Konfigurieren von SCIM mit OneLogin

Sie können Benutzerverwaltung durch OneLogin konfigurieren, Gruppen bereitstellen und Site-spezifische Tableau Cloud-Rollen zuweisen. Wenn Sie noch nicht mit Site-spezifischen Tableau-Rollen und den von ihnen zugelassenen Funktionen vertraut sind, finden Sie genauere Informationen unter Festlegen der Site-spezifischen Rollen von Benutzern.

Während Sie die folgenden Schritte durchführen, kann es hilfreich sein, die OneLogin-Dokumentation griffbereit zu haben. Beginnen Sie mit der Einführung in die Benutzerbereitstellung(Link wird in neuem Fenster geöffnet) in der OneLogin-Dokumentation.

Schritt 1: Voraussetzungen erfüllen

Für die SCIM-Funktionalität müssen Sie Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren.

  1. Füllen Sie die folgenden Abschnitte in Konfigurieren von SAML mit OneLogin(Link wird in neuem Fenster geöffnet) aus:

  2. Bleiben Sie nach Abschluss der Schritte in diesen beiden Abschnitten sowohl im OneLogin-Portal als auch in Tableau Cloud weiter angemeldet, wobei die folgenden Seiten angezeigt werden sollten:

    • In Tableau Cloud die Seite Einstellungen > Authentifizierung.

    • Im OneLogin-Portal, die Seite Konfiguration.

Schritt 2: Aktivieren von SCIM-Unterstützung

Gehen Sie wie folgt vor, um SCIM-Unterstützung (Cross-domain Identity Management) mit OneLogin zu aktivieren. Siehe auch den Abschnitt Hinweise und bekannte Einschränkungen für die SCIM-Unterstützung mit OneLogin unten.

Hinweis: Vergessen Sie nicht, in der Ecke rechts oben im OneLogin-Portal auf Speichern zu klicken, nachdem Sie Konfigurationsänderungen vorgenommen haben.

  1. Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Gehen Sie wie folgt vor:

    1. Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

      Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

      Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

  3. Kopieren Sie den Wert des geheimen Tokens.

  4. Tun Sie Folgendes im OneLogin-Portal auf der Seite Konfiguration:

    • Klicken Sie bei API-Status auf Aktivieren.

    • Fügen Sie bei SCIM-Bearertoken das geheime Tableau Cloud-SCIM-Token ein, das Sie zuvor kopiert haben.

    • Kopieren Sie für die SCIM-Basis-URL die in den Tableau Cloud-SCIM-Einstellungen angezeigte Basis-URL, und fügen Sie sie ein.

      Bild der Konfigurationsseite des OneLogin-Portals

  5. Gehen Sie auf der Seite Bereitstellung wie folgt vor:

    • Wählen Sie Bereitstellung aktivieren aus.

    • Wählen Sie Anhalten bei Wenn Benutzer in OneLogin gelöscht oder der App-Zugriff des Benutzers entfernt wird aus und führen Sie die unten angegebene Aktion aus.

      Bild der Bereitstellungsseite des OneLogin-Portals für Tableau Cloud

  6. Klicken Sie auf Speichern.

  7. (Optional) Ordnen Sie auf der Seite Parameter den SCIM-Benutzernamen dem Attribut E-Mail zu. Wenn Sie den SCIM-Benutzernamen keinem Attribut im E-Mail-Adressformat zuordnen, müssen Sie dieses Feld für jeden Benutzer im Rahmen des Bereitstellungsprozesses manuell ausfüllen.

    Wenn der zugeordnete Wert die E-Mail-Adresse des Benutzers nicht enthält, wird beim Bereitstellen von Benutzern ein Fehler angezeigt.

Wenn Sie die Schritte zum Bereitstellen von Benutzern und Gruppen abschließen möchten, bleiben Sie im OneLogin-Portal angemeldet und fahren Sie mit dem nächsten Abschnitt fort.

