Configurer SCIM avec Microsoft Entra ID

Vous pouvez configurer la gestion des utilisateurs via Microsoft Entra ID (également connu sous le nom Azure Active Directory (AD)), provisionner des groupes et attribuer des rôles sur le site Tableau Cloud.

Pendant que vous effectuez les étapes suivantes, il peut être utile d’avoir à portée la documentation Entra ID. Consultez le tutoriel Configurer Tableau Cloud pour le provisionnement automatique d’utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

Remarque : si vous avez déjà activé le provisionnement pour votre application et que vous souhaitez effectuer une mise à jour pour utiliser le point de terminaison Tableau SCIM 2.0, consultez l’article Microsoft Mettre à jour une application Tableau Cloud(Le lien s’ouvre dans une nouvelle fenêtre). Si vous configurez le provisionnement pour une nouvelle instance de l’application Tableau Cloud, suivez les étapes ci-dessous.

Étape 1 : Effectuer les opérations de prérequis

La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

  1. Effectuez les opérations de la section « Ajouter Tableau Cloud à vos applications Microsoft Entra ID » dans Configurer SAML avec Microsoft Entra ID.

  2. Après avoir ajouté Tableau Cloud depuis Azure Marketplace, restez connecté à la fois au portail Entra et à Tableau Cloud, en affichant les pages suivantes :

    • Dans Tableau Cloud, page Paramètres > Authentification.
    • Dans le portail Entra, page de l’application Tableau Cloud > Provisionnement.

Étape 2 : Activer la prise en charge SCIM

Suivez les étapes ci-après pour activer la prise en charge SCIM avec Microsoft Entra ID. Voir également Remarques et limitations pour la prise en charge SCIM avec Azure Active Directory ci-dessous.

Remarque : pour les étapes du portail Entra, assurez-vous que vous utilisez l’application Tableau Cloud de la galerie.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.

  2. Procédez comme suit :

    1. Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.

      Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.

      Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.

  3. Copiez la valeur du jeton secret et dans la page Provisionnement de votre portail Entra, procédez comme suit :

    • Pour Mode de provisionnement, sélectionnez Automatique.

    • Dans Méthode d’authentification, sélectionnez Authentification du porteur.

    • Dans URL du locataire, copiez et collez l’URL de base indiqué dans les paramètres Tableau Cloud SCIM.

    • Dans Jeton secret, collez le secret Tableau Cloud SCIM que vous avez copié précédemment.

  4. Cliquez sur le bouton Tester la connexion pour vérifier que les informations d’identification fonctionnent comme prévu, puis cliquez sur Enregistrer.

  5. Dans la sélection Mappages, vérifiez que les options Provisionner les groupes Microsoft Entra ID et Provisionner les utilisateurs Microsoft Entra ID sont activées.

  6. Sélectionnez Provisionner les groupes Microsoft Entra ID, et dans la page Mappage d’attributs, vérifiez les attributs synchronisés depuis Entra ID sur Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

  7. Sélectionnez Provisionner les utilisateurs Microsoft Entra ID, et dans la page Mappage d’attributs, vérifiez les attributs synchronisés depuis Entra ID sur Tableau Cloud. Pour enregistrer les modifications, cliquez sur Enregistrer.

Étape 3 : Affecter des groupes à l’application Tableau Cloud

Procédez comme suit pour affecter des groupes à l’application Tableau Cloud de la galerie dans Microsoft Entra ID.

  1. Depuis la page de l’application, sélectionnez Applications d’entreprise > Utilisateurs et groupes.

  2. Cliquez sur Ajouter un utilisateur/groupe.

  3. Dans la page Ajouter une affectation, sélectionnez un groupe et attribuez l’un des rôles de site suivants :

    • Creator

    • Administrateur de site - Creator

    • Explorer

    • Administrateur de site - Explorer

    • Explorer (peut publier)

    • Viewer

    • Sans licence

    Remarque : une erreur s’affiche si vous sélectionnez un rôle qui ne figure pas dans la liste ci-dessus. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs.

  4. Cliquez sur Attribuer.

Créer des groupes pour les rôles sur le site

Un utilisateur peut être membre de plusieurs groupes dans Entra ID, mais il ne recevra le rôle sur le site le plus permissif que dans Tableau Cloud. Par exemple, si un utilisateur est membre de deux groupes avec les rôles sur le site Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

Pour suivre les attributions de rôles, nous vous recommandons de créer des groupes spécifiques aux rôles dans Entra ID, tels que « Tableau - Creator », « Tableau - Explorer », etc. Vous pouvez ensuite utiliser les groupes pour provisionner rapidement de nouveaux utilisateurs pour le rôle correct dans Tableau Cloud.

Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :

  • Administrateur de site - Creator

  • Administrateur de site - Explorer

  • Creator

  • Explorer (peut publier)

  • Explorer

  • Viewer

Remarque : les utilisateurs et leurs attributs doivent être gérés via Entra ID. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.

Étape 4 : Provisionner les utilisateurs et les groupes

Une fois que vous avez activé la prise en charge SCIM et affecté des groupes à l’application Tableau Cloud dans Entra ID, l’étape suivante consiste à provisionner les utilisateurs sur votre site Tableau Cloud.

  1. Dans la page Mise en service, développez la section Paramètres et définissez les groupes que vous souhaitez provisionner sur Tableau Cloud dans Étendue.

    Remarque : le paramètre Entra ID « Synchroniser tous les utilisateurs et groupes » n’est pas pris en charge avec Tableau Cloud.

