Automatiser le provisionnement des utilisateurs et la synchronisation des groupes via un fournisseur d'identité externe

Vous pouvez automatiser l'ajout ou la suppression d'utilisateurs dans Tableau Online ou l'ajout ou la suppression de membres de groupes en utilisant votre fournisseur d'identité (IdP). La gestion des utilisateurs Tableau Online de l'IdP utilise la norme SCIM (System for Cross-domain Identity Management), qui est une norme ouverte permettant d'automatiser l'échange des informations d'identité des utilisateurs. Nous prenons actuellement en charge SCIM avec les IdP suivants :

  • Okta
  • OneLogin

Notre objectif est de prendre en charge des IdP supplémentaires à mesure que le fonctionnalité évoluera. Si vous avez des questions sur les plans futurs, vous pouvez envoyer un e-mail à notre équipe de pré-lancement SCIM.

Remarque : si vous utilisez Microsoft Azure Active Directory, vous pouvez fournir automatiquement aux utilisateurs et aux groupes des étapes (voir l’article Microsoft suivant) : Configurer Tableau Online pour l’approvisionnement automatique d’utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

Le système SCIM est utilisé pour provisionner les utilisateurs dans les applications de cloud telles que Tableau Online. Les IdP sur le cloud gèrent les identités d'utilisateur de manière centralisée, y compris l'affectation d'utilisateurs à des applications et des groupes. L'IdP utilise la norme SCIM pour que les applications en aval soient synchronisées avec les affectations de provisionnement configurées avec l'IdP. Une gestion des utilisateurs selon cette méthode améliore la sécurité et peut réduire considérablement la quantité de travail manuel que les administrateurs de site Tableau Online doivent fournir pour gérer les utilisateurs de site et les membres de groupe.

Conditions préalables

Pour activer l'intégration de SCIM avec votre site Tableau Online, vous devez disposer des niveaux d'accès appropriés :

  • Accès de l'administrateur de site au site Tableau Online.

  • Possibilité de modifier vos paramètres de configuration d'IdP pour Tableau Online

Étapes d'activation de la prise en charge SCIM pour votre IdP

Les sections suivantes décrivent les étapes spécifiques à l'IdP pour l'activation de la prise en charge SCIM pour votre site Tableau Online.

Remarque : certaines de ces étapes s'appuient sur une interface d'IdP tierce. Ces paramètres d'IdP peuvent être modifiés sans que nous en ayons connaissance.

Activer la prise en charge de SCIM avec Okta

Suivez les étapes ci-après pour activer la prise en charge SCIM. Voir également Remarques et limitations connues pour la prise en charge SCIM avec Okta.

  1. La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l'authentification unique SAML. Si vous ne l'avez pas fait, terminez les sections suivantes dans l'article Configurer SAML avec Okta :

    Une fois les étapes de ces deux sections terminées, restez connecté à la fois à la console Okta et à Tableau Online, en affichant les pages suivantes :

    • Dans Tableau Online, page Paramètres > Authentification.

    • Dans l'Okta Developer Console, ApplicationsTableau Online > Provisioning (Provisionnement).

  2. Dans la page Authentification dans Tableau Online, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.

    Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l'IdP.

    Important : le jeton secret s'affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l'appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Online de l'administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l'utilisateur est supprimé du site, le secret cesse d'être valide, et un autre administrateur de site doit générer un nouveau secret et l'appliquer à votre IdP.

  3. Copiez la valeur du jeton secret, puis dans la page Provisioning (Mise en service) de votre console d'administrateur Okta, sélectionnez API Integration (Intégration de l'API) dans la colonne Settings (Paramètres).

  4. Sélectionnez Edit (Modifier), puis procédez comme suit :

    • Cochez la case Enable API integration (Activer l'intégration de l'API).

    • Pour API Token (Jeton d'API), collez le jeton secret Tableau Online SCIM que vous avez copié à l'étape précédente.

    • Pour Base URL (URL de base), copiez et collez le paramètre Base URL affiché dans les paramètres SCIM Tableau Online.

