Konfigurieren von SCIM mit Microsoft Entra ID

Sie können mithilfe von Microsoft Entra ID (auch bekannt als Azure Active Directory (AD)) die Benutzerverwaltung konfigurieren, Gruppen bereitstellen und Site-spezifische Tableau Cloud-Rollen zuweisen.

Während Sie die folgenden Schritte durchführen, kann es hilfreich sein, die Entra-ID-Dokumentation griffbereit zu haben. Siehe dazu das Tutorial Konfigurieren von Tableau Cloud für die automatische Benutzerbereitstellung(Link wird in neuem Fenster geöffnet).

Hinweis: Wenn Sie die Bereitstellung für Ihre Anwendung bereits aktiviert haben und aktualisieren möchten, um den Tableau SCIM 2.0-Endpunkt zu verwenden, lesen Sie den Microsoft-Artikel Aktualisieren einer Tableau Cloud-Anwendung(Link wird in neuem Fenster geöffnet). Wenn Sie die Bereitstellung für eine neue Instanz der Tableau Cloud-Anwendung einrichten, führen Sie die folgenden Schritte aus.

Schritt 1: Voraussetzungen erfüllen

Für die SCIM-Funktionalität müssen Sie Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren.

  1. Führen Sie die Schritte durch, die im Abschnitt „Hinzufügen von Tableau Cloud zu Ihren Microsoft Entra ID-Anwendungen“ in Konfigurieren von SAML mit Microsoft Entra ID aufgeführt sind.

  2. Nachdem Sie Tableau Cloud aus dem Azure Marketplace hinzugefügt haben, bleiben Sie noch im Entra-Portal und in Tableau Cloud angemeldet, wobei die folgenden Seiten angezeigt werden sollten:

    • In Tableau Cloud die Seite Einstellungen > Authentifizierung.
    • Im Entra-Portal die Seite Tableau Cloud Anwendung > Bereitstellung.

Schritt 2: Aktivieren von SCIM-Unterstützung

Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit Microsoft Entra ID zu aktivieren. Siehe auch den Abschnitt Hinweise und Einschränkungen für die SCIM-Unterstützung mit Azure Active Directory unten.

Hinweis: Verwenden Sie für die Schritte im Entra-Portal die Tableau Cloud-App aus der Galerie.

  1. Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Gehen Sie wie folgt vor:

    1. Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

      Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

      Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

  3. Kopieren Sie den geheimen Token-Wert, und führen Sie dann auf der Seite Bereitstellung in Ihrem Entra-Portal die folgenden Schritte durch:

    • Wählen Sie als Bereitstellungsmodus die Option Automatisch aus.

    • Wählen Sie als Authentifizierungsmethode die Option Bearerauthentifizierung aus.

    • Fügen Sie bei Mandanten-URL die Basis-URL ein, die Sie aus den Tableau Cloud-SCIM-Einstellungen kopieren können.

    • Fügen Sie bei Geheimes Token das geheime Tableau Cloud-SCIM-Token ein, das Sie zuvor kopiert haben.

  4. Klicken Sie auf die Schaltfläche Verbindung testen, um zu überprüfen, ob die Anmeldeinformationen wie erwartet funktionieren, und klicken Sie dann auf Speichern.

  5. Stellen Sie im Abschnitt Zuordnungen sicher, dass die Punkte Microsoft Entra ID-Gruppen bereitstellen und Microsoft Entra ID-Benutzer bereitstellen aktiviert sind.

  6. Wählen Sie Microsoft Entra ID-Gruppen bereitstellen aus, und überprüfen Sie auf der Seite Attributzuordnungen die Attribute, die von Entra ID mit Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern der Änderungen auf Speichern.

  7. Wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus, und überprüfen Sie auf der Seite Attributzuordnung die Attribute, die von Entra ID mit Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern der Änderungen auf Speichern.

Schritt 3: Zuweisen von Gruppen zu der Tableau Cloud-App

Gehen Sie wie folgt vor, um in Microsoft Entra ID der Tableau Cloud-Galerie-App Gruppen zuzuweisen.

  1. Wählen Sie auf der Anwendungsseite Unternehmens-Apps > Benutzer und Gruppen aus.

  2. Klicken Sie auf Benutzer/Gruppe hinzufügen.

  3. Wählen Sie auf der Seite Aufgabe hinzufügen (Add Assignment) eine Gruppe aus und weisen Sie eine der folgenden Site-Rollen zu:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Nicht lizenziert

    Hinweis: Wenn Sie eine Rolle auswählen, die in der oben genannten Liste nicht aufgeführt ist, wird Ihnen eine Fehlermeldung angezeigt. Weitere Informationen zu Site-spezifischen Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern.

