Konfigurieren von SCIM mit Azure Active Directory


Sie können Benutzerverwaltung durch Azure Active Directory konfigurieren, Gruppen bereitstellen und Site-spezifische Tableau Cloud-Rollen zuweisen.

Während Sie die folgenden Schritte durchführen, kann es hilfreich sein, die Microsoft-Dokumentation griffbereit zu haben. Siehe dazu das Tutorial Konfigurieren von Tableau Cloud für die automatische Benutzerbereitstellung(Link wird in neuem Fenster geöffnet).

Hinweis: Wenn Sie die Bereitstellung für Ihre Anwendung bereits aktiviert haben und aktualisieren möchten, um den Tableau SCIM 2.0-Endpunkt zu verwenden, lesen Sie den Microsoft-Artikel Aktualisieren einer Tableau Cloud-Anwendung(Link wird in neuem Fenster geöffnet). Wenn Sie die Bereitstellung für eine neue Instanz der Tableau Cloud-Anwendung einrichten, führen Sie die folgenden Schritte aus.

Schritt 1: Voraussetzungen erfüllen

Für die SCIM-Funktionalität müssen Sie Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren.

  1. Führen Sie die Schritte durch, die im Abschnitt "Hinzufügen von Tableau Cloud zu Ihren Azure AD-Anwendungen" in Konfigurieren von SAML mit Azure Active Directory aufgeführt sind.

  2. Nachdem Sie Tableau Cloud aus dem Azure Marketplace hinzugefügt haben, bleiben Sie noch im Azure-Portal und in Tableau Cloud angemeldet, wobei die folgenden Seiten angezeigt werden sollten:

    • In Tableau Cloud die Seite Einstellungen > Authentifizierung.
    • Im Azure-Portal die Seite Tableau Cloud Anwendung > Bereitstellung.

Schritt 2: Aktivieren von SCIM-Unterstützung

Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit Azure Active Directory zu aktivieren: Siehe auch den Abschnitt Hinweise und Einschränkungen für die SCIM-Unterstützung mit Azure Active Directory unten.

  1. Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Gehen Sie wie folgt vor:

    1. Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

      Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

      Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

  3. Kopieren Sie den geheimen Token-Wert und gehen Sie dann auf der Seite Bereitstellung in führen Sie dann Ihrem Azure-Portal die folgenden Schritte durch:

    • Wählen Sie als Bereitstellungsmodus die Option Automatisch aus.

    • Wählen Sie als Authentifizierungsmethode die Option Bearerauthentifizierung aus.

    • Fügen Sie bei Geheimes Token das geheime Tableau Cloud-SCIM-Token ein, das Sie zuvor kopiert haben.

    • Fügen Sie bei Mandanten-URL die Basis-URL ein, die Sie aus den Tableau Cloud-SCIM-Einstellungen kopieren können.

  4. Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Anmeldeinformationen wie erwartet funktionieren, und klicken Sie dann auf Speichern.

  5. Überprüfen Sie im Abschnitt Zuordnungen, dass die Punkte Azure Active Directory-Gruppen bereitstellen und Azure Active Directory-Benutzer bereitstellen aktiviert sind.

  6. Wählen Sie Azure Active Directory-Gruppen bereitstellen aus und überprüfen Sie auf der Seite Attributzuordnungen die Attribute, die aus Azure zu Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern von Änderungen auf Speichern.

  7. Wählen Sie Azure Active Directory-Benutzer bereitstellen aus und überprüfen Sie auf der Seite Attributzuordnung die Attribute, die aus Azure zu Tableau Cloud synchronisiert werden. Klicken Sie zum Speichern von Änderungen auf Speichern.

Schritt 3: Zuweisen von Benutzern und Gruppen zu der Tableau Cloud-Anwendung

Verwenden Sie die folgenden Schritte, um einzelne Benutzer und Gruppen der Tableau Cloud-Anwendung in Azure zuzuweisen.

  1. Wählen Sie auf der Anwendungsseite Unternehmens-Apps > Benutzer und Gruppen aus.

  2. Klicken Sie auf Benutzer/Gruppe hinzufügen.

  3. Wählen Sie auf der Seite Zuweisung hinzufügen einen Benutzer oder eine Gruppe aus und weisen Sie eine der folgenden Site-spezifischen Rollen zu: Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer oder Unlicensed.

    Wenn Sie eine Rolle auswählen, die in der oben genannten Liste nicht aufgeführt ist, wird Ihnen eine Fehlermeldung angezeigt. Weitere Informationen zu Site-spezifischen Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern.

  4. Klicken Sie auf Zuweisen.

Erstellen von Gruppen für Site-spezifische Rollen

Ein Benutzer kann Mitglied mehrerer Gruppen in Azure sein, in Tableau Cloud erhält er jedoch nur die freizügigste Site-spezifische Rolle zugewiesen. Beispiel: Wenn ein Benutzer Mitglied von zwei Gruppen mit den Site-spezifischen Rollen "Viewer" und "Creator" ist, erhält er in Tableau die Site-spezifische Rolle "Creator" zugewiesen.

