Konfigurieren von SCIM mit Okta

Sie können die Benutzerverwaltung über Okta konfigurieren, Gruppen bereitstellen und Site-spezifische Rollen für Tableau Cloud zuweisen. Wenn Sie noch nicht mit Site-spezifischen Tableau-Rollen und den von ihnen zugelassenen Funktionen vertraut sind, finden Sie genauere Informationen unter Festlegen der Site-spezifischen Rollen von Benutzern.

Schritt 1: Voraussetzungen erfüllen

Für die SCIM-Funktionalität müssen Sie Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren.

  1. Vervollständigen Sie die folgenden Abschnitte in Konfigurieren von SAML mit Okta:

  2. Bleiben Sie nach Abschluss der Schritte in diesen beiden Abschnitten sowohl mit der Okta-Administratorkonsole als auch mit Tableau Cloud verbunden und zeigen Sie die folgenden Seiten an:

    • In Tableau Cloud die Seite Einstellungen > Authentifizierung.

    • Öffnen Sie in der Okta-Administratorkonsole AnwendungenAnwendungen > Tableau Cloud > Bereitstellung.

Schritt 2: Aktivieren von SCIM-Unterstützung

Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit Okta zu aktivieren. Siehe auch den Abschnitt Hinweise und Einschränkungen für die SCIM-Unterstützung mit Azure Active Directory unten.

  1. Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.
  2. Gehen Sie wie folgt vor:

    1. Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

      Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

      Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

  3. Kopieren Sie den Wert des geheimen Tokens.

  4. Führen Sie in der Okta-Administratorkonsole die folgenden Schritte aus:

    1. Wählen Sie im linken Bereich Anwendung > Anwendung aus, klicken Sie auf die Tableau Cloud-Anwendung, und klicken Sie dann auf die Registerkarte Bereitstellung.

    2. Klicken Sie auf die Schaltfläche API-Integration aktivieren Taste.

    3. Aktivieren Sie das Kontrollkästchen API-Integration aktivieren und klicken Sie auf Speichern.

    4. Gehen Sie wie folgt vor:

      1. Fügen Sie unter API-Token das Tableau Cloud-SCIM-Geheimtoken ein, das Sie im vorherigen Schritt kopiert haben.

      2. Kopieren Sie die Basis-URL, die in den Tableau Cloud-SCIM-Einstellungen angezeigt wird, und fügen Sie sie unter Basis-URL ein.

  5. Klicken Sie auf die Schaltfläche API-Anmeldeinformationen testen, um sicherzustellen, dass die Konfiguration korrekt durchgeführt wurde. Wenn die Konfiguration korrekt durchgeführt wurde, wird die Nachricht "Tableau Cloud wurde erfolgreich überprüft!" angezeigt.

  6. Wenn Sie fertig sind, klicken Sie auf Speichern.

Schritt 3: Benutzer und Gruppen zu Tableau zuweisen

In Okta müssen Sie der Tableau-Anwendung Benutzer und Gruppen zuweisen, damit die Benutzer für Tableau bereitgestellt werden können.

Hinweis: Okta empfiehlt, dass Sie eine separate Gruppe für die Zuweisung und für die Push-Gruppe einrichten. Weitere Informationen finden Sie unter About Group Push(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation.

  1. Wählen Sie im linken Bereich Anwendung > Anwendung aus, klicken Sie auf die Anwendung Tableau Cloud, und klicken Sie dann auf die Registerkarte Zuweisungen.

  2. Klicken Sie auf die Dropdown-Liste Zuweisen und wählen Sie entweder Zu Personen zuweisen oder Zu Gruppen zuweisen.

  3. Gehen Sie wie folgt vor:

    1. Wählen Sie den entsprechenden Benutzer bzw. die entsprechende Gruppe aus.

    2. Wählen Sie die Site-Rolle aus, die den Benutzern für Tableau bereitgestellt werden soll. Verfügbare Optionen sind:

      • Nicht lizenziert

      • Viewer

      • Explorer

      • Explorer (kann veröffentlichen)

      • Creator

      • Site-Admin Explorer

      • Site-Admin Creator

  4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Speichern und zurückgehen.

  5. Wiederholen Sie die Schritte 3 bis 4 nach Bedarf und klicken Sie dann auf die Schaltfläche Fertig.

Schritt 4: Aktivieren der Gruppenbereitstellung

Mit Okta können Sie bestehende Gruppen und deren Mitgliedschaften per Push zu Tableau Cloud übertragen. Sobald eine Gruppe übertragen wurde, können Sie die Gruppenmitgliedschaft in Okta verwalten, um die entsprechende Gruppe in Tableau Cloud automatisch zu aktualisieren. Bevor Sie diese Schritte ausführen, empfehlen wir Ihnen Ihre Überprüfung Voraussetzungen für Gruppen-Push(Link wird in neuem Fenster geöffnet) Und Über Gruppen-Push(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation.

Wichtig: Nach der Aktivierung von SCIM sollten die Benutzer und ihre Attribute über den IdP verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.

