Configurer SCIM avec Okta

Vous pouvez configurer la gestion des utilisateurs via Okta, approvisionner des groupes et attribuer des rôles sur le site Tableau Cloud. Si vous n’êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d’eux autorise, consultez Définir les rôles sur le site des utilisateurs.

Étape 1 : Effectuer les opérations de prérequis

La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).

  1. Effectuez les étapes suivantes dans Configurer SAML avec Okta :

  2. Une fois les étapes de ces deux sections terminées, restez connecté à la fois à la console de l’administrateur Okta et à Tableau Cloud en affichant les pages suivantes :

    • Dans Tableau Cloud, page Paramètres > Authentification.

    • Dans la console de l’administrateur Okta, ApplicationsApplications > Tableau Cloud > Provisioning.

Étape 2 : Activer la prise en charge SCIM

Suivez les étapes ci-après pour activer la prise en charge SCIM avec Okta. Voir également la section Remarques sur la prise en charge SCIM avec Okta ci-dessous.

  1. Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
  2. Procédez comme suit :

    1. Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.

      Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.

      Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.

  3. Copiez la valeur du jeton secret.

  4. Dans la console de l’administrateur Okta, procédez comme suit :

    1. Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis sur l’onglet Mise en service.

    2. Cliquez sur le bouton Enable API integration (Activer l’intégration de l’API).

    3. Cochez la case Enable API integration (Activer l’intégration de l’API) puis cliquez sur Save (Enregistrer).

    4. Procédez comme suit :

      1. Pour API Token (Jeton d’API), collez le jeton secret Tableau Cloud SCIM que vous avez copié à l’étape précédente.

      2. Pour Base URL (URL de base), copiez et collez le paramètre Base URL affiché dans les paramètres SCIM Tableau Cloud.

  5. Cliquez sur Test API Credentials (Tester les informations d’identification de l’API) pour vous assurer que la configuration a été effectuée correctement. Si la configuration a été effectuée correctement, le message « Tableau Cloud a été vérifié avec succès » s’affiche.

  6. Une fois que vous avez terminé, cliquez sur Enregistrer.

Étape 3 : Affecter des groupes à l’application Tableau

Pour la mise en service des utilisateurs sur Tableau, nous vous recommandons de gérer les utilisateurs en groupes afin de faciliter leur gestion dans Tableau.

Dans Okta, affectez des utilisateurs et des groupes à l’application Tableau afin que les utilisateurs puissent être mis en service sur Tableau Cloud. Plus précisément, vous avez besoin de deux groupes distincts, un groupe affecté à l’onglet Assignments (Affectations) et un groupe affecté à l’onglet Push Group (Transmettre des groupes par Push). Le groupe dans l’onglet Assignments est utilisé pour créer des utilisateurs dans Tableau Cloud. Le groupe dans l’onglet Push Group est utilisé pour créer le groupe et gérer l’appartenance au groupe dans Tableau Cloud.

Remarques :

Vous pouvez utiliser la procédure ci-dessous pour ajouter un groupe et attribuer le groupe à l’application Tableau.

  1. Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis sur l’onglet Mise en service.

  2. Cliquez sur le menu déroulant Attribuer et sélectionnez Attribuer à des groupes.

  3. Procédez comme suit :

    1. Sélectionnez le groupe concerné.

    2. Sélectionnez le rôle sur le site que vous souhaitez attribuer aux utilisateurs pour Tableau. Les options disponibles sont les suivantes :

      • Sans licence

      • Viewer

      • Explorer

      • Explorer (peut publier)

      • Creator

      • Administrateur de site - Explorer

      • Administrateur de site - Creator

  4. Une fois terminé, cliquez sur le bouton Enregistrer et revenir en arrière.

  5. Répétez les étapes 1 à 4 de l’onglet Push Group (Transmettre des groupes par Push), puis cliquez sur le bouton Done (Terminé).

