Provisionner et authentifier les utilisateurs à l’aide de pools d’identités
Introduits dans Tableau Server version 2023.1, les pools d’identités sont un outil de gestion des identités qui utilise les informations de provisionnement et d’authentification pour permettre l’accès des utilisateurs à Tableau Server. Les pools d’identités permettent un flux de travail de gestion des identités plus centralisé et flexible, basé sur le Service d’identité(Le lien s’ouvre dans une nouvelle fenêtre) pour le stockage et la gestion des identités des utilisateurs dans Tableau Server.
Les pools d’identités ne remplacent pas les configurations de provisionnement et d’authentification des utilisateurs que vous effectuez à l’aide de Tableau Services Manager (TSM) lors de la configuration de Tableau Server. Au lieu de cela, les pools d’identités sont conçus pour compléter et prendre en charge les options supplémentaires de provisionnement et d’authentification des utilisateurs dont vous pourriez avoir besoin dans votre organisation, en particulier pour les organisations où TSM est configuré avec Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP). Après la configuration de Tableau Server, les pools d’identités constituent une méthode alternative qui permet aux administrateurs de Tableau Server d’ajouter des utilisateurs à votre déploiement Tableau Server. Il s’agit souvent d’utilisateurs externes, de partenaires ou de sous-traitants.
Les pools d’identités sont optimisés pour les cas d’utilisation suivants :
Utilisateurs externes : une grande entreprise qui ne souhaite pas ajouter d’utilisateurs externes à son AD interne.
Par exemple, supposons que votre organisation compte deux types d’employés : les employés réguliers et les employés contractuels. Vos employés réguliers sont provisionnés via Active Directory (AD) avec une authentification SAML gérée via votre IdP, Okta. Vos employés contractuels se composent d’utilisateurs qui sont généralement affectés à une appartenance temporaire à un groupe ou qui font partie d’une autre organisation qui fournit des utilisateurs en dehors d’AD et qui s’authentifie séparément. Les pools d’identités peuvent vous permettre d’ajouter des utilisateurs Tableau Server externes à votre AD.
Magasins d’identités multiples : une organisation hébergeant des applications SaaS qui s’approvisionnent en utilisateurs à partir de plusieurs magasins d’identités.
Par exemple, supposons que votre organisation partage du contenu Tableau avec plusieurs organisations externes à partir d’un seul site. Vous pouvez séparer ces utilisateurs à l’aide de différents pools d’identités configurés avec des magasins d’identités locaux pour identifier et gérer plus facilement les utilisateurs de chaque organisation.
Limites de sécurité entre les organisations internes : Une organisation composée de plusieurs organisations enfants acquises et comportant des limites de sécurité distinctes.
Par exemple, vous pouvez ajouter des utilisateurs de l’organisation nouvellement ajoutée à un pool d’identités configuré avec un magasin d’identités local pour contourner les complexités associées à la combinaison de magasins d’identités.
Que sont les pools d’identités?
Un pool d’identités comporte trois composants principaux : un magasin d’identités pour provisionner les utilisateurs, une authentification OpenID Connect (OIDC) et des utilisateurs affectés.
Magasin d’identité : le magasin d’identité(Le lien s’ouvre dans une nouvelle fenêtre) que vous utilisez pour approvisionner vos utilisateurs peut être un magasin d’identités local ou un magasin d’identités externe.
S’il s’agit d’un magasin d’identités local, un pool d’identités peut être configuré pour utiliser un nouveau magasin d’identités local ou un magasin d’identités local existant. Remarque : l’authentification locale n’est pas prise en charge.
S’il s’agit d’un magasin d’identités externe, un pool d’identités ne peut utiliser que le même magasin d’identités externe (AD ou LDAP) que vous avez configuré dans TSM lors de l’installation de Tableau Server. Vous ne pouvez pas configurer un pool d’identités pour utiliser un magasin d’identités externe différent.
Les configurations de provisionnement et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server sont appelées pool par défaut ou « pool initial (configuré par TSM) ».
Authentification : la seule méthode d’authentification prise en charge pour un pool d’identités est OIDC(Le lien s’ouvre dans une nouvelle fenêtre).
