Configuration de SCIM avec OneLogin

Vous pouvez configurer la gestion des utilisateurs via OneLogin, provisionner des groupes et attribuer des rôles sur le site Tableau Cloud. Si vous n’êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d’eux autorise, consultez Définir les rôles sur le site des utilisateurs.

Après avoir effectué les étapes suivantes, il peut être utile d’avoir à portée la documentation OneLogin. Commencez par Introduction au provisionnement des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation OneLogin.

Étape 1 : Conditions préalables

La fonctionnalité du SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

  1. Remplissez les sections suivantes dans Configurer SAML avec OneLogin(Le lien s’ouvre dans une nouvelle fenêtre) :

  2. Une fois les étapes de ces deux sections terminées, restez connecté à la fois au portail OneLogin et à Tableau Cloud, en affichant les pages suivantes :

    • Dans Tableau Cloud, page Paramètres > Authentification.

    • Dans le portail OneLogin, page Configuration.

Étape 2 : Activer la prise en charge de SCIM

Pour activer la prise en charge de SCIM avec OneLogin, procédez comme suit. Voir également la section Remarques et limitations pour la prise en charge SCIM avec OneLogin ci-dessous.

Remarque : n’oubliez pas de cliquer sur Enregistrer dans le coin supérieur droit du portail OneLogin après avoir apporté des modifications à la configuration.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Procédez comme suit :

    1. Dans la page Authentification, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.

      Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.

      Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.

  3. Copiez la valeur du jeton secret.

  4. Dans le portail OneLogin, sur la page Configuration, prodédez comme suit :

    • Dans État de l’API, cliquez sur Activer.

    • Dans SCIM Bearer Token (Jeton du porteur SCIM), collez le jeton secret Tableau Cloud SCIM que vous avez copié précédemment.

    • Pour SCIM Base URL (URL SCIM de base), copiez et collez le paramètre Base URL affiché dans les paramètres Tableau Cloud SCIM.

      Image de la page de configuration du portail OneLogin

  5. Sur la page Mise en service, procédez comme suit :

    • Sélectionnez Activer le provisionnement.

    • Sélectionnez Suspendre pour Lorsque des utilisateurs sont supprimés dans OneLogin ou que l’accès à l’application de l’utilisateur est supprimé, effectuez l’action ci-dessous.

      Image de l’ensemble de pages de provisionnement du portail OneLogin pour Tableau Cloud

  6. Cliquez sur Enregistrer.

  7. (Facultatif) Sur la page Paramètres, mappez le Nom d’utilisateur SCIM à l’attribut Courriel. Si vous ne mappez pas le nom d’utilisateur SCIM à un attribut au format d’adresse courriel, vous devrez remplir manuellement ce champ pour chaque utilisateur dans le cadre du processus de provisionnement.

    Une erreur s’affiche lors du provisionnement des utilisateurs si la valeur mappée ne contient pas l’adresse de courriel de l’utilisateur.

Si vous souhaitez compléter les étapes de provisionnement des utilisateurs et des groupes, restez connecté au portail OneLogin et passez à la section suivante.

Étape 3 : Mise en service des utilisateurs et des groupes

OneLogin vous propose plusieurs moyens d’affecter des attributs utilisateur tels que des groupes ou des rôles sur le site. Vous pouvez les appliquer au niveau de l’application Tableau Cloud, créer des règles de mappage, ou les appliquer manuellement à des utilisateurs individuels.

Avant de commencer, il est important de noter que le concept de groupes OneLogin fonctionne différemment du concept de groupes Tableau. Dans OneLogin, les groupes fonctionnent comme des limites de sécurité pour appliquer des politiques de sécurité spécifiques des utilisateurs. Pour cette raison, les utilisateurs ne peuvent appartenir qu’à un seul groupe à la fois.

En outre, OneLogin utilise des rôles comme conteneur pour les applications auxquelles différentes cohortes d’utilisateurs peuvent accéder. Une fois que vous avez attribué un rôle aux utilisateurs, vous leur accordez l’accès à toutes les applications incluses dans le rôle. Ceci est similaire au concept Tableau des groupes. Les utilisateurs peuvent avoir plusieurs rôles dans OneLogin, qui peuvent être mappés à un groupe d’applications cible, tel que Tableau Cloud.

