Configurer SCIM avec Microsoft Entra ID
Vous pouvez configurer la gestion des utilisateurs via Microsoft Entra ID (également appelé Azure Active Directory (AD)), mettre en service des groupes et affecter des rôles sur le site Tableau Cloud.
Pendant l’exécution des étapes suivantes, il sera utile d’avoir sous la main la documentation Entra ID. Consultez le tutoriel, ConfigurerTableau Cloud pour la mise en service automatique des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).
Remarque : Si vous avez déjà activé la mise en service pour votre application et que vous souhaitez mettre à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l’article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez la mise en service pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.
Étape 1 : Effectuer les préalables
La fonctionnalité du SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).
Remplissez la section « Ajouter Tableau Cloud dans vos applications Microsoft Entra ID » dans Configurer SAML avec Microsoft Entra ID.
Après l’ajout de Tableau Cloud depuis Azure Marketplace, restez connecté(e) à la fois au portail Entra et à Tableau Cloud, en affichant les pages suivantes :
- Dans Tableau Cloud, page Paramètres > Authentification.
- Dans le portail Entra, la page Tableau Cloud application > Mise en service.
Étape 2 : Activer la prise en charge de SCIM
Pour activer la prise en charge de SCIM avec Microsoft Entra ID, procédez comme suit. Voir également la section Remarques et limitations pour la prise en charge de SCIM avec Azure Active Directory ci-dessous.
Remarque : Pour les étapes du portail Entra, assurez-vous que vous utilisez l’application Tableau Cloud à partir de la galerie.
Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Procédez comme suit :
Dans la page Authentification, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.
Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.
Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.
Copiez la valeur du jeton secret, puis dans la page Mise en service de votre portail Entra, procédez comme suit :
Pour Mode de mise en service, sélectionnez Automatique.
Pour Méthode d’authentification, sélectionnez Authentification de support.
Pour URL du locataire, copiez et collez le paramètre URL de base affiché dans les paramètres SCIM Tableau Cloud.
Pour Jeton secret, collez le jeton secret SCIM Tableau Cloud que vous avez copié précédemment.
Cliquez sur le bouton Tester la connexion pour vérifier que les informations d’identification fonctionnent comme prévu, puis cliquez sur Enregistrer.
Dans la section Mappages, vérifiez que Mettre en service les groupes Microsoft Entra ID et Mettre en service les utilisateurs Microsoft Entra ID sont activés.
Sélectionnez Mettre en service les groupes Microsoft Entra ID et, sur la page Mappages d’attributs, passez en revue les attributs synchronisés depuis Entra ID vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer .
Sélectionnez Mettre en service les utilisateurs Microsoft Entra ID et, sur la page Mappage d’attributs, passez en revue les attributs synchronisés depuis Entra ID vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer .
Étape 3 : Affecter des groupes à l’application Tableau Cloud
Pour affecter des groupes à l’application Tableau Cloud dans Microsoft Entra ID à partir de la galerie.
Depuis la page de l’application, sélectionnez Applications d’entreprise > Utilisateurs et groupes.
Cliquez sur Ajouter un utilisateur/groupe.
Sur la page Ajouter une affectation, sélectionnez un groupe et attribuer l’un des rôles sur le site suivants :
Creator
Administrateur_de_siteCreator
Explorer
Administrateur_de_siteExplorer
ExplorerPeutPublier
Viewer
Sans licence
Cliquez sur Attribuer.
Remarque : Vous obtenez une erreur si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.
Créer des groupes pour les rôles sur le site
Un utilisateur peut être membre de plusieurs groupes dans Entra ID, mais il ne recevra que le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes disposant des rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.
Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques aux rôles dans Entra ID, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour accélérer la mise en service de nouveaux utilisateurs pour le rôle approprié dans Tableau Cloud.
Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :
Administrateur de site - Creator
Administrateur de site - Explorer
Creator
Explorer (peut publier)
Explorer
Viewer
Remarque : les utilisateurs et leurs attributs doivent être gérés via Entra ID. Les modifications effectuées directement dans Tableau Cloud peuvent entraîner un résultat inattendu et l’écrasement des valeurs.
Étape 4 : Mise en service des groupes
Après avoir activé la prise en charge de SCIM et affecté des groupes à l’application Tableau Cloud dans Entra ID, l’étape suivante consiste à mettre en service les utilisateurs sur votre site Tableau Cloud.
Sur la page Mise en service, développez la section Paramètres et définissez les groupes que vous souhaitez mettre en service dans Tableau Cloud dans Étendue.
Remarque : Le paramètre Entra ID « Synchroniser tous les utilisateurs et groupes » n’est pas pris en charge dans Tableau Cloud.
Basculez État de la mise en service sur Activé.
Cliquez sur Enregistrer.
L’enregistrement lance la synchronisation initiale des groupes définis dans Étendue. La synchronisation se produit environ toutes les 40 minutes tant que le service de mise en service Entra ID s’exécute. Pour mettre en service les utilisateurs manuellement en dehors de la programmation, sélectionnez Mettre en service sur demande. Pour plus d’informations sur la mise en service sur demande, consultez l’article Microsoft Mise en service sur demande dans Microsoft Entra ID(Le lien s’ouvre dans une nouvelle fenêtre).
