Configuration de SAML avec AD FS


Vous pouvez configurer Active Directory Federation Services (AD FS) en tant que fournisseur d’identité SAML et ajouter Tableau Cloud à vos applications d’authentification unique prises en charge. Lorsque vous intégrez AD FS avec SAML et Tableau Cloud, vos utilisateurs peuvent se connecter à Tableau Cloud en utilisant leurs identifiants réseau standard.

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
  • À compter de février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.
  • L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau Cloud.

Conditions préalables

Avant que vous puissiez configurer Tableau Cloud et SAML avec AD FS, votre environnement doit se présenter ainsi :

  • Serveur exécutant Microsoft Windows Server 2008 R2 (ou ultérieur) avec AD FS 2.0 (ou ultérieur) et IIS installés.

  • Nous vous recommandons de sécuriser votre serveur AD FS (par exemple, en utilisant un proxy inverse). Lorsque votre serveur AD FS est accessible en dehors de votre pare-feu, Tableau Cloud peut rediriger les utilisateurs vers la page de connexion hébergée par AD FS.

  • Un compte d’administrateur de site qui utilise Tableau avec l’authentification MFA. Si l’authentification unique SAML échoue, vous pouvez toujours vous connecter à Tableau Cloud en tant qu’administrateur de site.

Étape 1 : Prise en main

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- page nouvelle configuration

    Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Dans AD FS, procédez comme suit :

Procédez comme suit pour exporter les métadonnées AD FS que vous importerez dans Tableau Cloud. Vous allez également vous assurer que les métadonnées sont correctement configurées et encodées pour Tableau Cloud, et vérifier les exigences AD FS pour votre configuration SAML.

  1. Exportez les métadonnées AD FS Federation dans un fichier XML, puis téléchargez le fichier depuis https://<nom du serveur adfs>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Ouvrez le fichier de métadonnées dans un éditeur de texte tel que Sublime Text ou Notepad++, et vérifiez qu’il est correctement encodé comme UTF-8 sans BOM.

    Si le fichier affiche un autre type d’encodage, enregistrez-le à partir de l’éditeur de texte avec l’encodage correct.

  3. Vérifiez que AD FS utilise l’authentification basée sur les formulaires. Les connexions se faisant dans une fenêtre du navigateur, vous devez utiliser AD FS pour activer ce type d’authentification par défaut.

    Modifiez c :\inetpub\adfs\ls\web.config, recherchez la balise , et déplacez la ligne pour qu’elle apparaisse en premier dans la liste. Enregistrez le fichier pour que IIS puisse automatiquement le recharger.

    Remarque : si vous ne voyez pas le fichier c :\inetpub\adfs\ls\web.config, IIS n’est pas installé ni configuré sur votre serveur AD FS.

  4. Configurez un autre identificateur de partie de confiance AD FS. Cela permet à votre système de contourner n’importe quel problème AD FS avec une déconnexion SAML.

    Effectuez l’une des actions suivantes :

    Windows Server 2008 R2 :

    1. Dans AD FS 2.0, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, et cliquez sur Propriétés.

    2. Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername>/public/sp/metadata puis cliquez sur Ajouter.

    Windows Server 2012 R2 :

    1. Dans Gestion AD FS, dans la liste Approbations de partie de confiance, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, et cliquez sur Propriétés.

    2. Sur l’onglet Identificateurs, dans la zone Identificateur de la partie de confiance, entrez https://<tableauservername/public/sp/metadata puis cliquez sur Ajouter.

Étape 2 : Configurer SAML dans Tableau Cloud

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML dans AD FS, comme décrit dans la section ci-dessus.

  1. Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 2. Téléversez les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML (FederationMetadata.xml) que vous avez exporté depuis AD FS. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.

  2. Ignorez l’étape 3. Mappez les attributs, car vous allez créer une règle de revendication dans ADFS pour mapper les noms d’attributs à ce que Tableau Cloud attend dans la section ci-dessous.

  3. À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré.

