Configurer SAML à l’échelle du serveur
Vous pouvez configurer SAML à l’échelle du serveur lorsque vous souhaitez que tous vos utilisateurs SSO (authentification unique) sur Tableau Server s’authentifient via un fournisseur d’identité (IdP) SAML unique, ou comme première étape dans la configuration de SAML spécifique à un site dans un environnement multisite.
Si vous avez configuré SAML à l’échelle du serveur et que vous êtes prêt à configurer un site, consultez Configurer le protocole SAML spécifique à un site.
Les étapes de configuration SAML que vous décrivons partent des hypothèses suivantes :
Vous maîtrisez bien les options de configuration de l’authentification SAML sur Tableau Server, comme décrit dans la rubrique SAML.
Vous avez vérifié que votre environnement répond aux Exigences en matière d’authentification SAML et obtenu les fichiers de certificat SAML décrits dans ces exigences.
Avant de commencer
Dans le cadre de votre plan de récupération après sinistre, nous vous recommandons de conserver une sauvegarde des fichiers de certificat et d’IdP dans un endroit sûr hors de Tableau Server. Les fichiers de ressources SAML que vous téléchargez sur Tableau Server seront stockés et distribués sur d’autres nœuds par le service des fichiers client. Toutefois, les fichiers ne sont pas stockés dans un format récupérable. Consultez Service des fichiers client Tableau Server.
Remarque : si vous utilisez les mêmes fichiers de certificat pour SSL, vous pourriez aussi utiliser l’emplacement de certificat existant pour configurer SAML, et ajouter le fichier de métadonnées de l’IdP à ce répertoire lorsque vous le téléchargez ultérieurement dans cette procédure. Pour plus d’informations, consultez Utilisation d’un certificat SSL et de fichiers de clé pour SAML dans la section Exigences en matière d’authentification SAML.
Si vous exécutez Tableau Server dans un cluster, les certificats, clés et fichier de métadonnées SAML seront automatiquement distribués entre les nœuds lorsque vous activez SAML.
Cette procédure exige que vous téléchargiez les certificats SAML vers TSM afin qu’ils soient correctement stockés et distribués dans la configuration de serveur. Les fichiers SAML doivent être disponibles pour le navigateur de l’ordinateur local sur lequel vous exécutez l’interface Web TSM dans cette procédure.
Si vous avez rassemblé et enregistré les fichiers SAML sur Tableau Server comme recommandé dans la section précédente, exécutez l’interface Web TSM depuis l’ordinateur Tableau Server où vous avez copié les fichiers.
Si vous exécutez l’interface Web TSM à partir d’un autre ordinateur, vous devrez copier tous les fichiers SAML localement avant de continuer. Au fur et à mesure que vous suivez la procédure ci-dessous, accédez aux fichiers sur l’ordinateur local pour les télécharger sur TSM.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Dans l’onglet Configuration, sélectionnez Identité de l’utilisateur et accès puis sélectionnez l’onglet Méthodes d’authentification.

