Gestion des utilisateurs dans un déploiement Active Directory

Cette rubrique fournit des informations techniques importantes avec lesquelles vous devriez vous familiariser si vous utilisez Active Directory pour authentifier les utilisateurs pour Tableau Server. Cette rubrique suppose que vous êtes familier de la gestion des utilisateurs Active Directory et que vous connaissez les concepts de base de domaine et de schéma Active Directory.

Si vous effectuez l'installation dans Active Directory, vous devez installer Tableau Server sur un ordinateur lié au domaine Active Directory.

Authentification des utilisateurs Active Directory et Tableau Server

Tableau Server stocke tous les noms d'utilisateur dans le magasin d'identités Tableau Server, qui est gérée par le référentiel. Si Tableau Server est configuré pour utiliser Active Directory pour l'authentification, l'utilisateur que vous spécifiez est importé à partir d'Active Directory dans le magasin d'identités. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d’identification sont transmises à Active Directory, qui prend la responsabilité de l'authentification de l'utilisateur ; Tableau Server n'effectue pas cette authentification. (Par défaut, NTLM est utilisé pour l'authentification, mais vous pouvez activer Kerberos ou SAML pour la fonctionnalité de connexion unique. Cependant, dans tous ces cas, l'authentification est laissé à Active Directory.) Cependant, les noms d'utilisateur Tableau stockés dans le magasin d'identités sont associés avec des droits et des autorisations pour Tableau Server. Donc, une fois l'authentification vérifiée, Tableau Server gère l'accès de l'utilisateur (autorisation) pour les ressources Tableau.

Atttributs du nom d'utilisateur Active Directory et Tableau Server

Active Directory identifie de façon unique les objets utilisateur à l'aide de différents attributs. (Pour des détails, consultez Attributs de nom utilisateur sur le site Web MSDN .) Tableau Server repose sur deux attributs de nom utilisateur d'Active Directory :

  • sAMAccountName. Cet attribut spécifie le nom de connexion qui était à l'origine conçu pour une utilisateur avec des versions plus anciennes de Windows Dans de nombreuses organisations, ce nom est associé avec le nom NetBIOS pour l'authentification, à un format tel que example\jsmith, où example correspond au nom NetBIOS et jsmith à la valeur sAMAccountName. En raison du concept original dans Windows, la valeur sAMAccountName doit être inférieure à 20 caractères.

    Dans la console administrative Ordinateurs et utilisateurs Active Directory de Windows, cette valeur se trouve dans le champ appel Nom d'ouverture de session de l'utilisateur (avant Windows 2000) sur l'onglet Compte de l'objet utilisateur.

  • userPrincipalName (UPN). Cet attribut spécifie un nom d'utilisateur dans le format jsmith@example.comjsmith est le préfixe UPN et @example.com le suffixe UPN.

    Dans la console administrative Utilisateurs et ordinateurs de Windows, le nom UPN est la concaténation de deux champs de l'onglet Compte de l'objet utilisateur: le champ Nom d'ouverture de session de l'utilisateur et la liste déroulante de domaine à côté.

Ajout d'utilisateurs d'Active Directory

Vous pouvez ajouter utilisateurs individuellement d'Active Directory, soit en les saisissant dans l'environnement de serveur ou en créant un fichier CSV et en important les utilisateurs. Vous pouvez également ajouter des utilisateurs Active Directory en créant un groupe via Active Directory et en important tous les utilisateurs du groupe. Le résultat peut être différent suivant l'approche que vous utilisez.

Ajout d'utilisateurs individuellement

Dans la plupart des cas, Tableau Server utilise la valeur sAMAccountName pour le nom d'utilisateur. Lorsque vous importez des utilisateurs individuellement d'Active Directory (soit en saisissant leurs noms ou en utilisant un fichier CSV), Tableau interroge Active Directory avec le nom d'utilisateur que vous fournissez. Si une correspondance est trouvée alors ce nom est importé dans Tableau Server et il devient le nom que l'utilisateur entre pour se connecter à Tableau Server.

Le nom d'utilisateur que Tableau Server importera dans le magasin d'identités sera la valeur sAMAccountName, à moins que l'une des conditions suivantes ne soit vraie : 

  • Si le nom d’utilisateur que vous spécifiez contient plus de 20 caractères et correspond au préfixe UPN.

  • Si le nom d’utilisateur que vous spécifiez contient un caractère @ indépendant du caractère @ qui sépare la chaîne de nom d’utilisateur de la chaîne de domaine, par exemple user@name@domain.lan, .

Si le nom d'utilisateur que vous entrez satisfait une de ces conditions, Tableau importe l'attribut userPrincipalName, qui devient le nom d'utilisateur de connexion à Tableau.

Si vous entrez un nom d'utilisateur non conforme à ces exigences, la valeur sAMAccountName sera utilisée. Par exemple, si vous saisissez jsmith@example.lan et que le compte existe dans le domaine, le nom d'utilisateur sera importé en tant que jsmith, parce que le nom d'utilisateur que vous entrez ne répond pas à l'une ou l'autre de ces exigences. Pour créer un nom de connexion pour le nom jsmith@example.lan, vous devez entrer le nom d'utilisateur jsmith@example.lan@example.lan ou example.lan\jsmith@example.lan.

Si les noms d'utilisateurs sont importés par erreur à l'aide des noms UPN, vous pouvez supprimer les comptes dans Tableau Server, puis réimporter ces comptes à l'aide de la valeur sAMAccountName pour le nom d'utilisateur, comme indiqué dans Nom d'ouverture de session de l'utilisateur (avant Windows 2000)) dans la console administrative Ordinateurs et utilisateurs Active Directory de Windows.

