Configurer SCIM avec Azure Active Directory

Vous pouvez configurer la gestion des utilisateurs via Azure Active Directory, provisionner des groupes et attribuer des rôles sur le site Tableau Cloud.

Pendant que vous effectuez les étapes suivantes, il peut être utile d'avoir à portée la documentation Microsoft. Consultez le tutoriel Configurer Tableau Cloud pour le provisionnement automatique d’utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

Remarque : si vous avez déjà activé le provisionnement pour votre application et que vous souhaitez effectuer une mise à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l'article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez le provisionnement pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.

Étape 1 : Effectuer les opérations de prérequis

La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

1. Effectuez les opérations de la section Ajouter Tableau Cloud à vos applications Azure AD dans Configurer SAML avec Azure Active Directory.

2. Après avoir ajouté Tableau Cloud depuis Azure Marketplace, restez connecté à la fois au portail Azure et à Tableau Cloud, en affichant les pages suivantes :

   • Dans Tableau Cloud, page Paramètres > Authentification.
   • Dans le portail Azure, application Tableau Cloud > page Provisionnement.

Étape 2 : Activer la prise en charge SCIM

Suivez les étapes ci-après pour activer la prise en charge SCIM avec Azure Active Directory. Voir également Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory ci-dessous.

1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

2. Procédez comme suit :

   1. Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.

      Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l'IdP.

      Important : le jeton secret s'affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l'appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l'administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l'utilisateur est supprimé du site, le secret cesse d'être valide, et un autre administrateur de site doit générer un nouveau secret et l'appliquer à votre IdP.

3. Copiez la valeur du jeton secret, puis dans la page Provisioning de votre portail Azure, procédez comme suit :

   • Pour Mode de provisionnement, sélectionnez Automatique.

   • Dans Méthode d'authentification, sélectionnez Authentification du porteur.

   • Dans Jeton secret, collez le secret Tableau Cloud SCIM que vous avez copié précédemment.

   • Dans URL du locataire, copiez et collez l’URL de base indiqué dans les paramètres Tableau Cloud SCIM.

   

4. Cliquez sur Tester la connexion pour vérifier que les informations d'identification fonctionnent comme prévu, puis cliquez sur Enregistrer.

5. Dans la section Mappages, vérifiez que les options Provisionner les groupes Azure Active Directory et Provisionner les utilisateurs Azure Active Directory sont activées.

   

6. Sélectionnez Provisionner les groupes Azure Active Directory et dans la page Mappages d’attributs, passez en revue les attributs synchronisés depuis Azure vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

   

7. Sélectionnez Provisionner les utilisateurs Azure Active Directory et dans la page Mappage d’attributs, passez en revue les attributs synchronisés depuis Azure vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

   

Étape 3 : Attribuer des utilisateurs et des groupes à l’application Tableau Cloud

Procédez comme suit pour affecter des utilisateurs et des groupes individuels à l’application Tableau Cloud dans Azure.

1. Depuis la page de l'application, sélectionnez Applications d'entreprise > Utilisateurs et groupes.

2. Cliquez sur Ajouter un utilisateur/groupe.

3. Dans la page Ajouter une attribution, sélectionnez un utilisateur ou un groupe et attribuez-lui l'un des rôles sur le site suivants : Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer ou Sans licence.

   Vous recevrez une erreur si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.

4. Cliquez sur Attribuer.

Créer des groupes pour les rôles sur le site

Un utilisateur peut être membre de plusieurs groupes dans Azure, mais il ne recevra que le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes avec les rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques aux rôles dans Azure, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour provisionner rapidement de nouveaux utilisateurs pour le rôle correct dans Tableau Cloud.

Les rôles sur le site sont énumérés ci-dessous dans l'ordre, du plus permissif au moins permissif :

• Administrateur de site - Creator

• Administrateur de site - Explorer

• Creator

• Explorer (peut publier)

• Explorer

• Viewer (Observateur)

Remarque : les utilisateurs et leurs attributs doivent être gérés via Azure. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.

Étape 4 : Provisionner les utilisateurs et les groupes

Après avoir activé la prise en charge SCIM et affecté des utilisateurs et des groupes à l’application Tableau Cloud dans Azure, l’étape suivante consiste à provisionner les utilisateurs sur votre site Tableau.

1. Sur la page Provisionnement, développez la section Paramètres et définissez les utilisateurs ou les groupes que vous souhaitez provisionner sur Tableau Cloud dans Portée.

   

   Remarque : le paramètre Azure AD « Synchroniser tous les utilisateurs et groupes » n'est pas pris en charge avec Tableau Cloud.

2. Modifiez l’État du provisionnement sur Activé.

3. Cliquez sur Enregistrer.

L'enregistrement lance la synchronisation initiale des utilisateurs ou des groupes définis dans Portée. La synchronisation se produit environ toutes les 40 minutes tant que le service de provisionnement Azure AD s’exécute. Pour provisionner manuellement les utilisateurs en dehors de la planification, sélectionnez Provisionner à la demande . Pour plus d’informations sur le provisionnement à la demande, consultez l’article Microsoft Provisionnement à la demande dans Azure Active Directory(Le lien s’ouvre dans une nouvelle fenêtre).

Une fois le provisionnement terminé, vous devriez voir les utilisateurs ou les groupes d’Azure AD sur la page Utilisateurs du site dans Tableau Cloud.

Modifier l'authentification de l'utilisateur dans Tableau Cloud

Les utilisateurs provisionnés se voient attribuer le type d’authentification SAML par défaut. Pour modifier le type d'authentification des utilisateurs, suivez les étapes ci-dessous.

1. Dans Tableau Cloud, sélectionnez Utilisateurs.

2. Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d’authentification.

3. Dans le menu Actions, sélectionnez Authentification.

4. Dans la boîte de dialogue Authentification, sélectionnez le type d'authentification préféré pour l'utilisateur.

Pour plus d'informations sur les différents types d’authentification dans Tableau Cloud, consultez Authentification.

Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory

• Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l'aide de SCIM.

• L'utilisation de SCIM avec Attribuer une licence lors de la connexion n'est pas prise en charge et peut entraîner un provisionnement incorrect des rôles sur le site pour les utilisateurs ou les groupes.