Dans Méthode d’authentification, sélectionnez SAML.
Dans la section SAML qui apparaît, terminez l’étape 1 de l’interface utilisateur en entrant les paramètres suivants (ne cochez pas encore à ce stade la case d’activation de SAML pour le serveur) :
URL de retour Tableau Server : l’URL à laquelle les utilisateurs de Tableau Server accèderont, par exemple https://tableau-server.
L’utilisation de https://localhost ou d’une URL avec une barre oblique de fin (par exemple http://tableau_server/) n’est pas prise en charge.
ID d’identité SAML : ID d’entité qui identifie votre installation de Tableau Server de manière unique pour l’IdP.
Vous pouvez entrer à nouveau ici votre URL Tableau Server ici. Si vous comptez activer ultérieurement SAML spécifique à un site, cette URL sert également de base pour chaque ID unique de site.
Fichiers de certificats et de clés SAML : cliquez sur Sélectionner un fichier pour charger chacun de ces fichiers.
Si vous utilisez un fichier de clé protégé par une phrase de passe PKCS#8, vous devez entrer la phrase de passe avec l’interface en ligne de commande TSM :
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Une fois que vous avez fourni les informations demandées à l’étape 1 de l’interface utilisateur, le bouton Télécharger le fichier de métadonnées XML à l’étape 2 de l’interface utilisateur devient disponible.
Cochez maintenant la case Activer l’authentification SAML pour le serveur au-dessus de l’étape 1 de l’interface utilisateur.
Effectuez les paramètres SAML restants.
Pour les étapes 2 et 3, échangez les métadonnées entre Tableau Server et l’IdP. (Vous souhaiterez peut-être consulter à ce stade la documentation de l’IdP.)
Sélectionnez Télécharger le fichier de métadonnées XML et spécifiez l’emplacement du fichier.
Si vous configurez SAML avec AD FS,vous pouvez revenir à Étape 3 : Configurer AD FS pour accepter les demandes de connexion de Tableau Server dans « Configurer SAML avec AD FS sur Tableau Server ».
Pour les autres IdP, accédez au compte de votre IdP pour ajouter Tableau Server à ses applications (en tant que fournisseur de services), en fournissant les métadonnées Tableau comme approprié.
Suivez les instructions sur le site Web ou la documentation de l’IdP pour télécharger les métadonnées de l’IdP. Enregistrez le fichier .xml sur le même emplacement que celui contenant vos fichiers de certificat et de clé SAML. Par exemple :
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xmlRevenez à l’interface utilisateur Web TSM. Pour l’étape 4 de l’interface utilisateur, entrez le chemin d’accès du fichier de métadonnées de l’IdP, puis cliquez sur Sélectionner le fichier.

Pour l’étape 5, dans certains cas, vous devrez peut-être modifier les valeurs d’assertion dans la configuration Tableau Server pour qu’elles correspondent aux noms d’assertion qui sont transmis par votre IdP.
Vous pouvez trouver les noms d’assertion dans la configuration SAML de l’IdP. Si différents noms d’assertion sont transmis par votre IdP, vous devez mettre à jour Tableau Server pour utiliser la même valeur d’assertion.
Conseil : les « Assertions » sont un composant SAML clé, et le concept d’assertions de mappage peut être complexe à première vue. Il peut être utile de placer ceci dans un contexte de données tabulaires dans lequel le nom de l’assertion (attribut) est équivalent à un en-tête de colonne dans la table. Vous entrez ce nom d’en-tête plutôt qu’un exemple de valeur apparaissant dans cette colonne.
Pour l’étape 6, sélectionnez les applications Tableau pour lesquelles vous souhaitez donner aux utilisateurs une expérience d’authentification unique.
Remarque : L’option de désactivation de l’accès mobile est ignorée par les appareils exécutant l’application Tableau Mobile version 19.225.1731 et ultérieure. Pour désactiver SAML pour les appareils exécutant ces versions, vous devez désactiver SAML comme option de connexion client sur Tableau Server.
Pour la redirection de déconnexion SAML, si votre IdP prend en charge la déconnexion unique (SLO), entrez la page vers laquelle vous souhaitez rediriger les utilisateurs après qu’ils se sont déconnectés (relativement au chemin d’accès que vous avez entré pour l’URL de retour Tableau Server).
(Facultatif) Pour l’étape 7, procédez comme suit :
Ajoutez une valeur séparée par des virgules pour l’attribut
AuthNContextClassRef. Pour plus d’informations sur la façon dont cet attribut est utilisé, consultez Remarques sur la compatibilité SAML et les exigences.Spécifiez un attribut de domaine si vous n’envoyez pas le domaine dans le cadre du nom d’utilisateur (par exemple
domain\username). Pour plus d’informations, consultez Exécution de plusieurs domaines.
(Facultatif) Pour l’étape 8, cochez la case Activer la capture des attributs utilisateur pendant l’authentification SAML. Pour plus d’informations sur les attributs utilisateur, consultez Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur.