  4. Cliquez sur le bouton Enregistrer et continuer.

  5. À l’étape 5. Obtenir les métadonnées de Tableau Cloud, cliquez sur le bouton Exporter les métadonnées et enregistrez le fichier de métadonnées sur votre ordinateur.

    Par défaut, le nom de fichier est saml_sp_metadata.xml.

Étape 3. Configurer l’application Tableau Cloud dans votre fournisseur d’identité

La configuration d’AD FS de manière à accepter les demandes de connexion Tableau Cloud est un processus à plusieurs étapes qui commence par l’importation du fichier de métadonnées Tableau Cloud dans AD FS.

  1. Effectuez l’une des opérations suivantes pour ouvrir l’Assistant Ajout d’approbation de partie de confiance :

    2. Windows Server 2008 R2 :

    1. Sélectionnez Menu Démarrer > Outils d’administration> AD FS 2.0.

    2. Dans AD FS 2.0, sous Relations d’approbation, faites un clic droit sur le dossier Approbations de partie de confiance, puis cliquez sur Ajouter l’approbation de partie de confiance.

    Windows Server 2012 R2 :

    1. Ouvrez Gestionnaire de serveur, puis dans le menu Outils, cliquez sur Gestion AD FS.

    2. Dans Gestion AD FS, dans le menu Action, cliquez sur Ajouter l’approbation de partie de confiance.

  2. Dans la boîte Assistant Ajout d’approbation de partie de confiance, cliquez sur Démarrer.

  3. Dans la page Sélectionner une source de données, sélectionnez Importer les données concernant la partie de confiance à partir d’un fichier, puis cliquez sur Parcourir pour rechercher le fichier de métadonnées Tableau Cloud.

    Par défaut, le nom de fichier est saml_sp_metadata.xml.

  4. Cliquez sur Suivant, et dans la page Spécifier un nom d’affichage, entrez un nom et une description pour l’approbation de la partie de confiance dans les zones Nom d’affichage et Remarques.

  5. Cliquez sur Suivant pour ignorer la page Configurer l’authentification multifacteur maintenant.

  6. Cliquez sur Suivant pour ignorer la page Choisir les règles d’autorisation d’émission.

  7. Cliquez sur Suivant pour ignorer la page Prêt à ajouter l’approbation.

  8. Dans la page Terminer, sélectionnez la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l’assistant se ferme, puis cliquez sur Fermer.

Ensuite, vous utiliserez la boîte de dialogue Modifier les règles de revendication pour ajouter une règle vérifiant que les assertions envoyées par AD FS correspondent aux assertions attendues par Tableau Cloud. Tableau Cloud a besoin d’un nom d’utilisateur au minimum (dans un format d’adresse de courriel). Cependant, en ajoutant le nom et le prénom en plus de l’adresse de courriel, vous garantissez que les noms d’utilisateur affichés dans Tableau Cloud sont identiques à ceux de votre compte AD.

  1. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.

  2. Dans la page Choisir le type de règle, pour Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.

  3. Dans la page Configurer une règle de revendication, dans Nom de la règle de revendication, donnez à la règle un nom qui vous paraît logique.

  4. Dans Magasin d’attributs, sélectionnez Active Directory, terminez le mappage comme indiqué ci-dessous, puis cliquez sur Terminer.

    5. Le mappage est sensible à la casse et nécessite une orthographe exacte, vérifiez donc votre saisie par deux fois. Le tableau ci-dessous montre les attributs communs et les mappages de revendications. Vérifiez les attributs avec votre configuration Active Directory spécifique.

    Remarque : Tableau Cloud requiert l’attribut NameID dans la réponse SAML. Vous pouvez fournir d’autres attributs pour mapper les noms d’utilisateur dans Tableau Cloud, mais le message de réponse doit inclure l’attribut NameID.