  4. Klicken Sie auf Zuweisen.

Erstellen von Gruppen für Site-spezifische Rollen

Ein Benutzer kann Mitglied mehrerer Gruppen in Entra ID sein, in Tableau Cloud erhält er jedoch nur die freizügigste Site-spezifische Rolle zugewiesen. Beispiel: Wenn ein Benutzer Mitglied von zwei Gruppen mit den Site-spezifischen Rollen "Viewer" und "Creator" ist, erhält er in Tableau die Site-spezifische Rolle "Creator" zugewiesen.

Um Rollenzuweisungen nachverfolgen zu können, empfiehlt es sich, rollenspezifische Gruppen in Entra ID zu erstellen (z. B. „Tableau – Creator“, „Tableau – Explorer“ ). Mithilfe dieser Gruppen können Sie dann neue Benutzer schnell für die richtige Rolle in Tableau Cloud bereitstellen.

Nachfolgend sind Site-spezifische Rollen aufgeführt, von der tolerantesten zu der restriktivsten hin:

  • Site-Admin Creator

  • Site-Admin Explorer

  • Creator

  • Explorer (kann veröffentlichen)

  • Explorer

  • Viewer

Hinweis: Benutzer und deren Attribute sollten in Entra ID verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.

Schritt 4: Gruppen bereitstellen

Nachdem Sie die SCIM-Unterstützung aktiviert und der Anwendung Tableau Cloud in Entra ID Gruppen zugewiesen haben, ist der nächste Schritt die Bereitstellung von Benutzern für Ihre Tableau Cloud-Site.

  1. Erweitern Sie auf der Seite Bereitstellung den Abschnitt Einstellungen und definieren Sie unter Umfang die Gruppen, die Sie für Tableau Cloud bereitstellen möchten.

    Hinweis: Die Entra ID-Einstellung „Alle Benutzer und Gruppen synchronisieren“ wird mit Tableau Cloud nicht unterstützt.

  2. Schalten Sie den Bereitstellungsstatus auf Ein um.

  3. Klicken Sie auf Speichern.

Durch das Speichern wird die anfängliche Synchronisierung der unter Umfang definierten Gruppen gestartet. Die Synchronisierung erfolgt ungefähr alle 40 Minuten, solange der Entra ID-Bereitstellungsdienst ausgeführt wird. Wenn Sie Benutzer außerhalb des Zeitplans manuell bereitstellen möchten, wählen Sie Nach Bedarf bereitstellen aus. Weitere Informationen zur Bereitstellung im Bedarfsfall finden Sie im Microsoft-Artikel Bedarfsgesteuerte Bereitstellung in Microsoft Entra ID(Link wird in neuem Fenster geöffnet).

Nachdem die Bereitstellung abgeschlossen ist, sollten Sie die Gruppen aus Entra ID auf der Seite Site-Benutzer in Tableau Cloud sehen.

Ändern der Benutzerauthentifizierung in Tableau Cloud

Bereitgestellten Benutzern wird standardmäßig der SAML-Authentifizierungstyp zugewiesen. Führen Sie die folgenden Schritte aus, um den Authentifizierungstyp für Benutzer zu ändern.

  1. Wählen Sie in Tableau Cloud die Option Benutzer aus.

  2. Aktivieren Sie auf der Seite Site-Benutzer die Kontrollkästchen neben den Benutzern, denen Sie einen Authentifizierungstyp zuweisen möchten.

  3. Wählen Sie im Menü Aktionen die Option Authentifizierung aus.

  4. Wählen Sie im Dialogfeld "Authentifizierung" den bevorzugten Authentifizierungstyp für den Benutzer aus.

Weitere Informationen zu den verschiedenen Authentifizierungstypen in Tableau Cloud finden Sie unter Authentifizierung.

SCIM und Lizenzgewährung bei der Anmeldung

Seit Februar 2024 (Tableau 2023.3) wird der Einsatz von SCIM mit Lizenz beim Anmelden gewähren (Grant License on Sign In, GLSI) unterstützt.

Für die Verwendung von SCIM mit GLSI für Entra ID ist Folgendes erforderlich:

  1. In Entra ID müssen Benutzer zur Gruppe in der Tableau Cloud-App hinzugefügt werden.

  2. In Tableau Cloud muss die GLSI-Option für die Gruppe aktiviert werden, und die Site-spezifische Mindestrolle für die Benutzer, die Gruppenmitglieder sind, muss ausgewählt werden.

    Hinweis: Es ist nicht möglich, in Entra ID eine Gruppe mit dem GLSI-Attribut festzulegen.

