Configurer SAML pour le composant Web Tableau Viz Lightning

Tableau fournit un composant Web Lightning (LWC) pour l’intégration d’une visualisation Tableau dans une page Salesforce Lightning.

Cette rubrique décrit comment activer une expérience SSO pour les visualisations Tableau intégrées dans une page Salesforce Lightning. L’authentification SSO pour le scénario Tableau Viz LWC nécessite une configuration SAML. Le fournisseur d’identité SAML utilisé pour l’authentification Tableau doit être l’IdP Salesforce ou le même IdP que celui utilisé pour votre instance Salesforce.

Dans ce scénario, les administrateurs Salesforce peuvent faire glisser et déposer Tableau Viz LWC dans la page Lightning pour intégrer une visualisation. Toute vue qui est disponible pour eux sur Tableau Server peut être affichée dans le tableau de bord en entrant l’URL intégrée à la vue.

Lorsque l’authentification unique (SSO) est configurée pour Tableau Viz LWC sur Tableau Server, l’expérience utilisateur est transparente : une fois que l’utilisateur s’est connecté à Salesforce, les vues Tableau intégrées fonctionnent sans authentification supplémentaire sur Tableau Server.

Si SSO n’est pas configuré, les utilisateurs doivent se réauthentifier sur Tableau Server pour afficher les visualisations intégrées depuis Tableau Server.

Exigences

Configuration du workflow d’authentification

Vous serez peut-être amené à effectuer des configurations supplémentaires pour optimiser l’expérience de connexion des utilisateurs souhaitant accéder à Lightning avec des vues Tableau intégrées.

Si vous attachez de l’importance à une expérience utilisateur d’authentification transparente, vous devrez effectuer quelques paramétrages supplémentaires. Dans ce contexte, « transparent » signifie que les utilisateurs accédant à la page Lightning de Salesforce où l’authentification SSO Tableau Viz LWC a été activée, ne seront pas tenus d’effectuer une action pour afficher la vue Tableau intégrée. Dans le scénario transparent, si l’utilisateur est connecté à Salesforce, les vues Tableau intégrées s’affichent sans action supplémentaire de l’utilisateur . Ce scénario est activé par l’authentification dans une trame.

Pour une expérience utilisateur transparente, vous devrez activer l’authentification dans une trame sur Tableau Server et votre IdP. Les sections ci-dessous décrivent comment configurer l’authentification dans une trame.

D’autre part, dans certains cas, les utilisateurs interagissent avec la page Lightning, ce qui les oblige à cliquer sur un bouton « Connexion » pour afficher la vue Tableau intégrée. Ce scénario, dans lequel un utilisateur doit effectuer une autre action pour afficher la vue Tableau intégrée, est appelée authentification contextuelle.

L’authentification contextuelle est l’expérience utilisateur par défaut si vous n’activez pas l’authentification dans une trame.

Activer l’authentification dans une trame sur Tableau Server

Avant d’activer l’authentification dans une trame sur Tableau Server, vous devez avoir déjà configuré et activé SAML sur Tableau Server.

Exécutez les commandes TSM suivantes pour activer l’authentification dans une trame :

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

Remarque : la protection contre les détournements de clics est activée par défaut sur Tableau Server. Lorsque vous activez l’authentification dans une trame, la protection contre les détournements de clics est temporairement désactivée pour la session d’authentification dans une trame. Il est conseillé d’évaluer le risque lié à la désactivation de cette protection. Consultez Protection contre les détournements de clics.

Versions de Tableau Server

Pour bénéficier d’une expérience utilisateur optimale, exécutez la version de maintenance la plus récente de Tableau Server.

Si vous n’exécutez pas la version de maintenance la plus récente et que vos utilisateurs exécutent des navigateurs Chrome pour accéder à Salesforce Lightning, consultez l’article de la base de connaissances de Tableau, Le chargement des vues intégrées échoue après la mise à jour à Chrome 80(Le lien s’ouvre dans une nouvelle fenêtre).

