Aide de Tableau Cloud

Vous pouvez configurer Active Directory Federation Services (AD FS) en tant que fournisseur d’identité SAML et ajouter Tableau Cloud à vos applications d’authentification unique prises en charge. Lorsque vous intégrez AD FS avec SAML et Tableau Cloud, vos utilisateurs peuvent se connecter à Tableau Cloud en utilisant leurs identifiants réseau standard.

Avant que vous puissiez configurer Tableau Cloud et SAML avec AD FS, votre environnement doit se présenter ainsi :

• Serveur exécutant Microsoft Windows Server 2008 R2 (ou ultérieur) avec AD FS 2.0 (ou ultérieur) et IIS installés.

• Nous vous recommandons de sécuriser votre serveur AD FS (par exemple, en utilisant un proxy inverse). Lorsque votre serveur AD FS est accessible en dehors de votre pare-feu, Tableau Cloud peut rediriger les utilisateurs vers la page de connexion hébergée par AD FS.

• Un compte d’administrateur de site qui utilise l’authentification Tableau avec MFA. Si l’authentification unique SAML échoue, vous pouvez toujours vous connecter à Tableau Cloud en tant qu’administrateur de site.

Dans Tableau Cloud, procédez comme suit :

1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

   

   Remarque : Les configurations créées avant novembre 2024 (Tableau 2024.3) ne peuvent pas être renommées.

Dans AD FS, procédez comme suit :

La procédure décrite ci-dessous permet d’exporter les métadonnées AD FS que vous importerez dans Tableau Cloud. Vous allez également vous assurer que les métadonnées sont correctement configurées et encodées pour Tableau Cloud, et vérifier les exigences AD FS pour votre configuration SAML.

1. Exportez les métadonnées AD FS Federation dans un fichier XML, puis téléchargez le fichier depuis https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

2. Ouvrez le fichier de métadonnées dans un éditeur de texte tel que Sublime Text ou Notepad++, et vérifiez qu’il est correctement encodé comme UTF-8 sans BOM.

   Si le fichier affiche un autre type d’encodage, enregistrez-le à partir de l’éditeur de texte avec l’encodage correct.

3. Vérifiez que AD FS utilise l’authentification basée sur les formulaires. Les connexions se faisant dans une fenêtre du navigateur, vous devez utiliser AD FS pour activer ce type d’authentification par défaut.

   Modifiez c:\inetpub\adfs\ls\web.config, recherchez la balise , et déplacez la ligne pour qu’elle apparaisse en premier dans la liste. Enregistrez le fichier pour que IIS puisse automatiquement le recharger.

   Remarque : si vous ne voyez pas le fichier c:\inetpub\adfs\ls\web.config, IIS n’est pas installé ni configuré sur votre serveur AD FS.

4. Configurez un autre identificateur de partie de confiance AD FS. Cela permet à votre système de contourner n’importe quel problème AD FS avec une déconnexion SAML.

   Effectuez l’une des actions suivantes :

   Windows Server 2008 R2 :

   1. Dans AD FS 2.0, faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, puis cliquez sur Proprerties (Propriétés).

   2. Sur l’onglet Identifiers (Identificateurs), dans la zone Relying party identifier (Identificateur de la partie de confiance), entrez https://<tableauservername>/public/sp/metadata puis cliquez sur Ajouter.

   Windows Server 2012 R2 :

   1. Dans AD FS Management (Gestion AD FS), dans la liste Relying Party Trusts (Approbations de partie de confiance), faites un clic droit sur la partie de confiance que vous avez précédemment créée pour Tableau Cloud, puis cliquez sur Properties (Propriétés).

   2. Sur l’onglet Identifiers (Identificateurs), dans la zone Relying party identifier (Identificateur de la partie de confiance), entrez https://<tableauservername/public/sp/metadata puis cliquez sur Add (Ajouter).

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML depuis AD FS, comme décrit dans la section ci-dessus.

1. De retour dans Tableau Cloud, dans la page Nouvelle configuration, sous 2. Chargez les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML (FederationMetadata.xml) que vous avez exporté depuis AD FS. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.

