Konfigurieren von SCIM mit Microsoft Entra ID
Sie können mithilfe von Microsoft Entra ID (auch bekannt als Azure Active Directory (AD)) die Benutzerverwaltung konfigurieren, Gruppen bereitstellen und Site-spezifische Tableau Cloud-Rollen zuweisen.
Während Sie die folgenden Schritte durchführen, kann es hilfreich sein, die Entra-ID-Dokumentation griffbereit zu haben. Siehe dazu das Tutorial Konfigurieren von Tableau Cloud für die automatische Benutzerbereitstellung(Link wird in neuem Fenster geöffnet).
Hinweis: Wenn Sie die Bereitstellung für Ihre Anwendung bereits aktiviert haben und aktualisieren möchten, um den Tableau SCIM 2.0-Endpunkt zu verwenden, lesen Sie den Microsoft-Artikel Aktualisieren einer Tableau Cloud-Anwendung(Link wird in neuem Fenster geöffnet). Wenn Sie die Bereitstellung für eine neue Instanz der Tableau Cloud-Anwendung einrichten, führen Sie die folgenden Schritte aus.
Schritt 1: Voraussetzungen erfüllen
Für die SCIM-Funktionalität müssen Sie Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren.
Führen Sie die Schritte durch, die im Abschnitt „Hinzufügen von Tableau Cloud zu Ihren Microsoft Entra ID-Anwendungen“ in Konfigurieren von SAML mit Microsoft Entra ID aufgeführt sind.
Nachdem Sie Tableau Cloud aus dem Azure Marketplace hinzugefügt haben, bleiben Sie noch im Entra-Portal und in Tableau Cloud angemeldet, wobei die folgenden Seiten angezeigt werden sollten:
- In Tableau Cloud die Seite Einstellungen > Authentifizierung.
- Im Entra-Portal die Seite Tableau Cloud Anwendung > Bereitstellung.
Schritt 2: Aktivieren von SCIM-Unterstützung
Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit Microsoft Entra ID zu aktivieren. Siehe auch den Abschnitt Hinweise und Einschränkungen für die SCIM-Unterstützung mit Azure Active Directory unten.
Hinweis: Verwenden Sie für die Schritte im Entra-Portal die Tableau Cloud-App aus der Galerie.
Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.
Gehen Sie wie folgt vor:
Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.
Dadurch wird das Feld Basis-URL mit dem Wert ausgefüllt, den Sie in der SCIM-Konfiguration des IdP verwenden werden.
Klicken Sie auf Neues Geheimnis generieren. Das neu generierte Geheimnis wird angezeigt und kann in die SCIM-Konfiguration kopiert werden.
Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.
Wählen Sie unter Authentifizierung die SAML-Authentifizierungskonfiguration aus, die mit SCIM verknüpft werden soll.
Hinweis: Es kann nur eine SAML-Authentifizierungskonfiguration für SCIM auf einer Site verwendet werden.
Tipp: Wenn Sie unter „Authentifizierung“ zu irgendeinem Zeitpunkt einen anderen Wert auswählen (einschließlich von „Keine“ zu einer konfigurierten SAML-Authentifizierung), muss das Geheimnis zurückgesetzt werden, damit SCIM funktioniert. Das alte Geheimnis funktioniert nicht mehr für die Verbindung, auch wenn die Schaltfläche Verbindung testen immer noch mit dem alten Geheimnis funktioniert. Klicken Sie in diesem Fall erneut auf Neues Geheimnis generieren und kopieren Sie das neue Geheimnis in die SCIM-Konfiguration Ihres IdP.
Gehen Sie auf der Seite Bereitstellung in Ihrem Entra-Portal wie folgt vor:
Wählen Sie als Bereitstellungsmodus die Option Automatisch aus.
Wählen Sie als Authentifizierungsmethode die Option Bearerauthentifizierung aus.
Fügen Sie bei Mandanten-URL die Basis-URL ein, die Sie aus den Tableau Cloud-SCIM-Einstellungen kopieren können.
Als geheimes Token kopieren Sie das generierte Tableau Cloud SCIM-Geheimnis und fügen es ein.
Klicken Sie auf die Schaltfläche Verbindung testen, um zu überprüfen, ob die Anmeldeinformationen wie erwartet funktionieren, und klicken Sie dann auf Speichern.
Stellen Sie im Abschnitt Zuordnungen sicher, dass die Punkte Microsoft Entra ID-Gruppen bereitstellen und Microsoft Entra ID-Benutzer bereitstellen aktiviert sind.
Wählen Sie Microsoft Entra ID-Gruppen bereitstellen aus, und überprüfen Sie auf der Seite Attributzuordnungen die Attribute, die von Entra ID mit Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern der Änderungen auf Speichern.
Wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus, und überprüfen Sie auf der Seite Attributzuordnung die Attribute, die von Entra ID mit Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern der Änderungen auf Speichern.
Tableau Cloud-App
Schritt 3: Zuweisen von Gruppen zu derGehen Sie wie folgt vor, um in Microsoft Entra ID der Tableau Cloud-Galerie-App Gruppen zuzuweisen.
Wählen Sie auf der Anwendungsseite Unternehmens-Apps > Benutzer und Gruppen aus.
Klicken Sie auf Benutzer/Gruppe hinzufügen.