Cliquez sur Enregistrer les modifications en attente après avoir saisi vos informations de configuration.
Cliquez sur Modifications en attente en haut de la page :

Cliquez sur Appliquer les modifications et redémarrer.
Avant de commencer
Avant de commencer, procédez comme suit :
Accédez au site Web ou à l’application de votre IdP, et exportez le fichier XML des métadonnées de l’IdP.
Vérifiez que les métadonnées XML obtenues à partir de l’IdP incluent un élément SingleSignOnService dans lequel la liaison est définie sur
HTTP-POST, comme dans l’exemple suivant :<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Rassemblez les fichiers de certificat et placez-les sur Tableau Server.
Dans le dossier Tableau Server, créez un nouveau dossier appelé SAML et placez les copies des fichiers de certificat SAML dans ce dossier. Par exemple :
C:\Program Files\Tableau\Tableau Server\SAMLIl est conseillé d’utiliser cet emplacement parce que le compte utilisateur qui exécute Tableau Server dispose des autorisations nécessaires pour accéder à ce dossier.
Étape 1 : Configurer l’URL de retour, l’ID de l’entité SAML et spécifier les fichiers de certificats et de clés
Ouvrez l’interpréteur d’invite de commande et configurez les paramètres SAML pour le serveur (en remplaçant les valeurs d’espace réservé par le chemin d’accès à l’environnement et les noms de fichiers).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"Pour plus d’informations, consultez
tsm authentication saml configure.Si vous utilisez une clé PKCS#8 protégée par une phrase de passe, entrez la phrase de passe comme suit :
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Si SAML n’est pas déjà activé sur Tableau Server (par exemple, vous le configurez pour la première fois, ou vous l’avez désactivé), activez-le maintenant :
tsm authentication saml enableAppliquez les modifications :
tsm pending-changes applySi les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes applyaffichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Étape 2 : Générer les métadonnées Tableau Server et configurer l’IdP
Exécutez la commande suivante pour générer le fichier de métadonnées XML requis pour Tableau Server.
tsm authentication saml export-metadata -f <file-name.xml>Vous pouvez spécifier un nom de fichier, ou omettre le paramètre
-fpour créer un fichier par défaut appelésamlmetadata.xml.Sur le site Web de votre IdP ou dans son application :
Ajoutez Tableau Server en tant que fournisseur de services.
Pour plus d’informations sur la procédure à suivre, consultez la documentation de l’IdP. Lors de la configuration de Tableau Server en tant que fournisseur de services, vous importerez le fichier de métadonnées Tableau Server que vous avez généré à l’aide de la commande
export-metadata.Vérifiez que votre IdP utilise username comme attribut pour vérifier les utilisateurs.
Étape 3 : Associer les assertions
Dans certains cas, vous devrez peut-être modifier les valeurs d’assertion dans la configuration de Tableau Server pour qu’elles correspondent aux noms d’assertion qui sont transmis par votre IdP.
Vous pouvez trouver les noms d’assertion dans la configuration SAML de l’IdP. Si différents noms d’assertion sont transmis par votre IdP, vous devez mettre à jour Tableau Server pour utiliser la même valeur d’assertion.
Conseil : les « Assertions » sont un composant SAML clé, et le concept d’assertions de mappage peut être complexe à première vue. Il peut être utile de placer ceci dans un contexte de données tabulaires dans lequel le nom de l’assertion (attribut) est équivalent à un en-tête de colonne dans la table. Vous entrez ce nom d’en-tête plutôt qu’un exemple de valeur apparaissant dans cette colonne.
Le tableau suivant présente les valeurs par défaut des assertions et la clé de configuration qui enregistre la valeur.
| Affirmation | Valeur par défaut | Clé |
|---|---|---|
| Nom d’utilisateur | username | wgserver.saml.idpattribute.username |
| Nom d’affichage | displayName | Tableau ne prend pas en charge ce type d’attribut. |
email | Tableau ne prend pas en charge ce type d’attribut. | |
| Domaine | (non mappé par défaut) | wgserver.saml.idpattribute.domain |
Pour modifier une valeur donnée, exécutez la commande tsm configuration set avec la paire clé:valeur appropriée.
Par exemple, pour modifier l’assertion username sur la valeur name, exécutez les commandes suivantes :
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
Alternativement, vous pouvez utiliser la commande tsm authentication saml map-assertions pour modifier une valeur donnée.
Par exemple, pour définir l’assertion de domaine sur une valeur appelée domain et spécifier sa valeur en tant que « exemple.myco.com », exécutez les commandes suivantes :
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Facultatif : Désactiver l’utilisation de SAML pour certains types de clients
Par défaut, Tableau Desktop et l’application Tableau Mobile autorisent l’authentification SAML.
Si votre IdP ne prend pas en charge cette fonctionnalité, vous pouvez désactiver la connexion SAML pour les clients Tableau à l’aide des commandes suivantes :
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Remarque : l’option --mobile-access disable est ignorée par les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure. Pour désactiver SAML pour les appareils exécutant ces versions, vous devez désactiver SAML comme option de connexion client sur Tableau Server.
tsm pending-changes apply
Facultatif : ajouter la valeur AuthNContextClassRef
Ajoutez une valeur séparée par des virgules pour l’attribut AuthNContextClassRef. Pour plus d’informations sur la façon dont cet attribut est utilisé, consultez Remarques sur la compatibilité SAML et les exigences.
Pour définir cet attribut, exécutez les commandes suivantes :
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
Tester la configuration
Dans votre navigateur Web, ouvrez une nouvelle page ou un nouvel onglet, et entrez l’URL de Tableau Server.

