Configurer SAML avec Okta


Si vous utilisez Okta comme votre fournisseur d’identité SAML (IdP), les informations de cette rubrique vous aideront à configurer l’authentification SAML pour Tableau Cloud ou Tableau Cloud Manager (TCM). Vous pouvez également utiliser la rubrique Comment configurer SAML 2.0 pour Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.

L’intégration SAML de Tableau Cloud avec Okta prend en charge l’authentification unique initiée par le fournisseur de services (SP), l’authentification unique initiée par le fournisseur d’identité (IdP) et la déconnexion unique (SLO).

Remarques : 

  • cette procédure concerne une application tierce et est susceptible de modification sans que nous en ayons connaissance. Si la procédure décrite ici ne correspond pas aux écrans affichés dans votre compte IdP, vous pouvez utiliser la procédure de configuration SAMLgénérique ainsi que la documentation de l’IdP.
  • Depuis février 2022, l’authentification multifacteur (MFA) via votre fournisseur d’identité (IdP) SAML SSO est une exigence de Tableau.
  • Les étapes de configuration dans l’IdP peuvent se présenter dans un ordre différent de celui que vous voyez dans Tableau.

Étape 1 : Démarrage

Dans Tableau Cloud, procédez comme suit :

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Sur l’onglet Authentification, cliquez sur le bouton Nouvelle configuration, sélectionnez SAML dans la liste déroulante Authentification, puis entrez un nom pour la configuration.

    Capture d’écran des paramètres d’authentification du site Tableau Cloud -- Page Nouvelle configuration

    Remarque : Les configurations créées avant novembre 2024 (Tableau 2024.3) ne peuvent pas être renommées.

Sinon, dans TCM, procédez comme suit :

  1. Connectez-vous à TCM en tant qu’administrateur Cloud et sélectionnez Paramètres > Authentification.

  2. Cochez la case Activer une méthode d’authentification supplémentaire et sélectionnez SAML dans le menu déroulant Authentification.

  3. Cliquez sur la flèche déroulante Configuration (obligatoire).

Dans la console de l’administrateur Okta, procédez comme suit : 

Remarque : pour TCM, vous utilisez l’application Tableau Cloud dans l’IdP pour configurer l’authentification TCM.

  1. Ouvrez un nouvel onglet de navigateur ou une nouvelle fenêtre et connectez-vous à votre console administrateur Okta.

  2. Dans le volet de gauche, sélectionnez Applications > Applications et cliquez sur le bouton Browse App Catalog (Parcourir le catalogue d’applications).

  3. Recherchez et sélectionnez « Tableau Cloud », puis cliquez sur le bouton Add Integration (Ajouter une intégration). L’onglet General Settings (Paramètres généraux) s’ouvre.

  4. (Facultatif) Si vous avez plus d’un site Tableau Cloud, incluez le nom du site dans le champ Application label (Étiquette d’application) pour aider les utilisateurs à différencier vos différentes instances d’application Tableau Cloud.

  5. Accédez à l’onglet Sign On (Connexion), cliquez Edit (Modifier) et procédez comme suit :

    1. Sous Metadata details (Détails des métadonnées), copiez l’URL des métadonnées.

    2. Collez l’URL dans un nouveau navigateur et enregistrez les résultats sous forme de fichier en utilisant le fichier "metadata.xml" par défaut.

Étape 2 : Configurer SAML dans Tableau Cloud ou TCM

Effectuez la procédure suivante après avoir enregistré le fichier de métadonnées SAML depuis Okta, comme décrit dans la section ci-dessus.

Pour Tableau Cloud

  1. De retour dans Tableau Cloud, dans la page Nouvelle configuration, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.

  2. Mappez les noms d’attributs (assertions) figurant sous 3. Mapper les attributs aux noms d’attributs correspondants (assertions) dans la page Tableau Cloud User Profile Mappings (Mappages de profils d’utilisateurs de Tableau Cloud) de la console d’administration Okta.

  3. Sous 4. Choisir le paramètre par défaut pour l’intégration de vues (facultatif), sélectionnez l’expérience que vous souhaitez activer lorsque les utilisateurs accèdent au contenu intégré. Pour plus d’informations, consultez la section À propos de l’activation de l’intégration iFrame ci-dessous.

  4. Cliquez sur le bouton Enregistrer et continuer.

Pour TCM

  1. De retour dans TCM, dans la page Authentification, sous 2. Charger les métadonnées dans Tableau, cliquez sur le bouton Choisir un fichier et accédez au fichier de métadonnées SAML que vous avez enregistré depuis Okta. Les valeurs ID d’entité IdP et d’URL du service SSO sont automatiquement renseignées.

  2. Mappez les noms d’attributs (assertions) figurant sous 3. Mapper les attributs aux noms d’attributs correspondants (assertions) dans la page Tableau Cloud User Profile Mappings (Mappages de profils d’utilisateurs de Tableau Cloud) de la console d’administration Okta.

  3. Cliquez sur le bouton Enregistrer et continuer.

Étape 3. Configurer l’application « Tableau Cloud » dans votre IdP

Pour Tableau Cloud, la procédure décrite dans cette section utilisera les informations de l’étape 5. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat sur la page Nouvelle configuration dans Tableau Cloud. Pour TCM, la procédure décrite dans cette section utilisera les informations de 4. Obtenir les métadonnées de Tableau Cloud, sous Méthode 2 : Copier les métadonnées et télécharger le certificat sur la page Authentification dans TCM.

Remarque : pour TCM, vous utilisez l’application Tableau Cloud dans l’IdP pour configurer l’authentification TCM.

  1. Dans la console d’administration Okta, cliquez sur l’icône Assignments (Attributions) pour ajouter vos utilisateurs ou groupes.