Utilisateurs : pour que les utilisateurs puissent se connecter à Tableau Server, ils doivent soit provenir du pool initial (TSM configuré), soit être membre d’au moins un pool d’identités.
Quand utiliser des pools d’identités
En tant qu’administrateur Tableau Server, vous pouvez utiliser un pool d’identités pour segmenter vos utilisateurs en cohortes d’identités en fonction de l’endroit à partir duquel vos utilisateurs sont provisionnés et de la manière dont ces utilisateurs s’authentifient dans Tableau Server. Bien que les configurations de magasin d’identités et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server, également appelées pool initial (configuré par TSM), restent inchangées, les pools d’identités sont configurables à partir de Tableau Server.
Remarque : les pools d’identités sont actuellement disponibles pour la configuration de niveau serveur uniquement. Les pools d’identités ne peuvent pas être limités à un site.
En savoir plus sur les pools d’identités
Pool initial (configuré par TSM) et pools d’identités
Comme indiqué ci-dessus, la combinaison des configurations de provisionnement et d’authentification que vous effectuez dans TSM lors de la configuration de Tableau Server est appelée « pool initial (configuré par TSM) ». Le pool initial (configuré par TSM) est un composant requis du processus de configuration de Tableau Server et ne peut pas être modifié.
Cependant, un pool d’identités est facultatif et vous pouvez créer autant de pools d’identités que nécessaire directement depuis Tableau Server.
Impact des pools d’identités sur l’expérience de connexion des utilisateurs
Par défaut, lorsqu’aucun pool d’identités n’est créé pour Tableau Server, la façon dont vos utilisateurs accèdent à la page d’accueil de Tableau Server et se connectent à Tableau Server ne change pas.
Lorsqu’un ou plusieurs pools d’identités sont créés, la page d’accueil de Tableau Server affiche plusieurs options de connexion. L’option de connexion principale s’affiche en haut de la page et constitue la manière dont vos utilisateurs appartenant au pool initial (configuré par TSM) peuvent se connecter.
Sous l’option de connexion principale se trouvent les options de connexion secondaires. Chaque option représente un pool d’identités, affiché dans l’ordre dans lequel ils ont été créés. Les utilisateurs affectés à ces pools doivent se connecter à l’aide de l’option du pool d’identités auquel ils appartiennent. Pour guider vos utilisateurs vers l’option de connexion appropriée, envisagez d’ajouter une description du pool d’identités lors de sa création.
Remarque : Tous les utilisateurs verront tous les pools configurés pour votre Tableau Server, quelle que soit leur appartenance au pool.
Noms d’utilisateur et identifiants dans Tableau
Le nom d’utilisateur est l’information qui représente l’utilisateur du système. Un identifiant est utilisé pour compléter l’information de nom d’utilisateur et peut être utilisé par des magasins d’identité externes comme alternatives aux noms d’utilisateur.
Dans Tableau, un nom d’utilisateur est une valeur immutable utilisée pour se connecter à Tableau et les identifiants sont des valeurs mutables utilisées dans la structure d’identité de Tableau pour faire correspondre les utilisateurs à leurs noms d’utilisateur. Les identifiants permettent à Tableau d’être plus flexible car ils peuvent être différents du nom d’utilisateur. En cas de modification du nom d’utilisateur dans le magasin d’identités externe, les administrateurs de Tableau Server peuvent mettre à jour l’identifiant pour s’assurer que les utilisateurs sont associés aux noms d’utilisateur appropriés.
Lorsque vous ajoutez un utilisateur existant à un pool d’identités, vous pouvez vous attendre à ce qu’il soit possible de définir un identifiant. Par exemple, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités local et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités AD, nous vous demandons de fournir le nom d’utilisateur pour rechercher les identifiants associés à cet utilisateur. En revanche, si un utilisateur existant appartient à un pool d’identités configuré avec un magasin d’identités AD et que vous souhaitez l’ajouter à un pool d’identités configuré avec un magasin d’identités local, nous vous demandons de fournir un identifiant facultatif. Il existe une exception à cette règle si vous souhaitez ajouter un utilisateur au pool initial (configuré par TSM) qui est configuré avec un magasin d’identités local et une authentification locale. Vous ne pourrez pas définir d’identifiant pour cet utilisateur.