Automatisieren der Benutzerbereitstellung und Gruppensynchronisierung über einen externen Identitätsanbieter

Sie können das Hinzufügen oder Entfernen von Benutzern aus Tableau Cloud oder das Hinzufügen oder Entfernen von Mitgliedern aus Gruppen mithilfe Ihres Identitätsanbieters (IdP) automatisieren.

Für die IdP-Benutzerverwaltung von Tableau Cloud wird der SCIM-Standard (System for Cross-domain Identity Management, System für domänenübergreifende Identitätsverwaltung) verwendet – ein offener Standard zum Automatisieren des Austauschs von Informationen zur Benutzeridentität. SCIM ermöglicht IdPs die zentrale Verwaltung von Benutzeridentitäten, einschließlich der Zuweisung von Benutzern zu Anwendungen und Gruppen. Der IdP verwendet SCIM, um sicherzustellen, dass nachgelagerte Anwendungen (wie Tableau Cloud) stets mit den Bereitstellungszuweisungen synchronisiert sind, die für den IdP eingerichtet wurden. Durch diese Art der Benutzerverwaltung wird die Sicherheit erhöht. Anhand dieser Methode kann auch die manuelle Arbeit von Site-Administratoren zur Verwaltung von Site-Benutzern und der Gruppenmitgliedschaft erheblich reduziert werden.

Im obigen Diagramm überträgt der IdP Aktualisierungen an Tableau Cloud und steuert, wie oft die SCIM-Endpunkte von Tableau Cloud aufgerufen werden, um sicherzustellen, dass die Benutzer und Gruppen ordnungsgemäß gespiegelt werden.

IdP-spezifische Konfiguration

Die weiteren Schritte in diesem Thema enthalten allgemeine Informationen, die Sie zusammen mit der Dokumentation Ihres IdP verwenden können, um SCIM für Ihre Tableau Cloud-Site zu konfigurieren. Sie erhalten IdP-spezifische Konfigurationsschritte für die folgenden von uns unterstützten IdPs:

Voraussetzungen

Sie benötigen zum Aktivieren der SCIM-Integration in Ihre Tableau Cloud-Site die entsprechenden Zugriffsstufen:

  • Site-Administratorzugriff auf Ihre Tableau Cloud-Site

  • Möglichkeit zur Änderung der IdP-Konfigurationseinstellungen für Tableau Cloud

Für die SCIM-Funktionalität müssen Sie zusätzlich Ihre Site für die Unterstützung von SAML-Single Sign-On (SSO) konfigurieren. Wenn Sie dies noch nicht getan haben, lesen Sie den Abschnitt Aktivieren von SAML-Authentifizierung für eine Site und folgen Sie dann der Dokumentation Ihres IdP, um Tableau Cloud als Anwendung hinzuzufügen.

Aktivieren der SCIM-Unterstützung für Ihren IdP

Aktivieren Sie anhand folgender Schritte die SCIM-Unterstützung: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf die Konfiguration oder Aktivierung eines Dienstanbieters für die SCIM-Bereitstellung beziehen.

Hinweise:

  • Nach der Aktivierung von SCIM sollten die Benutzer und ihre Attribute über den IdP verwaltet werden. Änderungen, die direkt in Tableau Cloud vorgenommen werden, können zu unerwartetem Verhalten und überschriebenen Werten führen.

  • Ab November 2024 (Tableau 2024.3):

    • Sie können die SAML-Authentifizierungskonfiguration auswählen, die mit SCIM verknüpft werden soll. Allerdings kann nur eine SAML-Authentifizierungskonfiguration für SCIM auf einer Site verwendet werden.

    • Die SCIM-Funktion ist nicht mehr auf den Site-Administrator beschränkt. Anders ausgedrückt können alle Site-Administratoren SCIM konfigurieren und bearbeiten. Allerdings kann nur eine SAML-Authentifizierungskonfiguration für SCIM auf einer Site verwendet werden.

So aktivieren Sie SCIM

  1. Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Gehen Sie wie folgt vor:

    1. Aktivieren Sie auf der Seite Authentifizierung unter Automatische Bereitstellung und Gruppensynchronisierung (SCIM) das Kontrollkästchen SCIM aktivieren.

      Dadurch werden die Felder Basis-URL und Geheimnis mit Werten ausgefüllt, die Sie in der SCIM-Konfiguration des IdP verwenden.

      Wichtig: Das geheime Token wird nur direkt nach seiner Generierung angezeigt. Geht es verloren, bevor Sie es für Ihren IdP verwenden können, wählen Sie Neues Geheimnis generieren. Das geheime Token ist zudem an das Tableau Cloud-Benutzerkonto des Site-Administrators gebunden, der die SCIM-Unterstützung aktiviert. Wenn sich die Site-spezifische Rolle dieses Benutzers ändert oder der Benutzer von der Site entfernt wird, wird das geheime Token ungültig, und ein anderer Site-Administrator muss ein neues geheimes Token generieren und es auf Ihren IdP anwenden.

  3. Kopieren Sie den Wert des Geheimtokens und navigieren Sie dann zu Ihren IdP-Einstellungen. Fügen Sie das Tableau Cloud-SCIM-Geheimtoken in das entsprechende Feld ein.

  4. Kopieren Sie die in den Tableau Cloud-SCIM-Einstellungen angezeigte Basis-URL und fügen Sie sie in das entsprechende Feld in Ihrem IdP ein.

  5. Folgen Sie der Dokumentation Ihres IdP, um Benutzer und Gruppen nach der Aktivierung der SCIM-Unterstützung bereitzustellen.

Ersetzen eines SCIM-Geheimtoken

Wenn Sie Ihr geheimes SCIM-Token (SCIM = System für domänenübergreifende Identitätsverwaltung) ersetzen müssen, führen Sie die nachfolgenden Schritte aus:

  1. Navigieren Sie in Tableau Cloud zu Einstellungen > Autorisierung.

  2. Klicken Sie unter "Automatische Bereitstellung und Gruppensynchronisierung (SCIM)" auf Neues Geheimnis generieren.

  3. Konfigurieren Sie SCIM neu, um das neue Geheimtoken zu verwenden.

Ein Administrator kann auch ein Geheimtoken, das einem anderen Benutzer gehört, widerrufen, indem er diesen Benutzer von Tableau Cloud löscht und dann der Site wieder hinzufügt.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.