Schritt 3: Bereitstellen von Benutzern und Gruppen

In OneLogin haben Sie zahlreiche Möglichkeiten zur Zuweisung von Benutzerattributen, beispielsweise Gruppen oder Site-spezifische Rollen. Sie können sie auf Ebene der Tableau Cloud-App anwenden, Zuordnungsregeln erstellen oder sie manuell auf individuelle Benutzer anwenden.

Bevor Sie beginnen, ist es wichtig zu beachten, dass das OneLogin-Gruppenkonzept anders funktioniert als das Tableau-Gruppenkonzept. In OneLogin fungieren Gruppen als Sicherheitsgrenzen, um spezifische Sicherheitsrichtlinien auf Benutzer anzuwenden. Aus diesem Grund können Benutzer immer nur einer Gruppe angehören.

Darüber hinaus verwendet OneLogin Rollen als Container für Anwendungen, auf die verschiedene Benutzerkohorten zugreifen können. Sobald Sie Benutzern eine Rolle zuweisen, gewähren Sie ihnen Zugriff auf alle Anwendungen, die in der Rolle enthalten sind. Dies ähnelt dem Tableau-Konzept von Gruppen. Benutzer können in OneLogin mehrere Rollen haben, die einer Zielanwendungsgruppe zugeordnet werden können, z. B. Tableau Cloud.

Hinweis: Bei den folgenden Schritten wird davon ausgegangen, dass Sie in dem OneLogin-Portal und der Tableau Cloud-App angemeldet sind. Diese Schritte liefern einige Tableau-spezifische Informationen, die Sie zusammen mit der OneLogin-Dokumentation zum Zuordnen von Gruppen- und Site-spezifischen Rollenattributen zu Benutzern verwenden können.

Bereitstellen eines Benutzers

Verwenden Sie die folgenden Schritte, um über das OneLogin-Portal einzelne Benutzer in Tableau Cloud bereitzustellen.

  1. Wechseln Sie auf die Registerkarte Benutzer und wählen Sie den Benutzer aus, den Sie bereitstellen möchten. Die Seite mit den Benutzereinstellungen wird geöffnet.

  2. Wählen Sie linken Navigationsmenü den Eintrag Anwendungen aus.

  3. Klicken Sie auf der Seite Anwendungen auf das Pluszeichen (+), um den Benutzer für Ihre Tableau Cloud-Anwendung bereitzustellen, und klicken Sie dann auf Weiter.

  4. Geben Sie die entsprechende Tableau Cloud-Site-spezifische Rolle für den Benutzer im Feld Site-spezifische Rolle ein. Weitere Informationen zu Site-spezifischen Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern(Link wird in neuem Fenster geöffnet).

  5. Klicken Sie auf Speichern.

Bereitstellen mehrerer Benutzer mit OneLogin-Rollen

Sie können mehrere Benutzer für Tableau Cloud bereitstellen, indem Sie Rollen in OneLogin zuweisen. Benutzer können Rollen manuell hinzugefügt oder automatisch mithilfe von Zuordnungen hinzugefügt werden.

So fügen Sie Benutzer zu einer Rolle hinzu:

  1. Wechseln Sie zu Benutzer > Rollen und wählen Sie eine vorhandene Rolle aus oder erstellen Sie eine Neue Rolle. Weitere Informationen finden Sie in dem OneLogin-Artikel Roles(Link wird in neuem Fenster geöffnet) (Rollen).

    Das folgende Beispiel zeigt die Rolle "Sales", die wir später als Gruppe in Tableau Cloud verwenden werden.

  2. Weisen Sie auf der Seite Anwendungen den Rollenzugriff für die Tableau Cloud-Anwendung zu. Dadurch sollten die verknüpften Benutzer automatisch für die Anwendung bereitgestellt werden.

