L'authentification vérifie l'identité d'un utilisateur. Tous ceux qui doivent disposer d'un accès à Tableau Server, que ce soit pour gérer le serveur, publier, explorer ou administrer du contenu, doivent être ajoutés en tant qu'utilisateurs dans le référentiel Tableau. La méthode d'authentification peut être effectuée par Tableau Server (« authentification locale »), ou l'authentification peut être effectuée par un processus externe. Dans ce dernier cas, vous devez configurer Tableau Server pour des technologies d'authentification externe telles que Kerberos,
Vous recherchez Tableau Server sur Linux ? Consultez Authentification(Le lien s’ouvre dans une nouvelle fenêtre).
Bien que toutes les identités d'utilisateurs soient au bout du compte représentées et stockées dans le référentiel Tableau Server, vous devez gérer les comptes utilisateur pour Tableau Server dans un magasin d'identités. On distingue deux options de magasins d'identités mutuellement exclusives : LDAP et local. Tableau Server prend en charge les répertoires LDAP arbitraires, mais a été optimisé pour l'implémentation Active Directory LDAP. Alternativement, si vous n'exécutez pas un répertoire LDAP, vous pouvez utiliser le magasin d'identités local Tableau Server. Pour plus d'informations, consultez Magasin d'identités.
Comme montré sur la table suivante, le type de magasin d'identités que vous implémentez déterminera en partie vos options d'authentification.
Magasin d'identités | Mécanisme d'authentification | |||||||
---|---|---|---|---|---|---|---|---|
SAML | de base | SAML pour le site | Connexion | (Windows uniquement) Kerberos automatique Windows (SSPI) | OpenID Connect | Authentification de confiance | SSL mutuel | |
Local | X | X | X | X | X | X | ||
Active Directory | X | X | X | X | X | X | ||
LDAP | X | X | X | X |
Les autorisations d'accès et de gestion sont implémentées via des rôles sur le site. Les rôles sur le site définissent quels utilisateurs sont des administrateurs, et quels utilisateurs sont des consommateurs de contenu et effectuent des publications sur le serveur. Pour plus d'informations sur les administrateurs, rôles sur le site, groupes, utilisateur invité et tâches administratives liées aux utilisateurs, voir Utilisateurs et Rôles sur le site pour les utilisateurs.
Remarque : dans le contexte d'authentification, il est important de comprendre que les utilisateurs ne sont pas autorisés à accéder aux sources de données externes via Tableau Server du fait qu'ils possèdent un compte sur le serveur. En d'autres termes, dans la configuration par défaut, Tableau Server ne joue pas le rôle de proxy pour les sources de données externes. Un accès de ce type nécessite une configuration supplémentaire de la source de données sur Tableau Server ou l'authentification au niveau de la source de données lorsque l'utilisateur se connecte depuis Tableau Desktop.
Compatibilité de l'authentification supplémentaire
Certaines méthodes d'authentification peuvent être utilisées ensemble. Le tableau suivant présente les méthodes d'authentification qui peuvent être combinées. Les cellules marquées d'un « X » indiquent un ensemble d'authentification compatible. Les cellules vides indiquent des ensembles d'authentification incompatibles.
Authentification de confiance | SAML à l'échelle du serveur | SAML pour le site | Connexion | (Windows uniquement) Fenêtres de connexion automatique (SSPI) | SSL mutuel | OpenID Connect | |
Authentification de confiance | N/A | X | X | X | X | X | |
SAML à l'échelle du serveur | X | N/A | X | ||||
SAML pour le site | X | X | N/A | ||||
Kerberos | X | N/A | |||||
Fenêtres de connexion automatique (SSPI) | N/A | ||||||
SSL mutuel | X | N/A | |||||
OpenID Connect | X | N/A |
Compatibilité de l’authentification client
Clients | Mécanisme d'authentification | |||||||
---|---|---|---|---|---|---|---|---|
SAML | de base | SAML pour le site | Connexion | (Windows uniquement) Kerberos automatique Windows (SSPI) | OpenID Connect | Authentification de confiance | SSL mutuel | |
Tableau Desktop | X | X | X | X | X | X | X | |
Tableau Prep | X | X | X | X | X | X | X | |
Tableau Mobile | X | X | X | X (iOS uniquement) | X * | X | X | |
Tabcmd | X | |||||||
Navigateurs Web | X | X | X | X | X | X | X | X |
* SSPI n'est pas compatible avec la version Workspace ONE de l'application Tableau Mobile.
