Configurar SCIM con Microsoft Entra ID

Puede configurar la administración de usuarios mediante Microsoft Entra ID (también conocido como Azure Active Directory, AD), aprovisionar grupos y asignar roles en el sitio de Tableau Cloud.

A medida que vaya completando estos pasos, puede ayudar tener la documentación de Entra ID a mano. Consulte el tutorial Configurar Tableau Cloud para el aprovisionamiento automático de usuarios(El enlace se abre en una ventana nueva).

Nota: Si ya habilitó el aprovisionamiento para su aplicación y desea actualizar para usar el punto de enlace SCIM 2.0 de Tableau, consulte el artículo de Microsoft Actualizar una aplicación de Tableau Cloud(El enlace se abre en una ventana nueva) Si está configurando el aprovisionamiento para una nueva instancia de la aplicación de Tableau Cloud, siga los pasos a continuación.

Paso 1: Cumplir con los requisitos previos

Para poder utilizar la funcionalidad de SCIM, es necesario configurar el sitio para que admita el inicio de sesión único de SAML (SSO).

  1. Complete la sección Añadir Tableau Cloud a sus aplicaciones de Microsoft Entra ID en Configurar SAML con Microsoft Entra ID.

  2. Tras añadir Tableau Cloud desde Azure Marketplace, mantenga las sesiones del portal de Entra y Tableau Cloud iniciadas, con las siguientes páginas abiertas:

    • En Tableau Cloud, la página Configuración > Autenticación.
    • En el portal de Entra, la aplicación Tableau Cloud > página Aprovisionamiento.

Paso 2: Habilitar soporte de SCIM

Siga estos pasos para habilitar la compatibilidad de SCIM con Microsoft Entra ID. Consulte también la sección Notas y limitaciones de la compatibilidad de SCIM con Azure Active Directory a continuación.

Nota: Para seguir los pasos en el portal de Entra, asegúrese de utilizar la aplicación Tableau Cloud de la galería.

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. Haga lo siguiente:

    1. En la página Autenticación, en Aprovisionamiento automático y sincronización de grupos (SCIM), active la casilla de verificación Habilitar SCIM.

      Se rellenarán los cuadros URL base y Secreto con los valores que utilizará en la configuración de SCIM del IdP.

      Importante: el token secreto se muestra solo inmediatamente después de haberlo generado. Si lo pierde antes de poder aplicarlo a su IdP, puede seleccionar Generar nuevo secreto. Además, el token secreto está vinculado a la cuenta de usuario de Tableau Cloud del administrador de sitio que habilita el soporte de SCIM. Si el rol en el sitio de ese usuario cambia o se elimina el usuario del sitio, el token secreto quedará invalidado y otro administrador de sitio deberá generar otro token secreto y aplicarlo a su IdP.

  3. Copie el valor del token secreto y, a continuación, en la página Aprovisionamiento del portal de Entra, realice lo siguiente:

    • Para Modo de aprovisionamiento, seleccione Automático.

    • En Método de autenticación, seleccione Autenticación de portador.

    • Para URL de inquilino, copie y pegue la URL base que se muestra en la configuración de SCIM de Tableau Cloud.

    • Para Token secreto, pegue el token secreto de SCIM de Tableau Cloud que ha copiado antes.

  4. Haga clic en Probar conexión para verificar que las credenciales funcionen como se espera y luego haga clic en Guardar.

  5. En la sección Asignaciones, verifique que Aprovisionar grupos de Microsoft Entra ID y Aprovisionar usuarios de Microsoft Entra ID estén habilitados.

  6. Seleccione Aprovisionar grupos de Microsoft Entra ID y, en la página Asignaciones de atributos, revise los atributos sincronizados desde Entra ID para Tableau Cloud. Para guardar los cambios, haga clic en Guardar.

  7. Seleccione Aprovisionar usuarios de Microsoft Entra ID y, en la página Asignación de atributos, revise los atributos sincronizados desde Entra ID para Tableau Cloud. Para guardar los cambios, haga clic en Guardar.

