Configurer SCIM avec OneLogin
Vous pouvez configurer la gestion des utilisateurs via OneLogin, provisionner des groupes et attribuer des rôles sur le site Tableau Cloud. Si vous n’êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d’eux autorise, consultez Définir les rôles sur le site des utilisateurs.
Après avoir effectué les étapes suivantes, il peut être utile d’avoir à portée la documentation OneLogin. Commencez par une Introduction au provisioning des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation OneLogin.
Étape 1 : Effectuer les opérations de prérequis
La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML (SSO).
Remplissez les sections suivantes dans Configurer SAML avec OneLogin(Le lien s’ouvre dans une nouvelle fenêtre):
Une fois les étapes de ces deux sections terminées, restez connecté à la fois au portail OneLogin et à Tableau Cloud, en affichant les pages suivantes :
Dans Tableau Cloud, page Paramètres > Authentification.
Dans le portail OneLogin, page Configuration.
Étape 2 : Activer la prise en charge SCIM
Suivez les étapes ci-après pour activer la prise en charge SCIM avec OneLogin. Voir également la section Remarques et limitations pour la prise en charge SCIM avec OneLogin.
Remarque : n’oubliez pas de cliquer sur Enregistrer dans le coin supérieur droit du portail OneLogin après avoir apporté des modifications à la configuration.
Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Procédez comme suit :
Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.
Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.
Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.
Copiez la valeur du jeton secret.
Dans le portail OneLogin, dans la page Configuration, procédez comme suit :
Dans API Status (État de l’API), cliquez sur Enable (Activer).
Dans SCIM Bearer Token (Jeton du porteur SCIM), collez le jeton secret Tableau Cloud SCIM que vous avez copié précédemment.
Pour SCIM Base URL (URL SCIM de base), copiez et collez le paramètre URL de base affiché dans les paramètres Tableau Cloud SCIM.
Dans la page Provisioning (Provisionnement), procédez comme suit :
Sélectionnez Enable provisioning (Activer le provisioning).
Sélectionnez Suspend (Suspendre) pour When users are deleted in OneLogin, or the user’s app access is removed, perform the below action (Lorsque des utilisateurs sont supprimés dans OneLogin ou que l’accès à l’application de l’utilisateur est supprimé, effectuez l’action ci-dessous).
Cliquez sur Enregistrer.
(Facultatif) Sur la page Paramètres, mappez le nom d’Utilisateur SCIM sur l’attribut E-mail. Si vous ne mappez pas le nom d’utilisateur SCIM à un attribut au format d’adresse e-mail, vous devrez remplir manuellement ce champ pour chaque utilisateur dans le cadre du processus de provisionnement.
Une erreur s’affiche lors du provisionnement des utilisateurs si la valeur mappée ne contient pas l’adresse e-mail de l’utilisateur.
Si vous souhaitez effectuer les étapes de provisionnement des utilisateurs et des groupes, restez connecté au portail OneLogin et passez à la section suivante.
Étape 3 : Provisionner les utilisateurs et les groupes
OneLogin vous propose plusieurs moyens d’affecter des attributs utilisateur tels que des groupes ou des rôles sur le site. Vous pouvez les appliquer au niveau de l’application Tableau Cloud, créer des règles de mappage, ou les appliquer manuellement à des utilisateurs individuels.
Avant de commencer, il est important de noter que le concept de groupes OneLogin fonctionne différemment du concept de groupes Tableau. Dans OneLogin, les groupes fonctionnent comme des limites de sécurité pour appliquer des politiques de sécurité spécifiques aux utilisateurs. Pour cette raison, les utilisateurs ne peuvent appartenir qu’à un seul groupe à la fois.
De plus, OneLogin utilise des rôles comme conteneur pour les applications auxquelles différentes cohortes d’utilisateurs peuvent accéder. Une fois que vous avez attribué un rôle aux utilisateurs, vous leur accordez l’accès à toutes les applications incluses dans le rôle. Ceci est similaire au concept Tableau des groupes. Les utilisateurs peuvent avoir plusieurs rôles dans OneLogin, qui peuvent être mappés à un groupe d’applications cible, tel que Tableau Cloud.
