Vous pouvez configurer la gestion des utilisateurs via Okta, approvisionner des groupes et attribuer des rôles sur le site Tableau Cloud. Si vous n'êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d'eux autorise, consultez Définir les rôles sur le site des utilisateurs.

Après avoir effectué les étapes suivantes, il peut être utile d'avoir à portée la documentation Okta.

Activer la prise en charge SCIM

Suivez les étapes ci-après pour activer la prise en charge SCIM avec Okta. Voir également Remarques et limitations pour la prise en charge SCIM avec Okta.

  1. La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l'authentification unique SAML. Si vous ne l'avez pas fait, terminez les sections suivantes dans l'article Configurer SAML avec Okta :

    Une fois les étapes de ces deux sections terminées, restez connecté à la fois à la console Okta et à Tableau Cloud, en affichant les pages suivantes :

    • Dans Tableau Cloud, page Paramètres > Authentification.

    • Dans Okta Developer Console, ApplicationsTableau Cloud > Provisioning (Mise en service).

  2. Dans la page Authentification dans Tableau Cloud, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.

    Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l'IdP.

    Important : le jeton secret s'affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l'appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l'administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l'utilisateur est supprimé du site, le secret cesse d'être valide, et un autre administrateur de site doit générer un nouveau secret et l'appliquer à votre IdP.

  3. Copiez la valeur du jeton secret, puis dans la page Provisioning (Mise en service) de votre console d'administrateur Okta, sélectionnez API Integration (Intégration de l'API) dans la colonne Settings (Paramètres).

  4. Sélectionnez Edit (Modifier), puis procédez comme suit :

    • Cochez la case Enable API integration (Activer l'intégration de l'API).

    • Pour API Token (Jeton d'API), collez le jeton secret Tableau Cloud SCIM que vous avez copié à l'étape précédente.

    • Pour Base URL (URL de base), copiez et collez le paramètre Base URL affiché dans les paramètres SCIM Tableau Cloud.

Activer la mise en service de groupe

Okta vous permet d’envoyer (« push ») des groupes existants vers Tableau Cloud pour attribuer des attributs utilisateur, tels que des rôles de groupe ou des rôles sur le site. Une fois qu'un groupe est envoyé, vous pouvez gérer l'appartenance au groupe dans Okta de manière à mettre automatiquement à jour le groupe correspondant dans Tableau Cloud.

Remarque : après avoir activé SCIM, les utilisateurs et leurs attributs doivent être gérés via l’IdP. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.

Les étapes suivantes continuent là où vous en étiez resté dans la précédente section et partent de l'hypothèse que vous êtes connecté à la Console administrateur Okta.

  1. Dans l'onglet Application, sélectionnez l’application Tableau Cloud.

  2. Sélectionnez l'onglet Push Groups (Push de groupes).

  3. Cliquez sur Push Groups (Push de groupes) puis choisissez l'une des options dans le menu déroulant :

    • Find groups by name: (Rechercher des groupes par nom) Sélectionnez cette option pour rechercher des groupes par nom.

    • Find groups by rule: (Rechercher des groupes par règle) Sélectionnez cette option pour créer une règle de recherche qui envoie tous les groupes correspondant à la règle.

Vous pouvez désactiver le push de groupes, dissocier les groupes envoyés ou envoyer l’appartenance à un groupe immédiatement en cliquant sur Active (Actif) ou Inactive (Inactif) dans la colonne Push Status (État du push). Pour supprimer, désactiver ou activer plusieurs groupes, cliquez sur Bulk Edit (Modification en bloc).

Pour plus d'informations, voir Activer le push de groupes(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta (en anglais).

Remarques et limitations pour la prise en charge SCIM avec Okta

  • Dans les paramètres d'attribution des utilisateurs Okta, les valeurs de Nom d'utilisateur et E-mail principal doivent être identiques.

  • Vous devez ajouter une application Tableau Cloud Okta séparée pour chaque site que vous souhaitez gérer à l'aide de SCIM.

  • Si vous souhaitez migrer un site, vous devez reconfigurer le provisionnement SCIM pour le nouveau site.

  • Lors du provisionnement de nouveaux utilisateurs, les attributs de prénom et de nom dans Okta ne sont pas synchronisés sur Tableau Cloud. Les nouveaux utilisateurs doivent définir ces champs lorsqu'ils se connectent à Tableau Cloud pour la première fois.

  • Vous pouvez définir le rôle sur le site d'un utilisateur (tel que Creator, Explorer ou Viewer) dans Okta au niveau de l'utilisateur ou du groupe. Nous vous recommandons d'affecter le rôle sur le site au niveau du groupe. Si l'utilisateur se voit attribuer un rôle sur le site directement, ce rôle remplacera tous les paramètres de groupe.

  • Un utilisateur peut appartenir à plusieurs groupes. Les groupes peuvent avoir différents rôles sur le site. Si un utilisateur est affecté à des groupes avec des rôles sur le site différents, il recevra le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si vous choisissez Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

    Les rôles sur le site sont énumérés ci-dessous dans l'ordre, du plus permissif au moins permissif :

    • Administrateur de site - Creator

    • Administrateur de site - Explorer

    • Creator

    • Explorer (peut publier)

    • Explorer

    • Viewer (Observateur)

  • Vous pouvez mettre à jour l'attribut de rôle sur le site pour un utilisateur dans Okta et ce changement se propagera à Tableau Cloud. D'autres attributs, tels que Nom d'utilisateur et E-mail principal, ne peuvent pas être mis à jour. Pour modifier ces attributs, supprimez l'utilisateur, modifiez l'attribut, puis ajoutez l'utilisateur à nouveau.

  • L'utilisation de SCIM avec Attribuer une licence lors de la connexion n'est pas prise en charge et peut entraîner un provisionnement incorrect des rôles sur le site pour les utilisateurs ou les groupes.

Merci de vos commentaires !