Remarque : les étapes suivantes supposent que vous êtes connecté au portail OneLogin et à l’application Tableau Cloud. Ces étapes fournissent des informations spécifiques de Tableau que vous pouvez utiliser avec la documentation OneLogin pour mapper des attributs de groupe et de rôle sur le site avec des utilisateurs.

Provisionner un utilisateur

Utilisez les étapes suivantes pour provisionner des utilisateurs individuels pour Tableau Cloud via le portail OneLogin.

  1. Accédez à l’onglet Utilisateurs et sélectionnez l’utilisateur que vous souhaitez provisionner. Cela ouvre la page des paramètres utilisateur.

  2. Dans le menu de navigation de gauche, sélectionnez Applications.

  3. Sur la page Applications, cliquez sur l’icône plus (+) pour provisionner l’utilisateur pour votre application Tableau Cloud, puis cliquez sur Continuer.

  4. Entrez le rôle sur le site Tableau Cloud approprié pour l’utilisateur dans le champ Rôle sur le site. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

  5. Cliquez sur Enregistrer.

Provisionner plusieurs utilisateurs avec des rôles OneLogin

Vous pouvez configurer plusieurs utilisateurs pour Tableau Cloud en attribuant des rôles dans OneLogin. Les utilisateurs peuvent être ajoutés aux rôles manuellement ou automatiquement à l’aide de mappages.

Pour ajouter des utilisateurs à un rôle :

  1. Accédez à Utilisateurs > Rôles, puis sélectionnez un rôle existant ou créez un Nouveau rôle. Pour plus d’informations, consultez l’article OneLogin Roles(Le lien s’ouvre dans une nouvelle fenêtre).

    L’exemple suivant illustre le rôle « Sales » que nous utiliserons plus tard en tant que groupe dans Tableau Cloud.

  2. Sur la page Applications , attribuez l’accès du rôle à l’application Tableau Cloud. Cela doit provisionner automatiquement les utilisateurs associés à l’application.

  3. Sur la page Utilisateurs, vous pouvez ajouter manuellement des utilisateurs à un rôle en entrant leur prénom et leur nom, ou ajouter un mappage pour ajouter automatiquement des utilisateurs à un rôle en fonction d’attributs spécifiques, tels que leur groupe Active Directory, par exemple.

  4. Après avoir ajouté des utilisateurs à des rôles, nous vous recommandons de créer des règles dans l’application pour attribuer le rôle sur le site Tableau Cloud approprié sur la base du rôle OneLogin. Pour plus d’informations, consultez l’article OneLogin Configure Apps(Le lien s’ouvre dans une nouvelle fenêtre) (Configurer les applications).

    Dans la capture d’écran ci-dessous, les utilisateurs disposant du rôle « Sales » se verront attribuer le rôle sur le site Creator dansTableau Cloud. De même, les utilisateurs disposant du rôle « Marketing » se verront attribuer le rôle sur le site Viewer.

Ajouter des utilisateurs à des groupes Tableau Cloud existants

Importez des groupes Tableau Cloud dans OneLogin et spécifiez les groupes que vous souhaitez sélectionner par défaut dans la boîte de dialogue de provisionnement des utilisateurs.

  1. Dans la page Parameters (Paramètres), cliquez sur Groups, (Groupes) et cochez la case Include in User Provisioning (Inclure dans le provisionnement utilisateur).

  2. Accédez à la page Provisioning (Provisionnement) et dans la section Entitlements (Droits), cliquez sur Refresh (Actualiser).

    Cette opération importe les groupes depuis Tableau Cloud.

  3. Revenez à la page Parameters (Paramètres), puis sélectionnez les groupes que vous souhaitez afficher comme valeurs sélectionnées dans la boîte de dialogue de provisionnement des utilisateurs.

  4. Pour modifier les membres du groupe, allez à la page Users (Utilisateurs), sélectionnez un utilisateur et dans la section Groups (Groupes), modifiez les valeurs disponibles et sélectionnées.