  3. Auf der Seite Benutzer können Sie Benutzer manuell zu einer Rolle hinzufügen, indem Sie deren Vor- und Nachnamen eingeben, oder eine Zuordnung hinzufügen, um Benutzer auf Grundlage bestimmter Attribute (wie beispielsweise ihrer Active Directory-Gruppe) automatisch zu einer Rolle hinzuzufügen.

  4. Nachdem Sie Benutzer zu Rollen hinzugefügt haben, empfehlen wir Ihnen, innerhalb der Anwendung Regeln zu erstellen, damit die entsprechende Tableau Cloud-Site-spezifische Rolle basierend auf der OneLogin-Rolle zugewiesen wird. Weitere Informationen finden Sie im OneLogin-Artikel Configure Apps(Link wird in neuem Fenster geöffnet) (Konfigurieren von Apps).

    Im folgenden Screenshot wird Benutzern mit der Rolle "Sales" die Site-spezifische Rolle "Creator" in Tableau Cloud zugewiesen. Ebenso wird Benutzern mit der Rolle "Marketing" die Site-spezifische Rolle "Viewer" zugewiesen.

Hinzufügen von Benutzern zu vorhandenen Tableau Cloud-Gruppen

Importieren Sie Tableau Cloud-Gruppen in OneLogin und geben Sie die Gruppen an, die standardmäßig im Dialogfeld "Benutzerbereitstellung" ausgewählt sein sollen.

  1. Klicken Sie auf der Seite Parameter auf Gruppen und aktivieren Sie das Kontrollkästchen In Benutzerbereitstellung einbeziehen.

  2. Wechseln Sie auf die Seite Bereitstellung und klicken Sie im Bereich Berechtigungen auf Aktualisieren.

    Dadurch werden die Gruppen aus Tableau Cloud importiert.

  3. Wechseln Sie wieder zurück auf die Seite Parameter und wählen Sie dann die Gruppen aus, die im Dialogfeld "Benutzerbereitstellung" als ausgewählte Werte angezeigt werden sollen.

  4. Wenn Sie eine Gruppenmitgliedschaft ändern möchten, navigieren Sie auf die Seite Benutzer, wählen Sie einen Benutzer aus und ändern Sie im Bereich Gruppen die verfügbaren und ausgewählten Werte.

Sie können auch Zuordnungen erstellen, die Benutzer basierend auf von Ihnen definierten Bedingungen automatisch in Gruppen einfügen. Weitere Informationen finden Sie in dem OneLogin-Artikel Mappings(Link wird in neuem Fenster geöffnet) (Zuordnungen).

Erstellen von Gruppen in Tableau Cloud aus OneLogin

Verwenden Sie die folgenden Schritte, um Tableau Cloud-Gruppen basierend auf Attributen in OneLogin-Zuordnungen zu erstellen. Ein Beispiel dafür wäre das Erstellen einer Gruppe in Tableau Cloud basierend auf Benutzerrollen.

  1. Wechseln Sie zu Anwendungen, wählen Sie die Tableau Cloud-Anwendung aus, und wählen Sie dann Regeln aus.

  2. Klicken Sie auf der Seite Regeln auf Regel hinzufügen, um das Fenster zum Bearbeiten der Zuordnung zu öffnen.

  3. Wählen Sie unter Aktionen im Dropdown-Menü den Eintrag Gruppen festlegen aus und wählen Sie dann Aus OneLogin zuordnen aus.

    Das Bedingungsfeld Mit Wert, der übereinstimmt verwendet reguläre Ausdrücke. Wenn Sie eine Gruppe in Tableau Cloud erstellen möchten, die mit dem Rollennamen in OneLogin übereinstimmt, geben Sie .* in das Textfeld ein.

Zuweisen von Site-spezifischen Tableau-Rollen

Standardmäßig wird Benutzern die Site-spezifische Rolle Viewer zugewiesen, wodurch eine Lizenz vom Typ Viewer in Anspruch genommen wird.

