utilisateur.
Exemple
URI
https://myco/api/services/authn-service/auth-configurations/
Corps de la requête (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "Xxx1hotzhjv4tyCxxX",
"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
"config_url": "https://admin.okta.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Corps de réponse
Aucun
Étape 4 : Créer un pool d’identités
Selon le magasin d’identités que vous avez configuré lors de l’installation de Tableau Server, le pool d’identités que vous créez ne peut avoir qu’une seule des combinaisons suivantes de magasins d’identités et de méthodes d’authentification :
- Magasin d’identités AD + Authentification OIDC
- Magasin d’identités LDAP + Authentification OIDC
- Magasin d’identités local + Authentification OIDC
Les deux premières combinaisons nécessitent que le pool initial (configuré par TSM) soit configuré pour utiliser AD ou LDAP.
La procédure décrite ci-dessous crée un pool d’identités avec la dernière combinaison, « magasin d’identités local + authentification OIDC ».
Après avoir configuré l’authentification OIDC, appelez le point de terminaison Créer un groupe d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI de l’API REST Tableau.
Dans la requête, précisez ce qui suit :
Nom et description pour votre pool d’identités. Le nom et la description du pool d’identités sont visibles pour tous les utilisateurs sur la page d’accueil de Tableau Server.
ID d’instance du magasin d’identités et ID d’instance du type d’authentification.
Remarques :
- Pour obtenir l’ID d’instance du magasin d’identités et l’ID d’instance du type d’authentification, vous pouvez appeler les points de terminaison Répertorier les magasins d’identités(Le lien s’ouvre dans une nouvelle fenêtre) et Répertorier les configurations d’authentification(Le lien s’ouvre dans une nouvelle fenêtre).
Si vous souhaitez créer un pool d’identités qui utilise le magasin d’identités que vous avez configuré dans TSM lors de l’installation de Tableau Server, la valeur de l’instance du magasin d’identités est toujours
'1'
.
Exemple
URI
https://myco/api/services/authn-service/identity-pools/
Corps de la requête (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Corps de l’exemple de réponse
Aucun
Après avoir créé le pool d’identités, accédez aux configurations de votre fournisseur d’identités et définissez l’URI de redirection de connexion sur
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Par exemple,
http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login
Remarque : pour obtenir l’ID du pool d’identités, vous pouvez appeler le point de terminaison Répertorier les pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).
Remarques :
- Vous pouvez créer autant de pools d’identités que votre organisation en a besoin.
- D’autres types de magasins d’identités et méthodes d’authentification sont pris en charge par le pool initial (TSM) configuré. Pour plus d’informations, consultez Authentification.
Étape 5 : Ajouter des utilisateurs à un pool d’identités
Vous pouvez utiliser Tableau Server directement pour ajouter des utilisateurs à un groupe d’identités. Les utilisateurs doivent appartenir au groupe initial (TSM configuré) ou être ajoutés à un groupe d’identités pour se connecter à Tableau Server. Lors de l’ajout d’utilisateurs à un groupe d’identités, votre workflow peut changer en fonction du magasin d’identités qui a été configuré avec le groupe d’identités.
La procédure ci-dessous décrit comment ajouter des utilisateurs à une identité via l’interface utilisateur de Tableau Server. Cependant, vous pouvez ajouter des utilisateurs à un groupe d’identités à l’aide de l’API Tableau REST en appelant le Ajouter un utilisateur au groupe d’identités(Le lien s’ouvre dans une nouvelle fenêtre) point de terminaison.
Connectez-vous à l’interface utilisateur de Tableau Server en tant qu’administrateur.
Dans le volet de navigation de gauche, sélectionnez Utilisateurs (ou Tous les sites > Utilisateurs pour une instance multisite de Tableau Server).
Cliquez sur le bouton Ajouter des utilisateurs bouton et sélectionnez Créer un nouvel utilisateur ou Importer des utilisateurs à partir d’un fichier.
Pour Créer un nouvel utilisateur :
Sélectionnez le groupe d’identités auquel vous souhaitez ajouter le nouvel utilisateur, puis cliquez sur Suivant.
Si vous avez sélectionné un groupe d’identités configuré avec un magasin d’identité AD ou LDAP, saisissez les noms d’utilisateur, attribuez l’appartenance au site et les rôles sur le site. Une fois terminé, cliquez sur le bouton Importer les utilisateurs.
Si vous avez sélectionné un groupe d’identités configuré avec un magasin d’identité local, saisissez le nom d’utilisateur. La boîte de dialogue se développe afin que vous puissiez ajouter un nom d’affichage, un identifiant (dans la plupart des cas), une adresse de courriel et définir un site et des rôles de site. Une fois terminé, cliquez sur le bouton Créer un utilisateur.
Pour plus d’informations sur les noms d’utilisateur et sur la manière d’attribuer une appartenance au site et des rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.
À propos des noms d’utilisateur et des identifiants dans Tableau
Le nom d’utilisateur est l’information qui représente l’utilisateur du système. Un identifiant est utilisé pour compléter l’information de nom d’utilisateur et peut être utilisé par des magasins d’identité externes comme alternatives aux noms d’utilisateur.
