Comment mettre en place l’authentification multi-facteurs pour Tableau Online ?

Dans le cadre du renforcement de la sécurité de ses applications, Salesforce rend obligatoire contractuellement l’authentification multi-facteurs (MFA) pour tous les utilisateurs de Tableau Online à partir du 1er février 2022. Le calendrier de déploiement prévoit l’activation automatique de l’authentification multi-facteurs (MFA) progressive :

• pour les administrateurs de site entre mars et mai 2022,
• puis tous les utilisateurs entre juillet et septembre 2022.

L’authentification multi-facteurs est une méthode d’authentification qui requiert de la part de l’utilisateur la fourniture d’au moins deux facteurs de vérification de son identité afin d’accéder à une ressource. L’utilisateur doit fournir en plus de son nom d’utilisateur et de son mot de passe un ou plusieurs facteurs de vérification supplémentaire. Cette méthode d’authentification permet de renforcer la sécurité des applications en diminuant les chances de réussite d’une cyberattaque.

En tant qu’administrateurs de site Tableau Online, voici les actions clés pour assurer la transition vers l’authentification avec MFA dans de bonnes conditions :

• Sélectionner et activer la bonne méthode d’authentification, selon que vous utilisiez ou non une authentification unique (SSO : Single Sign On) via un fournisseur d’identité pour les connexions à Tableau Online.
• En cas d’authentification « Tableau avec MFA », exécuter la version 2021.1 ou ultérieure de Tableau Desktop et de Tableau Bridge.
• Mettre en place des bonnes pratiques d’administration pour ne pas se retrouver verrouillé hors du portail Tableau Online.

1. Sélectionner la bonne méthode d’authentification

Deux méthodes d’authentification sont possibles :

• La méthode recommandée par Tableau est d’utiliser votre fournisseur d’identité avec authentification unique et d’activer le MFA auprès de ce fournisseur d’identité pour tous les utilisateurs de Tableau Online.
• Sinon, si vous ne pouvez pas utiliser un fournisseur d’identité avec authentification unique, vous devrez activer la méthode de vérification Tableau avec MFA. Les méthodes de vérification disponibles sont les suivantes :
  • Vérification via une applications mobile telles que :
    • Salesforce Authenticator
    • Ou une application mobile générant un mot de passe éphémère à usage unique (par exemple : Google Authenticator, Microsoft Authenticator, Authy).
  • Si vous ne pouvez pas disposer d’une application mobile : vérification via une application web générant un mot de passe temporaire à usage unique ou une extension de votre navigateur interne. Cette méthode n’est cependant pas recommandée. En effet, si une personne mal intentionnée réussissait à accéder à l’ordinateur portable ou au poste de travail de vos utilisateurs, le deuxième facteur d’authentification pourrait être compromis.
  • Vérification via des codes de récupération à usage unique. Vous pouvez générer une liste de 10 codes de récupération et vous devrez noter chaque code utilisé afin de connaître les codes restants. Cette méthode est une méthode de secours et n’est pas recommandée comme méthode principale de vérification.

2. Si besoin, mettre à niveau Tableau Desktop et Tableau Bridge

[Si vous utilisez l’authentification unique auprès de votre fournisseur d’identité pour tous les utilisateurs de Tableau Online, vous n’êtes pas concernés par cette section et vous pouvez passer directement à la section suivante.]

Si vous avez choisi la méthode d’authentification « Tableau avec MFA » et que vous utilisez Tableau Desktop ou Tableau Bridge avec Tableau Online, il vous faudra peut-être mettre à niveau ces applications. En effet, il est nécessaire d’exécuter la version 2021.1 ou ultérieure de Tableau Desktop et Tableau Bridge pour pouvoir utiliser la méthode d’authentification « Tableau avec MFA ».

Pour tous vos utilisateurs de Tableau Online concernés :

• Vérifiez quelle(s) version(s) de Tableau Desktop et Tableau Bridge sont installées.
• Si besoin, effectuez une mise à niveau vers la version 2021.1 ou ultérieure de leurs applications Tableau Desktop et Tableau Bridge.

3. Les bonnes pratiques d’administration pour ne pas se retrouver verrouillé hors du portail Tableau Online

Une fois que l’authentification multi-facteurs est active pour Tableau Online, il est essentiel d’être en mesure de confirmer son identité lorsque l’on s’y connecte. Que se passerait-il pour un utilisateur en cas de perte de son téléphone mobile par exemple ?

Voici un résumé des bonnes pratiques pour éviter que vous ou vos utilisateurs ne vous retrouviez verrouillé(s) hors de Tableau Online :

Administrateur(s) de site

• Vous-même :
  • En tant qu’administrateur de site, votre accès à Tableau Online est crucial.
  • Une fois que vous avez activé le MFA pour vous connecter à Tableau Online, enregistrez une deuxième méthode de vérification.
  • Choisissez de préférence de créer des codes de récupération à usage unique pour votre compte (« Codes de récupération ») comme deuxième méthode de vérification.
  • Téléchargez une copie de ces codes et conservez-les en lieu sûr afin d’y avoir accès si votre méthode d’authentification primaire ne fonctionnait pas (par exemple, suite à la perte de votre téléphone portable).
• Au moins un autre administrateur de site :
  • La désignation d’un deuxième compte administrateur de site (Administrateur de site – Creator ou Administrateur de site – Explorer) avec des droits permettant de gérer les utilisateurs et les paramètres MFA permet à cet administrateur de vous seconder si vous vous retrouvez verrouillé hors du site.
  • Si besoin, cet administrateur peut réinitialiser les vérificateurs MFA pour votre compte (par exemple, suite à la perte de votre téléphone portable et de vos codes de récupération).
  • Cet administrateur doit aussi activer une deuxième méthode de vérification et conserver ses codes de récupération en lieu sûr.

[Astuce] Comment réinitialiser les vérificateurs MFA d’un utilisateur ? Dans « Utilisateurs », sélectionner un utilisateur, puis rubrique « Paramètres », à la section « Compte » : cliquez sur « Réinitialiser les vérificateurs MFA ».

Utilisateurs du site

• En tant qu’administrateur, vous n’avez pas la possibilité de générer des codes de récupération pour vos utilisateurs. Ils doivent effectuer eux-mêmes cette démarche.
• Nous vous recommandons donc dès l’activation de l’authentification multi-facteurs de demander à vos utilisateurs de générer des codes de récupération (en leur transmettant au préalable une procédure si nécessaire) et de les conserver en lieu sûr.

[Astuce] Comment générer des codes de récupération ? Dans « Paramètre de Mon compte », rubrique « Paramètres », à la section « Compte » : cliquez sur « Gérer les méthodes de vérification MFA ».

Si malgré toutes ces précautions, vous vous retrouviez verrouillé(s) hors du portail Tableau Online, vous devrez envoyer une demande au support Tableau pour résoudre la situation.

4. Accès réalisés via les outils en ligne de commandes ou des scripts

Il vous arrive peut-être d’utiliser les outils en ligne de commande de Tableau, tels que tabcmd pour effectuer ou automatiser des opérations sur Tableau Online. Pour l’instant, la fonction « tabcmd login » ne permet que de s’identifier en utilisant l’option identifiant et mot de passe. Donc le passage à la méthode d’authentification Tableau avec MFA n’est pas compatible à la date de publication de cet article. Sur son site, Tableau indique que l’équipe de développement travaille activement sur une solution.

Si vous effectuez des requêtes utilisant l’API REST de Tableau Online, vous pouvez d’ores et déjà utiliser un jeton d’accès personnel afin de vous authentifier.

Share

Grâce à nos
Auteurs

Issam E.

Line T.