Configurer SCIM avec Okta
Vous pouvez configurer la gestion des utilisateurs via Okta, mettre en service des groupes et affecter des rôles sur le site Tableau Cloud. Si vous n’êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d’eux autorise, consultez Définir les rôles sur le site des utilisateurs.
Étape 1 : Conditions préalables
La fonctionnalité du SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).
Lisez les sections suivantes dans Configuration de SAML avec Okta :
Après avoir terminé les étapes de ces deux sections, restez connecté à la fois à la console administrateur Okta et à Tableau Cloud, en affichant les pages suivantes :
Dans Tableau Cloud, page Paramètres > Authentification.
Dans la console administrateur Okta, Applications > Applications > Tableau Cloud > Provisionnement.
Étape 2 : Activer la prise en charge de SCIM
Pour activer la prise en charge de SCIM avec Okta, procédez comme suit. Consultez également la section Remarques pour la prise en charge SCIM avec Okta ci-dessous.
- Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Procédez comme suit :
Dans la page Authentification, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.
Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.
Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.
Copiez la valeur du jeton secret.
Dans la console administrateur Okta, procédez comme suit :
Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis sur l’onglet Mise en service.
Cliquez sur le bouton Activer l’intégration de l’API.
Cochez la case Activer l’intégration de l’API et cliquez sur Enregistrer.
Procédez comme suit :
Pour API Token (Jeton d’API), collez le jeton secret Tableau Cloud SCIM que vous avez copié à l’étape précédente.
Pour Base URL (URL de base), copiez et collez le paramètre Base URL affiché dans les paramètres SCIM Tableau Cloud.
Cliquez sur le bouton Tester les identifiants de l’API pour s’assurer que la configuration a été bien effectuée. Si la configuration a été effectuée correctement, le message « Tableau Cloud a été vérifié avec succès! » s’affiche.
Lorsque vous avez terminé, cliquez sur Enregistrer.
Étape 3 : Affecter des groupes à l’application Tableau
Pour mettre en service des utilisateurs dans Tableau, nous vous recommandons de gérer les utilisateurs dans des groupes pour simplifier leur gestion dans Tableau.
Dans Okta, vous devez affecter des groupes à l’application Tableau afin de pouvoir mettre en service les utilisateurs dans Tableau Cloud. Plus précisément, deux groupes distincts sont nécessaires : un groupe affecté à l’onglet Affectation et un groupe affecté à l’onglet Groupe à déployer. Le groupe de l’onglet Affectations est utilisé pour créer des utilisateurs dans Tableau Cloud. Le groupe de l’onglet Groupe à déployer est utilisé pour créer le groupe et gérer les membres de groupes dans Tableau Cloud.
Remarques :
Okta requiert que vous ayez un groupe dans l’onglet Affectations et un groupe dans l’onglet Groupe à déployer afin d’éviter une situation de concurrence. Pour plus d’informations, consultez Affectations d’applications et déploiement de groupes(Le lien s’ouvre dans une nouvelle fenêtre) et À propos du déploiement de groupes(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.
Les étapes de cette procédure supposent que vous avez déjà créé au moins deux groupes. Pour plus d’informations sur la création de groupes dans Okta, consultez Créer un groupe(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.
Vous pouvez utiliser la procédure ci-dessous pour ajouter un groupe et affecter le groupe à l’application Tableau.
Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis sur l’onglet Affectations.
Cliquez sur la liste déroulante Affecter et sélectionnez Affecter à des groupes.
Procédez comme suit :
Sélectionnez le groupe concerné.
Sélectionnez le rôle sur le site avec lequel vous souhaitez mettre en service les utilisateurs dans Tableau. Les options disponibles sont les suivantes :
Sans licence
Viewer
Explorer
Explorer (peut publier)
Creator
Administrateur de site - Explorer
Administrateur de site - Creator
Une fois terminé, cliquez sur le bouton Enregistrer et Retour.
Répétez les étapes 1 à 4 dans l’onglet Groupe à déployer, puis cliquez sur le bouton Terminé.