  2. Une fois que vous avez fini, cliquez sur Done (Terminé).

  3. Cliquez sur l’onglet Sign On (Connexion) et dans la section Settings (Paramètres), cliquez sur Edit (Modifier).

  4. (Facultatif) Si vous souhaitez activer la déconnexion unique (SLO), procédez comme suit :

    1. Cochez la case Enable SLO (Activer la déconnexion unique).

    2. Copiez la valeur « URL de déconnexion unique » depuis le fichier de métadonnées Tableau Cloud. Par exemple, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Pour plus d’informations, consultez Configurer la déconnexion unique à l’aide de SAML avec Okta(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances Tableau.

    3. Dans la zone de texte Advanced Sign-on Settings (Paramètres de connexion avancés), saisissez la valeur que vous avez copiée à l’étape b.

    4. À côté de Signature Certificate (Certificat de signature), cliquez sur le bouton Browse (Parcourir) et accédez au fichier de certificat que vous avez téléchargé dans la section ci-dessus.

    5. Sélectionnez le fichier et cliquez sur le bouton Upload (Charger).

    6. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

  5. Sélectionnez Applications > Applications, cliquez sur l’application Tableau Cloud, sélectionnez l’onglet Sign On (Connexion) et procédez comme suit :

    1. Cliquez sur Modifier.

    2. Sous Advanced Sign-on Settings (Paramètres de connexion avancés), dans la zone de texte Tableau Cloud entity ID (ID d’entité Tableau Cloud) de la console d’administration Okta, collez cet ID depuis Tableau Cloud ou TCM.

    3. Dans la zone de texte Tableau Cloud ACS URL (URL du service ACS de Tableau Cloud) dans la console d’administration Okta, collez cette URL depuis Tableau Cloud ou TCM.

    Remarque : les paramètres de configuration SAML de Tableau Cloud et TCM apparaissent dans un ordre différent de celui de la page de paramètres Okta. Pour éviter les problèmes d’authentification SAML, assurez-vous que l’ID de l’entité Tableau Cloud et l’URL de l’ACS de Tableau Cloud sont entrés dans les champs corrects d’Okta.

  6. Une fois que vous avez terminé, cliquez sur Save (Enregistrer).

Étape 4 : Tester la configuration SAML

Dans Okta, procédez comme suit :

  • Ajoutez un exemple d’utilisateur à Okta et attribuez-le à l’application Tableau Cloud.

Dans Tableau Cloud ou TCM, procédez comme suit :

  1. Ajoutez cet utilisateur Okta à Tableau Cloud pour tester la configuration SAML.

  2. Effectuez l’une des actions suivantes :

    • Dans Tableau Cloud, dans la page Nouvelle configuration, sous 7. Tester la configuration, cliquez sur le bouton Tester la configuration.

    • Dans TCM, sur la page Authentification, sous 6. Tester la configuration, cliquez sur le bouton Tester la configuration.

Nous vous recommandons fortement de tester la configuration SAML pour éviter tout scénario de verrouillage. Ce test vous permettra de vérifier que vous avez correctement configuré SAML avant de modifier le type d’authentification de vos utilisateurs sur SAML. Pour tester la configuration avec succès, assurez-vous qu’il existe au moins un utilisateur sous l’identité duquel vous pouvez vous connecter. Il doit être déjà activé dans l’IdP et ajouté à Tableau Cloud ou TCM avec configuration du type d’authentification SAML.

Remarque : si la connexion échoue, envisagez de conserver l’attribut NameID dans Tableau tel quel.

Étape 5 : Ajouter des utilisateurs supplémentaires au site Tableau Cloud compatible SAML ou à TCM

Si vous envisagez d’utiliser SCIM pour provisionner vos utilisateurs depuis Okta, n’ajoutez pas manuellement vos utilisateurs à Tableau Cloud. Pour plus d’informations, consultez Configurer SCIM avec Okta. Si vous n’utilisez pas SCIM, suivez les étapes ci-dessous pour ajouter des utilisateurs supplémentaires à votre site. Remarque : le provisionnement SCIM n’est pas disponible pour TCM.

La procédure décrite dans cette section doit être effectuée sur la page Utilisateurs de Tableau Cloud.

  1. Une fois les étapes ci-dessus terminées, depuis le volet de gauche, accédez à la page Utilisateurs.

  2. Suivez la procédure décrite dans :

À propos de l’activation de l’intégration iFrame

Remarque : s’applique à Tableau Cloud uniquement.

Lorsque vous activez SAML sur votre site, il faut spécifier la manière dont les utilisateurs se connectent pour accéder à des vues intégrées dans les pages Web. Ces étapes configurent Okta de manière à permettre l’authentification à l’aide d’une trame en ligne (iFrame) pour une visualisation intégrée. L’intégration des trames en ligne peut offrir une expérience utilisateur plus transparente lorsque vous vous connectez pour afficher des visualisations intégrées. Par exemple, si un utilisateur est déjà authentifié auprès de votre fournisseur d’identité et que l’intégration iFrame est activée, l’utilisateur s’identifierait directement sur Tableau Cloud lorsqu’il accède aux pages contenant des visualisations intégrées.

Attention : les trames en ligne peuvent être vulnérables aux attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les pages Web où l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Cloud, un intrus pourrait tenter une attaque par détournement de clic dans le but de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres. Pour plus d’informations sur les attaques par détournement de clic, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

  1. Connectez-vous à votre console d’administration Okta.

  2. Dans le volet de gauche, sélectionnez Customizations (Personnalisations) > Other (Autre) et accédez à la section IFrame Embedding (Intégration d’iFrame).

  3. Cliquez sur Edit (Modifier), cochez la case Allow iFrame embedding (Autoriser l’intégration d’iFrame), puis cliquez sur Save (Enregistrer).

Retour en haut