OpenID Connect

Vous pouvez configurer Tableau Server de manière à ce qu’il prenne en charge OpenID Connect (OIDC) pour l’authentification unique (SSO). OIDC est un protocole d’authentification standard qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité (IdP) comme Google ou Salesforce. Après s’être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés auprès de Tableau Server.

La configuration de l’OIDC comprend plusieurs étapes. Les rubriques de cette section fournissent des informations générales sur l’utilisation de Tableau Server avec OIDC et proposent une procédure pour configurer l’IdP et Tableau Server.

Remarque : sauf indication contraire, l’information relative à l’authentification OIDC s’applique à la fois à l’authentification OIDC configurée dans TSM lors de la configuration de Tableau Server et à l’authentification OIDC configurée avec les pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).

Présentation de l’authentification

Cette section décrit le processus d’authentification OpenID Connect (OIDC) avec Tableau Server.

1. Un utilisateur tente de se connecter à Tableau Server depuis un ordinateur client.

2. Tableau Server redirige la demande d’authentification vers la passerelle du fournisseur d’identité.

3. L’utilisateur est invité à s’authentifier et l’authentification auprès du fournisseur d’identité réussit. Le fournisseur d’identité répond par une URL de redirection vers Tableau Server. Un code d’autorisation pour l’utilisateur est fourni avec l’URL de redirection.

4. Le client est redirigé vers Tableau Server et présente le code d’autorisation.

5. Tableau Server présente le code d’autorisation du client au fournisseur d’identité ainsi que ses propres identifiants client. Tableau Server est également client du fournisseur d’identité. Cette étape a pour but de prévenir les attaques d’usurpation d’identité ou les attaques de l’homme du milieu.

6. Le fournisseur d’identité renvoie un jeton d’accès et un jeton d’ID à Tableau Server.

  • Validation du jeton Web JSON (JWT) : par défaut, Tableau Server procède à la validation du jeton JWT du fournisseur d’identité. Lors de la découverte, Tableau Server récupère les clés publiques spécifiées par jwks_uri dans le document de découverte de configuration du fournisseur d’identité. Tableau Server valide la date d’expiration du jeton d’ID puis vérifie la signature Web JSON (JWS), l’émetteur (le fournisseur d’identité) et l’ID du client. Pour en savoir plus sur le processus JWT, consultez la documentation OpenID, point 10 Signatures et chiffrement(Le lien s’ouvre dans une nouvelle fenêtre), et norme proposée par l’IETF, Jeton Web JSON(Le lien s’ouvre dans une nouvelle fenêtre). Nous vous recommandons de laisser la validation JWT activée, à moins que votre IdP ne la prenne pas en charge.

  • L’ID de jeton est un ensemble de paires de clés d’attributs pour l’utilisateur. Les paires de clés sont appelées revendications. Voici un exemple de revendication IdP pour un utilisateur :

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"		

7. Tableau Server identifie l’utilisateur à partir des revendications du fournisseur d’identité et termine la demande d’authentification à partir de l’étape 1. Tableau Server recherche la fiche technique du compte de l’utilisateur stocké dans le référentiel en faisant correspondre le « sub » (identifiant du sujet) pour identifier le compte utilisateur correct. Si aucun compte utilisateur n’est stocké avec la valeur de sous-réclamation, alors Tableau Server recherche un nom d’utilisateur dans le référentiel qui correspond à la réclamation « courriel » du fournisseur d’identité. Lorsqu’une correspondance de nom d’utilisateur est trouvée, Tableau Server stockera la sous-revendication correspondante dans la fiche technique de l’utilisateur dans le référentiel.Tableau Server peut être configuré pour utiliser différentes revendications pour ce processus. Voir Configuration requise pour utiliser OpenID Connect.

8. Tableau Server autorise l’utilisateur.

Comment Tableau Server fonctionne avec OpenID Connect

OpenID Connect (OIDC) est un protocole flexible qui prend en charge de nombreuses options pour les informations qui sont échangées entre un fournisseur de services (ici, Tableau Server) et un fournisseur d’identité. La liste suivante fournit des détails sur l’implémentation d’OIDC dans Tableau Server. Ces détails peuvent vous aider à comprendre quels types d’informations Tableau Server envoie et s’attend à recevoir, et comment configurer un fournisseur d’identité.

  • Tableau Server prend uniquement en charge le flux de code d’autorisation OpenID, comme décrit dans les spécifications finales d’OpenID Connect(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation OpenID Connect.

  • Tableau Server s’appuie sur l’utilisation de la découverte ou d’une URL de fournisseur pour récupérer les métadonnées du fournisseur OpenID de l’.Vous pouvez également héberger un document de découverte statique sur Tableau Server. Pour plus d’informations, consultez Configurer Tableau Server pour OpenID Connect.

  • Tableau Server prend en charge les méthodes d’authentification du client client_secret_basic et client_secret_post.

  • Tableau Server attend une valeur kid dans l’en-tête JOSE de l’attribut id_token. Cette valeur est mise en correspondance avec l’une des clés trouvées dans le document JWK Set, dont l’URI est spécifiée par la valeur jwks_uri dans le document de découverte d’OpenID. Une valeur kid doit être présente même si le document JWK Set ne comporte qu’une seule clé.

  • Tableau Server inclut la prise en charge d’OpenID pour le paramètre x5c de JWK ou pour l’utilisation des certificats X.509.

  • Par défaut, Tableau Server ignore les paramètres de proxy et envoie toutes les demandes OpenID directement au fournisseur d’identité.

    Si Tableau Server est configuré pour utiliser un proxy de transfert pour se connecter à Internet, vous devez apporter des modifications supplémentaires comme décrit dans Configurer Tableau Server pour OpenID Connect.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!