Étape 4 : Activer la mise en service des groupes
Okta vous permet de déployer des groupes existants et leurs membres dans Tableau Cloud. Une fois qu’un groupe est déployé, vous pouvez gérer les membres du groupe dans Okta de manière à mettre automatiquement à jour le groupe correspondant dans Tableau Cloud. Avant de suivre ces étapes, nous vous conseillons de consulter les Conditions préalables au déploiement de groupe(Le lien s’ouvre dans une nouvelle fenêtre) et la section À propos du déploiement de groupe(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.
Important : Après avoir activé le SCIM, les utilisateurs et leurs attributs doivent être gérés dans Okta. Les modifications effectuées directement dans Tableau Cloud peuvent entraîner un résultat inattendu et l’écrasement des valeurs.
La procédure suivante reprend là où vous vous êtes arrêté dans la section précédente et suppose que vous êtes connecté à la console administrateur Okta.
Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis cliquez sur l’onglet Groupes à déployer.
Cliquez sur le bouton Déployer des groupes, puis sélectionnez l’une des options suivantes dans le menu déroulant :
Find groups by name : (Rechercher des groupes par nom) Sélectionnez cette option pour rechercher des groupes par nom.
Find groups by rule : (Rechercher des groupes par règle) Sélectionnez cette option pour créer une règle de recherche qui envoie tous les groupes correspondant à la règle.
(Facultatif) Si vous déployez plusieurs groupes, cliquez sur le bouton Enregistrer et ajouter un autre et répétez l’étape précédente.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
Vous pouvez désactiver le déploiement de groupes, dissocier les groupes envoyés ou envoyer les membres de groupes immédiatement en cliquant sur Active (Actif) ou Inactive (Inactif) dans la colonne Push Status (État du déploiement). Pour supprimer, désactiver ou activer plusieurs groupes, cliquez sur Bulk Edit (Modification en bloc). Pour plus d’informations, consultez Activer le déploiement de groupes(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.
SCIM et Attribuer une licence lors de la connexion
Depuis février 2024 (Tableau 2023.3), vous pouvez utiliser le SCIM avec l’option Attribuer une licence lors de la connexion (GLSI) dans Okta.
L’utilisation de SCIM avec GLSI dans Okta nécessite les éléments suivants :
Dans Okta, l’ajout d’utilisateurs aux groupes dans les onglets Affectation et Groupe à déployer de l’application Tableau.
Dans Tableau Cloud, l’activation de l’option GLSI pour les groupes et la sélection d’un rôle minimum sur le site pour les utilisateurs qui sont membres des groupes.
Remarque : Il est impossible de définir un groupe avec l’attribut GLSI dans Okta.
Les utilisateurs doivent être mis en service comme étant « Sans licence » dans Okta.
Activer GLSI
Pour configurer et activer GLSI, consultez Attribuer une licence lors de la connexion.
Supprimer des utilisateurs SCIM avec GLSI
Vous devez d’abord supprimer les utilisateurs SCIM de leurs groupes compatibles GLSI dans Okta avant d’essayer de les désactiver dans Okta. Les utilisateurs désactivés passent au rôle « Sans licence » dans Tableau Cloud. Toutefois, les utilisateurs ne pourront pas obtenir le rôle « Sans licence » dans Tableau Cloud tant qu’ils ne sont pas membres d’un groupe compatible GLSI.
Dans Okta, supprimez d’abord l’utilisateur du groupe compatible GLSI de l’onglet Groupe à déployer.
Dans Okta, mettez hors service l’utilisateur en le supprimant du groupe compatible GLSI de l’onglet Affectations ou en le supprimant dans Okta. Après cette opération, l’utilisateur passe au rôle « Sans licence » dans Tableau Cloud. La mise hors service d’un utilisateur dans Okta fait simplement basculer l’utilisateur au rôle « Sans licence » dans Tableau Cloud et ne supprime pas ce dernier.
Remarques :
Si vous souhaitez supprimer un utilisateur dans Okta, consultez Désactiver et supprimer des comptes utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta.
Si vous souhaitez supprimer l’utilisateur SCIM dans Tableau Cloud (consultez la section Supprimer des utilisateurs SCIM ci-dessous), vous devez supprimer manuellement l’utilisateur de Tableau Cloud.
