Configurer SAML avec AD FS sur Tableau Server
Vous pouvez configurer Active Directory Federation Services (AD FS) en tant que fournisseur d’identité SAML et ajouter Tableau Server à vos applications d’authentification unique prises en charge. Lorsque vous intégrez AD FS avec SAML et Tableau Server, vos utilisateurs peuvent se connecter à Tableau Server en utilisant leurs identifiants réseau standard.
Conditions préalables
Avant que vous puissiez configurer Tableau Server et SAML avec AD FS, votre environnement doit se présenter ainsi :
Serveur exécutant Microsoft Windows Server 2008 R2 (ou ultérieur) avec AD FS 2.0 (ou ultérieur) et IIS installés.
Nous vous recommandons de sécuriser votre serveur AD FS (par exemple, en utilisant un proxy inverse). Lorsque votre serveur AD FS est accessible en dehors de votre pare-feu, Tableau Server peut rediriger les utilisateurs vers la page de connexion hébergée par AD FS.
Certificat SSL crypté à l’aide du cryptage SHA-2 (256 ou 512 bits) et répondant aux exigences supplémentaires énumérées dans les sections suivantes :
Étape 1 : Vérifier la connexion SSL à AD FS
AD FS nécessite une connexion SSL. Si vous ne l’avez pas encore fait, effectuez les étapes décrites dans Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server, en utilisant un certificat répondant aux exigences spécifiées ci-dessus.
Alternativement, si Tableau Server est configuré pour fonctionner avec un proxy inverse ou un équilibreur de charge sur lequel SSL est terminé (communément appelé déchargement de SSL), alors vous n’avez pas besoin de configurer SSL externe.
Étape 2: Configurer SAML sur Tableau Server
Effectuez les étapes décrites dans Configurer SAML à l’échelle du serveur en téléchargeant les métadonnées Tableau Server dans un fichier XML. À ce stade, revenez ici et passez à la section suivante.
Étape 3 : Configurer AD FS pour accepter les demandes de connexion de Tableau Server
Remarque : Cette procédure concerne une application tierce et est susceptible de modification à notre insu.
La configuration d’AD FS de manière à accepter les demandes de connexion Tableau Server est un processus à plusieurs étapes qui commence par l’importation du fichier de métadonnées XML Tableau Server dans AD FS.
Effectuez l’une des opérations suivantes pour ouvrir l’Assistant Ajout d’approbation de partie de confiance :
Sélectionnez Menu Démarrer > Outils d’administration> AD FS 2.0.
Dans AD FS 2.0, sous Relations d’approbation, faites un clic droit sur le dossier Approbations de partie de confiance, puis cliquez sur Ajouter l’approbation de partie de confiance.
Ouvrez Gestionnaire de serveur, puis dans le menu Outils, cliquez sur Gestion AD FS.
Dans Gestion AD FS, dans le menu Action, cliquez sur Ajouter l’approbation de partie de confiance.
Dans la boîte Assistant Ajout d’approbation de partie de confiance, cliquez sur Démarrer.
Dans la page Sélectionner une source de données, sélectionnez Importer les données concernant la partie de confiance à partir d’un fichier, puis cliquez sur Parcourir pour rechercher le fichier de métadonnées XML Tableau Server. Par défaut ce fichier est appelé samlspmetadata.xml.
Cliquez sur Suivant, et dans la page Spécifier un nom d’affichage, entrez un nom et une description pour l’approbation de la partie de confiance dans les zones Nom d’affichage et Remarques.
Cliquez sur Suivant pour ignorer la page Configurer l’authentification multifacteur maintenant.
Cliquez sur Suivant pour ignorer la page Choisir les règles d’autorisation d’émission.
Cliquez sur Suivant pour ignorer la page Prêt à ajouter l’approbation.
Dans la page Terminer, sélectionnez la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l’assistant se ferme, puis cliquez sur Fermer.
Windows Server 2008 R2 :
Windows Server 2012 R2 :
Ensuite, vous utiliserez la boîte de dialogue Modifier les règles de revendication pour ajouter une règle vérifiant que les assertions envoyées par AD FS correspondent aux assertions attendues par Tableau Server. Tableau Server a besoin d’une adresse e-mail au minimum. Cependant, en ajoutant le nom et le prénom en plus de l’adresse e-mail, vous garantissez que les noms d’utilisateur affichés dans Tableau Server sont identiques à ceux de votre compte AD.
Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
Dans la page Choisir le type de règle, pour Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
Dans la page Configurer une règle de revendication, dans Nom de la règle de revendication, donnez à la règle un nom qui vous paraît logique.