Paso 3: asignar grupos a la aplicación de Tableau Cloud

Utilice los siguientes pasos para asignar grupos a la aplicacion de la galería de Tableau Cloud en Microsoft Entra ID.

  1. En la página de la aplicación, seleccione Aplicaciones empresariales > Usuarios y grupos.

  2. Haga clic en Agregar usuario/grupo.

  3. En la página Agregar tarea, seleccione un grupo y asigne uno de los siguientes roles en el sitio:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Sin licencia

    Nota: Recibirá un error si selecciona un rol que no está en la lista anterior. Para obtener más información sobre los roles de sitio, consulte Establecer los roles de sitio de los usuarios.

  4. Haga clic en Asignar.

Crear grupos para roles en el sitio

Un usuario puede ser miembro de varios grupos en Entra ID, pero solo recibirá el rol en el sitio más permisivo en Tableau Cloud. Por ejemplo, si un usuario es miembro de dos grupos con roles en el sitio Viewer y Creator, Tableau le asignará el rol en el sitio Creator.

Para realizar un seguimiento de las asignaciones de roles, recomendamos crear grupos específicos de roles en Entra ID, como "Tableau - Creator", "Tableau - Explorer", etc. Después, puede usar los grupos para aprovisionar rápidamente a nuevos usuarios para el rol correcto en Tableau Cloud.

A continuación se enumeran los roles en el sitio, ordenados del más al menos permisivo:

  • Creator del administrador de sitio

  • Explorer del administrador de sitio

  • Creator

  • Explorer (puede publicar)

  • Explorer

  • Viewer

Nota: Los usuarios y sus atributos deben administrarse a través de Entra ID. Los cambios realizados directamente dentro de Tableau Cloud pueden dar como resultado un comportamiento inesperado y valores sobrescritos.

Paso 4: Aprovisionar grupos

Una vez que haya activado la compatibilidad con SCIM y haya asignado grupos a la aplicación de Tableau Cloud en Entra ID, el siguiente paso es aprovisionar usuarios a su sitio de Tableau Cloud.

  1. En la página Aprovisionamiento, expanda la sección Configuración y defina los grupos a los que desea aprovisionar en Tableau Cloud en Alcance.

    Nota: La configuración de Entra ID "Sincronizar todos los usuarios y grupos" no es compatible con Tableau Cloud.

  2. Cambie Estado de aprovisionamiento a Activado.

  3. Haga clic en Guardar.

Al guardar se inicia la sincronización inicial de los grupos definidos en Alcance. La sincronización se produce aproximadamente cada 40 minutos mientras se ejecuta el servicio de aprovisionamiento de Entra ID. Para aprovisionar usuarios manualmente fuera del horario, seleccione Aprovisionar a petición. Para obtener más información sobre el aprovisionamiento a petición, consulte el artículo de Microsoft Aprovisionamiento a petición en Microsoft Entra ID(El enlace se abre en una ventana nueva).

Una vez completado el aprovisionamiento, debería ver los grupos de Entra ID en la página Usuarios del sitio en Tableau Cloud.

Cambiar la autenticación de usuario en Tableau Cloud

A los usuarios aprovisionados se les asigna el tipo de autenticación SAML de forma predeterminada. Para cambiar el tipo de autenticación para los usuarios, siga los pasos que aparecen a continuación.

  1. En Tableau Cloud, seleccione Usuarios.

  2. En la página Usuarios del sitio, active las casillas junto a los usuarios a los que desea asignar un tipo de autenticación.

  3. En el menú Acciones, seleccione Autenticación.

  4. En el cuadro de diálogo Autenticación, seleccione el tipo de autenticación preferido para el usuario.

Para obtener más información sobre los diferentes tipos de autenticación de Tableau Cloud, consulte Autenticación.

SCIM y otorgar licencia al iniciar sesión

A partir de febrero de 2024 (Tableau 2023.3), puede usar SCIM con Conceder licencias al iniciar sesión (GLSI) con Microsoft Entra ID.