Wählen Sie auf der Seite Aufgabe hinzufügen (Add Assignment) eine Gruppe aus und weisen Sie eine der folgenden Site-Rollen zu:
Creator
SiteAdministratorCreator
Explorer
SiteAdministratorExplorer
ExplorerCanPublish
Viewer
Nicht lizenziert
Hinweis: Wenn Sie eine Rolle auswählen, die in der oben genannten Liste nicht aufgeführt ist, wird Ihnen eine Fehlermeldung angezeigt. Weitere Informationen zu Site-spezifischen Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern.
Klicken Sie auf Zuweisen.
Erstellen von Gruppen für Site-spezifische Rollen
Ein Benutzer kann Mitglied mehrerer Gruppen in Entra ID sein, in Tableau Cloud erhält er jedoch nur die freizügigste Site-spezifische Rolle zugewiesen. Beispiel: Wenn ein Benutzer Mitglied von zwei Gruppen mit den Site-spezifischen Rollen "Viewer" und "Creator" ist, erhält er in Tableau die Site-spezifische Rolle "Creator" zugewiesen.
Um Rollenzuweisungen nachverfolgen zu können, empfiehlt es sich, rollenspezifische Gruppen in Entra ID zu erstellen (z. B. „Tableau – Creator“, „Tableau – Explorer“ ). Mithilfe dieser Gruppen können Sie dann neue Benutzer schnell für die richtige Rolle in Tableau Cloud bereitstellen.
Nachfolgend sind Site-spezifische Rollen aufgeführt, von der tolerantesten zu der restriktivsten hin:
Site-Admin Creator
Site-Admin Explorer
Creator
Explorer (kann veröffentlichen)
Explorer
Viewer
Hinweis: Benutzer und deren Attribute sollten in Entra ID verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.
Schritt 4: Gruppen bereitstellen
Nachdem Sie die SCIM-Unterstützung aktiviert und der Anwendung Tableau Cloud in Entra ID Gruppen zugewiesen haben, ist der nächste Schritt die Bereitstellung von Benutzern für Ihre Tableau Cloud-Site.
Erweitern Sie auf der Seite Bereitstellung den Abschnitt Einstellungen und definieren Sie unter Umfang die Gruppen, die Sie für Tableau Cloud bereitstellen möchten.
Hinweis: Die Entra ID-Einstellung „Alle Benutzer und Gruppen synchronisieren“ wird mit Tableau Cloud nicht unterstützt.
Schalten Sie den Bereitstellungsstatus auf Ein um.
Klicken Sie auf Speichern.
Durch das Speichern wird die anfängliche Synchronisierung der unter Umfang definierten Gruppen gestartet. Die Synchronisierung erfolgt ungefähr alle 40 Minuten, solange der Entra ID-Bereitstellungsdienst ausgeführt wird. Wenn Sie Benutzer außerhalb des Zeitplans manuell bereitstellen möchten, wählen Sie Nach Bedarf bereitstellen aus. Weitere Informationen zur Bereitstellung im Bedarfsfall finden Sie im Microsoft-Artikel Bedarfsgesteuerte Bereitstellung in Microsoft Entra ID(Link wird in neuem Fenster geöffnet).
Nachdem die Bereitstellung abgeschlossen ist, sollten Sie die Gruppen aus Entra ID auf der Seite Site-Benutzer in Tableau Cloud sehen.
Tableau Cloud
Ändern der Benutzerauthentifizierung inBereitgestellten Benutzern wird standardmäßig der SAML-Authentifizierungstyp zugewiesen. Führen Sie die folgenden Schritte aus, um den Authentifizierungstyp für Benutzer zu ändern.
Wählen Sie in Tableau Cloud die Option Benutzer aus.
Aktivieren Sie auf der Seite Site-Benutzer die Kontrollkästchen neben den Benutzern, denen Sie einen Authentifizierungstyp zuweisen möchten.
Wählen Sie im Menü Aktionen die Option Authentifizierung aus.
Wählen Sie im Dialogfeld "Authentifizierung" den bevorzugten Authentifizierungstyp für den Benutzer aus.
Weitere Informationen zu den verschiedenen Authentifizierungstypen in Tableau Cloud finden Sie unter Authentifizierung.
Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud-App hinzufügen.
Wenn die Bereitstellung eines Benutzers in der Tableau Cloud-Anwendung in Azure AD aufgehoben wird oder wenn ein Benutzer vollständig aus Azure AD gelöscht wird, wird der Benutzer in eine Site-spezifische Rolle Nicht lizenziert in Tableau Cloud umgewandelt. Wenn der Benutzer Inhalte besitzt, müssen Sie zunächst die Besitzrechte dieser Elemente neu zuweisen, bevor Sie den Benutzer in Tableau Cloud manuell löschen können.
Seit Februar 2024 (Tableau 2023.3) wird der Einsatz von SCIM mit Lizenz beim Anmelden gewähren (Grant License on Sign In, GLSI) unterstützt. Für GLSI ist Folgendes erforderlich:
1. Direkt in Tableau Cloud muss die Option für eine Gruppe manuell aktiviert und die Site-Mindestrolle für die Benutzer, die Mitglieder der Gruppe sind, ausgewählt werden. Es ist nicht möglich, eine Gruppe mit dem GLSI-Attribut in Azure AD festzulegen, aber Sie können das Attribut für die Gruppe festlegen, die Sie über Azure AD in Tableau Cloud bereitgestellt haben.
2. Der Benutzer muss als nicht lizenziert vom IdP bereitgestellt werden.