Welche Methode auch immer Sie in OneLogin zum Zuweisen von Site-spezifischen Rollen verwenden, irgendwann müssen Sie den Namen der Site-spezifischen Rolle in ein Textfeld eingeben. Informationen darüber, welche Werte Sie eingeben können, finden Sie unter Gültige Werte für Site-spezifische Tableau-Rollen weiter unten.

Nachfolgend sind einige der Methoden aufgeführt, mit denen Sie Site-spezifische Rollen zuweisen können:

Für einen bestimmten Benutzer:

  1. Wählen Sie auf der Seite Benutzer den Benutzer aus und navigieren Sie dann zu der Registerkarte Anwendungen. Wählen Sie die zugehörige Tableau Cloud-Anwendung aus.

  2. Geben Sie in den Benutzereinstellungen den Namen der Site-spezifischen Rolle in das Textfeld Site-spezifische Rolle ein.

Für eine Reihe von Benutzern:

  1. Klicken Sie auf der Seite Parameter auf Site-spezifische Rolle, und wählen Sie dann bei Wert eine der Optionen für das Zuweisen des Attributs für die Site-spezifische Rolle aus.

    Beispiel:

    • Wenn alle Benutzer dieselbe Site-spezifische Rolle haben, wählen Sie Makro aus und geben Sie dann den Namen der Site-spezifischen Rolle ein.

    • Wenn das OneLogin-Benutzerverzeichnis die Site-spezifische Rolle enthält, wählen Sie das zugehörige Attribut aus.

  2. Erstellen Sie auf der Seite Regeln eine Regel, die eine Rolle einer bestimmten Rolle in Tableau Cloud zuordnet.

Wenn Sie mit dem Zuweisen der Site-spezifischen Rolle fertig sind, klicken Sie auf Speichern.

Gültige Werte für Site-spezifische Tableau-Rollen

Die Werte für Site-spezifische Rollen, die Sie in Ihrem OneLogin-Portal auf der Seite Bereitstellung eingeben können, basieren auf aktuellen oder alten Lizenzrollen.

  • Aktuelle Lizenzrollen beinhalten die folgenden Werte für Site-spezifische Rollen:

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed oder Viewer.

  • Bei alten Lizenztypen (vor der Version 2018.1) sind die folgenden Site-spezifischen Rollen verfügbar:

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer oder ViewerWithPublish

Wenn Sie wissen möchten, was für Auswirkungen eine Änderung von Benutzerattributen haben kann oder wie einzelne Benutzerattribute, die Sie manuell geändert haben, zurückgesetzt werden können, lesen Sie den OneLogin-Artikel Provisioning Attributes: the Effect of Defaults, Rules, and Manual Entry(Link wird in neuem Fenster geöffnet) (Bereitstellungsattribute: die Auswirkungen von Standardeinstellungen, Regeln und manueller Eingabe).

Hinweise und bekannte Einschränkungen für die SCIM-Unterstützung mit OneLogin

  • Sie müssen für jede Site, die Sie mit SCIM verwalten möchten, eine separate Tableau Cloud-App hinzufügen.

  • Beim Aufheben der Bereitstellung oder Entfernen eines vorhandenen Benutzers aus der Tableau Cloud-Anwendung in OneLogin wird der Benutzer in eine Site-spezifische Rolle Nicht lizenziert in Tableau Cloud umgewandelt, falls er Eigentümer von Inhaltsressourcen ist. Wenn der Benutzer Inhalte besitzt, müssen Sie zunächst die Besitzrechte dieser Elemente neu zuweisen, bevor Sie den Benutzer in Tableau Cloud manuell löschen können.

  • Die Verwendung von SCIM mit Lizenz beim Anmelden gewähren wird nicht unterstützt und kann zu falsch bereitgestellten Site-spezifischen Rollen für Benutzer oder Gruppen führen.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.