Configurar SCIM con Microsoft Entra ID


Puede configurar la administración de usuarios mediante Microsoft Entra ID (también conocido como Azure Active Directory, AD), aprovisionar grupos y asignar roles en el sitio de Tableau Cloud.

A medida que vaya completando estos pasos, puede ayudar tener la documentación de Entra ID a mano. Consulte el tutorial Configurar Tableau Cloud para el aprovisionamiento automático de usuarios(El enlace se abre en una ventana nueva).

Notas:

  • Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento. Si los pasos descritos aquí no coinciden con las pantallas que ve en la cuenta del IdP, puede usar el tema general SCIM junto con la documentación del IdP.

  • Los pasos de configuración en el IdP pueden estar en un orden diferente al que ve en Tableau.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

  1. Complete la sección Añadir Tableau Cloud a sus aplicaciones de Microsoft Entra ID en Configurar SAML con Microsoft Entra ID.

  2. Tras añadir Tableau Cloud desde Azure Marketplace, mantenga las sesiones del portal de Entra y Tableau Cloud iniciadas, con las siguientes páginas abiertas:

    • En Tableau Cloud, la página Configuración > Autenticación.
    • En el portal de Entra, la aplicación Tableau Cloud > página Aprovisionamiento.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con Microsoft Entra ID. Consulte también la sección Notas y limitaciones de la compatibilidad de SCIM con Azure Active Directory a continuación.

Nota: Para seguir los pasos en el portal de Entra, asegúrese de utilizar la aplicación Tableau Cloud de la galería.

En Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. Haga lo siguiente:

    1. En la página Autenticación, en Sistema para la administración de identidades entre dominios (SCIM), haga clic en el botón Nueva configuración.

    2. En el cuadro de diálogo Nueva configuración de SCIM, haga lo siguiente:

      1. Escriba un nombre para la configuración de SCIM.

      2. Copie la URL base que utilizará en la configuración SCIM de su IdP.

      3. En el menú desplegable Autenticación, seleccione la configuración de autenticación SAML para asociarla con SCIM.

      4. Haga clic en Guardar.

        Nota: Se rellena la sección Token de SCIM.

        Una nueva configuración de SCIM

    3. En Token de SCIM, haga lo siguiente:

      1. Haga clic en el botón Nuevo secreto.

      2. En el cuadro de diálogo Nuevo secreto, haga clic de nuevo en el botón Nuevo secreto. Aparecerá un secreto recién generado.

      3. Pegue el secreto y guárdelo en un lugar seguro.

        Importante:

        • Si cierra la configuración de SCIM de antes de añadir el secreto a la configuración de SCIM de su IdP, puede editar la configuración de SCIM, pero se le pedirá que vuelva a hacer clic en Nuevo secreto para generar un secreto nuevo.

        • El secreto está vinculado al usuario administrador del sitio de Tableau que creó la configuración SCIM. Si el rol en el sitio de ese usuario cambia o el usuario ya no es miembro del sitio, el secreto quedará invalidado. En este caso, otro administrador de sitio puede generar un nuevo secreto para la configuración de SCIM existente y agregarlo a la configuración de SCIM del IdP, o crear una nueva configuración de SCIM asegurándose de que la URL base y el secreto se agregan a la configuración SCIM del IdP.

      4. Haga clic en Cerrar.

En Microsoft Entra

  1. En la página Aprovisionamiento del portal de Entra, haga lo siguiente:

    • Para Modo de aprovisionamiento, seleccione Automático.

    • En Método de autenticación, seleccione Autenticación de portador.

    • Para URL de inquilino, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.

    • Para Token secreto, copie y pegue el secreto de SCIM de Tableau Cloud que se generó.

    Una pantalla de configuración con ajustes para aprovisionar Tableau Cloud.

  2. Haga clic en Probar conexión para verificar que las credenciales funcionen como se espera y luego haga clic en Guardar.

  3. En la sección Asignaciones, verifique que Aprovisionar grupos de Microsoft Entra ID y Aprovisionar usuarios de Microsoft Entra ID estén habilitados.

    Una página de configuración para definir cómo deben fluir los datos entre Microsoft Entra ID y Tableau Cloud SCIM.

  4. Seleccione Aprovisionar grupos de Microsoft Entra ID y, en la página Asignaciones de atributos, revise los atributos sincronizados desde Entra ID para Tableau Cloud. Para guardar los cambios, haga clic en Guardar.

    Asignaciones de atributos SCIM de Tableau Cloud al atributo de Microsoft Entra ID.

  5. Seleccione Aprovisionar usuarios de Microsoft Entra ID y, en la página Asignación de atributos, revise los atributos sincronizados desde Entra ID para Tableau Cloud. Para guardar los cambios, haga clic en Guardar.