    Attribut LDAPType de revendication envoyée

    Selon la version d’AD FS :

    Utilisateur-Nom-Principal
    ou
    Adresses de courriel

     

    email
    ou
    Adresse de courriel

    PrénomPrénom
    SurnomNom

Si vous exécutez AD FS 2016 ou une version ultérieure, vous devez alors ajouter une règle pour passer en revue toutes les valeurs de revendication. Si vous utilisez une ancienne version d’AD FS, passez à la procédure suivante pour exporter les métadonnées AD FS.

  1. Cliquez sur Ajouter une règle.
  2. Sous Modèle de règle de revendication, sélectionnez Transférer ou Filtrer une revendication entrante.
  3. Sous Nom de la règle de revendication, saisissez Windows.
  4. Dans la fenêtre contextuelle Modifier la règle - Windows :
    • Sous Type de revendication entrante, sélectionnez Nom du compte Windows.
    • Sélectionnez Transférer toutes les valeurs de revendication.
    • Cliquez sur OK.

Dans Tableau Cloud, procédez comme suit :

  1. Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 3. Mappez les attributs, remplissez les valeurs de revendication d’AD FS dans Tableau Cloud.

  2. Cliquez sur le bouton Enregistrer et continuer.

Étape 4 : Tester la configuration SAML dans Tableau Cloud

  1. Dans Tableau Cloud, ajoutez un exemple d’utilisateur à AD FS et à Tableau Cloud pour tester la configuration SAML. Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.

  2. Revenez à la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà provisionné dans l’IdP et ajouté à votre Tableau Cloud avec le type d’authentification SAML configuré.

Étape 5 : Ajouter des utilisateurs à un site Tableau Cloud compatible SAML

Procédez comme suit pour ajouter des utilisateurs supplémentaires à votre site. Les procédure décrite dans cette section sont effectuée sur la page Utilisateurs de Tableau Cloud.

  1. Une fois les étapes ci-dessus terminées, dans le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site. Vous pouvez également ajouter des utilisateurs à l’aide d’un fichier .csv en suivant la procédure décrite dans la rubrique Importer des utilisateurs.

Exigences supplémentaires et astuces pour la prise en charge de SAML avec AD FS

  • Après avoir configuré l’intégration SAML entre AD FS et Tableau Cloud, vous devez mettre à jour Tableau Cloud de manière à refléter les modifications utilisateur spécifiques que vous apportez dans Active Directory, par exemple l’ajout ou la suppression d’utilisateurs.

    Vous pouvez ajouter des utilisateurs automatiquement ou manuellement :

    • Pour ajouter des utilisateurs automatiquement : Créez un script (à l’aide de PowerShell, Python ou d’un fichier de commandes) pour distribuer les modifications AD sur Tableau Cloud. Le script peut utiliser la commande tabcmd ou l’API REST pour interagir avec Tableau Cloud.

    • Pour ajouter des utilisateurs manuellement : Connectez-vous à l’interface utilisateur Web de Tableau Cloud, accédez à la page Utilisateurs, cliquez sur Ajouter des utilisateurs, et entrez les noms d’utilisateur des utilisateurs ou téléversez un fichier CSV contenant leurs informations.

    Remarque : si vous souhaitez supprimer un utilisateur mais conserver les ressources de contenu qu’il possède, modifiez le propriétaire du contenu avant de supprimer l’utilisateur. La suppression d’un utilisateur entraîne également la suppression du contenu qu’il possède.

  • Dans Tableau Cloud, le nom d'utilisateur d’un utilisateur est son identifiant unique. Comme décrit dans les étapes de configuration d’AD FS pour l’acceptation des demandes Tableau Cloud, les noms d’utilisateur des utilisateurs Tableau Cloud doivent correspondre à l'du nom d’utilisateur enregistrée dans AD.

  • Dans Étape 3. Configurer l’application Tableau Cloud dans votre fournisseur d’identité, vous avez ajouté une règle de revendication dans AD FS afin que les attributs de prénom, de nom et l’ de l’utilisateur correspondent entre AD FS et Tableau Cloud. Sinon, vous pouvez utiliser l’étape 5. L’option Mapper les attributs dans Tableau Cloud produit le même effet.

Retour en haut