Remarque : les étapes suivantes supposent que vous êtes connecté au portail OneLogin et à l’application Tableau Cloud. Ces étapes fournissent des informations spécifiques à Tableau que vous pouvez utiliser avec la documentation OneLogin pour mapper des attributs de groupe et de rôle sur le site avec des utilisateurs.
Provisionner un utilisateur
Utilisez les étapes suivantes pour provisionner des utilisateurs individuels pour Tableau Cloud via le portail OneLogin.
Accédez à l’onglet Utilisateurs et sélectionnez l’utilisateur que vous souhaitez provisionner. La page des paramètres utilisateur s’ouvre.
Dans le menu de navigation de gauche, sélectionnez Application.
Sur la page Applications, cliquez sur l’icône plus (+) pour provisionner l’utilisateur pour votre application Tableau Cloud, puis cliquez sur Continuer.
Entrez le rôle sur le site Tableau Cloud approprié pour l’utilisateur dans le champ Rôle sur le site. Pour en savoir plus sur les rôles sur le site, consultez Définir les rôles sur le site des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).
Cliquez sur Enregistrer.
Provisionner plusieurs utilisateurs avec des rôles OneLogin
Vous pouvez configurer plusieurs utilisateurs pour Tableau Cloud en attribuant des rôles dans OneLogin. Les utilisateurs peuvent être ajoutés aux rôles manuellement ou automatiquement à l’aide de mappages.
Pour ajouter des utilisateurs locaux à un rôle :
Accédez à Utilisateurs > Rôles et sélectionnez un rôle existant ou créez un Nouveau rôle. Pour plus d’informations, consultez l’article Rôles(Le lien s’ouvre dans une nouvelle fenêtre) de OneLogin.
L’exemple suivant montre le rôle « Sales » que nous utiliserons ultérieurement en tant que groupe dans Tableau Cloud.
Sur la page Applications, attribuez le rôle d’accès à l’application Tableau Cloud. Les utilisateurs associés à l’application devraient être automatiquement approvisionnés.
Sur la page Utilisateurs, vous pouvez ajouter manuellement des utilisateurs à un rôle en entrant leur prénom et leur nom, ou ajouter un mappage pour ajouter automatiquement des utilisateurs à un rôle en fonction d’attributs spécifiques, tels que leur groupe Active Directory, par exemple.
Après avoir ajouté des utilisateurs à des rôles, nous vous recommandons de créer des règles dans l’application pour attribuer le rôle sur le site Tableau Cloud approprié en fonction du rôle OneLogin. Pour plus d’informations, consultez l’article OneLogin Configurer les applications(Le lien s’ouvre dans une nouvelle fenêtre).
Dans la capture d’écran ci-dessous, les utilisateurs avec le rôle « Sales » se verront attribuer le rôle de site Creator dans Tableau Cloud. De même, les utilisateurs avec le rôle « Marketing » se verront attribuer le rôle sur le site Viewer.
Ajouter des utilisateurs à des groupes Tableau Cloud existants
Importez des groupes Tableau Cloud dans OneLogin et spécifiez les groupes que vous souhaitez sélectionner par défaut dans la boîte de dialogue de provisionnement des utilisateurs.
Dans la page Parameters (Paramètres), cliquez sur Groups, (Groupes) et cochez la case Include in User Provisioning (Inclure dans le provisionnement utilisateur).
Accédez à la page Provisioning (Provisionnement) et dans la section Entitlements (Droits), cliquez sur Refresh (Actualiser).
Cette opération importe les groupes depuis Tableau Cloud.
Revenez à la page Parameters (Paramètres), puis sélectionnez les groupes que vous souhaitez afficher comme valeurs sélectionnées dans la boîte de dialogue de provisionnement des utilisateurs.
Pour modifier les membres du groupe, allez à la page Users (Utilisateurs), sélectionnez un utilisateur et dans la section Groups (Groupes), modifiez les valeurs disponibles et sélectionnées.
Vous pouvez également créer des mappages qui placent les utilisateurs dans des groupes automatiquement, en fonction de conditions que vous définissez. Pour plus d’informations, consultez l’article Mappages(Le lien s’ouvre dans une nouvelle fenêtre) de OneLogin.