Si vous rencontrez des problèmes, consultez l’article de connaissance Erreur « Le rôle d’utilisateur n’a pas été mis à jour vers : Sans licence (errorCode=10079) » lors de la tentative de mise hors service des utilisateurs à travers le SCIM(Le lien s’ouvre dans une nouvelle fenêtre).
À propos du groupe « Tous les utilisateurs » de Tableau Cloud
Si vous avez activé le groupe par défaut « Tous les utilisateurs » ainsi que l’option GLSI, vous ne pouvez pas mettre hors service des utilisateurs dans Okta. Par conséquent, les utilisateurs appartenant au groupe compatible GLSI ne pourront pas passer au rôle « Sans licence » dans Tableau Cloud. Pour supprimer des utilisateurs SCIM du groupe compatible GLSI « Tous les utilisateurs », vous devez supprimer manuellement les utilisateurs de Tableau Cloud.
Remarque : Si des utilisateurs sont associés à du contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer les utilisateurs.
Supprimer des utilisateurs SCIM
La suppression des utilisateurs SCIM dans Okta les fait juste passer au rôle « Sans licence » mais ne les supprime pas dans Tableau Cloud. Si vous souhaitez supprimer des utilisateurs, vous devez supprimer manuellement les utilisateurs dans Tableau Cloud.
Pour plus d’informations sur la suppression des utilisateurs, consultez « Supprimer les utilisateurs d’un site » dans la rubrique Afficher, gérer ou supprimer des utilisateurs.
Remarques pour la prise en charge SCIM avec Okta
Dans les paramètres d’attribution des utilisateurs Okta, les valeurs de Nom d’utilisateur et Courriel principal doivent être identiques.
Vous devez ajouter une application Tableau Cloud Okta séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.
Si vous souhaitez migrer un site, vous devez reconfigurer la mise en service SCIM pour le nouveau site.
Lors de la mise en service de nouveaux utilisateurs, les attributs de prénom et de nom dans Okta ne sont pas synchronisés sur Tableau Cloud. Les nouveaux utilisateurs peuvent définir ces champs lorsqu’ils se connectent à Tableau Cloud pour la première fois.
Lorsqu’un utilisateur n’est plus affecté à l’application Tableau Cloud dans Okta ou lorsqu’il est entièrement désactivé ou supprimé d’Okta, l’utilisateur est converti en utilisateur ayant un rôle « Sans licence » sur le site Tableau Cloud. Si l’utilisateur possède du contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir manuellement supprimer l’utilisateur dans Tableau Cloud.
Vous pouvez définir le rôle sur le site d’un utilisateur (tel que Creator, Explorer ou Viewer) dans Okta au niveau de l’utilisateur ou du groupe. Nous vous recommandons d’affecter le rôle sur le site au niveau du groupe. Si l’utilisateur se voit attribuer un rôle sur le site directement, ce rôle remplacera tous les paramètres de groupe.
Un utilisateur peut appartenir à plusieurs groupes. Les groupes peuvent avoir différents rôles sur le site. Si un utilisateur est affecté à des groupes avec des rôles sur le site différents, il recevra le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si vous choisissez Viewer et Creator, Tableau attribuera le rôle sur le site Creator.
Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :
Administrateur de site - Creator
Administrateur de site - Explorer
Creator
Explorer (peut publier)
Explorer
Viewer
Vous pouvez mettre à jour l’attribut de rôle sur le site pour un utilisateur dans Okta et ce changement se propagera à Tableau Cloud. D’autres attributs, tels que Nom d’utilisateur et Courriel principal, ne peuvent pas être mis à jour. Pour modifier ces attributs, supprimez l’utilisateur, modifiez l’attribut, puis ajoutez l’utilisateur à nouveau.
Depuis février 2024 (Tableau 2023.3), l’utilisation de SCIM avec l’option Attribuer une licence lors de la connexion (GLSI) est prise en charge. Pour plus d’informations, consultez la section SCIM et Attribuer une licence lors de la connexion ci-dessus.