  2. Modifiez l’État du provisionnement sur Activé.

  3. Cliquez sur Enregistrer.

L’enregistrement lance la synchronisation initiale des groupes définis dans Étendue. La synchronisation a lieu toutes les 40 minutes environ tant que le service de provisionnement Entra ID s’exécute. Pour provisionner manuellement les utilisateurs en dehors de la planification, sélectionnez Provisionner à la demande. Pour plus d’informations sur le provisionnement à la demande, consultez l’article de Microsoft Provisionnement à la demande dans Microsoft Entra ID(Le lien s’ouvre dans une nouvelle fenêtre).

Une fois la mise en service terminée, vous devriez voir les groupes dans Entra ID sur la page Utilisateurs du site dans Tableau Cloud.

Modifier l’authentification de l’utilisateur dans Tableau Cloud

Les utilisateurs provisionnés se voient attribuer le type d’authentification SAML par défaut. Pour modifier le type d’authentification des utilisateurs, suivez les étapes ci-dessous.

  1. Dans Tableau Cloud, sélectionnez Utilisateurs.

  2. Sur la page Utilisateurs du site, cochez les cases en regard des utilisateurs auxquels vous souhaitez assigner un type d’authentification.

  3. Dans le menu Actions, sélectionnez Authentification.

  4. Dans la boîte de dialogue Authentification, sélectionnez le type d’authentification préféré pour l’utilisateur.

Pour plus d’informations sur les différents types d’authentification dans Tableau Cloud, consultez Authentification.

SCIM et GLSI (Attribuer une licence lors de la connexion)

Depuis février 2024 (Tableau 2023.3), vous pouvez utiliser SCIM avec la fonction Attribuer une licence lors de la connexion (GLSI) pour Microsoft Entra ID.

L’utilisation de SCIM avec GLSI pour Entra ID nécessite les opérations suivantes :

  1. Dans Entra ID, ajout d’utilisateurs au groupe dans l’application Tableau Cloud.

  2. Dans Tableau Cloud, activation de l’option GLSI pour le groupe et sélection du rôle sur le site minimum pour les utilisateurs membres du groupe.

    Remarque : il n’est pas possible de définir un groupe avec l’attribut GLSI dans Entra ID.

  3. Les utilisateurs doivent être configurés comme Sans licence dans Entra ID.

Activer GLSI

Pour activer GLSI dans Tableau Cloud, consultez Attribuer une licence lors de la connexion.

Supprimer des utilisateurs SCIM avec GLSI

Vous devez supprimer les utilisateurs SCIM de leurs groupes compatibles GLSI dans Microsoft Entra ID avant de tenter de les supprimer de Microsoft Entra ID. Lorsque les utilisateurs SCIM sont supprimés de tous leurs groupes compatibles GLSI, les utilisateurs sont convertis au rôle « Sans licence » dans Tableau Cloud.

  1. Dans Entra ID, désactivez l’utilisateur du groupe compatible GLSI dans l’application Tableau Cloud. La désactivation d’un utilisateur dans Entra ID entraîne uniquement la conversion de l’utilisateur en « Sans licence » dans Tableau Cloud et ne l’en supprime pas.

Remarques :

  • Si l’utilisateur n’est plus membre d’aucun groupe supplémentaire de l’application Tableau Cloud dans Entra ID, ou s’il est affecté individuellement à l’application Tableau Cloud, il est converti en « Sans licence » dans Tableau Cloud.

  • Si vous souhaitez supprimer l’utilisateur SCIM dans Tableau Cloud (voir Supprimer des utilisateurs SCIM, ci-dessous), vous supprimez manuellement l’utilisateur de Tableau Cloud.

  1. Supprimez l’utilisateur des groupes pour lesquels GLSI est activé.

  2. Supprimez l’utilisateur SCIM du site.

Si vous rencontrez des problèmes, consultez l’article de la Base de connaissances Erreur « Le rôle d’utilisateur n’a pas été mis à jour vers : Sans licence (errorCode=10079) » lors de la tentative de désactivation d’utilisateurs via SCIM(Le lien s’ouvre dans une nouvelle fenêtre).

À propos du groupe « Tous les utilisateurs » de Tableau Cloud

Si vous avez activé le groupe par défaut « Tous les utilisateurs » avec GLSI, vous ne pouvez pas désactiver des utilisateurs dans Entra ID et vous ne pouvez donc pas supprimer la licence des utilisateurs appartenant au groupe compatible GLSI dans Tableau Cloud. Pour supprimer un utilisateur SCIM dans le groupe « Tous les utilisateurs » compatible GLSI, vous devez supprimer manuellement l’utilisateur de Tableau Cloud.

Remarque : si des utilisateurs sont associés à un contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer des utilisateurs.

Supprimer des utilisateurs SCIM

La suppression d’utilisateurs SCIM dans Entra ID les convertira uniquement en rôle « Sans licence », sans les supprimer de Tableau Cloud. Si vous souhaitez supprimer des utilisateurs, vous devez supprimer manuellement les utilisateurs dans Tableau Cloud.

Pour plus d’informations à ce sujet, consultez « Suppression d’utilisateurs d’un site » dans la rubrique Afficher, gérer ou supprimer des utilisateurs.

Remarque : si des utilisateurs sont associés à un contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer des utilisateurs.

Remarques sur la prise en charge de SCIM avec Microsoft Entra ID

  • Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.

  • Une fois désactivé dans l’application Tableau Cloud dans Entra ID ou entièrement supprimé d’Entra ID, l’utilisateur est converti à un rôle sur le site « Sans licence » dans Tableau Cloud. Si l’utilisateur possède un contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir supprimer l’utilisateur manuellement dans Tableau Cloud.

  • Depuis février 2024 (Tableau 2023.3), l’utilisation de SCIM avec Attribuer une licence lors de la connexion (GLSI) est prise en charge. Pour plus d’informations, consultez SCIM et GLSI (Attribuer une licence lors de la connexion) ci-dessus.

Merci de vos commentaires !Avis correctement envoyé. Merci