Étape 4 : Activer le provisionnement de groupes

Okta vous permet d’envoyer les groupes existants et leurs membres à Tableau Cloud. Une fois qu’un groupe est envoyé, vous pouvez gérer l’appartenance au groupe dans Okta de manière à mettre automatiquement à jour le groupe correspondant dans Tableau Cloud. Avant de suivre ces étapes, nous vous recommandons de passer en revue les rubriques Group Push prerequisites(Le lien s’ouvre dans une nouvelle fenêtre) et About Group Push(Le lien s’ouvre dans une nouvelle fenêtre) (en anglais) dans la documentation Okta.

Important : une fois que SCIM est activé, les utilisateurs et leurs attributs doivent être gérés via Okta. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.

La procédure suivante se poursuit là où vous en étiez resté dans la précédente section et part de l’hypothèse que vous êtes connecté à la Console administrateur Okta.

  1. Dans le volet de gauche, sélectionnez Application > Application, cliquez sur l’application Tableau Cloud, puis sur l’onglet Push Groups (Transmettre des groupes par Push).

  2. Cliquez sur Push Groups (Transmettre des groupes par Push) puis choisissez l’une des options suivantes dans le menu déroulant :

    • Find groups by name: (Rechercher des groupes par nom) Sélectionnez cette option pour rechercher des groupes par nom.

    • Find groups by rule: (Rechercher des groupes par règle) Sélectionnez cette option pour créer une règle de recherche qui envoie tous les groupes correspondant à la règle.

    Vous pouvez désactiver le push de groupes, dissocier les groupes envoyés ou envoyer l’appartenance à un groupe immédiatement en cliquant sur Active (Actif) ou Inactive (Inactif) dans la colonne Push Status (État du push). Pour supprimer, désactiver ou activer plusieurs groupes, cliquez sur Bulk Edit (Modification en bloc). Pour plus d’informations, voir Activer le push de groupes(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta (en anglais).

  3. (Facultatif) Si vous transmettez plusieurs groupes, cliquez sur le bouton Save & Add Another (Enregistrer et ajouter un autre) et répétez l’étape précédente.

  4. Une fois que vous avez terminé, cliquez sur Enregistrer.

SCIM et GLSI (Attribuer une licence lors de la connexion)

Depuis février 2024 (Tableau 2023.3), vous pouvez utiliser SCIM avec Attribuer une licence lors de la connexion (GLSI) pour Okta.

L’utilisation de SCIM avec GLSI pour Okta requiert les opérations suivants :

  1. Dans Okta, ajout d’utilisateurs aux groupes dans les onglets Assignment et Push Group de l’application Tableau.

  2. Dans Tableau Cloud, activation de l’option GLSI pour les groupes et sélection du rôle sur le site minimum pour les utilisateurs membres du groupe.

    Remarque : il n’est pas possible de définir un groupe avec l’attribut GLSI dans Okta.

  3. Les utilisateurs doivent être configurés comme « Sans licence » dans Okta.

Activer GLSI

Pour configurer et activer GLSI, consultez Attribuer une licence lors de la connexion.

Supprimer des utilisateurs SCIM avec GLSI

Vous devez d’abord supprimer les utilisateurs SCIM de leurs groupes compatibles GLSI dans Okta avant de tenter de les désactiver dans Okta. La désactivation des utilisateurs définira les utilisateurs sur le rôle « Sans licence » dans Tableau Cloud. Cependant, les utilisateurs ne peuvent obtenir le rôle « Sans licence » dans Tableau Cloud que s’ils ne sont plus membres d’un groupe compatible GLSI.

  1. Dans Okta, commencez par supprimer l’utilisateur du groupe compatible GLSI affecté à l’onglet Push Group.

  2. Dans Okta, désactivez l’utilisateur en le supprimant du groupe compatible GLSI affecté à l’onglet Assignments ou en supprimant l’utilisateur dans Okta. Après cela, l’utilisateur sera converti en « Sans licence » dans Tableau Cloud. La désactivation d’un utilisateur dans Okta entraîne uniquement la conversion de l’utilisateur en « Sans licence » dans Tableau Cloud et ne supprime pas l’utilisateur.

    Remarques : 

Si vous rencontrez des problèmes, consultez l’article de la Base de connaissances Erreur « Le rôle d’utilisateur n’a pas été mis à jour vers : Sans licence (errorCode=10079) » lors de la tentative de désactivation d’utilisateurs via SCIM(Le lien s’ouvre dans une nouvelle fenêtre).