  3. Benutzer, die in Entra ID als nicht lizenziert bereitgestellt werden sollen.

Aktivieren von GLSI

Informationen zum Aktivieren von GLSI in Tableau Cloud finden Sie unter Lizenz beim Anmelden gewähren.

Entfernen von SCIM-Benutzern mit GLSI

Sie müssen SCIM-Benutzer erst aus deren GLSI-aktivierten Gruppen in Microsoft Entra ID entfernen, bevor Sie sie aus Microsoft Entra ID löschen können. Wenn SCIM-Benutzer aus allen ihren GLSI-aktivierten Gruppen entfernt werden, wird ihnen in Tableau Cloud die Rolle „Nicht lizenziert“ zugewiesen.

  1. Heben Sie in Entra ID die Bereitstellung des Benutzers über die GLSI-aktivierte Gruppe in der Tableau Cloud-App auf. Das Aufheben der Bereitstellung eines Benutzers in Entra ID führt lediglich dazu, dass seine Rolle in Tableau Cloud in „Nicht lizenziert“ geändert wird, nicht aber, dass er gelöscht wird.

Hinweise:

  • Wenn der Benutzer kein Mitglied mehr einer Tableau Cloud-App-Gruppe in Entra ID ist oder wenn der Benutzer der Tableau Cloud-App einzeln zugewiesen ist, wird seine Rolle in Tableau Cloud in „Nicht lizenziert“ geändert.

  • Wenn Sie den SCIM-Benutzer aus Tableau Cloud löschen möchten (siehe Löschen von SCIM-Benutzern weiter unten), löschen Sie ihn manuell.

  1. Entfernen Sie den Benutzer aus den Gruppen mit aktiviertem GLSI.

  2. Entfernen Sie den SCIM-Benutzer aus der Site.

Wenn Sie damit Probleme haben, lesen Sie den Wissensartikel Error "User role was not updated to: Unlicensed (errorCode=10079)" When Attempting to Deprovision Users via SCIM(Link wird in neuem Fenster geöffnet) (Fehler „Benutzerrolle wurde nicht aktualisiert auf: Nicht lizenziert (Fehlercode = 10079)“ beim Versuch, Benutzern über SCIM die Bereitstellung zu entziehen).

Informationen zur Gruppe „Alle Benutzer“ von Tableau Cloud

Wenn Sie die Standardgruppe „Alle Benutzer“ mit GLSI aktiviert haben, können Sie die Bereitstellung der Benutzer in Entra ID nicht aufheben und daher auch die Lizenzierung der Benutzer nicht aufheben, die zur GLSI-aktivierten Gruppe in Tableau Cloud gehören. Um einen SCIM-Benutzer aus der GLSI-aktivierten Gruppe „Alle Benutzer“ zu entfernen, müssen Sie ihn manuell aus Tableau Cloud löschen.

Hinweis: Wenn Benutzern Inhalte zugeordnet sind, müssen Sie die Eigentumsrechte an den Inhalten anderen Benutzern zuweisen, bevor Sie die Benutzer löschen können.

Löschen von SCIM-Benutzern

Wenn Sie SCIM-Benutzer in Entra ID löschen, werden sie nur in die Rolle „Nicht lizenziert“ umgewandelt, aber nicht in Tableau Cloud gelöscht. Wenn Sie Benutzer löschen möchten, müssen Sie sie manuell in Tableau Cloud löschen.

Weitere Informationen zum Löschen von Benutzern finden Sie unter "Entfernen von Benutzern von einer Site" im Abschnitt Anzeigen, Verwalten oder Entfernen von Benutzern.

Hinweis: Wenn Benutzern Inhalte zugeordnet sind, müssen Sie die Eigentumsrechte an den Inhalten anderen Benutzern zuweisen, bevor Sie die Benutzer löschen können.

Hinweise zur SCIM-Unterstützung mit Microsoft Entra ID

  • Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud-App hinzufügen.

  • Wenn die Bereitstellung eines Benutzers in der Tableau Cloud-Anwendung in Azure AD aufgehoben wird oder wenn ein Benutzer vollständig aus Azure AD gelöscht wird, wird der Benutzer in eine Site-spezifische Rolle Nicht lizenziert in Tableau Cloud umgewandelt. Wenn der Benutzer Inhalte besitzt, müssen Sie zunächst die Besitzrechte dieser Elemente neu zuweisen, bevor Sie den Benutzer in Tableau Cloud manuell löschen können.

  • Seit Februar 2024 (Tableau 2023.3) wird der Einsatz von SCIM mit Lizenz beim Anmelden gewähren (Grant License on Sign In, GLSI) unterstützt. Weitere Informationen finden Sie oben unter SCIM und Lizenzgewährung bei der Anmeldung.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.