2. Ignorez l’étape 3. Mapper les attributs car vous allez créer une règle de revendication dans AD FS afin de faire correspondre les noms d’attributs que Tableau Cloud attend dans la section ci-dessous.

3. Sous 4. Choisir le paramètre par défaut pour l’intégration de vues (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré.

4. Cliquez sur le bouton Enregistrer et continuer.

5. Sous 5. Obtenir les métadonnées Tableau Cloud, cliquez sur le bouton Exporter les métadonnées et enregistrez le fichier de métadonnées Tableau sur votre ordinateur.

   Par défaut, le nom de fichier est saml_sp_metadata.xml.

La configuration d’AD FS de manière à accepter les demandes de connexion à Tableau Cloud est un processus à plusieurs étapes qui commence par l’importation du fichier de métadonnées Tableau Cloud dans AD FS.

1. Effectuez l’une des opérations suivantes pour ouvrir Add Relying Party Trust Wizard (Assistant Ajout d’approbation de partie de confiance) :

Windows Server 2008 R2 :

1. Sélectionnez Menu Démarrer > Outils d’administration> AD FS 2.0.

2. Dans AD FS 2.0, sous Trust Relationships (Relations d’approbation), faites un clic droit sur le dossier Relying Party Trusts (Approbations de partie de confiance), puis cliquez sur Add Relying Party Trust (Ajouter l’approbation de partie de confiance).

Windows Server 2012 R2 :

1. Ouvrez Gestionnaire de serveur, puis dans le menu Outils, cliquez sur Gestion AD FS.

2. Dans Gestion AD FS, dans le menu Action, cliquez sur Ajouter l’approbation de partie de confiance.

2. Dans la boîte Assistant Ajout d’approbation de partie de confiance, cliquez sur Démarrer.

3. Dans la page Select Data Source (Sélectionner une source de données), sélectionnez Import data about the relying party from a file (Importer les données concernant la partie de confiance à partir d’un fichier), puis cliquez sur Parcourir pour rechercher le fichier de métadonnées Tableau Cloud.

   Par défaut, le nom de fichier est saml_sp_metadata.xml.

4. Cliquez sur Suivant, et dans la page Spécifier un nom d’affichage, entrez un nom et une description pour l’approbation de la partie de confiance dans les zones Nom d’affichage et Remarques.

5. Cliquez sur Suivant pour ignorer la page Configurer l’authentification multifacteur maintenant.

6. Cliquez sur Suivant pour ignorer la page Choisir les règles d’autorisation d’émission.

7. Cliquez sur Suivant pour ignorer la page Prêt à ajouter l’approbation.

8. Dans la page Terminer, sélectionnez la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l’assistant se ferme, puis cliquez sur Fermer.

Ensuite, vous utiliserez la boîte de dialogue Modifier les règles de revendication pour ajouter une règle vérifiant que les assertions envoyées par AD FS correspondent aux assertions attendues par Tableau Cloud. Au minimum, Tableau Cloud a besoin d’un nom d’utilisateur (au format d’adresse e-mail). Cependant, en ajoutant le nom et le prénom en plus de l’adresse e-mail, vous garantissez que les noms d’utilisateur affichés dans Tableau Cloud sont identiques à ceux de votre compte AD.

1. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.

2. Dans la page Choisir le type de règle, pour Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.

3. Dans la page Configurer une règle de revendication, dans Nom de la règle de revendication, donnez à la règle un nom qui vous paraît logique.

4. Dans Magasin d’attributs, sélectionnez Active Directory, terminez le mappage comme indiqué ci-dessous, puis cliquez sur Terminer.

Le mappage est sensible à la casse et nécessite une orthographe exacte, vérifiez donc votre saisie par deux fois. Le tableau ci-dessous montre les attributs communs et les mappages de revendications. Vérifiez les attributs avec votre configuration Active Directory spécifique.

Remarque : Tableau Cloud requiert l’attribut NameID dans la réponse SAML. Vous pouvez fournir d’autres attributs pour mapper les noms d’utilisateur dans Tableau Cloud, mais le message de réponse doit inclure l’attribut NameID.