Le navigateur vous redirige vers le formulaire de connexion de l’IdP.
Entrez votre nom d’utilisateur et votre mot de passe pour l’authentification unique.

L’IdP vérifie vos informations d’identification et vous redirige vers votre page de démarrage Tableau Server.
Personnaliser et contrôler l’accès aux données à l’aide d’attributs utilisateur
Les attributs utilisateur sont des métadonnées utilisateur définies par votre entreprise. Les attributs utilisateur peuvent être utilisés pour déterminer l’accès dans un modèle d’autorisation de contrôle d’accès basé sur les attributs (ABAC). Les attributs utilisateur peuvent être n’importe quel aspect du profil utilisateur, y compris les rôles professionnels, l’appartenance au service, le niveau de gestion, etc. Ils peuvent également être associés à des contextes utilisateur d’exécution, tels que l’endroit où l’utilisateur est connecté ou sa préférence linguistique.
En incluant des attributs utilisateur dans votre workflow, vous pouvez contrôler et personnaliser l’expérience utilisateur grâce à l’accès aux données et à la personnalisation.
- Accès aux données : les attributs utilisateur peuvent être utilisés pour appliquer des stratégie de sécurité des données. Cette approche garantit que les utilisateurs n’ont accès qu’aux informations qu’ils sont autorisés à voir.
- Personnalisation : en transmettant des attributs utilisateur tels que l’emplacement et le rôle, votre contenu peut être personnalisé de manière à afficher uniquement les informations pertinentes pour l’utilisateur qui y accède, lequel trouvera ainsi plus facilement les informations dont il a besoin.
Résumé des étapes de transmission des attributs utilisateur
Le processus d’activation des attributs utilisateur dans un workflow est résumé dans les étapes suivantes :
- Activer le paramètre des attributs utilisateur
- Inclure des attributs utilisateur dans l’assertion
- Vérifier que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres pertinents
- Vérifier le contenu
Étape 1 : Activer le paramètre des attributs utilisateur
Pour des raisons de sécurité, les attributs utilisateur ne sont validés dans un workflow d’authentification que lorsque le paramètre d’attribut utilisateur est activé par un
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Dans l’onglet CONFIGURATION, sélectionnez Identité de l’utilisateur et accès > Méthodes d’authentification.
Sous Méthode d’authentification, sélectionnez SAML dans le menu déroulant.
À l’Étape 8, cochez la case Activer la capture des attributs utilisateur pendant l’authentification SAML.
Une fois que vous avez terminé, procédez comme suit :
Cliquez sur Enregistrer les modifications en attente.
Cliquez sur Modifications en attente en haut de la page.
Cliquez sur Appliquer les modifications et redémarrer.
Étape 2 : Inclure un attribut utilisateur dans l’assertion
Assurez-vous que l’assertion contient les attributs utilisateur.
Remarque : les attributs de la réponse SAML sont soumis à une limite de 4096 caractères, à l’exception des attributs scope ou scp. Si les attributs de la réponse, y compris les attributs utilisateur, dépassent cette limite, Tableau supprime les attributs et transmet l’attribut ExtraAttributesRemoved à la place. L’auteur du contenu peut ensuite créer un calcul avec l’attribut ExtraAttributesRemoved pour déterminer comment afficher le contenu aux yeux des utilisateurs lorsque l’attribut a été détecté.
Exemple
