Provisionner et authentifier les utilisateurs à l’aide de pools d’identités
Introduits dans Tableau Server version 2023.1, les pools d’identités sont un outil de gestion des identités qui utilise les informations de provisionnement et d’authentification pour permettre l’accès des utilisateurs à Tableau Server. Les pools d’identités aident à centraliser et flexibiliser le workflow de gestion des identités qui est basé sur le Service d’identité(Le lien s’ouvre dans une nouvelle fenêtre) pour le stockage et la gestion des identités d’utilisateurs dans Tableau Server.
Les pools d’identités ne remplacent pas les configurations de provisionnement et d’authentification des utilisateurs que vous effectuez à l’aide de Tableau Services Manager (TSM) lors de l’installation de Tableau Server. Au lieu de cela, les pools d’identités sont conçus pour compléter et prendre en charge les options supplémentaires de provisionnement et d’authentification des utilisateurs dont vous pourriez avoir besoin dans votre organisation, en particulier pour les organisations où TSM est configuré avec Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP). Les pools d’identités ajoutent une méthode alternative, après la configuration de Tableau Server, qui permet aux administrateurs de Tableau Server d’ajouter des utilisateurs, qui sont souvent des utilisateurs externes, des partenaires ou des sous-traitants, à votre déploiement Tableau Server.
Les pools d’identités sont optimisés pour les cas d’utilisation suivants :
Utilisateurs externes : une grande entreprise qui ne souhaite pas ajouter d’utilisateurs externes à son AD interne.
Par exemple, supposons que votre organisation compte deux types d’employés : les employés réguliers et les employés contractuels. Vos employés réguliers sont provisionnés via Active Directory (AD) avec une authentification SAML gérée à l’aide de votre IdP, Okta. Vos employés contractuels se composent d’utilisateurs qui sont généralement affectés à une appartenance temporaire à un groupe ou qui font partie d’une autre organisation provisionnant des utilisateurs en dehors d’AD et s’authentifiant séparément. Les pools d’identités peuvent vous permettre d’ajouter des utilisateurs Tableau Server externes à votre AD.
Magasins d’identité multiples : une organisation hébergeant des applications SaaS provisionnent des utilisateurs à partir de plusieurs magasins d’identités.
Par exemple, supposons que votre organisation partage des contenus Tableau avec plusieurs organisations externes à partir d’un seul site. Vous pouvez séparer ces utilisateurs à l’aide de différents pools d’identités configurés avec des magasins d’identités locaux pour identifier et gérer plus facilement les utilisateurs de chaque organisation.
Frontières de sécurité entre les organisations internes : une organisation de plusieurs organisations enfants acquises avec des limites de sécurité distinctes.
Par exemple, vous pouvez ajouter des utilisateurs de l’organisation nouvellement ajoutée à un pool d’identités configuré avec un magasin d’identités local pour contourner les complexités associées à la combinaison de magasins d’identités.
Que sont les pools d’identités ?
Un pool d’identités comporte trois composants principaux : un magasin d’identités pour provisionner les utilisateurs, l’authentification OpenID Connect (OIDC) et les utilisateurs affectés.
Magasin d’identités : le magasin d’identité(Le lien s’ouvre dans une nouvelle fenêtre) avec lequel vous provisionnez ou mettez en service vos utilisateurs peut être un magasin d’identités local ou un magasin d’identités externe.
S’il s’agit d’un magasin d’identités local, un pool d’identités peut être configuré de manière à utiliser un magasin d’identités local existant ou nouveau. Remarque : l’authentification locale n’est pas prise en charge.
Cependant, un pool d’identités doit utiliser le même magasin d’identités externe (AD ou LDAP) que celui configuré dans TSM lors de l’installation de Tableau Server. Vous ne pouvez pas configurer un pool d’identités pour utiliser un magasin d’identités externe différent.
Les configurations de provisionnement et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server sont appelées pool par défaut ou « pool initial (configuré par TSM) ».
Authentification : la seule méthode d’authentification prise en charge pour un pool d’identités est OIDC(Le lien s’ouvre dans une nouvelle fenêtre).