Um Rollenzuweisungen nachverfolgen zu können, empfiehlt es sich, rollenspezifische Gruppen in Azure zu erstellen (z. B. "Tableau – Creator", "Tableau – Explorer" usw.) Mithilfe dieser Gruppen können Sie neue Benutzer dann schnell für die richtige Rolle in Tableau Cloud bereitstellen.

Nachfolgend sind Site-spezifische Rollen aufgeführt, von der tolerantesten zu der restriktivsten hin:

  • Site-Admin Creator

  • Site-Admin Explorer

  • Creator

  • Explorer (kann veröffentlichen)

  • Explorer

  • Viewer

Hinweis: Benutzer und deren Attribute sollten über Azure verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.

Schritt 4: Bereitstellen von Benutzern und Gruppen

Nachdem Sie SCIM-Unterstützung aktiviert und der Tableau Cloud-Anwendung in Azure Benutzer und Gruppen zugewiesen haben, wäre der nächste Schritt die Bereitstellung von Benutzern für Ihre Tableau-Site.

  1. Erweitern Sie auf der Seite Bereitstellung den Abschnitt Einstellungen und definieren Sie die Benutzer oder Gruppen, die Sie für Tableau Cloud in Bereich bereitstellen möchten.

    Hinweis: Die Azure AD-Einstellung „Alle Benutzer und Gruppen synchronisieren“ wird mit Tableau Cloud nicht unterstützt.

  2. Schalten Sie den Bereitstellungsstatus auf Ein um.

  3. Klicken Sie auf Speichern.

Durch das Speichern wird die Erstsynchronisation der in Bereich definierten Benutzer oder Gruppen ausgelöst. Die Synchronisierung erfolgt ungefähr alle 40 Minuten, solange der Azure AD-Bereitstellungsdienst ausgeführt wird. Wenn Sie Benutzer außerhalb des Zeitplans manuell bereitstellen möchten, wählen Sie Nach Bedarf bereitstellen aus. Weitere Informationen zur Bereitstellung im Bedarfsfall finden Sie im Microsoft-Artikel On-demand Benutzerbereitstellung in Azure Active Directory(Link wird in neuem Fenster geöffnet).

Nach Abschluss der Bereitstellung sollten die Benutzer oder Gruppen von Azure AD auf der Seite Site-Benutzer in Tableau Cloud angezeigt werden.

Ändern der Benutzerauthentifizierung in Tableau Cloud

Bereitgestellten Benutzern wird standardmäßig der SAML-Authentifizierungstyp zugewiesen. Führen Sie die folgenden Schritte aus, um den Authentifizierungstyp für Benutzer zu ändern.

  1. Wählen Sie in Tableau Cloud die Option Benutzer aus.

  2. Aktivieren Sie auf der Seite Site-Benutzer die Kontrollkästchen neben den Benutzern, denen Sie einen Authentifizierungstyp zuweisen möchten.

  3. Wählen Sie im Menü Aktionen die Option Authentifizierung aus.

  4. Wählen Sie im Dialogfeld "Authentifizierung" den bevorzugten Authentifizierungstyp für den Benutzer aus.

Weitere Informationen zu den verschiedenen Authentifizierungstypen in Tableau Cloud finden Sie unter Authentifizierung.

Hinweise für die SCIM-Unterstützung mit Azure Active Directory

  • Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud-App hinzufügen.

  • Wenn die Bereitstellung eines Benutzers in der Tableau Cloud-Anwendung in Azure AD aufgehoben wird oder wenn ein Benutzer vollständig aus Azure AD gelöscht wird, wird der Benutzer in eine Site-spezifische Rolle Nicht lizenziert in Tableau Cloud umgewandelt. Wenn der Benutzer Inhalte besitzt, müssen Sie zunächst die Besitzrechte dieser Elemente neu zuweisen, bevor Sie den Benutzer in Tableau Cloud manuell löschen können.

  • Seit Februar 2024 (Tableau 2023.3) wird der Einsatz von SCIM mit Lizenz beim Anmelden gewähren (Grant License on Sign In, GLSI) unterstützt. Für GLSI ist Folgendes erforderlich:

    1. Direkt in Tableau Cloud muss die Option für eine Gruppe manuell aktiviert und die Site-Mindestrolle für die Benutzer, die Mitglieder der Gruppe sind, ausgewählt werden. Es ist nicht möglich, eine Gruppe mit dem GLSI-Attribut in Azure AD festzulegen, aber Sie können das Attribut für die Gruppe festlegen, die Sie über Azure AD in Tableau Cloud bereitgestellt haben.
    2. Der Benutzer muss als nicht lizenziert vom IdP bereitgestellt werden.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.