Configurer et gérer des pools d’identités

Pour créer et gérer des pools d’identités, vous devez effectuer par programmation des appels aux Méthodes des pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau. Pour ajouter ou gérer des utilisateurs dans un pool d’identités, vous pouvez utiliser l’interface utilisateur (UI) de Tableau Server directement ou l’API REST de Tableau.

Le processus de configuration des pools d’identités est résumé dans les étapes suivantes.

  1. Configurer Tableau Server et établir une session.
  2. Provisionner les utilisateurs en configurant une nouvelle instance de magasin d’identités local. Remarque : vous pouvez ignorer cette étape pour utiliser un magasin d’identités local existant ou le magasin d’identités externe que vous avez configuré dans TSM lors de l’installation de Tableau Server.
  3. Configurer l’authentification pour authentifier vos utilisateurs auprès de Tableau Server à l’aide d’OpenID Connect (OIDC).
  4. Créer un pool d’identités qui utilise le magasin d’identités et l’authentification OIDC que vous avez configurés.
  5. Ajouter des utilisateurs à un pool d’identités en utilisant l’interface utilisateur de Tableau Server ou l’API REST pour permettre aux utilisateurs de se connecter à Tableau Server.

Après la configuration, vous pouvez tester, gérer et dépanner vos pools d’identités.

Remarque : vous pouvez utiliser la collection Postman de Groupes d’identités(Le lien s’ouvre dans une nouvelle fenêtre) dans l’espace de travail Postman du développeur Salesforce pour découvrir, développer et tester les méthodes décrites dans cette rubrique.

Conditions préalables

Avant de commencer avec les pools d’identités, vérifiez que les conditions suivantes sont remplies :

  • L’intégration avec un fournisseur d’identité (IdP) OIDC, tel qu’Okta, est déjà configurée
  • Vous utilisez actuellement Tableau Server 2023.1 ou une version antérieure
  • Vous avez effectué la migration d’identité(Le lien s’ouvre dans une nouvelle fenêtre) - elle est requise pour les nouveaux déploiements de Tableau Server et les mises à niveau de Tableau Server

Démarrer

Étape 1 : Configurer Tableau Server et établir une session

L’activation des modifications associées à la configuration des pools d’identités nécessite une configuration TSM unique et une déclaration des variables de session et d’hôte.

  1. Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (le nœud sur lequel TSM est installé) du cluster.

  2. Exécutez la commande suivante :

    1. tsm configuration set -k gateway.external_url -v http://<host>
    2. tsm pending-changes apply

    Par exemple, vous pouvez exécuter les commandes suivantes pour configurer votre instance Tableau Server, http://myco :

    tsm configuration set -k gateway.external_url -v http://myco
    tsm pending-changes apply

    Pour plus d’informations, consultez gateway.external_url(Le lien s’ouvre dans une nouvelle fenêtre).

  3. (Facultatif) Exécutez les commandes suivantes pour ajouter une description pour le pool initial (TSM configuré) :

    1. tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
    2. tsm pending-changes apply

    Par exemple, vous pouvez exécuter les commandes suivantes pour ajouter une description « Connexion pour les employés de MyCo » :

    tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
    tsm pending-changes apply

    Pour plus d’informations, consultez wgserver.authentication.identity_pools.default_pool_description(Le lien s’ouvre dans une nouvelle fenêtre).

  4. Connectez-vous à Tableau Server en tant qu’administrateur et effectuez les opérations suivantes :

    1. Accédez aux outils de développement du navigateur et aux cookies de l’application.
    2. Notez la valeur workgroup_session_id.

    Par exemple, si vous utilisez Chrome, cliquez avec le bouton droit dans la page d’accueil de Tableau Server, faites un clic droit et sélectionnez Inspecter. Cliquez sur Application dans le volet de navigation supérieur et cliquez sur Cookies dans le volet de navigation de gauche. Sous Cookies, cliquez sur votre nom Tableau Server, par exemple http://myco.com, et notez la valeur workgroup_session_id dans le volet central.