Une fois la mise en service terminée, vous devriez voir les groupes d’Entra ID sur la page Utilisateurs du site dans Tableau Cloud.
Modifier l’authentification de l’utilisateur dans Tableau Cloud
Les utilisateurs provisionnés se voient attribuer le type d’authentification SAML par défaut. Pour modifier le type d’authentification des utilisateurs, procédez comme suit.
Dans Tableau Cloud, sélectionnez Utilisateurs.
Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d’authentification.
Dans le menu Actions, sélectionnez Authentification.
Dans la boîte de dialogue Authentification, sélectionnez le type d’authentification préféré pour l’utilisateur.
Pour plus d’informations sur les différents types de questions dans Tableau Cloud, consultez Authentification.
SCIM et Attribuer une licence lors de la connexion
Depuis février 2024 (Tableau 2023.3), vous pouvez utiliser le SCIM avec l’option Attribuer une licence lors de la connexion (GLSI) dans Microsoft Entra ID.
L’utilisation de SCIM avec GLSI dans Entra ID nécessite les éléments suivants :
Dans Entra ID, l’ajout d’utilisateurs au groupe dans l’application Tableau Cloud.
Dans Tableau Cloud, l’activation de l’option GLSI pour le groupe et la sélection d’un rôle minimum sur le site pour les utilisateurs qui sont membres du groupe.
Remarque : Il est impossible de définir un groupe avec l’attribut GLSI dans Entra ID.
Les utilisateurs doivent être mis en service comme étant « Sans licence » dans Entra ID.
Activer GLSI
Pour activer GLSI dans Tableau Cloud, consultez Attribuer une licence lors de la connexion.
Supprimer des utilisateurs SCIM avec GLSI
Vous devez supprimer les utilisateurs SCIM de leurs groupes compatibles GLSI dans Microsoft Entra ID avant d’essayer de les supprimer de Microsoft Entra ID. Lorsque les utilisateurs SCIM sont supprimés de tous leurs groupes compatibles GLSI, ces utilisateurs passent au rôle « Sans licence » dans Tableau Cloud.
Dans Entra ID, mettez hors service l’utilisateur dans le groupe compatible GLSI de l’application Tableau Cloud. La mise hors service d’un utilisateur dans Entra ID fait simplement basculer l’utilisateur au rôle « Sans licence » dans Tableau Cloud et ne supprime pas ce dernier.
Remarques :
Si l’utilisateur n’est plus membre d’aucun groupe d’applications Tableau Cloud dans Entra ID, ou si l’utilisateur est affecté individuellement à l’application Tableau Cloud, l’utilisateur passe au rôle « Sans licence » dans Tableau Cloud.
Si vous souhaitez supprimer l’utilisateur SCIM dans Tableau Cloud (consultez la section Supprimer des utilisateurs SCIM ci-dessous), vous devez supprimer manuellement l’utilisateur de Tableau Cloud.
Supprimez l’utilisateur des groupes compatibles GLSI.
Supprimez l’utilisateur SCIM du site.
Si vous rencontrez des problèmes, consultez l’article de connaissance Erreur « Le rôle d’utilisateur n’a pas été mis à jour vers : Sans licence (errorCode=10079) » lors de la tentative de mise hors service des utilisateurs à travers le SCIM(Le lien s’ouvre dans une nouvelle fenêtre).
À propos du groupe « Tous les utilisateurs » de Tableau Cloud
Si vous avez activé le groupe par défaut « Tous les utilisateurs » ainsi que l’option GLSI, vous ne pouvez pas mettre hors service des utilisateurs dans Entra ID. Par conséquent, les utilisateurs appartenant au groupe compatible GLSI ne pourront pas passer au rôle « Sans licence » dans Tableau Cloud. Pour supprimer un utilisateur SCIM du groupe compatible GLSI « Tous les utilisateurs », vous devez supprimer manuellement l’utilisateur de Tableau Cloud.
Remarque : Si des utilisateurs sont associés à du contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer les utilisateurs.
Supprimer des utilisateurs SCIM
La suppression des utilisateurs SCIM dans Entra ID les fait juste passer au rôle « Sans licence », mais ne les supprime pas dans Tableau Cloud. Si vous souhaitez supprimer des utilisateurs, vous devez supprimer manuellement les utilisateurs dans Tableau Cloud.
Pour plus d’informations sur la suppression des utilisateurs, consultez « Supprimer les utilisateurs d’un site » dans la rubrique Afficher, gérer ou supprimer des utilisateurs.
Remarque : Si des utilisateurs sont associés à du contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer les utilisateurs.
Notes concernant la prise en charge de SCIM avec Microsoft Entra ID
Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.
Lors de la mise hors service d’un utilisateur de l’application Tableau Cloud dans Entra ID ou lorsqu’un utilisateur est entièrement supprimé d’Entra ID, l’utilisateur est converti en utilisateur ayant un rôle Sans licence sur le site Tableau Cloud. Si l’utilisateur possède du contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir manuellement supprimer l’utilisateur dans Tableau Cloud.
Depuis février 2024 (Tableau 2023.3), l’utilisation de SCIM avec l’option Attribuer une licence lors de la connexion (GLSI) est prise en charge. Pour plus d’informations, consultez la section SCIM et Attribuer une licence lors de la connexion ci-dessus.