Entité samlSettings

Cet article contient un modèle et une référence pour la configuration de SAML à l’échelle du serveur sur Tableau Server, en utilisant un fichier de configuration avec des clés et des valeurs pour l’entité samlSettings. Ces informations complètent la procédure de configuration SAML dans Configurer SAML à l’échelle du serveur.

Pour créer un modèle de configuration SAML et l’appliquer à Tableau Server, procédez comme suit :

  1. Consultez les deux sections suivantes qui décrivent le modèle et la manière dont il est structuré (Catégories et définitions de modèle et Modèle de configuration samlSettings).

  2. Collez le code JSON affiché dans le modèle dans un nouveau fichier texte, et enregistrez-le en utilisant une extension .json.

  3. Utilisez la Référence de l’entité de configuration SAML qui vous aidera à fournir les valeurs là où nécessaire.

  4. Ajoutez des paires clé/valeur facultatives à votre environnement. Par exemple, si votre fichier de clé de certificat. SAML exige une phrase de passe, vous devez spécifier le mot de passe dans le paramètre wgserver.saml.key.passphrase à l’aide de la commande tsm configuration set.

  5. Transmettre le fichier de configuration à Tableau Server.

Catégories et définitions de modèle

Le modèle utilise des espaces réservés pour chaque valeur de clé. Ces espaces réservés sont classés comme suit :

  • Obligatoire : Les attributs portant la mention "required" doivent être remplacés par des données valides avant que vous n’exécutiez la commande de configuration. Consultez la référence du fichier de configuration pour avoir des valeurs valides.

  • Codé en dur : Les noms d’attribut précédés par un trait bas (_), par exemple "_type" contiennent des valeurs codées de manière irréversible. Ne modifiez pas ces valeurs.

  • Valeurs par défaut : Les attributs définis sur une valeur qui n’est pas "required" sont les valeurs par défaut. Ce sont des attributs obligatoires que vous pouvez modifier en fonction de votre environnement.

  • Ensembles vides : Les valeurs qui sont vides ("") peuvent être transmises telles quelles, ou vous pouvez fournir une valeur pour votre installation.

Important : toutes les options d’entité sont sensibles à la casse.

Modèle de configuration samlSettings

Collez ce code dans un fichier texte et personnalisez-le en fonction de votre environnement, en utilisant la référence ci-dessous.

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }

Référence de l’entité de configuration SAML

La liste suivante indique toutes les options que vous pouvez inclure avec l’ensemble d’entités "samlSettings".

idpMetadataFile

Obligatoire. Le chemin et le nom de fichier du fichier XML sont générés par l’IdP. Les métadonnées XML doivent inclure l’attribut de nom d’utilisateur (assertion).

Si vous avez effectué les étapes décrites dans Configurer SAML à l’échelle du serveur, voici la valeur que vous devriez entrer :

"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"

enabled

true | false

Obligatoire. Indique si l’authentification SAML est activée. Ne définissez pas cette option sur true avant d’avoir défini les autres options de configuration SAML requises.

returnURL

Il s’agit généralement de l’URL externe que les utilisateurs de Tableau Server entrent dans leur navigateur pour accéder au serveur, par exemple https://tableau_server.example.com. Cette valeur est utilisée pour créer l’attribut URL ACS lors de la configuration de l’IdP.

entityId

Obligatoire. Valeur d’identification de l’entité fournisseur de services (dans ce cas, Tableau Server).

Identifie votre configuration Tableau Server auprès de l’IdP. Nous vous recommandons d’entrer la même valeur que l’option returnURL.

idpUsernameAttribute

Obligatoire. Dans les métadonnées de l’IdP, trouvez l’attribut utilisé pour spécifier les valeurs de nom d’utilisateur, et entrez le nom de l’attribut. La valeur par défaut est username.

certFile

Obligatoire. Entrez l’emplacement et nom du fichier pour le fichier de certificat x509 (.crt) pour SAML. Par exemple :

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"

Pour plus d’information, consultez Exigences en matière d’authentification SAML et Configurer SAML à l’échelle du serveur.

keyFile

Obligatoire. Spécifiez l’emplacement du fichier de clé privée (.key) qui accompagne le fichier de certificat. Par exemple :

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

Remarque : si vous utilisez une clé RSA PKCS#8 qui nécessite une phrase de passe, vous devez définir la phrase de passe à l’aide d’une entité configKey (voir Exemple de fichier de configuration) ou avec Exemple de fichier de configuration tsm configuration set. La clé pour la phrase de passe utilisant ces méthodes est wgserver.saml.key.passphrase. La valeur doit être une chaîne non null.

idpDomainAttribute

Pour les entreprises qui utilisent LDAP ou Active Directory, cette valeur spécifie l’attribut SAML que Tableau Server référencera pour déterminer le nom de domaine. Par exemple, si votre IdP spécifie le nom de domaine dans l’attributdomain, vous spécifiez domain pour cette valeur. Remarque : pour les entreprises dont les utilisateurs se connectent à partir de plusieurs domaines, cette valeur est obligatoire.

Si vous ne fournissez pas une valeur pour cette clé, la valeur utilisée dépend du paramètre du magasin d’identités sur Tableau Server :

  • Pour le magasin d’identités local, la valeur idpDomainAttribute est ignorée.

  • Pour les magasins d’identités Active Directory ou LDAP, Tableau utilise le nom de domaine qualifié complet du paramètre de configuration wgserver.domain.default.

    Pour obtenir la valeur pour wgserver.domain.default, vous pouvez exécuter la commande suivante :

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Facultatif. Autoriser les utilisateurs à utiliser l’authentification SAML lorsqu’ils se connectent depuis Tableau Desktop.