  5. Dans le script ou l’outil de développement d’API que vous utilisez pour effectuer des demandes de pools d’identités à l’aide de l’OpenAPI REST de Tablea, procédez comme suit :

    1. Ajoutez la valeur workgroup_session_id en tant que variable globale.
    2. Ajoutez en outre le port 80, l’hôte (votre URL Tableau Server) et le protocole (HTTP ou HTTPS) à vos variables globales.

    Par exemple, le tableau suivant montre les variables globales nécessaires pour votre Tableau Server, http://myco.

Variable globaleValeur
ID de session de groupe de travailXxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx
Port80
Hôtehttp://myco
ProtocoleHTTP

Étape 2 : Configurer un magasin d’identités

Tableau Server vous demande de configurer un magasin d’identités pour approvisionner ou mettre en service vos utilisateurs Tableau Server.

Lors de la configuration d’un groupe d’identités, vous pouvez utiliser un magasin d’identités local(Le lien s’ouvre dans une nouvelle fenêtre) nouveau ou existant, ou vous pouvez utiliser un magasin d’identités externe(Le lien s’ouvre dans une nouvelle fenêtre), Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) si ce magasin d’identités externe a été configuré lors de l’installation de Tableau Server.

Remarque : les nouvelles instances AD ou LDAP supplémentaires qui ne sont pas l’instance AD ou LDAP que vous avez configurée dans TSM lors de la configuration de Tableau Server (également appelée pool initial, configuré dans TSM) ne sont pas configurables avec des pools d’identités.

Pour configurer un nouveau magasin d’identités local, utilisez la procédure ci-dessous. Passer à l’Étape 3 : Configurer l’authentification si vous souhaitez utiliser un magasin d’identités local existant ou le magasin d’identités que vous avez configuré lors de l’installation de Tableau Server.

  1. Envoyez une demande de connexion(Le lien s’ouvre dans une nouvelle fenêtre) à l’API REST de Tableau pour générer un jeton d’informations d’identification.

    Exemple

    URI

    POST https://myco/api/3.19/auth/signin

  2. Une fois le jeton d’informations d’identification généré, ajoutez-le à l’en-tête de toutes les demandes d’API ultérieures.

  3. Configurez le magasin d’identités en appelant le point de terminaison Configurer le magasin d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau.

  4. Dans la demande, spécifiez les éléments suivants :

    1. Type La valeur de type est toujours 0 pour un type de magasin d’identités local. Si vous souhaitez utiliser un magasin d’identités local existant ou le magasin d’identités que vous avez configuré dans TSM lors de l’installation de Tableau Server, vous n’avez pas besoin de configurer une nouvelle instance de magasin d’identités local. Passez plutôt à l’étape 3 : Configurer l’authentification ci-dessous.
    2. Nom. Le nom doit être unique.
    3. Nom d’affichage. Facultatif.

    Exemple

    URI

    https://myco/api/services/authn-service/identity-stores/

    Corps de la demande (JSON)
    {
    "type": "0",
    "name": "Local identity store #1",
    "display_name": "Local identity store #1"
    }
    Corps de la réponse

    Aucun

Étape 3 : Configurer l’authentification

Vous pouvez configurer la méthode d’authentification OpenID Connect (OIDC) pour authentifier vos utilisateurs.

Remarque : OIDC est actuellement la seule méthode d’authentification configurable avec des groupes d’identités, quel que soit le type de magasin d’identités que vous utilisez avec le groupe d’identités.

  1. Après avoir configuré un magasin d’identités, appelez le point de terminaison Créer une configuration d’authentification(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau.

  2. Dans la demande, spécifiez les éléments suivants :

    1. Types d’authentification La valeur du type d’authentification est « OIDC ».

    2. iFrame. La valeur par défaut d’iFrame est « false ».
    3. Spécifiez l’ID client, le secret client, l’URL de configuration, la demande d’ID, l’authentification client et la demande de nom d’utilisateur demandés par OIDC.