Authentification locale
Si le serveur est configuré pour utiliser l'authentification locale, Tableau Server authentifie les utilisateurs. Lorsque les utilisateurs se connectent et saisissent leurs informations d'identification, via Tableau Desktop, tabcmd, API ou un client Web, Tableau Server vérifie les informations d'identification.
Pour activer ce scénario, vous devez d'abord créer une identité pour chaque utilisateur. Pour créer une identité, vous spécifiez un nom d'utilisateur et un mot de passe. Pour accéder à un contenu sur le serveur ou interagir avec ce contenu, les utilisateurs doivent également se voir attribuer un rôle sur le site. Les identités de l'utilisateur peuvent être ajoutées à Tableau Server dans l'interface du serveur à l'aide de Commandes tabcmd ou de l'API REST(Le lien s’ouvre dans une nouvelle fenêtre).
Vous pouvez également créer des groupes dans Tableau Server pour vous aider à gérer et à attribuer des rôles à des ensembles importants de groupes d'utilisateurs connexes (par exemple "Marketing").
Lorsque vous configurez Tableau Server pour l'authentification locale, vous pouvez définir des stratégies de mot de passe et configurer le verrouillage des comptes en cas de tentatives de mot de passe infructueuses. Consultez Authentification locale.
Remarque : Tableau avec authentification multifacteur (MFA) est disponible uniquement pour Tableau Cloud.
Solutions d'authentification externe
Tableau Server peut être configuré pour utiliser diverses solutions d'authentification externe.
NTLM et SSPI
Si vous configurez Tableau Server pour utiliser Active Directory lors de l'installation, NTLM sera la méthode d'authentification utilisateur par défaut.
Lorsqu'un utilisateur se connecte à Tableau Server depuis Tableau Desktop ou un client Web, les informations d'identification sont transmises à Active Directory, qui les vérifie puis envoie un jeton d'accès à Tableau Server. Tableau Server gère ensuite l'accès utilisateur aux ressources Tableau en fonction des rôles sur le site enregistrés dans le référentiel.
Si Tableau Server est installé sur un ordinateur Windows dans Active Directory, vous avez la possibilité d'activer la connexion automatique. Dans le scénario, Tableau Server utilisera Microsoft SSPI pour connecter automatiquement vos utilisateurs avec leurs nom d'utilisateur et mot de passe Windows. Cette expérience s'apparente à celle d'une signature unique (SSO).
N'activez pas SSPI si vous comptez configurer Tableau Server pour SAML, l'authentification de confiance, un équilibreur de charge ou un serveur proxy. SSPI n'est pas pris en charge dans ces scénarios. Consultez tsm authentication sspi <commands>.
Kerberos
Vous pouvez configurer Tableau Server en vue de l'utilisation de Kerberos pour Active Directory. Consultez Kerberos.
SAML
Vous pouvez configurer Tableau Server de manière à utiliser l'authentification SAML (Security Assertion Markup Language). Avec SAML, un fournisseur d'identité externe (IdP) authentifie les informations d'authentification de l'utilisateur et envoie une assertion de sécurité à Tableau Server qui fournit des informations sur l'identité de l'utilisateur.
Pour plus d'informations, consultez SAML.