El uso de SCIM con GLSI para Entra ID requiere lo siguiente:

  1. En Entra ID, agregar usuarios al grupo en la aplicación Tableau Cloud.

  2. En Tableau Cloud, habilitar manualmente la opción GLSI para el grupo y seleccionar el rol mínimo en el sitio para los usuarios que son miembros del grupo.

    Nota: No es posible configurar un grupo con el atributo GLSI en Entra ID.

  3. Los usuarios se aprovisionarán como sin licencia en Entra ID.

Habilitar GLSI

Para habilitar GLSI en Tableau Cloud, consulte Conceder licencias al iniciar sesión.

Eliminar usuarios SCIM con GLSI

Debe eliminar a los usuarios SCIM de sus grupos habilitados para GLSI en Microsoft Entra ID antes de intentar eliminarlos de Microsoft Entra ID. Cuando los usuarios SCIM se eliminan de todos sus grupos habilitados para GLSI, los usuarios se convierten al rol "Sin licencia" en Tableau Cloud.

  1. En Entra ID, dé de baja al usuario del grupo habilitado para GLSI en la aplicación Tableau Cloud. Dar de baja a un usuario en Entra ID solo hace que el usuario se convierta en "Sin licencia" en Tableau Cloud y no lo elimina.

Notas:

  • Si el usuario ya no es miembro de ningún grupo adicional de aplicaciones de Tableau Cloud en Entra ID, o si el usuario está asignado individualmente a la aplicación de Tableau Cloud, el usuario se convierte en "Sin licencia" en Tableau Cloud.

  • Si desea eliminar el usuario SCIM en Tableau Cloud (consulte Eliminar usuarios SCIM, a continuación), elimine manualmente al usuario de Tableau Cloud.

  1. Elimine al usuario de los grupos con GLSI habilitado.

  2. Quitar el usuario de SCIM del sitio.

Si tiene problemas, consulte el artículo Error "El rol del usuario no se actualizó a: Sin licencia (código de error = 10079)" al intentar dar de baja a los usuarios a través de SCIM(El enlace se abre en una ventana nueva).

Acerca del grupo "Todos los usuarios" de Tableau Cloud

Si ha habilitado el grupo predeterminado "Todos los usuarios" con GLSI, no puede dar de baja a los usuarios en Entra ID y, por lo tanto, no puede cancelar la licencia de ninguno de los usuarios que pertenecen al grupo habilitado para GLSI en Tableau Cloud. Para eliminar un usuario SCIM del grupo "Todos los usuarios" habilitado para GLSI, debe eliminar manualmente el usuario de Tableau Cloud.

Nota: Si los usuarios tienen contenido asociado a ellos, deberá reasignar la propiedad del contenido a otros usuarios antes de poder eliminarlos.

Eliminar usuarios SCIM

La eliminación de usuarios SCIM en Entra ID solo los convertirá al rol "Sin licencia" y no los eliminará en Tableau Cloud. Si desea eliminar usuarios, debe eliminarlos manualmente en Tableau Cloud.

Para obtener más información sobre cómo eliminar usuarios, consulte la opción Quitar usuarios de un sitio en el tema de ayuda Ver, administrar o eliminar usuarios.

Nota: Si los usuarios tienen contenido asociado a ellos, deberá reasignar la propiedad del contenido a otros usuarios antes de poder eliminarlos.

Notas para la compatibilidad con SCIM con Microsoft Entra ID

  • Deberá añadir otra aplicación de Tableau Cloud por cada sitio que quiera administrar con SCIM.

  • Al desaprovisionar a un usuario en la aplicación Tableau Cloud en Azure AD o si un usuario se elimina de Azure AD por completo, el usuario se convierte en un rol en el sitio Sin licencia en Tableau Cloud. Si el usuario es propietario de algún contenido, deberá reasignar la propiedad de dichos recursos de contenido antes de eliminar manualmente al usuario en Tableau Cloud.

  • A partir de febrero de 2024 (Tableau 2023.3), se admite el uso de SCIM con Conceder licencias al iniciar sesión (GLSI). Para obtener más información, consulte SCIM y otorgar licencia al iniciar sesión.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!