      • L’ID client, le secret client est fourni par votre fournisseur d’identité OIDC.
      • L’URL de configuration est également fournie par votre IdP. L’URL utilise généralement le format suivant : https://<idp_url>/.well-known/openid-configuration.
      • La valeur par défaut de la revendication d’ID est « sub ». Pour plus d’informations, voir Modification de la revendication sub.
      • La valeur par défaut de l’authentification client est « CLIENT_SECRET_BASIC ».
      • La valeur par défaut de la demande de nom d’utilisateur est « email ». Pour plus d’informations, voir Par défaut : utilisation d’une revendication email pour mapper les utilisateurs.

      À propos de la revendication de nom d’utilisateur

      Tableau utilise la revendication de nom d’utilisateur à des fins de correspondance d’identités. Si vous fournissez des identifiants lors de l’ajout d’utilisateurs à Tableau Server, l’identifiant est utilisé pour correspondre à la valeur fournie dans la revendication de nom d’utilisateur. Si aucun identifiant n’est fourni, Tableau utilise par défaut le nom d’utilisateur défini dans Tableau Server.

      Remarques :

      • Si vous avez l’intention d’utiliser cette configuration d’authentification avec un pool d’identités qui utilise AD comme magasin d’identités, assurez-vous que l’utilisateur affecté a la valeur AD sAMAccountName dans la revendication de nom d’utilisateur.
      • Si vous avez l’intention d’utiliser cette configuration d’authentification avec un pool d’identités qui utilise LDAP comme magasin d’identités, assurez-vous que l’utilisateur affecté a la valeur de nom d’utilisateur LDAP dans la revendication de nom d’utilisateur.

Exemple

URI

https://myco/api/services/authn-service/auth-configurations/

Corps de la demande (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
	"client_id": "Xxx1hotzhjv4tyCxxX",
	"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
	"config_url": "https://admin.okta.com/.well-known/openid-configuration",
	"custom_scope": "",
	"id_claim": "sub",
	"username_claim": "email",
	"client_authentication": "CLIENT_SECRET_BASIC",
	"essential_acr_values": "",
	"voluntary_acr_values": "",
	"prompt": "login,consent",
	"connection_timeout": 100,
	"read_timeout": 100,
	"ignore_domain": false,
	"ignore_jwk": false
	}
}
Corps de la réponse

Aucun

Étape 4 : Créer un pool d’identités

Selon le magasin d’identités que vous avez configuré lors de l’installation de Tableau Server, le pool d’identités que vous créez peut présenter l’une des combinaisons suivantes de magasins d’identités et de méthodes d’authentification :

  • Magasin d’identités AD + Authentification OIDC
  • Magasin d’identités LDAP + Authentification OIDC
  • Magasin d’identités local + Authentification OIDC

Les deux premières combinaisons nécessitent que le pool initial (configuré par TSM) soit configuré pour utiliser AD ou LDAP.

La procédure décrite ci-dessous crée un groupe d’identités avec la dernière combinaison, « Magasin d’identités local + Authentification OIDC ».

  1. Après avoir configuré l’authentification OIDC, appelez le point de terminaisonCréer un pool d’identités(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau.

  2. Dans la demande, spécifiez les éléments suivants :

    1. Nom et description pour le pool d’identités. Le nom et la description du pool d’identités sont visibles pour tous les utilisateurs sur la page d’accueil de Tableau Server.

    2. ID d’instance de magasin d’identités et ID d’instance de type d’authentification.

      Remarques :

    Exemple

    URI

    https://myco/api/services/authn-service/identity-pools/

    Corps de la demande (JSON)
    {
    "name": "MyCo contractors",
    "identity_store_instance": "2",
    "auth_type_instance": "0",
    "is_enabled": true,
    "description": "Sign-in for MyCo contractors"
    }

    Exemple de réponse

    Aucun

  3. Après avoir créé le pool d’identités, accédez à vos configurations d’IdP et définissez l’URI de redirection de connexion sur http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.

    Par exemple, http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login

    Remarque : pour obtenir l’ID du pool d’identités, vous pouvez appeler le point de terminaison Répertorier les pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).