Créer des groupes dans Tableau Cloud depuis OneLogin
Utilisez les étapes suivantes pour créer des groupes Tableau Cloud basés sur des attributs dans les mappages OneLogin. Par exemple, créez un groupe dans Tableau Cloud basé sur les rôles utilisateur.
Accédez à Applications, sélectionnez l’application Tableau Cloud, puis Règles.
Dans la page Règles, cliquez sur Ajouter une règle pour ouvrir la fenêtre de modification du mappage.
Sous Actions, sélectionnez Définir des groupes dans le menu déroulant, puis sélectionnez Mapper depuis OneLogin.
Le champ de conditions avec la valeur qui correspond utilise des expressions régulières. Si vous souhaitez créer un groupe dans Tableau Cloud qui corresponde au nom du rôle dans OneLogin, saisissez
.*
dans le champ de texte.
Attribuer des rôles sur le site Tableau
Par défaut, les utilisateurs reçoivent le rôle sur le site Viewer, qui occupe une licence du type Viewer.
Quelle que soit la méthode que vous utilisez dans OneLogin pour attribuer des rôles sur le site, à un point donné, vous devez entrer le nom du rôle sur le site dans une zone de texte. Pour les valeurs autorisées que vous pouvez saisir, consultez Valeurs valides de rôles sur le site Tableau ci-dessous.
Voici quelques manières d’attribuer des rôles sur le site
Pour les utilisateurs individuels :
Dans la page Utilisateurs, sélectionnez l’utilisateur, puis accédez à l’onglet Applications. Sélectionnez l’application Tableau Cloud correspondante.
Dans les paramètres utilisateur, saisissez le nom du rôle sur le site dans la zone de texte Rôle sur le site.
Pour un ensemble d’utilisateurs :
Dans la page Paramètres, cliquez sur Rôle sur le site, puis, dans Valeur, sélectionnez l’une des options d’affectation d’attribut de rôle sur le site.
Par exemple :
Si tous les utilisateurs ont le même rôle sur le site, sélectionnez Macro et entrez le nom du rôle sur le site.
Si le répertoire utilisateur OneLogin contient le rôle sur le site, sélectionnez l’attribut correspondant.
- Dans la page Règles, créez une règle qui associe un rôle à un rôle particulier dans Tableau Cloud.
Une fois que vous avez fini d’attribuer le rôle sur le site, cliquez sur Enregistrer.
Valeurs valides de rôles sur le site Tableau
Dans la page Provisioning (Provisionnement) de votre portail OneLogin, les valeurs de rôles sur le site sont basées sur les rôles sur le site actuels ou anciens.
Les rôles actuels de licence incluent les valeurs suivantes de rôles sur le site :
Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed ou Viewer.
Les anciens types de licence (pré-v2018.1) sont associés aux rôles sur le site suivants :
Explorer, Publicateur, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer ou ViewerWithPublish
Pour connaître les effets des modifications des attributs utilisateur, ou savoir comment réinitialiser les attributs utilisateur individuels que vous avez modifiés manuellement, consultez l’article OneLogin Provisionnement d’attributs : effet des paramètres par défaut, des règles et de la saisie manuelle(Le lien s’ouvre dans une nouvelle fenêtre).
Remarques et limitations pour la prise en charge SCIM avec OneLogin
Vous devez ajouter une application Tableau Cloud séparée pour chaque site que vous souhaitez gérer à l’aide de SCIM.
Lors du désactivation ou de la suppression d’un utilisateur existant de l’application Tableau Cloud dans OneLogin, l’utilisateur est converti en un rôle sur le site Sans licence dans Tableau Cloud s’il possède des ressources de contenu. Si l’utilisateur possède un contenu, vous devez d’abord réaffecter la propriété de ces ressources de contenu avant de pouvoir supprimer l’utilisateur manuellement dans Tableau Cloud.
L’utilisation de SCIM avec Attribuer une licence lors de la connexion n’est pas prise en charge et peut entraîner un provisionnement incorrect des rôles sur le site pour les utilisateurs ou les groupes.