Configurer SAML avec Okta


Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), vous pouvez utiliser les informations de cette rubrique pour configurer l’authentification SAML pour votre site Tableau Cloud. Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L’intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification sans que nous en ayons connaissance. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau Cloud.
  • Les étapes de configuration dans l’IdP peuvent être dans un ordre différent de celui présenté dans Tableau Cloud.

Étape 1 : Démarrage

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- Page Nouvelle configuration

    Remarque : Les configurations créées avant novembre 2024 (Tableau 2024.3) ne peuvent pas être renommées.

Dans la console de l’administrateur Okta, procédez comme suit : 

  1. Ouvrez un nouvel onglet de navigateur ou une nouvelle fenêtre et connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Browse App Catalog (Parcourir le catalogue d’applications).

  3. Recherchez et sélectionnez « Tableau Cloud », puis cliquez sur le bouton Add Integration (Ajouter une intégration). L’onglet General Settings (Paramètres généraux) s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, incluez le nom du site dans le champ Application label (Étiquette d’application) pour aider les utilisateurs à différencier vos différentes instances d’application Tableau Cloud.

  5. Accédez à l’onglet Sign On (Connexion), cliquez Edit (Modifier) et procédez comme suit :

    1. Sous Metadata details (Détails des métadonnées), copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant le fichier "metadata.xml" par défaut.

Étape 2 : Configurer SAML dans Tableau Cloud

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML depuis Okta, comme décrit dans la section ci-dessus.

  1. De retour dans Tableau Cloud, dans la page Nouvelle configuration, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.

  2. Mappez les noms d’attributs (assertions) figurant sous 3. Mapper les attributs aux noms d’attributs correspondants (assertions) dans la page Tableau Cloud User Profile Mappings (Mappages de profils d’utilisateurs de Tableau Cloud) de la console d’administration Okta.

  3. Sous 4. Choisir le paramètre par défaut pour l’intégration de vues (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer l’application Tableau Cloud dans votre IdP

La procédure décrite dans cette section utilisera les informations de 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat sur la page Nouvelle configuration dans Tableau Cloud.

  1. Dans la console d’administration Okta, cliquez sur l’icône Assignments (Attributions) pour ajouter vos utilisateurs ou groupes.

  2. Une fois que vous avez fini, cliquez sur Done (Terminé).

  3. Cliquez sur l’onglet Sign On (Connexion) et dans la section Settings (Paramètres), cliquez sur Edit (Modifier).

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Enable SLO (Activer la déconnexion unique).

    2. Copiez la valeur « URL de déconnexion unique » depuis le fichier de métadonnées Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’informations, consultez Configurer la déconnexion unique à l’aide de SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances Tableau.

    3. Dans la zone de texte Advanced Sign-on Settings (Paramètres de connexion avancés), saisissez la valeur que vous avez copiée à l’étape b.

    4. À côté de Signature Certificate (Certificat de signature), cliquez sur le bouton Browse (Parcourir) et accédez au fichier de certificat que vous avez téléchargé dans la section ci-dessus.

    5. Sélectionnez le fichier et cliquez sur le bouton Upload (Charger).

    6. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

  5. Sélectionnez Applications > Applications, cliquez sur l’application Tableau Cloud, sélectionnez l’onglet Sign On (Connexion) et procédez comme suit :

    1. Cliquez sur Modifier.

    2. Sous Advanced Sign-on Settings (Paramètres de connexion avancés), dans la zone de texte ID d’entité Tableau Cloud de la console d’administration Okta, collez la valeur ID d’entité Tableau Cloud depuis Tableau Cloud.

    3. Dans le zone de texte URL du service ACS de Tableau Cloud dans la console d’administration Okta, collez la valeur URL du service ACS de Tableau Cloud depuis Tableau Cloud.

    Remarque : les paramètres de configuration SAML Tableau Cloud apparaissent dans un ordre différent de celui de la page de paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL de l’ACS de Tableau Cloud sont entrés dans les champs corrects d’Okta.

  6. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

Étape 4 : Tester la configuration SAML dans Tableau Cloud

Dans Okta, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à Okta et attribuez-le à l’application Tableau Cloud.

Dans Tableau Cloud, procédez comme suit :

  1. Ajoutez cet utilisateur Okta à Tableau Cloud pour tester la configuration SAML. Pour ajouter des utilisateurs dans Tableau Cloud, consultez la rubrique Ajouter des utilisateurs à un site.

  2. Sur la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit déjà activé dans l’IdP et ajouté à votre instance Tableau Cloud avec le type d’authentification SAML configuré.

Remarque : si la connexion échoue, envisagez de conserver l’attribut NameID dans Tableau tel quel.

Étape 5 : Ajouter des utilisateurs supplémentaires à un site Tableau Cloud compatible SAML

Si vous envisagez d’utiliser SCIM pour provisionner vos utilisateurs depuis Okta, n’ajoutez pas manuellement vos utilisateurs à Tableau Cloud. Pour plus d’informations, consultez Configurer SCIM avec Okta. Si vous n’utilisez pas SCIM, suivez les étapes ci-dessous pour ajouter des utilisateurs supplémentaires à votre site.

La procédure décrite dans cette section doit être effectuée sur la page Utilisateurs de Tableau Cloud.

  1. Une fois les étapes ci-dessus terminées, depuis le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans la rubrique Ajouter des utilisateurs à un site.

À propos de l’activation de l’intégration iFrame

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta de manière à permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour une visualisation intégrée. L’intégration des trames en ligne peut offrir une expérience utilisateur plus transparente lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lors de l’accès aux pages contenant des visualisations intégrées.

Attention : les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web où l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console d’administration Okta.

  2. Dans le volet de gauche, sélectionnez Customizations (Personnalisations) > Other (Autre) et accédez à la section IFrame Embedding (Intégration d’iFrame).

  3. Cliquez sur Edit (Modifier), cochez la case Allow iFrame embedding (Autoriser l’intégration d’iFrame), puis cliquez sur Save (Enregistrer).

Retour en haut