Activer la mise en service de groupe

Okta vous permet d’envoyer (« push ») des groupes existants vers Tableau Online pour attribuer des attributs utilisateur, tels que des rôles de groupe ou des rôles sur le site. Une fois qu'un groupe est envoyé, vous pouvez gérer l'appartenance au groupe dans Okta de manière à mettre automatiquement à jour le groupe correspondant dans Tableau Online.

Les étapes suivantes continuent là où vous en étiez resté dans la précédente section et partent de l'hypothèse que vous êtes connecté à la Console administrateur Okta.

  1. Dans l'onglet Application, sélectionnez l’application Tableau Online.

  2. Sélectionnez l'onglet Push Groups (Push de groupes).

  3. Cliquez sur Push Groups (Push de groupes) puis choisissez l'une des options dans le menu déroulant :

    • Find groups by name: (Rechercher des groupes par nom) Sélectionnez cette option pour rechercher des groupes par nom.

    • Find groups by rule: (Rechercher des groupes par règle) Sélectionnez cette option pour créer une règle de recherche qui envoie tous les groupes correspondant à la règle.

Vous pouvez désactiver le push de groupes, dissocier les groupes envoyés ou envoyer l’appartenance à un groupe immédiatement en cliquant sur Active (Actif) ou Inactive (Inactif) dans la colonne Push Status (État du push). Pour supprimer, désactiver ou activer plusieurs groupes, cliquez sur Bulk Edit (Modification en bloc).

Pour plus d'informations, voir Activer le push de groupes(Le lien s’ouvre dans une nouvelle fenêtre) dans la documentation Okta (en anglais).

Remarques et limitations connues pour la prise en charge SCIM avec Okta

  • Dans les paramètres d'attribution des utilisateurs Okta, les valeurs de Nom d'utilisateur et E-mail principal doivent être identiques.

  • Vous devez ajouter une application Tableau Online Okta séparée pour chaque site que vous souhaitez gérer à l'aide de SCIM.

  • Si vous souhaitez migrer un site, vous devez reconfigurer le provisionnement SCIM pour le nouveau site.

  • Lors du provisionnement de nouveaux utilisateurs, les attributs de prénom et de nom dans Okta ne sont pas synchronisés sur Tableau Online. Les nouveaux utilisateurs peuvent définir ces champs lorsqu'ils se connectent à Tableau Online pour la première fois.

  • Vous pouvez définir le rôle sur le site d'un utilisateur (tel que Creator, Explorer ou Viewer) dans Okta au niveau de l'utilisateur ou du groupe. Nous vous recommandons d'affecter le rôle sur le site au niveau du groupe. Si l'utilisateur se voit attribuer un rôle sur le site directement, ce rôle remplacera tous les paramètres de groupe.

  • Un utilisateur peut appartenir à plusieurs groupes. Les groupes peuvent avoir différents rôles sur le site. Si un utilisateur est affecté à des groupes avec des rôles sur le site différents, il recevra le rôle sur le site le plus permissif dans Tableau Online. Par exemple, si vous choisissez Viewer et Creator, Tableau attribuera le rôle sur le site Creator.

    Les rôles sur le site sont énumérés ci-dessous dans l'ordre, du plus permissif au moins permissif :

    • Administrateur de site - Creator

    • Administrateur de site - Explorer

    • Creator

    • Explorer (peut publier)

    • Explorer

    • Viewer (Observateur)

  • Vous pouvez mettre à jour l'attribut de rôle sur le site pour un utilisateur dans Okta et ce changement se propagera à Tableau Online. D'autres attributs, tels que Nom d'utilisateur et E-mail principal, ne peuvent pas être mis à jour. Pour modifier ces attributs, supprimez l'utilisateur, modifiez l'attribut, puis ajoutez l'utilisateur à nouveau.

  • L'utilisation de SCIM avec Attribuer une licence lors de la connexion n'est pas prise en charge et peut entraîner un provisionnement incorrect des rôles sur le site pour les utilisateurs ou les groupes.

