Sécurité des extensions - Meilleures pratiques de déploiement

Les informations suivantes s'adressent aux responsables et administrateurs informatiques, aux administrateurs de sites et de serveurs Tableau, ainsi qu'à toute personne intéressée par la gestion des extensions de tableaux de bord et la sécurité de ses données et de son activité. Les suggestions de déploiement s'adressent aux entreprises avec divers types d'utilisateurs actifs sur Tableau Desktop et Tableau Server ou Tableau Online.

 

Sécurité pour les extensions dans Tableau

Les extensions sont des applications Web qui peuvent être hébergées à l'intérieur de votre réseau ou à l'extérieur sur un serveur tiers. Les extensions peuvent interagir avec d'autres composants du tableau de bord et ont potentiellement accès aux données visibles et sous-jacentes du classeur (via une API bien définie). Tableau prend en charge les extensions dans Tableau Desktop, Tableau Server et Tableau Online. Tableau Server et Tableau Online offrent le contrôle le plus complet sur les extensions que vos utilisateurs peuvent exécuter.

Risques potentiels pour la sécurité

Les extensions étant des applications Web, il est possible que l'extension soit vulnérable à certains types d'attaques malveillantes, ce qui pourrait présenter un risque pour votre ordinateur ou vos données. Le projet Open Web Application Security Project (OWASP) identifie chaque année les risques les plus critiques pour la sécurité des applications Web. Voici quelques-uns de ces risques :

  • Injection SQL
  • Scripts intersites (XSS)
  • Exposition de données sensibles

Ces risques pourraient compromettre l'extension si les développeurs de l'extension ne valident pas et ne traitent pas correctement les entrées utilisateur, ou s'ils génèrent des requêtes dynamiques pour accéder aux bases de données sensibles. Lorsque vous évaluez les extensions que vous voulez autoriser dans Tableau, assurez-vous de prendre en compte comment elles gèrent l'authentification, l'accès aux données ou les entrées utilisateur, et comment elles atténuent les risques de sécurité.

Atténuer les menaces à la sécurité

La première étape consiste à comprendre le fonctionnement d'une extension afin d'identifier les risques pour votre entreprise. Dans de nombreux cas, une extension de tableau de bord n'accède pas aux données sous-jacentes du classeur et l'ensemble du code JavaScript s'exécute dans le contexte du navigateur exécuté sur l'ordinateur de l'utilisateur. Dans ces cas, aucune donnée ne quitte l'ordinateur même si l'extension est éventuellement hébergée sur un site tiers extérieur à votre domaine. Certaines extensions vous permettent de connecter Tableau à d'autres applications que vous avez déjà déployées dans votre domaine.

Tableau fournit des mesures de sécurité et des exigences de sécurité pour les extensions. Ces fonctions sont activées pour Tableau Desktop, Tableau Server et Tableau Online.

  • Toutes les extensions doivent utiliser le protocole HTTP Secure (HTTPS).
  • Par défaut, toute personne utilisant un tableau de bord avec une extension sera invitée à autoriser ou à refuser l'exécution de l'extension. L'extension doit demander l'autorisation si elle veut accéder aux données sous-jacentes.
  • Depuis la version 2019.1, pour fonctionner sur Tableau Server ou Tableau Online, l'URL de l'extension doit être ajoutée à une liste autorisée. L'administrateur de site gère cette liste.
  • Sur Tableau Server et Tableau Online, l'administrateur de site peut contrôler si l'invite apparaît pour chaque extension.

Pour plus d'informations, consultez Gérer les extensions de tableau de bord dans Tableau Server.

Gérer les extensions à l'aide de Tableau

Les extensions permettent d'ajouter des fonctionnalités uniques aux tableaux de bord. Vous pouvez utiliser des extensions pour intégrer directement le tableau de bord avec des applications extérieures à Tableau. Les extensions ouvrent tout un monde de possibilités, mais il peut arriver que vous ayez besoin ou envie de garder le contrôle sur le déploiement des extensions dans votre entreprise. A cet égard, les extensions ne sont pas différentes de tout autre logiciel que vous avez l'intention d'utiliser. Avant de déployer des applications logicielles dans votre entreprise, vous devez tester et vérifier minutieusement que le logiciel fonctionne comme prévu et qu'il est sécurisé. Il en va de même pour les extensions.