Remarques :

  • Vous pouvez créer autant de pools d’identités que votre organisation en a besoin.
  • D’autres types de magasins d’identités et méthodes d’authentification sont pris en charge par le pool initial (TSM) configuré. Pour plus d’informations, consultez Authentification.

Étape 5 : Ajouter des utilisateurs à un pool

Vous pouvez utiliser Tableau Server directement pour ajouter des utilisateurs à un pool d’identités. Les utilisateurs doivent appartenir au pool initial (configuré avec TSM) ou être ajoutés à un pool d’identités pour se connecter à Tableau Server. Lors de l’ajout d’utilisateurs à un pool d’identités, votre workflow peut changer en fonction du magasin d’identités qui a été configuré avec le pool d’identités.

La procédure ci-dessous décrit comment ajouter des utilisateurs à une identité via l’interface utilisateur de Tableau Server. Cependant, vous pouvez ajouter des utilisateurs à un pool d’identités à l’aide de l’API REST de Tableau en appelant le point de terminaison Ajouter un utilisateur au pool d’identités(Le lien s’ouvre dans une nouvelle fenêtre).

  1. Connectez-vous à l’interface utilisateur de Tableau Server en tant qu’administrateur.

  2. Dans le volet de navigation de gauche, sélectionnez Utilisateurs (ou Tous les sites > Utilisateurs pour un Tableau Server multisite).

  3. Cliquez sur le bouton Ajouter des utilisateurs et sélectionnez Créer un nouvel utilisateur ou Importer des utilisateurs à partir d’un fichier.

    Pour Créer un nouvel utilisateur :

    1. Sélectionnez le pool d’identités auquel vous souhaitez ajouter le nouvel utilisateur, puis cliquez sur Suivant.

      1. Si vous avez sélectionné un pool d’identités configuré avec un magasin d’identités AD ou LDAP, entrez les noms d’utilisateur, attribuez l’appartenance au site et les rôles sur le site. Une fois terminé, cliquez sur le bouton Importer les utilisateurs.

      2. Si vous avez sélectionné un pool d’identités configuré avec un magasin d’identités local, saisissez le nom d’utilisateur. La boîte de dialogue se développe afin que vous puissiez ajouter un nom d’affichage, un identifiant (dans la plupart des cas), une adresse e-mail et définir un site et des rôles de site. Une fois terminé, cliquez sur le bouton Créer un utilisateur.

        Pour plus d’informations sur les noms d’utilisateur et sur la manière d’attribuer une appartenance au site et des rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.

        À propos des noms d’utilisateur et des identifiants dans Tableau

        Un nom d’utilisateur est l’information qui représente l’utilisateur du système. Un identificateur est utilisé pour compléter les informations de nom d’utilisateur et peut être utilisé par des magasins d’identité externes comme alternatives aux noms d’utilisateur.

        Dans Tableau, un nom d’utilisateur est une valeur immuable utilisée pour se connecter à Tableau et les identificateurs sont des valeurs modifiables utilisées dans la structure d’identité de Tableau pour faire correspondre les utilisateurs à leurs noms d’utilisateur. Les identificateurs permettent à Tableau d’être plus flexible car ils peuvent différer du nom d’utilisateur. Si des modifications sont apportées au nom d’utilisateur dans le magasin d’identités externe, les administrateurs de Tableau Server peuvent mettre à jour l’identificateur afin de s’assurer que les utilisateurs correspondent aux noms d’utilisateur corrects.

        Lorsque vous ajoutez un utilisateur existant à un pool d’identités, vous pouvez vous attendre à pouvoir définir un identificateur. Par exemple, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités local et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités AD, nous vous demandons de fournir le nom d’utilisateur pour rechercher les identificateurs associés à cet utilisateur. . En revanche, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités AD et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités local, nous vous demandons de fournir un identificateur facultatif. L’exception est le cas où vous souhaitez ajouter un utilisateur au pool initial (configuré avec TSM) qui est configuré avec un magasin d’identités local et une authentification locale. Vous ne pourrez pas définir d’identificateur pour cet utilisateur.

