Configuration de SAML avec Okta


Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour votre site Tableau Cloud. Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L'intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification à notre insu. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
  • À compter de février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.
  • L’ordre des étapes de configuration du fournisseur d’identité peut être différent de ce qui apparaît dans Tableau Cloud.

Étape 1 : Prise en main

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- page nouvelle configuration

    Remarque : Il est impossible de renommer les configurations créées avant novembre 2024 (Tableau 2024.3).

Dans la console administrateur Okta, procédez comme suit : 

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre de navigateur et connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Parcourir le catalogue d’applications.

  3. Recherchez et cliquez sur « Tableau Cloud », puis cliquez sur le bouton Ajouter une intégration. L’onglet Paramètres généraux s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, modifiez le nom du site dans le champ Étiquette d’application pour vous aider à différencier les instances de vos applications Tableau Cloud.

  5. Accédez à l’onglet Se connecter, cliquez sur Modifier, et procédez comme suit :

    1. Sous Détails des métadonnées, copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant “metadata.xml” par défaut.

Étape 2 : Configurer SAML dans Tableau Cloud

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML dans Okta, comme décrit dans la section ci-dessus.

  1. Retournez à Tableau Cloud, à la page Nouvelle configuration, sous 2. Téléverser les métadonnées vers Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs de l’ID d’entité du fournisseur d’identité et de URL de l’authentification unique sont remplies automatiquement.

  2. Mappez les noms d'attributs (assertions) sous 3. Mapper les attributs avec les noms d’attributs correspondants (assertions) dans la page Mappages de profils d’utilisateurs Tableau Cloud de la console administrateur Okta.

  3. À l’étape 4. Choisir la valeur par défaut pour les vues intégrées (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration d’iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer l’application Tableau Cloud dans votre fournisseur d’identité

La procédure de cette section utilisera les informations décrites dans 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat dans la page Nouvelle configuration de Tableau Cloud.

  1. Dans la console administrateur Okta, cliquez sur l'icône Affectations pour ajouter vos utilisateurs ou vos groupes.

  2. Lorsque vous avez terminé, cliquez sur Terminé.

  3. Cliquez sur l’onglet Se connecter et dans la section Paramètres, cliquez sur Modifier.

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Activer la déconnexion unique.

    2. Copiez la valeur « URL de déconnexion unique » à partir du fichier de métadonnées de Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’information, consultez Configurer la déconnexion unique en utilisant SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances de Tableau.

    3. Dans la zone de texte Paramètres de connexion avancés, entrez la valeur que vous avez copiée à l’étape b.

    4. À côté de Certificat de signature, cliquez sur le bouton Parcourir et accédez au fichier de certificat que vous avez téléchargé dans la section ci-dessus.

    5. Sélectionnez le fichier et cliquez sur le bouton Téléverser.

    6. Lorsque vous avez terminé, cliquez sur Enregistrer.

  5. Sélectionnez Applications> Applications, cliquez sur l’application Tableau Cloud, sélectionnez l’onglet Se connecter et procédez comme suit :

    1. Cliquez sur Modifier.

    2. Sous Paramètres de connexion avancés, dans la zone de texte ID d’entité Tableau Cloud de la console administrateur Okta, collez la valeur ID d’entité Tableau Cloud à partir de Tableau Cloud.

    3. Dans la zone de texte URL ACS Tableau Cloud de la console administrateur Okta, collez la valeur URL ACS Tableau Cloud à partir de Tableau Cloud.

    Remarque : Les paramètres de configuration SAML Tableau Cloud apparaissent dans un ordre différent de celui de la page paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL ACS Tableau Cloud sont saisis dans les champs correspondants d’Okta.

  6. Lorsque vous avez terminé, cliquez sur Enregistrer.

Étape 4 : Tester la configuration SAML dans Tableau Cloud

Dans Okta, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à Okta et attribuez-le à l’application Tableau Cloud.

Dans Tableau Cloud, procédez comme suit :

  1. Ajoutez cet utilisateur Okta à Tableau Cloud pour tester la configuration SAML. Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.

  2. Sur la page Nouvelle configuration, à la 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Tester la connexion permet de s’assurer que vous avez configuré SAML correctement avant de modifier le type d’authentification de vos utilisateurs vers SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur avec lequel vous pouvez vous connecter et qui est déjà provisionné dans l’IdP et ajouté à votre Tableau Cloud avec le type d’authentification SAML configuré.

Remarque : Si la connexion échoue, envisagez de conserver tel quel l’attribut NameID dans Tableau.

Étape 5 : Ajouter des utilisateurs à un site Tableau Cloud compatible SAML

Si vous envisagez d’utiliser SCIM pour mettre en service vos utilisateurs depuis Okta, n’ajoutez pas manuellement vos utilisateurs à Tableau Cloud. Pour plus d’informations, consultez Configurer Configurer SCIM avec Okta. Si vous n’utilisez pas SCIM, suivez les étapes ci-dessous pour ajouter des utilisateurs supplémentaires à votre site.

La procédure décrite dans cette section est effectuée sur la page Utilisateurs de Tableau Cloud.

  1. Une fois les étapes ci-dessus terminées, dans le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site.

À propos de l’activation de l’intégration d’iFrame

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta pour permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour les visualisations intégrées. L’intégration des trames en ligne peut fournir une expérience utilisateur plus directe lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration d’iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : Les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Détournement de clic(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) sur le site Web d’OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Personnalisations > Autre et accédez à la section Intégration d’IFrame.

  3. Cliquez sur Modifier, cochez la case Autoriser l’intégration d’iFrame, puis cliquez sur Sauvegarder.

Retour en haut