OpenID Connect
OpenID Connect est un protocole d'authentification standard qui permet aux utilisateurs de s'authentifier auprès d'un fournisseur d'identité (IdP) tel que Google. Après s'être correctement authentifiés auprès de leur IdP, ils sont automatiquement authentifiés auprès de Tableau Server. Pour pouvoir utiliser OpenID Connect (OIDC) sur Tableau Server, le serveur doit être configuré pour utiliser le magasin d'identités local. Les magasins d'identités Active Directory ou LDAP ne sont pas pris en charge avec OIDC. Pour plus d'informations, voir OpenID Connect.
SSL mutuel
À l'aide de SSL mutuel, vous pouvez fournir aux utilisateurs de Tableau Desktop, Tableau Mobile, et autres clients Tableau approuvés une expérience d'accès direct sécurisé à Tableau Server. Avec SSL mutuel, lorsqu'un client possédant un certificat SSL valide se connecte à Tableau Server, Tableau Server confirme l'existence du certificat client et authentifie l'utilisateur, d'après le nom d'utilisateur sur le certificat client. Si le client ne possède pas un certificat SSL valide, Tableau Server peut refuser la connexion. Pour plus d'informations, consultez Configurer l'authentification SSL mutuel.
Authentification de confiance
L'authentification de confiance (également appelée « Tickets de confiance ») vous permet de configurer une relation de confiance entre Tableau Server et un ou plusieurs serveurs Web. Lorsque Tableau Server reçoit des demandes d'un serveur Web de confiance, il suppose que le serveur Web a vérifié toutes les authentifications nécessaires. Tableau Server reçoit la demande avec un jeton ou ticket échangeable, et offre à l'utilisateur une vue personnalisée qui prend en compte son rôle et ses autorisations. Pour plus d'informations, consultez Authentification de confiance.
LDAP
Vous pouvez également configurer Tableau Server de manière à ce qu'il utilise LDAP pour l'authentification utilisateur. Les utilisateurs sont authentifiés en soumettant leurs informations d'identification à Tableau Server, qui tente ensuite d'effectuer la liaison à l'instance LDAP à l'aide des informations d'identification de l'utilisateur. Si la liaison fonctionne, les informations d'identification sont valides et Tableau Server accorde une session à l'utilisateur.
Une « liaison » est l'étape de poignée de main/d'authentification qui a lieu lorsqu'un client tente d'accéder à un serveur LDAP. Tableau Server effectue cette opération pour lui-même lorsqu'il émet diverses requêtes de non-authentification associées (par exemple l'importation d'utilisateurs et de groupes).
Vous pouvez configurer le type de liaison que Tableau Server doit utiliser lorsque vous vérifiez les informations d'identification de l'utilisateur. Tableau Server prend en charge GSSAPI et la liaison simple. La liaison simple transmet les informations d'identification directement à l'instance LDAP. Nous vous recommandons de configurer SSL pour crypter la communication de liaison. L'authentification dans ce scénario peut être fournie par la solution LDAP native ou avec un processus externe, par exemple SAML.
Pour des informations sur la planification et la configuration de LDAP, consultez Magasin d'identités et Référence de configuration du magasin d’identités externe.
Autres scénarios d'authentification
REST API : Connexion et déconnexion (Authentification)(Le lien s’ouvre dans une nouvelle fenêtre)
Authentification des appareils mobiles : Authentification unique pour Tableau Mobile(Le lien s’ouvre dans une nouvelle fenêtre)
Certificat de confiance pour les clients TSM : Connexion des clients TSM
Accès aux données et authentification de la source
Vous pouvez configurer Tableau Server de manière à ce qu'il prenne en charge plusieurs protocoles d'authentification différents sur plusieurs sources de données différentes. L'authentification de la connexion de données peut être indépendante de l'authentification Tableau Server.
Par exemple, vous pouvez configurer l'authentification utilisateur pour Tableau Server avec l'authentification locale, tout en configurant la délégation Kerberos, OAuth ou l'authentification SAML pour des sources de données spécifiques. Consultez Authentification de la connexion de données.