Attribut LDAP	Type de revendication envoyée
Selon la version d’AD FS : Utilisateur-Nom-Principal ou Adresses e-mail	email ou Adresse e-mail
Prénom	Prénom
Surnom	Nom

Si vous exécutez AD FS 2016 ou une version ultérieure, vous devez alors ajouter une règle pour passer en revue toutes les valeurs de revendication. Si vous utilisez une ancienne version d’AD FS, passez à la procédure suivante pour exporter les métadonnées AD FS.

1. Cliquez sur Ajouter une règle.
2. Sous Modèle de règle de revendication, sélectionnez Transférer ou Filtrer une revendication entrante.
3. Sous Nom de la règle de revendication, saisissez Windows.
4. Dans la fenêtre contextuelle Modifier la règle - Windows :
   • Sous Type de revendication entrante, sélectionnez Nom du compte Windows.
   • Sélectionnez Transférer toutes les valeurs de revendication.
   • Cliquez sur OK.

Dans Tableau Cloud, procédez comme suit :

1. Revenez à Tableau Cloud, puis dans la page Nouvelle configuration, sous 3. Mapper les attributs, renseignez les valeurs de revendication d’AD FS dans Tableau Cloud.

2. Cliquez sur le bouton Enregistrer et continuer.

1. Dans Tableau Cloud, ajoutez un exemple d’utilisateur à la fois à AD FS et à Tableau Cloud pour tester la configuration SAML. Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.

2. Revenez à la page Nouvelle configuration, puis sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit déjà activé dans l’IdP et ajouté à votre instance Tableau Cloud avec le type d’authentification SAML configuré.

Pour ajouter des utilisateurs supplémentaires à votre site, suivez les étapes ci-dessous. La procédure décrite dans cette section doit être effectuée sur la page Utilisateurs dans Tableau Cloud.

1. Une fois les étapes ci-dessus terminées, depuis le volet de gauche, accédez à la page Utilisateurs.

2. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site. Vous pouvez également ajouter des utilisateurs à l’aide d’un fichier .csv en suivant la procédure décrite dans la rubrique Importer des utilisateurs.

• Après avoir configuré l’intégration SAML entre AD FS et Tableau Cloud, vous devez mettre à jour Tableau Cloud de manière à refléter les modifications utilisateur spécifiques que vous apportez dans Active Directory, par exemple l’ajout ou la suppression d’utilisateurs.

  Vous pouvez ajouter des utilisateurs automatiquement ou manuellement :

  • Pour ajouter des utilisateurs automatiquement : créez un script (à l’aide de PowerShell, Python ou d’un fichier batch) pour pousser les modifications AD sur Tableau Cloud. Le script peut utiliser la commande tabcmd ou l’API REST pour interagir avec Tableau Cloud.

  • Pour ajouter des utilisateurs manuellement : connectez-vous à l’interface utilisateur Web de Tableau Cloud, accédez à la page Utilisateurs, cliquez sur Ajouter des utilisateurs et entrez les noms d’utilisateur des utilisateurs ou chargez un fichier CSV contenant leurs informations.

  Remarque : si vous souhaitez supprimer un utilisateur mais conserver les ressources de contenu qu’il possède, modifiez le propriétaire du contenu avant de supprimer l’utilisateur. La suppression d’un utilisateur entraîne également la suppression du contenu qu’il possède.

• Dans Tableau Cloud, la valeur Nom d’utilisateur d’un utilisateur est son identifiant unique. Comme décrit dans les étapes de configuration d’AD FS pour l’acceptation des demandes de connexion des utilisateurs Tableau Cloud, les Tableau Cloud noms d’utilisateur des utilisateurs doivent correspondre à la valeur Nom d’utilisateur enregistrée dans AD.

• Dans Étape 3. Configurer l’application Tableau Cloud dans votre IdP, vous avez ajouté une règle de revendication dans AD FS pour associer les attributs de prénom, nom et nom d’utilisateur AD FS et Tableau Cloud. Sinon, vous pouvez utiliser l’étape 5. Mapper les attributs dans Tableau Cloud pour arriver au même résultat.