Dans Tableau, un nom d’utilisateur est une valeur immutable utilisée pour se connecter à Tableau et les identifiants sont des valeurs mutables utilisées dans la structure d’identité de Tableau pour faire correspondre les utilisateurs à leurs noms d’utilisateur. Les identifiants permettent à Tableau d’être plus flexible car ils peuvent être différents du nom d’utilisateur. En cas de modification du nom d’utilisateur dans le magasin d’identités externe, les administrateurs de Tableau Server peuvent mettre à jour l’identifiant pour s’assurer que les utilisateurs sont associés aux noms d’utilisateur appropriés.
Lorsque vous ajoutez un utilisateur existant à un pool d’identités, vous pouvez vous attendre à ce qu’il soit possible de définir un identifiant. Par exemple, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités local et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités AD, nous vous demandons de fournir le nom d’utilisateur pour rechercher les identifiants associés à cet utilisateur. En revanche, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités AD et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités local, nous vous demandons de fournir un identifiant facultatif. Il existe une exception à cette règle si vous souhaitez ajouter un utilisateur au pool initial (configuré par TSM) qui est configuré avec un magasin d’identités local et une authentification locale. Vous ne pourrez pas définir d’identifiant pour cet utilisateur.
Pour Importer des utilisateurs à partir d’un fichier :
Importez un fichier .csv contenant les colonnes suivantes dans l’ordre indiqué :
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Remarque : le nom d’utilisateur et le mot de passe sont les seules colonnes obligatoires. Cependant, si vous ne spécifiez pas le nom du pool d’identités, l’utilisateur sera ajouté au pool initial (configuré par TSM). Pour plus d’informations, consultez Recommandations relatives au fichier d’importation CSV.
Par exemple, supposons que vous souhaitiez ajouter Henry Wilson et Fred Suzuki au groupe d’identités Entrepreneurs généraux. Votre fichier .csv peut contenir les valeurs suivantes :
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Remarque : lorsqu’un ou plusieurs pools d’identités sont créés, la page d’accueil de Tableau Server est mise à jour pour inclure des options de connexion pour les utilisateurs qui sont membres de ces pools d’identités. Pour plus d’informations, consultez Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.
Tester les pools d’identités
Après avoir configuré un groupe d’identités, nous vous recommandons de le tester en vous déconnectant de Tableau Server et en vous reconnectant en tant qu’utilisateur appartenant au groupe d’identités. Assurez-vous de terminer le processus de connexion pour vous assurer que l’authentification OIDC a été configurée correctement.
Remarque : si vous avez configuré une description facultative pour le pool initial (configuré par TSM) dans Étape 1 : Configurer Tableau Server et établir une session ou avoir une remarque Paramètres du serveur (Général et Personnalisation) pour Tableau Server, nous suggérons que la description soit spécifique aux utilisateurs qui se connectent à l’aide du pool initial (TSM configuré) et que la remarque Personnalisation de la connexion s’applique à tous les utilisateurs qui se connectent à Tableau Server.
Gérer les pools d’identités
Vous pouvez gérer les utilisateurs dans les pools d’identités à partir de la page Utilisateurs au niveau du serveur et au niveau du site. Sur la page Utilisateurs, vous pouvez voir à quels pools d’identités appartiennent les utilisateurs et des détails récapitulatifs sur le pool d’identités.
Pour toutes les autres tâches de gestion des pools d’identités, y compris la mise à jour d’une configuration d’authentification ou d’un pool d’identités et la suppression d’un magasin d’identités local ou d’un pool d’identités, utilisez l’OpenAPI de l’API REST Tableau décrite dans Méthodes des pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).
Dépanner les pools d’identités
Limites des pools d’identités
Les pools d’identités sont disponibles uniquement avec Tableau Server.
Remarque : les pools d’identités sont actuellement disponibles pour la configuration de niveau serveur uniquement. Les pools d’identités ne peuvent pas être limités à un site.
La page d’accueil de Tableau Server affiche des erreurs IdP
Sur la page d’accueil de Tableau Server, sous l’option de connexion principale, un message d’erreur lié à l’IdP peut s’afficher à côté d’une option de connexion de groupe d’identités. Ce problème lié à l’authentification OIDC peut se produire lorsque l’une des conditions suivantes ou les deux sont vraies : 1) Tableau Server n’a pas été configuré pour envoyer une URL externe à l’IdP et 2) les variables globales n’ont pas été déclarées.
Pour résoudre ce problème, assurez-vous de suivre la procédure décrite dans Étape 1 : Configurer Tableau Server et établir une session ci-dessus.
La page d’accueil de Tableau Server n’affiche pas les pools d’identités
Si la fonctionnalité des pools d’identités est désactivée, vous pouvez la réactiver à l’aide des commandes TSM suivantes :
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Remarque : L’exécution de ces commandes entraîne le redémarrage de Tableau Server.