Supposons que vous ayez un employé, Fred Suzuki, qui est un responsable dans la région Sud. Vous devez vous assurer que, lorsqu’il examine les rapports, Fred ne peut voir que les données de la région Sud. Dans un tel cas, vous pouvez inclure l’attribut utilisateur « Region » dans la réponse SAML, comme dans l’exemple ci-dessous.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Étape 3 : Vérifier que l’auteur du contenu inclut des fonctions d’attribut
Assurez-vous que l’auteur du contenu inclut les fonctions d’attribut utilisateur et les filtres associés pour contrôler les données pouvant s’afficher dans son contenu. Pour que les assertions d’attributs utilisateur soient transmises à Tableau, le contenu doit inclure l’une des fonctions d’attribut utilisateur suivantes :
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
La fonction utilisée par l’auteur du contenu varie selon que les attributs utilisateur sont censés renvoyer une seule valeur ou plusieurs valeurs. Pour en savoir plus sur ces fonctions et consulter des exemples de chacune d’elles, consultez Fonctions utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.
Remarques :
- l’aperçu du contenu avec ces fonctions n’est pas disponible lors de la création dans Tableau Desktop ou Tableau Cloud. La fonction retournera des valeurs NULL ou FALSE. Pour que les fonctions utilisateur fonctionnent comme prévu, nous recommandons à l’auteur de les vérifier après avoir mis le contenu à disposition.
- Pour s’assurer que le contenu s’affiche comme prévu, l’auteur de contenu peut envisager d’inclure un calcul utilisant l’attribut
ExtraAttributesRemovedpour 1) vérifier cet attribut et 2) déterminer que faire avec le contenu, par exemple afficher un message. Tableau ajoute uniquement l’attributExtraAttributesRemovedet supprime tous les autres attributs (à l’exception descpouscope) lorsque les attributs SAML XML excèdent 4 096 caractères. Cette mesure permet d’assurer des performances optimales et de respecter les limitations de stockage.
Exemple
Si l’on poursuit l’exemple présenté à l’Étape 2 : Inclure un attribut utilisateur dans l’assertion ci-dessus, l’auteur peut inclure USERATTRIBUTEINCLUDES pour transmettre l’assertion d’attribut utilisateur « region » à un classeur, par exemple USERATTRIBUTEINCLUDES('Region', [Region])où « Region » est l’attribut utilisateur et [Region] est une colonne dans les données. À l’aide du nouveau calcul, l’auteur peut créer une table contenant les données Responsable et Ventes. Lorsque le calcul est ajouté, le classeur renvoie des valeurs « False » comme prévu.

Pour afficher uniquement les données associées à la région Sud dans le classeur intégré, l’auteur peut créer un filtre et le personnaliser de manière à afficher les valeurs lorsque la région Sud est « True ». Lorsque le filtre est appliqué, le classeur devient vide comme prévu, car la fonction renvoie des valeurs « False » et le filtre est personnalisé pour afficher les valeurs « True » uniquement.

Étape 4 : Vérifier le contenu
Vérifiez le contenu et validez-le.
Exemple
Pour conclure l’exemple de l’Étape 3 : Vérifier que l’auteur du contenu inclut des fonctions d’attribut ci-dessus, vous pouvez voir que les données de vente dans la vue sont personnalisées pour Fred Suzuki parce que son contexte utilisateur est la région Sud.

Les responsables des régions représentées dans le classeur devraient voir la valeur associée à leur région. Par exemple, Sawdie Pawthorne, de la région Ouest, voit des données spécifiques à sa région.

Les responsables dont les régions ne sont pas représentées dans le classeur voient un classeur vide.
Problèmes connus et limitations
Il existe quelques problèmes connus et restrictions dont vous devez tenir compte lorsque vous utilisez des fonctions d’attribut utilisateur.