Par défaut, ce paramètre n’est pas activé, et le comportement est alors équivalent à « false ». Si l’authentification unique depuis les applications du client Tableau ne fonctionne pas avec votre IdP, vous pouvez définir cette option sur « true » pour désactiver l’authentification SAML via Tableau Desktop.

appNoSAML

true | false

Facultatif. Autorisez l’utilisation de SAML pour la connexion depuis des versions antérieures de l’application Tableau Mobile. Les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure ignorent cette option. Pour désactiver les appareils exécutant l’application Tableau Mobile version 19.225.1731 et supérieure, désactivez SAML comme option de connexion client sur Tableau Server.

logoutEnabled

true | false

Facultatif. Permet la déconnexion unique pour les utilisateurs qui se sont connectés avec SAML. La valeur par défaut est true.

Les métadonnées de configuration de l’IdP doivent inclure un point de terminaison de déconnexion unique avec liaison POST.

Ce paramètre ne s’applique qu’à SAML à l’échelle du serveur

Lorsqu’il est défini sur false, Tableau Server ne tente pas d’effectuer une déconnexion unique.

logoutUrl

Facultatif. Entrez l’URL de redirection après que les utilisateurs se sont déconnectés du serveur. La définition de cette option nécessite que logoutEnabled soit défini sur true.

Par défaut, il s’agit de la page de connexion de Tableau Server. Vous pouvez spécifier une URL absolue ou relative.

maxAuthenticationAge

Facultatif. Précise le nombre maximal de secondes autorisées entre l’authentification d’un utilisateur sur l’IdP et le traitement du message AuthNResponse. La valeur par défaut est -1, ce qui signifie que maxAuthenticationAge n’est pas défini ou est ignoré par défaut. Avant février 2022, la valeur par défaut était 7200 (2 heures).

Pour optimiser la durée de la session, utilisez la même valeur de délai d’attente que celle définie sur l’IdP.

maxAssertionTime

Facultatif. Précise le nombre maximal de secondes pendant lesquelles une assertion SAML est utilisable (à partir de sa création). La valeur par défaut est 3000 (50 minutes).

sha256Enabled

true | false

Facultatif. Le type de signature que Tableau Server utilisera lors de l’envoi de messages à l’IdP. Si défini sur true, Tableau Server signera les messages avec l’algorithme de signature SHA 256. Si défini sur false, Tableau Server signera les messages avec SHA 1. La valeur par défaut est true.

Cette option définit l’algorithme de signature pour les messages suivants que Tableau Server signe : 

  • Messages AuthnRequest lorsque signRequests est activé.
  • Messages LogoutRequest si logoutEnabled est activé.

signRequests

true | false

Facultatif. Précise si Tableau Server signera les messages AuthnRequests qui sont envoyés à l’IdP. Les demandes signées ne sont pas toujours nécessaires pour tous les IdP. Nous recommandons de signer les demandes afin de garantir l’option la plus sûre lors de la configuration de SAML. Pour vérifier si votre IdP accepte la demande signée, inspectez les métadonnées IdP : si wantAuthnRequestsSigned est défini sur true, votre IdP acceptera les demandes signées.

La valeur par défaut est true. Pour désactiver les demandes signées, définissez cette option sur false.

acceptableAuthnContexts

Facultatif. Définit l’attribut SAML AuthNContextClassRef. Cet attribut optionnel impose la validation de certains « contextes » d’authentification dans les flux initiés par l’IdP. Définissez un ensemble de valeurs séparées par une virgule pour cet attribut. Une fois cet attribut défini, Tableau Server vérifie que la réponse SAML contient au moins l’une des valeurs répertoriées. Si la réponse SAML ne contient pas l’une des valeurs configurées, l’authentification sera rejetée, même si l’utilisateur s’est authentifié avec succès avec l’IdP.

Si vous laissez cette option vide, il en résultera un comportement par défaut : toute réponse SAML authentifiée avec succès permettra à un utilisateur d’obtenir une session dans Tableau Server.

iFramedIdpEnabled

true | false

Facultatif. La valeur par défaut est false, ce qui signifie que, lorsque les utilisateurs sélectionnent le bouton de connexion dans une vue intégrée, le formulaire de connexion de l’IdP s’ouvre dans une fenêtre contextuelle.

Si vous définissez cette valeur sur « true », et qu’un utilisateur SAML de serveur déjà connecté accède à une page Web comportant une vue intégrée, l’utilisateur n’a pas besoin de se connecter pour voir la vue.

Vous pouvez définir cette valeur sur « true » uniquement si l’IdP prend en charge la connexion dans un iframe. L’option iframe offrant moins de sécurité qu’une fenêtre contextuelle, tous les IdP ne la prennent pas en charge. Si la page de connexion de l’IdP met en œuvre la protection contre le détournement de clic, comme c’est le cas pour la plupart d’entre eux, la page de connexion ne peut pas s’afficher dans un iframe, et l’utilisateur ne peut pas se connecter.

Si votre IdP prend en charge la connexion via un iframe, vous devrez peut-être l’activer explicitement. Toutefois, même si vous pouvez utiliser cette option, elle désactive la protection contre le détournement de clic de Tableau Server pour SAML, et présente donc toujours un risque de sécurité.

Transmettre le fichier de configuration à Tableau Server

Après avoir fourni une valeur appropriée pour chaque entité que vous incluez dans le modèle de configuration, utilisez les commandes suivantes pour transmettre le fichier .json et appliquer les paramètres à Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Voir également

Une fois la configuration SAML initiale terminée, utilisez tsm authentication mutual-ssl <commands> pour définir des valeurs supplémentaires.

Pour la référence de ligne de commande relative à la configuration de SAML, consultez tsm authentication saml <commands>.

 

Merci de vos commentaires !Avis correctement envoyé. Merci