    Una tabla para mostrar las asignaciones de atributos que definen la sincronización.

Paso 3: asignar grupos a la aplicación de Tableau Cloud

Utilice los siguientes pasos para asignar grupos a la aplicacion de la galería de Tableau Cloud en Microsoft Entra ID.

  1. En la página de la aplicación, seleccione Aplicaciones empresariales > Usuarios y grupos.

  2. Haga clic en Agregar usuario/grupo.

  3. En la página Agregar tarea, seleccione un grupo y asigne uno de los siguientes roles en el sitio:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Sin licencia

    Nota: Recibirá un error si selecciona un rol que no está en la lista anterior. Para obtener más información sobre los roles de sitio, consulte Establecer los roles de sitio de los usuarios.

  4. Haga clic en Asignar.

Crear grupos para roles en el sitio

Un usuario puede ser miembro de varios grupos en Entra ID, pero solo recibirá el rol en el sitio más permisivo en Tableau Cloud. Por ejemplo, si un usuario es miembro de dos grupos con roles en el sitio Viewer y Creator, Tableau le asignará el rol en el sitio Creator.

Para realizar un seguimiento de las asignaciones de roles, recomendamos crear grupos específicos de roles en Entra ID, como "Tableau - Creator", "Tableau - Explorer", etc. Después, puede usar los grupos para aprovisionar rápidamente a nuevos usuarios para el rol correcto en Tableau Cloud.

A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:

  • Creator del administrador de sitio

  • Explorer del administrador de sitio

  • Creator

  • Explorer (puede publicar)

  • Explorer

  • Viewer

Nota: Los usuarios y sus atributos deben administrarse a través de Entra ID. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.

Paso 4: Aprovisionar grupos

Una vez que haya activado la compatibilidad con SCIM y haya asignado grupos a la aplicación de Tableau Cloud en Entra ID, el siguiente paso es aprovisionar usuarios a su sitio de Tableau Cloud.

  1. En la página Aprovisionamiento, expanda la sección Configuración y defina los grupos a los que desea aprovisionar en Tableau Cloud en Alcance.

    Un menú de configuración para optar por recibir notificaciones por correo electrónico sobre errores y para establecer los parámetros para sincronizar usuarios y grupos.

    Nota: La configuración de Entra ID "Sincronizar todos los usuarios y grupos" no es compatible con Tableau Cloud.

  2. Cambie Estado de aprovisionamiento a Activado.

  3. Haga clic en Guardar.

Al guardar se inicia la sincronización inicial de los grupos definidos en Alcance. La sincronización se produce aproximadamente cada 40 minutos mientras se ejecuta el servicio de aprovisionamiento de Entra ID. Para aprovisionar usuarios manualmente fuera del horario, seleccione Aprovisionar a petición. Para obtener más información sobre el aprovisionamiento a petición, consulte el artículo de Microsoft Aprovisionamiento a petición en Microsoft Entra ID(El enlace se abre en una ventana nueva).

Una vez completado el aprovisionamiento, debería ver los grupos de Entra ID en la página Usuarios del sitio en Tableau Cloud.

Cambiar la autenticación de usuario en Tableau Cloud

A los usuarios aprovisionados se les asigna el tipo de autenticación SAML de forma predeterminada. Para cambiar el tipo de autenticación para los usuarios, siga los pasos que aparecen a continuación.

  1. En Tableau Cloud, seleccione Usuarios.

  2. En la página Usuarios del sitio, active las casillas junto a los usuarios a los que desea asignar un tipo de autenticación.

  3. En el menú Acciones, seleccione Autenticación.

  4. En el cuadro de diálogo Autenticación, seleccione el tipo de autenticación preferido para el usuario.

Para obtener más información sobre los diferentes tipos de autenticación de Tableau Cloud, consulte Autenticación.

Notas para la compatibilidad con SCIM con Azure Active Directory

  • Deberá añadir otra aplicación de Tableau Cloud por cada sitio que quiera administrar con SCIM.

  • Al desaprovisionar a un usuario en la aplicación Tableau Cloud en Azure AD o si un usuario se elimina de Azure AD por completo, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud. Si el usuario es propietario de algún contenido, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.

  • A partir de febrero de 2024 (Tableau 2023.3), se admite el uso de SCIM con Conceder licencias al iniciar sesión (GLSI). GLSI requiere lo siguiente:

    1. Habilitar manualmente la opción para un grupo y seleccionar directamente el rol en el sitio mínimo de los usuarios que son miembros del grupo en Tableau Cloud. No es posible configurar un grupo con el atributo GLSI en Azure AD, pero puede configurar el atributo para el grupo que ha aprovisionado desde Azure AD en Tableau Cloud.
    2. El usuario debe aprovisionarse como si careciera de la licencia del IdP.

Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!