Vous pouvez également créer des mappages qui placent les utilisateurs dans des groupes automatiquement, en fonction de conditions que vous définissez. Pour plus d’informations, consultez l’article OneLogin Mappages(Le lien s’ouvre dans une nouvelle fenêtre).

Créer des groupes dans Tableau Cloud depuis OneLogin

Utilisez les étapes suivantes pour créer des groupes Tableau Cloud basés sur des attributs dans les mappages OneLogin. Par exemple, créer un groupe dans Tableau Cloud en fonction des rôles d’utilisateur.

  1. Accédez à Applications, sélectionnez l’application Tableau Cloud, puis Règles.

  2. Sur la page Règles, cliquez sur Ajouter une règle pour ouvrir la fenêtre de modification du mappage.

  3. Sous Actions, sélectionnez Définir des groupes dans le menu déroulant, puis sélectionnez Mapper à partir de OneLogin.

    Le champ de conditions avec la valeur qui correspond utilise des expressions régulières. Si vous souhaitez créer un groupe dans Tableau Cloud qui correspond au nom de rôle dans OneLogin, saisissez .* dans le champ de texte.

Attribuer des rôles sur le site Tableau

Par défaut, les utilisateurs reçoivent le rôle sur le site Viewer, qui occupe une licence du type Viewer.

Quelle que soit la méthode que vous utilisez dans OneLogin pour attribuer des rôles sur le site, à un point donné, vous devez entrer le nom du rôle sur le site dans une zone de texte. Pour les valeurs autorisées que vous pouvez saisir, consultez Valeurs valides de rôles sur le site Tableau ci-dessous.

Voici quelques manières d’attribuer des rôles sur le site

Pour les utilisateurs individuels :

  1. Sur la page Utilisateurs, sélectionnez l’utilisateur, puis accédez à l’onglet Applications. Sélectionnez l’application Tableau Cloud correspondante.

  2. Dans les paramètres utilisateur, saisissez le nom du rôle dans la zone de texte Rôle sur le site.

Pour un ensemble d’utilisateurs :

  1. Sur la page Paramètres, cliquez sur Rôle sur le site, puis, dans Valeur, sélectionnez l’une des options d’affectation d’attribut de rôle sur le site.

    Par exemple :

    • Si tous les utilisateurs ont le même rôle sur le site, sélectionnez Macro et entrez le nom du rôle sur le site.

    • Si le répertoire utilisateur OneLogin contient le rôle sur le site, sélectionnez l’attribut correspondant.

  2. Sur la page Règles, créez une règle qui associe un rôle à un rôle particulier dans Tableau Cloud.

Une fois que vous avez fini d’attribuer le rôle sur le site, cliquez sur Enregistrer.

Valeurs valides de rôles sur le site Tableau

Dans la page Mise en service de votre portail OneLogin, les valeurs de rôles sur le site sont basées sur les rôles sur le site actuels ou anciens.

  • Les rôles actuels de licence incluent les valeurs suivantes de rôles sur le site :

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Sans licence ou Viewer.

  • Les anciens types de licence (pré-v2018.1) sont associés aux rôles sur le site suivants :

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Sans licence, UnlicensedWithPublish, Viewer ou ViewerWithPublish

Pour connaître les effets des modifications des attributs utilisateur, ou savoir comment réinitialiser les attributs utilisateur individuels que vous avez modifiés manuellement, consultez l’article OneLogin Provisionnement d’attributs : effet des paramètres par défaut, des règles et de la saisie manuelle(Le lien s’ouvre dans une nouvelle fenêtre).

Remarques et limitations pour la prise en charge SCIM avec OneLogin

  • Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.

  • Lors du déprovisionnement ou de la suppression d’un utilisateur existant de l’application Tableau Cloud dans OneLogin, l’utilisateur est converti en utilisateur ayant un rôle Sans licence sur le site Tableau Cloud s’il possède des ressources de contenu. Si l’utilisateur possède du contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir manuellement supprimer l’utilisateur dans Tableau Cloud.

  • L’utilisation de SCIM avec l’option Attribuer une licence lors de la connexion n’est pas prise en charge et peut entraîner une mise en service incorrecte des rôles sur le site pour les utilisateurs ou les groupes.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!