Konfigurieren von SCIM mit Okta

Sie können die Benutzerverwaltung über Okta konfigurieren, Gruppen bereitstellen und Site-spezifische Rollen für Tableau Cloud zuweisen. Wenn Sie noch nicht mit Site-spezifischen Tableau-Rollen und den von ihnen zugelassenen Funktionen vertraut sind, finden Sie genauere Informationen unter Festlegen der Site-spezifischen Rollen von Benutzern.

Während Sie die folgenden Schritte durchführen, kann es hilfreich sein, die Okta-Dokumentation zur Hand zu nehmen.

Aktivieren von SCIM-Unterstützung

Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit Okta zu aktivieren. Siehe auch Hinweise und Einschränkungen für die SCIM-Unterstützung mit Okta.

1. Für die SCIM-Funktionalität ist es erforderlich, dass Sie Ihre Site für die Unterstützung von SAML-SSO konfigurieren. Wenn Sie dies nicht getan haben, führen Sie die Schritte in den folgenden Abschnitten in Konfigurieren von SAML mit Okta durch:

   • Öffnen der SAML-Einstellungen in Tableau Cloud

   • Hinzufügen von Tableau Cloud zu den Okta-Anwendungen

   Bleiben Sie nach Abschluss der Schritte in diesen beiden Abschnitten sowohl mit der Okta-Konsole als auch mit Tableau Cloud verbunden und zeigen Sie die folgenden Seiten an:

   • In Tableau Cloud, die Seite Einstellungen > Authentifizierung.

   • Öffnen Sie in der Okta-Entwicklerkonsole Anwendungen > Tableau Cloud > Bereitstellung.

2. Aktivieren Sie auf der Seite Authentifizierung in Tableau Cloud unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

   Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

   Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

3. Kopieren Sie den geheimen Token-Wert, und wählen Sie dann auf der Seite Bereitstellung in Ihrer Okta-Administratorkonsole in der Spalte Einstellungen API-Integration.

4. Wählen Sie Bearbeiten und führen Sie dann folgende Schritte aus:

   • Aktivieren Sie das Kontrollkästchen API-Integration aktivieren.

   • Fügen Sie unter API-Token das Tableau Cloud-SCIM-Geheimtoken ein, das Sie im vorherigen Schritt kopiert haben.

   • Kopieren Sie die Basis-URL, die in den Tableau Cloud-SCIM-Einstellungen angezeigt wird, und fügen Sie sie unter Basis-URL ein.

   

Aktivieren der Gruppenbereitstellung

Okta ermöglicht es Ihnen, bestehende Gruppen auf Tableau Cloud zu übertragen, um Benutzerattribute wie Gruppen- oder Site-spezifische Rollen zuzuweisen. Sobald eine Gruppe übertragen wurde, können Sie die Gruppenmitgliedschaft in Okta verwalten, um die entsprechende Gruppe in Tableau Cloud automatisch zu aktualisieren.

Hinweis: Nach der Aktivierung von SCIM sollten die Benutzer und ihre Attribute über den IdP verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.

Die folgenden Schritte setzen dort an, wo Sie im vorherigen Abschnitt aufgehört haben. Dabei wird davon ausgegangen, dass Sie bei der Okta-Administrationskonsole angemeldet sind.

1. Wählen Sie auf der Registerkarte Application die Anwendung Tableau Cloud aus.

2. Wählen Sie die Registerkarte Push Groups aus.

3. Klicken Sie auf Push Groups und wählen Sie im Dropdown-Menü eine der folgenden Optionen aus:

• Find groups by name: Wählen Sie diese Option aus, um Gruppen nach Namen zu suchen.

• Find groups by rule: Wählen Sie diese Option aus, um eine Suchregel zu erstellen, die alle Gruppen überträgt, die der Regel entsprechen.

Sie können die Gruppenübertragung deaktivieren, die Verknüpfung von übertragenen Gruppen aufheben oder die Gruppenmitgliedschaft sofort übertragen, indem Sie in der Spalte für den Übertragungsstatus auf Active oder Inactive klicken. Um mehrere Gruppen zu löschen, zu deaktivieren oder zu aktivieren, klicken Sie auf Bulk Edit.

Weitere Informationen finden Sie unter Enable Group Push(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation.

Hinweise und Einschränkungen für die SCIM-Unterstützung mit Okta

• In den Einstellungen für die Okta-Benutzerzuweisung müssen die Werte für Benutzername und Primäre E-Mail-Adresse identisch sein.

  

• Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud Okta-App hinzufügen.

• Wenn Sie eine Site migrieren möchten, müssen Sie die SCIM-Bereitstellung für die neue Site neu konfigurieren.

• Beim Bereitstellen neuer Benutzer werden die Attribute für den Vornamen und Nachnamen in Okta nicht mit Tableau Cloud synchronisiert. Neue Benutzer müssen diese Felder festlegen, wenn sie sich erstmalig bei Tableau Cloud anmelden.

• Sie können die Site-spezifische Rolle eines Benutzers (z. B. Creator, Explorer oder Viewer) in Okta entweder auf der Benutzerebene oder auf der Gruppenebene festlegen. Wir empfehlen, die Site-spezifische Rolle auf Gruppenebene zuzuordnen. Wenn dem Benutzer direkt eine Site-spezifische Rolle zugewiesen wird, überschreibt das alle Gruppeneinstellungen.

• Ein Benutzer kann Mitglied in vielen Gruppen sein. Gruppen können verschiedene Site-spezifische Rollen haben. Wenn einem Benutzer Gruppen mit unterschiedlichen Site-spezifischen Rollen zugewiesen werden, erhält er in Tableau Cloud die toleranteste dieser Rollen. Wenn Sie beispielsweise Viewer und Creator wählen, wird Ihnen Tableau die Site-spezifische Rolle "Creator" zuweisen.

  Nachfolgend sind Site-spezifische Rollen aufgeführt, von der tolerantesten zu der restriktivsten hin:

  • Site-Admin Creator

  • Site-Admin Explorer

  • Creator

  • Explorer (kann veröffentlichen)

  • Explorer

  • Viewer

• Sie können das Attribut der Site-spezifischen Rolle für einen Benutzer in Okta aktualisieren, und diese Änderung wird auf Tableau Cloud übertragen. Andere Attribute, wie z.B. Benutzername und primäre E-Mail, können nicht aktualisiert werden. Um diese Attribute zu ändern, entfernen Sie den Benutzer, ändern Sie das Attribut und fügen Sie den Benutzer erneut hinzu.

• Die Verwendung von SCIM mit Lizenz beim Anmelden gewähren wird nicht unterstützt und kann zu falsch bereitgestellten Site-spezifischen Rollen für Benutzer oder Gruppen führen.