Activer l’authentification dans une trame avec votre fournisseur d’identité SAML

Comme décrit ci-dessus, une expérience utilisateur d’authentification transparente avec Salesforce Mobile nécessite que l’IdP prenne en charge l’authentification dans une trame. Cette fonctionnalité peut également être appelée « intégration d’iframe » ou « protection des trames » du côté de l’IdP.

Domaines de la liste d’autorisations de Salesforce

Dans certains cas, les IdP autorisent uniquement l’activation de l’authentification dans une trame par domaine. Dans ces cas, définissez les domaines génériques Salesforce suivants lorsque vous activez l’authentification dans une trame :

*.force

*.visualforce

IdP Salesforce

L’IdP Salesforce prend en charge par défaut l’authentification dans une trame. Vous n’avez pas besoin d’activer ou de configurer l’authentification dans une trame dans la configuration Salesforce. Vous devez toutefois exécuter la commande TSM sur Tableau Server comme décrit ci-dessus.

IdP Okta

Voir Intégrer Okta dans un iframe dans la rubrique du Centre d’aide Okta Options de personnalisation générales(Le lien s’ouvre dans une nouvelle fenêtre).

IdP Ping

Voir la rubrique de support Ping Comment désactiver l’en-tête « X-Frame-Options=SAMEORIGIN » dans PingFederate(Le lien s’ouvre dans une nouvelle fenêtre).

IdP OneLogin

Voir Protection de trame dans l’article de la Base de connaissances OneLogin Paramètres de compte pour les propriétaires de compte(Le lien s’ouvre dans une nouvelle fenêtre).

ADFS et IdP EntraID

Microsoft a bloqué toute authentification dans une trame et il n’est pas possible de l’activer. Au lieu de cela, Microsoft prend en charge uniquement l’authentification contextuelle dans une deuxième fenêtre. En conséquence, le comportement contextuel peut être bloqué par certains navigateurs, ce qui obligera les utilisateurs à accepter les fenêtres contextuelles pour les sites force.com et visualforce.com.

Application mobile Salesforce

Si vos utilisateurs interagissent principalement avec Lightning sur l’application mobile Salesforce, vous devez être conscient des scénarios suivants :

  • L’application mobile Salesforce exige que vous configuriez SSO/SAML pour afficher une vue Tableau intégrée.
  • L’application mobile Salesforce nécessite une authentification dans une trame. L’authentification contextuelle ne fonctionne pas. Au lieu de cela, les utilisateurs de l’application mobile Salesforce verront le bouton de connexion Tableau mais ne pourront pas se connecter à Tableau.
  • L’application mobile ne fonctionnera pas sur l’IdP Azure AD et ADFS.
  • L’application mobile utilise des jetons OAuth pour activer SSO. Dans certains cas, le jeton OAuth actualise et déconnecte les utilisateurs, ce qui oblige les utilisateurs à se reconnecter. Pour en savoir plus, consultez l’article de la base de connaissances de Tableau, Le composant Tableau Viz Lightning Web sur l’application mobile Salesforce affiche une invite de connexion(Le lien s’ouvre dans une nouvelle fenêtre).
  • Le comportement SSO diffère selon la version de l’application mobile Salesforce (iOS ou Android) et l’IdP :
    IdPSE mobileComportement SSO
    IdP SalesforceAndroidSSO fonctionne au départ, mais les utilisateurs devront se connecter après un certain temps.
    iOS
    IdP externeAndroidSSO ne fonctionne pas. Les utilisateurs devront se connecter manuellement. (SSO doit toujours être configuré pour permettre aux utilisateurs d’accéder aux vues Tableau intégrées).
    iOSSSO fonctionne au départ, mais les utilisateurs devront se connecter après un certain temps.
Merci de vos commentaires !Avis correctement envoyé. Merci