Vous pouvez configurer la gestion des utilisateurs via Azure Active Directory, provisionner des groupes et attribuer des rôles sur le site Tableau Cloud.
Pendant que vous effectuez les étapes suivantes, il peut être utile d'avoir à portée la documentation Microsoft. Consultez le tutoriel Configurer Tableau Cloud pour le provisionnement automatique d’utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).
Remarque : si vous avez déjà activé le provisionnement pour votre application et que vous souhaitez effectuer une mise à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l'article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez le provisionnement pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.
Activer la prise en charge SCIM
Suivez les étapes ci-après pour activer la prise en charge SCIM avec Azure Active Directory. Voir également Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory.
La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l'authentification unique SAML. Si vous ne l'avez pas encore fait, remplissez la section Ajouter Tableau Cloud à vos applications Azure AD dans Configurer SAML avec Azure Active Directory.
Après avoir ajouté Tableau Cloud depuis Azure Marketplace, restez connecté à la fois au portail Azure et à Tableau Cloud, en affichant les pages suivantes :
- Dans Tableau Cloud, page Paramètres > Authentification.
- Dans le portail Azure, l’application Tableau Cloud > page Approvisionnement.
Dans la page Authentification dans Tableau Cloud, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.
Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l'IdP.
Important : le jeton secret s'affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l'appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l'administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l'utilisateur est supprimé du site, le secret cesse d'être valide, et un autre administrateur de site doit générer un nouveau secret et l'appliquer à votre IdP.
Copiez la valeur du jeton secret, puis dans la page Approvisionnement de votre portail Azure, procédez comme suit :
Pour Mode d’approvisionnement, sélectionnez Automatique.
Dans Méthode d'authentification, sélectionnez Authentification du porteur.
Dans Jeton secret, collez le secret Tableau Cloud SCIM que vous avez copié précédemment.
Dans URL du locataire, copiez et collez l’URL de base indiqué dans les paramètres Tableau Cloud SCIM.
Cliquez sur Tester la connexion pour vérifier que les informations d'identification fonctionnent comme prévu, puis cliquez sur Enregistrer.
Dans la section Mappages, vérifiez que les options Approvisionner les groupes Azure Active Directory et Approvisionner les utilisateurs Azure Active Directory sont activées.
Sélectionnez Approvisionner les groupes Azure Active Directory et dans la page Mappages d'attributs, passez en revue les attributs synchronisés depuis Azure vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.
Sélectionnez Approvisionner les utilisateurs Azure Active Directory et dans la page Mappage d'attributs, passez en revue les attributs synchronisés depuis Azure vers Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.
Attribuer des utilisateurs et des groupes à l’application Tableau Cloud
Procédez comme suit pour affecter des utilisateurs et des groupes individuels à l’application Tableau Cloud dans Azure.
Depuis la page de l'application, sélectionnez Applications d'entreprise > Utilisateurs et groupes.
Cliquez sur Ajouter un utilisateur/groupe.
Dans la page Ajouter une attribution, sélectionnez un utilisateur ou un groupe et attribuez-lui l'un des rôles sur le site suivants : Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer ou Sans licence.
Vous recevrez une erreur si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.
Cliquez sur Attribuer.
Créer des groupes pour les rôles sur le site
Un utilisateur peut être membre de plusieurs groupes dans Azure, mais il ne recevra que le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes avec les rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.
Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques aux rôles dans Azure, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour approvisionner rapidement de nouveaux utilisateurs pour le rôle correct dans Tableau Cloud.
Les rôles sur le site sont énumérés ci-dessous dans l'ordre, du plus permissif au moins permissif :
Administrateur de site - Creator
Administrateur de site - Explorer
Creator
Explorer (peut publier)
Explorer
Viewer (Observateur)
Remarque : les utilisateurs et leurs attributs doivent être gérés via Azure. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.
Approvisionner les utilisateurs et les groupes
Après avoir activé la prise en charge SCIM et affecté des utilisateurs et des groupes à l’application Tableau Cloud dans Azure, l'étape suivante consiste à approvisionner les utilisateurs sur votre site Tableau.
Sur la page Approvisionnement, développez la section Paramètres et définissez les utilisateurs ou les groupes que vous souhaitez approvisionner sur Tableau Cloud dans Portée.
Remarque : le paramètre Azure AD « Synchroniser tous les utilisateurs et groupes » n'est pas pris en charge avec Tableau Cloud.
Modifiez l’État d’approvisionnement sur Activé.
Cliquez sur Enregistrer.
L'enregistrement lance la synchronisation initiale des utilisateurs ou des groupes définis dans Portée. La synchronisation se produit environ toutes les 40 minutes tant que le service d’approvisionnement Azure AD s'exécute. Pour approvisionner manuellement les utilisateurs en dehors de la planification, sélectionnez Approvisionner à la demande . Pour plus d'informations sur l'approvisionnement à la demande, consultez l'article Microsoft Approvisionnement à la demande dans Azure Active Directory(Le lien s’ouvre dans une nouvelle fenêtre).
Une fois l’approvisionnement terminé, vous devriez voir les utilisateurs ou les groupes d'Azure AD sur la page Utilisateurs du site dans Tableau Cloud.
Modifier l'authentification de l'utilisateur dans Tableau Cloud
Les utilisateurs approvisionnés se voient attribuer le type d'authentification SAML par défaut. Pour modifier le type d'authentification des utilisateurs, suivez les étapes ci-dessous.
Dans Tableau Cloud, sélectionnez Utilisateurs.
Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d'authentification.
Dans le menu Actions, sélectionnez Authentification.
Dans la boîte de dialogue Authentification, sélectionnez le type d'authentification préféré pour l'utilisateur.
Pour plus d'informations sur les différents types d’authentification dans Tableau Cloud, consultez Authentification.
Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory
Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l'aide de SCIM.
L'utilisation de SCIM avec Attribuer une licence lors de la connexion n'est pas prise en charge et peut entraîner un provisionnement incorrect des rôles sur le site pour les utilisateurs ou les groupes.