Utilisateurs : pour pouvoir se connecter à Tableau Server, les utilisateurs doivent être provisionnés à partir du pool initial (TSM configuré) ou être membre d’au moins un pool d’identités.
Quand utiliser des pools d’identités
En tant qu’administrateur Tableau Server, vous pouvez utiliser un groupe d’identités pour segmenter vos utilisateurs en cohortes d’identités en fonction de l’endroit à partir duquel vos utilisateurs sont provisionnés et de la manière dont ces utilisateurs s’authentifient dans Tableau Server. Bien que les configurations de magasin d’identités et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server, également appelées pool initial (configuré par TSM), restent inchangées, les pools d’identités sont configurables à partir de Tableau Server.
Remarque : Les pools d’identités sont actuellement disponibles pour la configuration au niveau du serveur uniquement. Les pools d’identités ne peuvent pas être limités à un site.
En savoir plus sur les pools d’identités
Pool initial (configuré par TSM) et pools d’identités
Comme indiqué ci-dessus, la combinaison des configurations de provisionnement et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server est appelée « pool initial (configuré par TSM) ». Le pool initial (configuré par TSM) est un composant requis du processus de configuration de Tableau Server et ne peut pas être modifié.
Cependant, un pool entités est facultatif et vous pouvez créer autant de pools d’identités que nécessaire directement depuis Tableau Server.
Impact des pools d’identités sur l’expérience de connexion des utilisateurs
Par défaut, lorsqu’aucun pool d’identités n’est créé pour Tableau Server, la façon dont vos utilisateurs accèdent à la page d’accueil de Tableau Server et se connectent à Tableau Server ne change pas.
Lorsqu’un ou plusieurs pools d’identités sont créés, la page d’accueil de Tableau Server affiche plusieurs options de connexion. L’option de connexion principale s’affiche en haut de la page et constitue la manière dont vos utilisateurs appartenant au pool initial (configuré par TSM) peuvent se connecter.
Sous l’option de connexion principale se trouvent les options de connexion secondaires. Chaque option représente un pool d’identités, affiché dans l’ordre dans lequel ils ont été créés. Les utilisateurs affectés à ces pools doivent se connecter à l’aide de l’option du pool d’identités auquel ils appartiennent. Pour guider vos utilisateurs vers l’option de connexion appropriée, envisagez d’ajouter une description au pool d’identités lors de sa création.
Remarque : tous les utilisateurs verront tous les pools configurés pour votre Tableau Server, qu’ils appartiennent ou non au pool.
Noms d’utilisateur et identifiants dans Tableau
Un nom d’utilisateur est l’information qui représente l’utilisateur du système. Un identificateur est utilisé pour compléter les informations de nom d’utilisateur et peut être utilisé par des magasins d’identité externes comme alternatives aux noms d’utilisateur.
Dans Tableau, un nom d’utilisateur est une valeur immuable utilisée pour se connecter à Tableau et les identificateurs sont des valeurs modifiables utilisées dans la structure d’identité de Tableau pour faire correspondre les utilisateurs à leurs noms d’utilisateur. Les identificateurs permettent à Tableau d’être plus flexible car ils peuvent différer du nom d’utilisateur. Si des modifications sont apportées au nom d’utilisateur dans le magasin d’identités externe, les administrateurs de Tableau Server peuvent mettre à jour l’identificateur afin de s’assurer que les utilisateurs correspondent aux noms d’utilisateur corrects.
Lorsque vous ajoutez un utilisateur existant à un pool d’identités, vous pouvez vous attendre à pouvoir définir un identificateur. Par exemple, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités local et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités AD, nous vous demandons de fournir le nom d’utilisateur pour rechercher les identificateurs associés à cet utilisateur. . En revanche, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités AD et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités local, nous vous demandons de fournir un identificateur facultatif. L’exception est le cas où vous souhaitez ajouter un utilisateur au pool initial (configuré avec TSM) qui est configuré avec un magasin d’identités local et une authentification locale. Vous ne pourrez pas définir d’identificateur pour cet utilisateur.