Aide de Tableau Cloud

Vous pouvez configurer la gestion des utilisateurs via Microsoft Entra ID (également connu sous le nom Azure Active Directory (AD)), provisionner des groupes et attribuer des rôles sur le site Tableau Cloud.

Pendant que vous effectuez les étapes suivantes, il peut être utile d’avoir à portée la documentation Entra ID. Consultez le tutoriel Configurer Tableau Cloud pour le provisionnement automatique d’utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

Remarque : si vous avez déjà activé le provisionnement pour votre application et que vous souhaitez effectuer une mise à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l’article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez le provisionnement pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.

La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

1. Effectuez les opérations de la section « Ajouter Tableau Cloud à vos applications Microsoft Entra ID » dans Configurer SAML avec Microsoft Entra ID.

2. Après avoir ajouté Tableau Cloud depuis Azure Marketplace, restez connecté à la fois au portail Entra et à Tableau Cloud, en affichant les pages suivantes :

   • Dans Tableau Cloud, page Paramètres > Authentification.
   • Dans le portail Entra, page de l’application Tableau Cloud > Provisionnement.

Suivez les étapes ci-après pour activer la prise en charge SCIM avec Microsoft Entra ID. Voir également Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory ci-dessous.

Remarque : pour les étapes du portail Entra, assurez-vous que vous utilisez l’application Tableau Cloud de la galerie.

1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

2. Procédez comme suit :

   1. Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.

      La zone URL de base est alors renseignée avec la valeur que vous allez utiliser dans la configuration SCIM de l’IdP.

   2. Cliquez sur Générer un nouveau secret. Le secret généré s’affiche, prêt à être copié dans la configuration SCIM.

      Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.

   3. Sous Authentification, sélectionnez la configuration d’authentification SAML à associer avec SCIM.

      Remarque : seule une configuration d’authentification SAML peut prendre en charge SCIM sur un site.

      Conseil : si, à un quelconque moment, vous sélectionnez une valeur différente sous Authentification (que ce soit l’option Aucune ou une authentification SAML configurée), vous devez réinitialiser le secret pour que SCIM fonctionne. L’ancien secret ne fonctionnera plus pour la connexion, même si le bouton Tester la connexion fonctionne toujours avec l’ancien secret. Dans ce cas, cliquez à nouveau sur Générer un nouveau secret et copiez le nouveau secret dans la configuration SCIM de votre IdP.

3. Dans la page Provisionnement sur le portail Entra, procédez comme suit :

   • Pour Mode de provisionnement, sélectionnez Automatique.

   • Dans Méthode d’authentification, sélectionnez Authentification du porteur.

   • Dans URL du locataire, copiez et collez l’URL de base indiqué dans les paramètres Tableau Cloud SCIM.

   • Dans Jeton secret, copiez et collez le secret SCIM Tableau Cloud qui a été généré.

   

4. Cliquez sur le bouton Tester la connexion pour vérifier que les informations d’identification fonctionnent comme prévu, puis cliquez sur Enregistrer.

5. Dans la sélection Mappages, vérifiez que les options Provisionner les groupes Microsoft Entra ID et Provisionner les utilisateurs Microsoft Entra ID sont activées.

   

6. Sélectionnez Provisionner les groupes Microsoft Entra ID, et dans la page Mappage d’attributs, vérifiez les attributs synchronisés depuis Entra ID sur Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

   

7. Sélectionnez Provisionner les utilisateurs Microsoft Entra ID, et dans la page Mappage d’attributs, vérifiez les attributs synchronisés depuis Entra ID sur Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

   

Procédez comme suit pour affecter des groupes à l’application Tableau Cloud de la galerie dans Microsoft Entra ID.

1. Depuis la page de l’application, sélectionnez Applications d’entreprise > Utilisateurs et groupes.

2. Cliquez sur Ajouter un utilisateur/groupe.

3. Dans la page Ajouter une affectation, sélectionnez un groupe et attribuez l’un des rôles de site suivants :

   • Creator

   • Administrateur de site - Creator

   • Explorer

   • Administrateur de site - Explorer

   • Explorer (peut publier)

   • Viewer

   • Sans licence

   Remarque : une erreur s’affiche si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.

4. Cliquez sur Attribuer.

Un utilisateur peut être membre de plusieurs groupes dans Entra ID, mais il ne recevra le rôle sur le site le plus permissif que dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes avec les rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques aux rôles dans Entra ID, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour provisionner rapidement de nouveaux utilisateurs pour le rôle correct dans Tableau Cloud.

Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :

• Administrateur de site - Creator

• Administrateur de site - Explorer

• Creator

• Explorer (peut publier)

• Explorer

• Viewer

Remarque : les utilisateurs et leurs attributs doivent être gérés via Entra ID. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.

Une fois que vous avez activé la prise en charge SCIM et affecté des groupes à l’application Tableau Cloud dans Entra ID, l’étape suivante consiste à provisionner les utilisateurs sur votre site Tableau Cloud.

1. Dans la page Mise en service, développez la section Paramètres et définissez les groupes que vous souhaitez provisionner sur Tableau Cloud dans Étendue.

   

   Remarque : le paramètre Entra ID « Synchroniser tous les utilisateurs et groupes » n’est pas pris en charge avec Tableau Cloud.

2. Modifiez l’État du provisionnement sur Activé.

3. Cliquez sur Enregistrer.

L’enregistrement lance la synchronisation initiale des groupes définis dans Étendue. La synchronisation a lieu toutes les 40 minutes environ tant que le service de provisionnement Entra ID s’exécute. Pour provisionner manuellement les utilisateurs en dehors de la planification, sélectionnez Provisionner à la demande. Pour plus d’informations sur le provisionnement à la demande, consultez l’article de Microsoft Provisionnement à la demande dans Microsoft Entra ID(Le lien s’ouvre dans une nouvelle fenêtre).

Une fois la mise en service terminée, vous devriez voir les groupes dans Entra ID sur la page Utilisateurs du site dans Tableau Cloud.

Les utilisateurs provisionnés se voient attribuer le type d’authentification SAML par défaut. Pour modifier le type d’authentification des utilisateurs, suivez les étapes ci-dessous.

1. Dans Tableau Cloud, sélectionnez Utilisateurs.

2. Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d’authentification.

3. Dans le menu Actions, sélectionnez Authentification.

4. Dans la boîte de dialogue Authentification, sélectionnez le type d’authentification préféré pour l’utilisateur.

Pour plus d’informations sur les différents types d’authentification dans Tableau Cloud, consultez Authentification.

• Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.

• Lorsqu’un utilisateur est désactivé dans l’application Tableau dans Azure AD ou qu’il est entièrement supprimé d’Azure AD, il est converti à un rôle sur le site Sans licence dans Tableau Cloud. Si l’utilisateur possède un contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir supprimer l’utilisateur manuellement dans Tableau Cloud.

• Depuis février 2024 (Tableau 2023.3), l’utilisation de SCIM avec Attribuer une licence lors de la connexion (GLSI) est prise en charge. GLSI requiert les éléments suivants :

  1. Activation manuelle de l’option pour un groupe et sélection du rôle sur le site minimum pour les utilisateurs membres du groupe directement dans Tableau Cloud. Il n’est pas possible de définir un groupe avec l’attribut GLSI dans Azure AD, mais vous pouvez définir l’attribut pour le groupe que vous avez provisionné depuis Azure AD dans Tableau Cloud.
  2. Provisionnement de l’utilisateur comme sans licence depuis l’IdP.