À propos du groupe « Tous les utilisateurs » de Tableau Cloud

Si vous avez activé le groupe par défaut « Tous les utilisateurs » avec GLSI, vous ne pouvez pas désactiver des utilisateurs dans Okta et vous ne pouvez donc pas obtenir le rôle « Sans licence » pour les utilisateurs appartenant au groupe compatible GLSI dans Tableau Cloud. Pour supprimer des utilisateurs SCIM dans le groupe « Tous les utilisateurs » compatible GLSI, vous devez supprimer manuellement les utilisateurs de Tableau Cloud.

Remarque : si des utilisateurs sont associés à un contenu, vous devrez réattribuer la propriété du contenu à d’autres utilisateurs avant de pouvoir supprimer des utilisateurs.

Supprimer des utilisateurs SCIM

La suppression d’utilisateurs SCIM dans Okta les convertira uniquement en rôle « Sans licence » et ne les supprimera pas dans Tableau Cloud. Si vous souhaitez supprimer des utilisateurs, vous devez supprimer manuellement les utilisateurs dans Tableau Cloud.

Pour plus d’informations à ce sujet, consultez « Suppression d’utilisateurs d’un site » dans la rubrique Afficher, gérer ou supprimer des utilisateurs.

Remarques sur la prise en charge SCIM avec Okta

  • Dans les paramètres d’attribution des utilisateurs Okta, les valeurs de Nom d’utilisateur et E-mail principal doivent être identiques.

  • Vous devez ajouter une application Tableau Cloud Okta séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.

  • Si vous souhaitez migrer un site, vous devez reconfigurer le provisionnement SCIM pour le nouveau site.

  • Lors du provisionnement de nouveaux utilisateurs, les attributs de prénom et de nom dans Okta ne sont pas synchronisés sur Tableau Cloud. Les nouveaux utilisateurs doivent définir ces champs lorsqu’ils se connectent à Tableau Cloud pour la première fois.

  • Lorsqu’un utilisateur n’est plus attribué à l’application Tableau Cloud dans Okta ou qu’il est entièrement déprovisionné ou supprimé d’Okta, il est converti à un rôle sur le site « Sans licence » dans Tableau Cloud. Si l’utilisateur possède un contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir supprimer l’utilisateur manuellement dans Tableau Cloud.

  • Vous pouvez définir le rôle sur le site d’un utilisateur (tel que Creator, Explorer ou Viewer) dans Okta au niveau de l’utilisateur ou du groupe. Nous vous recommandons d’affecter le rôle sur le site au niveau du groupe. Si l’utilisateur se voit attribuer un rôle sur le site directement, ce rôle remplacera tous les paramètres de groupe.

  • Un utilisateur peut appartenir à plusieurs groupes. Les groupes peuvent avoir différents rôles sur le site. Si un utilisateur est affecté à des groupes avec des rôles sur le site différents, il recevra le rôle sur le site le plus permissif dans Tableau Cloud. Par exemple, si vous choisissez Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

    Les rôles sur le site sont énumérés ci-dessous dans l’ordre, du plus permissif au moins permissif :

    • Administrateur de site - Creator

    • Administrateur de site - Explorer

    • Creator

    • Explorer (peut publier)

    • Explorer

    • Viewer

  • Vous pouvez mettre à jour l’attribut de rôle sur le site pour un utilisateur dans Okta et ce changement se propagera à Tableau Cloud. D’autres attributs, tels que Nom d’utilisateur et E-mail principal, ne peuvent pas être mis à jour. Pour modifier ces attributs, supprimez l’utilisateur, modifiez l’attribut, puis ajoutez l’utilisateur à nouveau.

  • Depuis février 2024 (Tableau 2023.3), l’utilisation de SCIM avec Attribuer une licence lors de la connexion (GLSI) est prise en charge. Pour plus d’informations, consultez SCIM et GLSI (Attribuer une licence lors de la connexion) ci-dessus.

Merci de vos commentaires !Avis correctement envoyé. Merci