Après avoir déterminé le niveau d'accès adapté à vos utilisateurs et identifié les extensions que vous voulez utiliser (ou inversement, les extensions que vous ne voulez pas utiliser), vous pouvez vous servir des commandes et fonctions de Tableau pour restreindre et gérer les extensions auxquelles les utilisateurs de tableau de bord ont accès.

Recommandations pour Tableau Desktop

Vous disposez d'une gamme d'options pour déployer Tableau Desktop dans votre entreprise. Vous pouvez autoriser l'accès sans restriction aux extensions tierces, ou vous pouvez imposer des limites et des restrictions sur qui peut accéder aux extensions et dans quelles circonstances.

  • Tous les utilisateurs - Tous les utilisateurs de Tableau Desktop sont autorisés à utiliser les extensions. Si vous voulez autoriser vos utilisateurs de Tableau Desktop à choisir les extensions qu'ils doivent exécuter, vous pouvez utiliser les paramètres d'installation par défaut. Depuis la version Tableau 2018.2, les extensions sont activées par défaut. Les utilisateurs de Tableau Desktop auront un accès illimité aux extensions tierces.
  • Sélectionnez des utilisateurs - Seuls certains utilisateurs de Tableau Desktop sont habilités à utiliser des extensions. D'autres peuvent utiliser la création Web pour accéder aux extensions, comme déterminé par les administrateurs de serveur et de site. Si vous voulez limiter les utilisateurs qui auront accès aux extensions dans votre entreprise, et uniquement autoriser les utilisateurs de Tableau Desktop à choisir les extensions qu'ils doivent exécuter, vous pouvez utiliser les paramètres d'installation personnalisés et les appliquer pour désactiver les extensions par défaut pour la plupart des utilisateurs. Vous pouvez activer des extensions de manière sélective pour les utilisateurs de Tableau Desktop.
  • Création Web uniquement - Autorisez uniquement les utilisateurs à ajouter des extensions sur Tableau Server et Tableau Online. Pour vous donner le plus de contrôle possible sur les extensions auxquelles les utilisateurs ont accès, vous pouvez désactiver les extensions pour tous les utilisateurs de Tableau Desktop et autoriser ensuite les utilisateurs à ajouter des extensions aux tableaux de bord sur Tableau Server ou Tableau Online à l'aide de la création Web. Dans ce cas, les administrateurs de serveur et de site déterminent les extensions auxquelles les utilisateurs peuvent accéder.

Activer les extensions sur Tableau Desktop de manière sélective

Par défaut, Tableau Desktop prend en charge les extensions et les utilisateurs de Tableau Desktop disposent d'un accès illimité aux extensions. Vous pouvez utiliser des options pendant l'installation pour modifier les paramètres par défaut et désactiver la prise en charge des extensions. Vous pouvez également désactiver les extensions après l'installation en utilisant les paramètres de registre et les scripts.

  • Pendant l'installation : vous pouvez désactiver la prise en charge des extensions pendant l'installation de Tableau Desktop à l'aide de la propriété DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Consultez Installer Tableau Desktop depuis la ligne de commande .
  • Après l'installation : vous pouvez également désactiver la prise en charge des extensions après l'installation en modifiant le Registre (Windows) ou en exécutant un script (Mac) sur chaque ordinateur de bureau. Consultez Désactiver les extensions de tableau de bord.

Recommandations pour Tableau Server et Tableau Online

Si vos utilisateurs ont accès à Tableau Server ou Tableau Online, vous pouvez utiliser les contrôles de sécurité intégrés pour limiter et restreindre les extensions pouvant être utilisées et dans quelles circonstances. Si vous avez désactivé les extensions sur Tableau Desktop, vous pouvez toujours autoriser les utilisateurs à ajouter des extensions dans la création Web, mais vous pouvez limiter le nombre d'extensions autorisées à celles que vous approuvez.

Faire confiance aux extensions figurant sur la liste autorisée

Depuis Tableau Server 2019.1, aucune extension ne peut être exécutée si elle n'a pas été ajoutée à la liste autorisée. Les utilisateurs ne peuvent utiliser que les extensions des tableaux de bord explicitement répertoriées dans la page des paramètres du site (Paramètres > Extensions > Activer des extensions spécifiques).

Remarque Pour que la liste autorisée soit le comportement par défaut dans Tableau 2018.2 et Tableau 2018.3, vous devez modifier les paramètres du site. Dans la page des paramètres des extensions, sous Comportement par défaut des extensions, désactivez l'option Activer les extensions inconnues....