Die folgenden Schritte setzen dort an, wo Sie im vorherigen Abschnitt aufgehört haben. Dabei wird davon ausgegangen, dass Sie bei der Okta-Administrationskonsole angemeldet sind.

  1. Wählen Sie im linken Bereich die Registerkarte Anwendung > Anwendung aus, klicken Sie auf die Anwendung Tableau Cloud, und klicken Sie dann auf die Registerkarte Push-Gruppen Tab.

  2. Klicken Sie auf Push-Gruppen und wählen Sie im Dropdown-Menü eine der folgenden Optionen aus:

    • Find groups by name: Wählen Sie diese Option aus, um Gruppen nach Namen zu suchen.

    • Find groups by rule: Wählen Sie diese Option aus, um eine Suchregel zu erstellen, die alle Gruppen überträgt, die der Regel entsprechen.

    Sie können die Gruppenübertragung deaktivieren, die Verknüpfung von übertragenen Gruppen aufheben oder die Gruppenmitgliedschaft sofort übertragen, indem Sie in der Spalte für den Übertragungsstatus auf Active oder Inactive klicken. Um mehrere Gruppen zu löschen, zu deaktivieren oder zu aktivieren, klicken Sie auf Bulk Edit. Weitere Informationen finden Sie unter Enable Group Push(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation.

  3. (Optional) Wenn Sie mehrere Gruppen übertragen, klicken Sie auf die Schaltfläche Speichern und weitere hinzufügen und wiederholen Sie den vorherigen Schritt.

  4. Wenn Sie fertig sind, klicken Sie auf Speichern.

Hinweise zur SCIM-Unterstützung mit Okta

  • In den Einstellungen für die Okta-Benutzerzuweisung müssen die Werte für Benutzername und Primäre E-Mail-Adresse identisch sein.

  • Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud Okta-App hinzufügen.

  • Wenn Sie eine Site migrieren möchten, müssen Sie die SCIM-Bereitstellung für die neue Site neu konfigurieren.

  • Beim Bereitstellen neuer Benutzer werden die Attribute für den Vornamen und Nachnamen in Okta nicht mit Tableau Cloud synchronisiert. Neue Benutzer müssen diese Felder festlegen, wenn sie sich erstmalig bei Tableau Cloud anmelden.

  • Wenn die Zuweisung eines Benutzers zur Tableau Cloud-Anwendung in Okta aufgehoben oder der Benutzer deaktiviert oder vollständig aus Okta gelöscht wird, wird der Benutzer in Tableau Cloud in eine Site-spezifische Rolle Nicht lizenziert umgewandelt. Wenn der Benutzer Inhalte besitzt, müssen Sie zunächst die Besitzrechte dieser Elemente neu zuweisen, bevor Sie den Benutzer in Tableau Cloud manuell löschen können.

  • Sie können die Site-spezifische Rolle eines Benutzers (z. B. Creator, Explorer oder Viewer) in Okta entweder auf der Benutzerebene oder auf der Gruppenebene festlegen. Wir empfehlen, die Site-spezifische Rolle auf Gruppenebene zuzuordnen. Wenn dem Benutzer direkt eine Site-spezifische Rolle zugewiesen wird, überschreibt das alle Gruppeneinstellungen.

  • Ein Benutzer kann Mitglied in vielen Gruppen sein. Gruppen können verschiedene Site-spezifische Rollen haben. Wenn einem Benutzer Gruppen mit unterschiedlichen Site-spezifischen Rollen zugewiesen werden, erhält er in Tableau Cloud die toleranteste dieser Rollen. Wenn Sie beispielsweise Viewer und Creator wählen, wird Ihnen Tableau die Site-spezifische Rolle "Creator" zuweisen.

    Nachfolgend sind Site-spezifische Rollen aufgeführt, von der tolerantesten zu der restriktivsten hin:

    • Site-Admin Creator

    • Site-Admin Explorer

    • Creator

    • Explorer (kann veröffentlichen)

    • Explorer

    • Viewer

  • Sie können das Attribut der Site-spezifischen Rolle für einen Benutzer in Okta aktualisieren, und diese Änderung wird auf Tableau Cloud übertragen. Andere Attribute, wie z.B. Benutzername und primäre E-Mail, können nicht aktualisiert werden. Um diese Attribute zu ändern, entfernen Sie den Benutzer, ändern Sie das Attribut und fügen Sie den Benutzer erneut hinzu.

  • Ab Januar 2024 (Tableau 2023.3) wird der Einsatz von SCIM mit Lizenz beim Anmelden gewähren (Grant License on Sign In, GLSI) unterstützt. GLSI erfordert die manuelle Aktivierung der Option für eine Gruppe und die Auswahl der minimalen Site-spezifischen Rolle für die Benutzer, die Mitglieder der Gruppe in Tableau Cloud sind. Es ist nicht möglich, eine Gruppe mit dem GLSI-Attribut in Okta festzulegen, aber Sie können das Attribut für die Gruppe festlegen, die Sie über Okta in Tableau Cloud bereitgestellt haben.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.