Améliorer la sécurité de l’entreprise grâce à la prise en charge de Kerberos : lancement de la version bêta !
Kerberos sera bientôt disponible dans Tableau. Vous êtes nombreux à avoir demandé une prise en charge de Kerberos afin de bénéficier d’une authentification unique depuis le client jusqu’à la base de données. Je suis heureux d’annoncer que la version bêta de Tableau 8.3 prend en charge Kerberos avec Microsoft SQL Server, Microsoft Analysis Server et Cloudera Impala.
Tableau propose déjà des mécanismes de sécurité et d’authentification pour les entreprises, telles que l’intégration Active Directory et des fournisseurs de gestion de l’identité avec SAML. En outre, Tableau Server inclut l’authentification native pour les équipes de plus petite taille qui souhaitent l’utiliser immédiatement. Avec la version 8.3, nous augmentons encore plus cette flexibilité en incluant Kerberos.
Informations générales sur Kerberos
Kerberos est un protocole d’authentification sécurisée, qui fournit une authentification unique pour les utilisateurs finaux de plusieurs services d’un réseau, au moyen d’une cryptographie forte. À l’origine, ce protocole a été développé par l’Institut de technologie du Massachusetts (MIT) à l’aide de trois services distincts (Key Distribution Center, également appelé KDC, Authentication Service et Ticket Granting Service) en plus du chiffrement, pour s’assurer d’authentifier l’utilisateur auprès des divers services du réseau et de sécuriser la communication. Le nom Kerberos est une référence au chien à trois têtes qui, selon la mythologie grecque, gardait la porte des Enfers.
Kerberos dans Tableau 8.3
Qu’implique la prise en charge de Kerberos pour les utilisateurs de Tableau ?
- Kerberos permet une authentification unique ininterrompue depuis le client Tableau de l’utilisateur final jusqu’à la source de données terminale.
- Le protocole tire profit des investissements informatiques existants en matière d’authentification et de sécurité des données dans l’entreprise.
- Il s’étend jusqu’à l’authentification avec carte à puce.
- Il permet une administration et une gestion simplifiées de l’utilisateur.
Pour l’utilisateur final, Kerberos améliore encore davantage l’expérience Tableau Server de plusieurs façons :
- aucune invite d’informations d’identification n’apparaît lors de la connexion à Tableau Server à partir d’un client Tableau Desktop sur Windows ou Mac ;
- lorsque l’utilisateur consulte un classeur qui utilise une connexion en direct vers une source de données prise en charge, il est automatiquement connecté à la source de données sous son identité ;
- lorsque l’utilisateur consulte un classeur qui utilise une connexion en direct vers une source de données prise en charge, il peut voir uniquement les données auxquelles il a accès.
Pour les auteurs, le flux de travail de publication n’a pas changé, à la seule exception que vous pouvez désormais sélectionner « Informations d’identification Viewer » pour l’authentification.
Administrateurs informatiques : comment configurer Kerberos ?
La configuration de Kerberos dans divers systèmes peut provoquer des problèmes critiques. Cependant, en collaborant étroitement avec nos clients Alpha (un grand merci à eux !), nous avons apporté des améliorations pour simplifier l’utilisation de Kerberos dans Tableau.
Lorsque vous configurez Tableau Server, suivez les 4 étapes simples suivantes pour vous assurer que Kerberos est configuré et fonctionne comme illustré dans la Figure 1.
Figure 1 : Configuration de Kerberos pour Tableau Server
En tant qu’administrateur de Tableau Server, vérifiez les points suivants avant de passer aux prochaines étapes :
- vérifiez que vous disposez des privilèges d’administrateur de domaine et de l’accès au serveur du contrôleur de domaine ;
- vérifiez que le serveur utilise une intégration Active Directory ;
- cochez la case « Activer Kerberos pour l’authentification unique » afin d’activer un guide pas-à-pas pour le reste de la configuration.
Étape 1 : Tableau Server fournit un script que votre administrateur de domaine devra exécuter sur l’ordinateur du contrôleur de domaine (AD) afin de configurer Kerberos. En fait, pour ceux qui connaissent Kerberos, ce script configure les SPN et génère les fichiers .keytab.
Étape 2 : L’administrateur de domaine exécute le script sur le contrôleur de domaine.
Étape 3 : Un fichier .keytab est renvoyé et doit être appliqué dans la configuration du serveur. Le fichier .keytab est ainsi placé dans le bon dossier pour Tableau Server.
Étape 4 : Effectuez un test pour voir si la configuration de Kerberos est correcte et fonctionne.
Une fois que le serveur a été configuré et que quelques classeurs ont été publiés avec « Informations d’identification Viewer », une icône, similaire à celle de la Figure 2, s’affiche à la place d’un aperçu pour la visualisation. Ce comportement est lié à la conception de Kerberos et empêche les données d’être visibles sous la forme d’aperçus aux utilisateurs qui ne doivent pas y avoir accès.
Figure 2 : Icônes d’aperçu spécifiques à l’utilisateur
Nous espérons que cela vous donnera une idée de ce que la prise en charge de Kerberos dans Tableau Server vous permet de faire, et également quelques informations pour le déploiement de votre propre version bêta (pour accéder à la version bêta, envoyez un e-mail à votre chargé de compte afin d’être ajouté au programme). Le guide d’administration contient davantage d’informations sur l’installation et la configuration de Tableau Server avec Kerberos. Je vous encourage tous à participer à la version bêta et à vous assurer que vos classeurs fonctionnent comme prévu. L’un de nos objectifs principaux est d’optimiser au maximum votre participation à la version bêta pour nous assurer que ces améliorations n’engendrent pas la détérioration d’autres aspects de vos classeurs dans votre environnement.
Abonnez-vous à notre blog
Recevez toute l'actualité de Tableau.