Dans Magasin d’attributs, sélectionnez Active Directory, terminez le mappage comme indiqué ci-dessous, puis cliquez sur Terminer.
Le mappage est sensible à la casse et nécessite une orthographe exacte, vérifiez donc votre saisie par deux fois. Le tableau ci-dessous montre les attributs communs et les mappages de revendications. Vérifiez les attributs avec votre configuration Active Directory spécifique.
Attribut LDAP | Type de revendication envoyée |
---|---|
Nom-Compte-SAM | ID de nom |
Nom-Compte-SAM | username |
Prénom | Prénom |
Surnom | Nom |
Si vous exécutez AD FS 2016 ou une version ultérieure, vous devez alors ajouter une règle pour passer en revue toutes les valeurs de revendication. Si vous utilisez une ancienne version d’AD FS, passez à la procédure suivante pour exporter les métadonnées AD FS.
- Cliquez sur Ajouter une règle.
- Sous Modèle de règle de revendication, sélectionnez Transférer ou Filtrer une revendication entrante.
- Sous Nom de la règle de revendication, saisissez Windows.
- Dans la fenêtre contextuelle Modifier la règle - Windows :
- Sous Type de revendication entrante, sélectionnez Nom du compte Windows.
- Sélectionnez Transférer toutes les valeurs de revendication.
- Cliquez sur OK.
Vous allez maintenant exporter les métadonnées AD FS que vous importerez ultérieurement dans Tableau Server. Vous allez également vous assurer que les métadonnées sont correctement configurées et encodées pour Tableau Server, et vérifier les exigences AD FS pour votre configuration SAML.
Exportez les métadonnées AD FS Federation dans un fichier XML puis téléchargez le fichier depuis https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.
Ouvrez le fichier de métadonnées dans un éditeur de texte tel que Sublime Text ou Notepad++, et vérifiez qu’il est correctement encodé comme UTF-8 sans BOM.
Si le fichier affiche un autre type d’encodage, enregistrez-le à partir de l’éditeur de texte avec l’encodage correct.
Vérifiez que AD FS utilise l’authentification basée sur les formulaires. Les connexions se faisant dans une fenêtre du navigateur, vous devez utiliser AD FS pour activer ce type d’authentification par défaut.
Modifiez c:\inetpub\adfs\ls\web.config, recherchez la balise , et déplacez la ligne pour qu’elle apparaisse en premier dans la liste. Enregistrez le fichier pour que IIS puisse automatiquement le recharger.
Remarque : si vous ne voyez pas le fichier c:\inetpub\adfs\ls\web.config, IIS n’est pas installé ni configuré sur votre serveur AD FS.
(Facultatif) Cette étape est uniquement requise si AD FS est configuré en tant que IdP pour SAML spécifique à un site. Cette étape n’est pas requise si AD FS est configuré en tant que IDP pour SAML à l’échelle du serveur.
Configurez un autre identificateur de partie de confiance AD FS. Cela permet à votre système de contourner n’importe quel problème AD FS avec une déconnexion SAML.
Effectuez l’une des actions suivantes :
Windows Server 2008 R2 :
Dans AD FS 2.0, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Server, et cliquez sur Propriétés.
Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername>/public/sp/metadata puis cliquez sur Ajouter.
Windows Server 2012 R2 :
Dans Gestion AD FS, dans la liste Approbations de partie de confiance, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Server, et cliquez sur Propriétés.
Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername/public/sp/metadata puis cliquez sur Ajouter.
Remarque : AD FS peut être utilisé avec Tableau Server pour une seule partie se fiant à la même instance. AD FS ne peut pas être utilisé pour plusieurs parties se fiant à la même instance, par exemple, plusieurs sites SAML de site ou plusieurs configurations SAML de serveur et de site.
Étape 4 : Fournir les métadonnées AD FS à Tableau Server
Revenez à l’interface utilisateur Web TSM et accédez à l’onglet Configuration > Identité de l’utilisateur et accès > Méthode d’authentification.
À l’étape 4 de la procédure de configuration SAML, entrez l’emplacement du fichier XML que vous avez exporté depuis AD FS, et sélectionnez Charger.
Effectuez les étapes restantes (faire correspondre les assertions et spécifier le type d’accès au client) comme indiqué dans Configurer SAML à l’échelle du serveur.
Enregistrez et appliquez les modifications.
Effectuez les étapes suivantes si ce n’est pas la première fois que vous configurez SAML :
Arrêtez Tableau Server, ouvrez l’interface en ligne de commande TSM et exécutez les commandes suivantes :
tsm configuration set -k wgserver.saml.sha256 -v true
tsm authentication saml configure -a -1
Appliquez les modifications :
tsm pending-changes apply
Si les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.