Liste de contrôle pour la liste autorisée :

  • L'extension provient-elle d'une source que vous connaissez et en laquelle vous avez confiance ?
  • Vérifiez l'URL de l'extension. L'URL semble-t-elle suspecte ou contient-elle des noms de domaine douteux ?
  • L'extension nécessite-t-elle l'accès à des données complètes (données sous-jacentes) ou résumées ? Consultez Comprendre l'accès aux données.
  • Testez les extensions avant d'autoriser leur utilisation à grande échelle. Consultez Tester la sécurité des extensions. Consultez Tester la sécurité des extensions.

Ajouter des extensions à la liste autorisée :

Bloquer l'exécution d'extensions spécifiques sur Tableau Server

Sur Tableau Server, vous pouvez bloquer des extensions spécifiques en ajoutant leur URL à la liste bloquée. Cette option est utile si vous avez plusieurs sites qui sont configurés différemment pour les extensions. Par exemple, si vous avez un site de test où vous voulez pouvoir tester des extensions internes ou tierces, vous avez peut-être activé le comportement par défaut pour les extensions, où les extensions ne figurant pas sur la liste sont autorisées à fonctionner à condition qu'elles n'accèdent pas aux données sous-jacentes dans le classeur. L'ajout d'une extension à la liste bloquée permet d'éviter qu'elle ne soit utilisée par inadvertance sur le site de test.

  • Ajoutez l'URL des extensions que vous ne voulez pas autoriser à la liste bloquée. Cette option est uniquement disponible pour Tableau Server. Consultez Bloquer des extensions spécifiques.

Désactiver des extensions pour un site

Par défaut, les extensions sont activées sur Tableau Server et Tableau Online. À la fois sur Tableau Server et Tableau Online, l'administrateur de site peut désactiver des extensions pour le site. L'administrateur de serveur peut désactiver des extensions pour Tableau Server, ce qui écrase les paramètres du site. Vous ne devriez pas avoir à modifier ce paramètre. Seules les extensions que vous ajoutez à la liste de sécurité sont autorisées. Si vous n'ajoutez pas l'URL de l'extension à la liste autorisée, l'extension ne sera pas exécutée.

Afficher ou masquer les invites utilisateur à exécuter les extensions

Lorsque vous ajoutez une extension à la liste autorisée, les utilisateurs voient les invites par défaut lorsqu'ils ajoutent une extension à un tableau de bord, ou lorsqu'ils interagissent avec une vue comportant une extension. L'invite fournit à l'utilisateur des détails sur l'extension et indique si l'extension dispose d'un accès aux données complètes. L'invite donne aux utilisateurs la possibilité d'autoriser ou d'interdire l'exécution de l'extension. Vous pouvez masquer cette invite aux yeux des utilisateurs, dans quel cas l'extension s'exécute immédiatement.

Désactiver le comportement par défaut pour les extensions

Tableau Server et Tableau Online disposent d'une autre option pour autoriser l'exécution des extensions. Les administrateurs peuvent contrôler s'il faut activer le comportement (ou la stratégie) par défaut des extensions. Autrement dit, s'il est activé, par défaut, les extensions qui ne figurent pas déjà dans la liste autorisée sont autorisées, à condition qu’elles ne demandent pas de données complètes. Les utilisateurs verront s'afficher des invites demandant l'autorisation d'exécuter ces extensions.

Dans Tableau 2018.2 et 2018.3, ce comportement par défaut était activé. À moins que vous ne désélectionniez cette option, les extensions qui ne figurent pas sur une liste autorisée sont autorisées à s'exécuter, à condition qu'elles n'aient pas accès aux données complètes.

Dans certains cas, vous voudrez peut-être activer le comportement par défaut pour un site. Par exemple, si vous avez un site que vous réservez aux tests, vous voudrez peut-être avoir la possibilité d'utiliser des extensions sans avoir à les ajouter à la liste autorisée. Certaines extensions n'accèdent pas directement aux données, mais contrôlent le paramétrage ou la suppression des filtres et des paramètres. L'activation du comportement par défaut facilite l'utilisation de ces extensions. Elle ouvre cependant la porte à d'autres extensions, ce qui doit vous inciter à la prudence lors de l'utilisation de cette option.

Merci pour vos commentaires ! Il y a eu une erreur lors de l’envoi de vos commentaires. Essayez à nouveau ou envoyez-nous un message.