Ajouter des groupes d'utilisateurs

Si vous importez un groupe d'utilisateurs Active Directory, Tableau importera tous les utilisateurs du groupe avec le sAMAccountName.

Comportement de synchronisation lors de la suppression d'utilisateurs d'Active Directory

Les utilisateurs ne peuvent pas être supprimés automatiquement de Tableau Server via une opération de synchronisation Active Directory. Les utilisateurs qui sont désactivés, supprimés ou retirés des groupes dans Active Directory restent sur Tableau Server si bien que vous pouvez vérifier et réattribuer le contenu des utilisateurs avant de supprimer définitivement le compte d'utilisateur.

Par contre, Tableau Server agira sur les objets utilisateur différemment selon le statut des changements de cet objet utilisateur dans Active Directory. Deux scénarios peuvent se présenter : suppression/désactivation des utilisateurs d'Active Directory ou suppression des utilisateurs de groupes synchronisés d'Active Directory.

Lorsque vous supprimez ou désactivez un utilisateur d'Active Directory puis que vous le synchronisez avec le groupe de cet utilisateur sur Tableau Server, ceci se produit :

  • L'utilisateur est supprimé du groupe Tableau Server que vous avez synchronisé.
  • Le rôle de l'utilisateur est défini sur « sans licence ».
  • L'utilisateur appartient toujours au groupe Tous les utilisateurs.
  • L'utilisateur ne parvient pas à se connecter à Tableau Server.

Lorsque vous supprimez un utilisateur d'un groupe d'Active Directory puis que vous synchronisez ce groupe sur Tableau Server, ceci se produit :

  • L'utilisateur est supprimé du groupe Tableau Server que vous avez synchronisé.
  • Le rôle de l'utilisateur est conservé. Il n'est pas défini sur « sans licence ».
  • L'utilisateur appartient toujours au groupe Tous les utilisateurs.
  • L'utilisateur dispose toujours d'autorisation pour Tableau Server avec un accès à tout ce que le groupe Tous les utilisateurs est autorisé à utiliser.

Dans les deux cas, pour supprimer complètement l'utilisateur de Tableau Server, l'administrateur de serveur doit supprimer l'utilisateur de la page Utilisateurs de serveur dans Tableau Server.

Surnoms de domaine

Dans Tableau Server, le surnom du domaine correspond au nom de domaine NetBIOS de Windows. Dans une forêt Windows Active Directory, le nom de domaine qualifié complet (FQDN) peut être n'importe quel nom NetBIOS. Le nom NetBIOS est utilisé comme identifiant de domaine lorsqu'un utilisateur se connecte à des ressources Active Directory.

Par exemple le FQDN west.na.corp.lan pourrait être configuré avec le nom NetBIOS (surnom) SEATTLE. L'utilisateur jsmith de ce domaine peut se connecter avec un des noms suivants :

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Si vous souhaitez que vos utilisateurs se connectent à Tableau Server avec un nom NetBIOS au lieu du FQDN, vous devrez alors vérifier que la valeur du surnom pour chaque domaine où la connexion des utilisateurs est définie. Consultez editdomain pour des informations sur la manière d'afficher et de définir la valeur du surnom pour chaque domaine.

Prise en charge de plusieurs domaines

Vous pouvez ajouter des utilisateurs d'un domaine différent du domaine de l'ordinateur dans les cas suivants :

  • La confiance réciproque entre le domaine du serveur et un autre domaine a été établie.

  • Le domaine du serveur fait confiance au domaine des utilisateurs (confiance réciproque). Voir Conditions d'approbation d'un domaine.

Lors du premier ajout d'un utilisateur à partir du domaine n'appartenant pas au serveur, utilisez le nom de domaine qualifié complet avec le nom d'utilisateur. Tout utilisateur supplémentaire que vous ajoutez de ce domaine peut être ajouté à l'aide du surnom de domaine, à condition que le surnom corresponde au nom NetBIOS.

Surnoms en double

Si les surnoms des utilisateurs ne sont pas uniques sur plusieurs domaines, la gestion des utilisateurs ayant le même surnom dans Tableau peut être source de confusion. Tableau Server affichera le même nom pour deux utilisateurs. Prenons l'exemple d'une entreprise disposant de deux domaines, exemple.lan et exemple2.lan. Si l'utilisateur Marc Dupont existe dans les deux domaines, l'ajout de cet utilisateur à des groupes et à d'autres tâches administratives prêtera à confusion dans Tableau Server. Dans ce cas de figure, envisagez de mettre à jour le surnom dans Active Directory pour l'un des utilisateurs afin de différencier les comptes.

Connectez-vous à Tableau Server avec le nom NetBIOS.

Les utilisateurs peuvent se connecter à Tableau Server à l'aide du surnom de domaine (nom NetBIOS), par exemple, SEATTLE\jsmith.

Tableau Server ne peut pas interroger le nom NetBIOS pour un FQDN donné. Par conséquent, Tableau définit le surnom d'un FQDN donné selon la première entrée dans l'espace de nom. Par exemple, avec le FQDN west.na.corp.lan , Tableau définit le surnom sur west.

Par conséquent, vous devrez peut-être modifier le surnom du domaine dans Tableau Server pour que les utilisateurs puissent se connecter avec. Si vous ne mettez pas à jour le surnom, les utilisateurs devront se connecter avec le nom de domaine qualifié complet FQDN. Pour plus d'informations, consultez Utilisateurs d'un nouveau domaine incapables de se connecter et n'apparassant pas dans la liste des utilisateurs dans la base de connaissances de Tableau.

Merci de vos commentaires ! Erreur lors de la soumission de votre commentaire. Réessayez ou envoyez-nous un message.