    Pour Importer des utilisateurs depuis le fichier :

    1. Importez un fichier .csv contenant les colonnes suivantes dans l’ordre indiqué :

      username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier

      Remarque : le nom d’utilisateur et le mot de passe sont les seules colonnes obligatoires. Cependant, si vous ne spécifiez pas le nom du pool d’identités, l’utilisateur sera ajouté au pool initial (configuré par TSM). Pour plus d’informations, consultez Recommandations relatives au fichier d’importation CSV.

      Par exemple, supposons que vous souhaitiez ajouter Henry Wilson et Fred Suzuki au pool d’identités General Contractors. Votre fichier .csv peut contenir les valeurs suivantes :

      henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
      freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki

Remarque : lorsqu’un ou plusieurs pools d’identités sont créés, la page d’accueil de Tableau Server est mise à jour pour inclure des options de connexion pour les utilisateurs qui sont membres de ces pools d’identités. Pour plus d’informations, voir Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.

Tester les pools d’identités

Après avoir configuré un pool d’identités, nous vous recommandons de le tester en vous déconnectant de Tableau Server et en vous reconnectant en tant qu’utilisateur appartenant au pool d’identités. Assurez-vous de terminer le processus de connexion pour vous assurer que l’authentification OIDC a été configurée correctement.

Remarque : si vous avez configuré une description facultative pour le pool initial (configuré par TSM) dans Étape 1 : Configurer Tableau Server et établir une session ou si vous avez une remarque pour les Paramètres du serveur (Général et Personnalisation) concernant Tableau Server, nous suggérons que la description soit spécifique aux utilisateurs qui se connectent à l’aide du pool initial (configuré avec TSM) et que la remarque Personnalisation de la connexion s’applique à tous les utilisateurs qui se connectent à Tableau Server.

Gérer les pools d’identités

Vous pouvez gérer les utilisateurs dans les pools d’identités à partir de la page Utilisateurs au niveau du serveur et au niveau du site. Sur la page Utilisateurs, vous pouvez voir à quels pools d’identités appartiennent les utilisateurs ainsi que des détails récapitulatifs sur le pool d’identités.

Pour toutes les autres tâches de gestion des pools d’identités, y compris la mise à jour d’une configuration d’authentification ou d’un pool d’identités et la suppression d’un magasin d’identités local ou d’un pool d’identités, utilisez l’OpenAPI REST de Tableau décrite dans Méthodes des pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).

Dépanner les pools d’identités

Limites des pools d’identités

Les pools d’identités sont disponibles uniquement avec Tableau Server.

Remarque : Les pools d’identités sont actuellement disponibles pour la configuration au niveau du serveur uniquement. Les pools d’identités ne peuvent pas être limités à un site.

La page d’accueil de Tableau Server affiche des erreurs IdP

Sur la page d’accueil de Tableau Server, sous l’option de connexion principale, un message d’erreur lié à l’IdP peut s’afficher à côté d’une option de connexion au pool d’identités. Ce problème lié à l’authentification OIDC peut se produire lorsque l’une des conditions suivantes ou les deux sont vraies : 1) Tableau Server n’a pas été configuré pour envoyer une URL externe à l’IdP et 2) les variables globales n’ont pas été déclarées.

Pour résoudre ce problème, assurez-vous de suivre la procédure décrite dans Étape 1 : Configurer Tableau Server et établir une session ci-dessus.

La page de destination de Tableau Server n’affiche pas les pools d’identités

Si la fonctionnalité des pools d’identités est désactivée, vous pouvez la réactiver à l’aide des commandes TSM suivantes :

tsm configuration set -k features.IdentityPools -v true

tsm configuration set -k features.NewIdentityMode -v true

tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false

tsm pending-changes apply

Remarque : l’exécution de ces commandes entraîne le redémarrage de Tableau Server.

Merci de vos commentaires !Avis correctement envoyé. Merci