Configuration de SCIM avec Azure Active Directory


Vous pouvez configurer la gestion des utilisateurs via Azure Active Directory, provisionner des groupes et attribuer des rôles sur le site Tableau Cloud.

Pendant l’exécution des étapes suivantes, il sera utile d’avoir sous la main la documentation Microsoft. Reportez-vous au tutoriel, ConfigurerTableau Cloud pour le provisionnement automatique des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

Remarque : si vous avez déjà activé le provisionnement pour votre application et que vous souhaitez mettre à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l’article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez le provisionnement pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.

Étape 1 : Effectuer les préalables

La fonctionnalité du SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

  1. Remplissez la section Ajouter Tableau Cloud dans vos applications Azure AD dans Configurer SAML avec Azure Active Directory.

  2. Après l’ajout de Tableau Cloud depuis Azure Marketplace, restez connecté à la fois au portail Azure et à Tableau Cloud, en affichant les pages suivantes :

    • Dans Tableau Cloud, page Paramètres > Authentification.
    • Dans le portail Azure, page de l’application Tableau Cloud > Mise en service.

Étape 2 : Activer la prise en charge SCIM

Pour activer la prise en charge SCIM avec Azure Active Directory, procédez comme suit. Voir également la section Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory ci-dessous.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Procédez comme suit :

    1. Dans la page Authentification, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.

      Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.

      Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.

  3. Copiez la valeur du jeton secret, puis dans la page Provisionnement dans votre portail Azure, procédez comme suit :

    • Pour Mode de provisionnement , sélectionnez Automatique.

    • Pour Méthode d’authentification, sélectionnez Authentification de support.

    • Pour Jeton secret, collez le jeton secret SCIM Tableau Cloud que vous avez copié précédemment.

    • Pour URL du locataire, copiez et collez le paramètre URL de base affiché dans les paramètres SCIM Tableau Cloud.

  4. Cliquez sur Tester la connexion pour vérifier que les informations d’identification fonctionnent comme prévu, puis cliquez sur Enregistrer.

  5. Dans la section Mappages, vérifiez que Provisionner les groupes Azure Active Directory et Provisionner les utilisateurs Azure Active Directory sont activés.

  6. Sélectionnez Provisionner les groupes Azure Active Directory et, sur la page Mappages d’attributs, passez en revue les attributs synchronisés d’Azure vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer .

  7. Sélectionnez Provisionner les utilisateurs Azure Active Directory et, sur la page Mappage d’attributs, passez en revue les attributs synchronisés d’Azure vers Tableau Cloud . Pour enregistrer les modifications, cliquez sur Enregistrer .

Étape 3 : Attribuer des utilisateurs et des groupes à l’application Tableau Cloud

Procédez comme suit pour affecter des utilisateurs et des groupes individuels à l’application Tableau Cloud dans Azure.

  1. Depuis la page de l’application, sélectionnez Applications d’entreprise > Utilisateurs et groupes.

  2. Cliquez sur Ajouter un utilisateur/groupe.

  3. Sur la page Ajouter une attribution, sélectionnez un utilisateur ou un groupe et attribuez l’un des rôles de site suivants : Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer ou Sans licence.

    Vous obtenez une erreur si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.

  4. Cliquez sur Attribuer.

Créer des groupes pour les rôles sur le site

Un utilisateur peut être membre de plusieurs groupes dans Azure, mais il ne recevra que le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes disposant des rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques des rôles dans Azure, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour provisionner rapidement de nouveaux utilisateurs pour le rôle approprié dans Tableau Cloud.

Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :

  • Administrateur de site - Creator

  • Administrateur de site - Explorer

  • Creator

  • Explorer (peut publier)

  • Explorer

  • Viewer

Remarque : les utilisateurs et leurs attributs doivent être gérés via Azure. Les modifications effectuées directement dans Tableau Cloud peuvent entraîner un résultat inattendu et l’écrasement des valeurs.

Étape 4 : Mise en service des utilisateurs et des groupes

Après avoir activé la prise en charge SCIM et affecté des utilisateurs et des groupes à l’application Tableau Cloud dans Azure, l’étape suivante consiste à provisionner les utilisateurs sur votre site Tableau.

  1. Sur la page Provisionnement, développez la section Paramètres et définissez les utilisateurs ou les groupes que vous souhaitez provisionner à Tableau Cloud dans Étendue.

    Remarque : le paramètre Azure AD « Synchroniser tous les utilisateurs et groupes » n’est pas pris en charge avec Tableau Cloud.

  2. Basculez État de provisionnement sur Activé.

  3. Cliquez sur Enregistrer.

L’enregistrement lance la synchronisation initiale des utilisateurs ou des groupes définis dans Étendue. La synchronisation se produit environ toutes les 40 minutes tant que le service de provisionnement Azure AD s’exécute. Pour provisionner manuellement les utilisateurs en dehors de la planification, sélectionnez Provisionner sur demande. Pour plus d’informations sur l’approvisionnement sur demande, consultez l’article Microsoft Attribution à la demande dans Azure Active Directory(Le lien s’ouvre dans une nouvelle fenêtre).

Une fois le provisionnement terminé, vous devriez voir les utilisateurs ou les groupes d’Azure AD sur la page Utilisateurs sur le site dans Tableau Cloud.

Modifier l’authentification de l’utilisateur dans Tableau Cloud

Les utilisateurs provisionnés se voient attribuer le type d’authentification SAML par défaut. Pour modifier le type d’authentification des utilisateurs, procédez comme suit.

  1. Dans Tableau Cloud, sélectionnez Utilisateurs.

  2. Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d’authentification.

  3. Dans le menu Actions, sélectionnez Authentification.

  4. Dans la boîte de dialogue Authentification, sélectionnez le type d’authentification préféré pour l’utilisateur.

Pour plus d’informations sur les différents types de questions dans Tableau Cloud, consultez Authentification.

Remarques au sujet de la prise en charge de SCIM avec Azure Active Directory

  • Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.

  • Lors du déprovisionnement d’un utilisateur de l’application Tableau Cloud dans Azure AD ou lorsqu’un utilisateur est entièrement supprimé d’Azure AD, l’utilisateur est converti en utilisateur ayant un rôle Sans licence sur le site Tableau Cloud. Si l’utilisateur possède du contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir manuellement supprimer l’utilisateur dans Tableau Cloud.

  • À partir de février 2024 (Tableau 2023.3), l’utilisation de SCIM avec Attribuer une licence lors de la connexion (GLSI) est prise en charge. L’octroi de licence à l’ouverture de session (GLSI) requiert les éléments suivants :

    1. L’activation manuelle de l’option pour un groupe et la sélection d’un rôle minimum sur le site pour les utilisateurs qui sont membres du groupe directement dans Tableau Cloud. Il est impossible de définir un groupe avec l’attribut GLSI dans Azure AD, mais vous pouvez définir l’attribut pour le groupe que vous avez provisionné depuis Azure AD dans Tableau Cloud.
    2. L’utilisateur doit être provisionné comme étant sans licence à partir du fournisseur d’identités.

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!