Activer la prise en charge de SCIM avec OneLogin

Les étapes ci-dessous décrivent comment gérer les utilisateurs via OneLogin, provisionner des groupes et attribuer des rôles sur le site Tableau Online. Si vous n'êtes pas encore familier avec les rôles sur le site Tableau et les fonctionnalités que chacun d'eux autorise, consultez Définir les rôles sur le site des utilisateurs.

Après avoir effectué les étapes suivantes, il peut être utile d'avoir à portée la documentation OneLogin. Commencez par Introduction au provisionnement des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre).

  1. La fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l'authentification unique SAML. Si vous ne l'avez pas fait, terminez les sections suivantes dans l'article « Configurer SAML avec OneLogin » :

    Une fois les étapes de ces deux sections terminées, restez connecté à la fois au portail OneLogin et à Tableau Online, en affichant les pages suivantes :

    • Dans Tableau Online, page Paramètres > Authentification.

    • Dans le portail OneLogin, page Configuration.

  2. Dans la page Authentification dans Tableau Online, sous Provisionnement et synchronisation de groupe automatiques (SCIM), cochez la case Activer SCIM.

    Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l'IdP.

    Important : le jeton secret s'affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l'appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le secret est lié au compte utilisateur Tableau Online de l'administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l'utilisateur est supprimé du site, le secret cesse d'être valide, et un autre administrateur de site doit générer un nouveau secret et l'appliquer à votre IdP.

  3. Copiez la valeur du jeton secret, puis dans la page Configuration de votre portail OneLogin, procédez comme suit :

    • Dans API Status (État de l'API), cliquez sur Enable (Activer).

    • Dans SCIM Bearer Token (Jeton du porteur SCIM), collez le jeton secret Tableau Online SCIM que vous avez copié précédemment.

    • Pour SCIM Base URL (URL SCIM de base), copiez et collez le paramètre Base URL affiché dans les paramètres Tableau Online SCIM.

      Image de la page de configuration du portail OneLogin

  4. Dans la page Provisioning (Provisionnement) :

    • Cochez la case Enable Provisioning for Tableau (Activer le provisionnement pour Tableau).

    • Sélectionnez Suspend (Suspendre) dans When users are deleted in OneLogin, perform this action in Tableau (Lorsque des utilisateurs sont détectés dans OneLogin, effectuer cette action dans Tableau).

      Image de l'ensemble de pages de provisionnement du portail OneLogin pour Tableau Online

  5. Cliquez sur Enregistrer. Si vous souhaitez compléter les étapes de provisionnement des groupes, restez connecté au portail OneLogin et passez à la section suivante.

Activer le provisionnement de groupes et attribuer des rôles sur le site Tableau

OneLogin vous propose plusieurs moyens d'affecter des attributs utilisateur tels que des groupes ou des rôles sur le site. Vous pouvez les appliquer au niveau de l'application Tableau Online, créer des règles de mappage, ou les appliquer manuellement à des utilisateurs individuels.

Les étapes suivantes continuent là où vous en étiez resté dans la précédente section et partent de l'hypothèse que vous êtes connecté au portail OneLogin et à l'application Tableau Online. Ces étapes fournissent des informations spécifiques à Tableau que vous pouvez utiliser avec la documentation OneLogin pour mapper des attributs de groupe et de rôle sur le site avec des utilisateurs.

Provisionner des groupes

Importez des groupes Tableau Online dans OneLogin et spécifiez les groupes que vous souhaitez sélectionner par défaut dans la boîte de dialogue de provisionnement des utilisateurs.

  1. Dans la page Parameters (Paramètres), cliquez sur Groups, (Groupes) et cochez la case Include in User Provisioning (Inclure dans le provisionnement utilisateur).

  2. Accédez à la page Provisioning (Provisionnement) et dans la section Entitlements (Droits), cliquez sur Refresh (Actualiser).

    Cette opération importe les groupes depuis Tableau Online.

  3. Revenez à la page Parameters (Paramètres), puis sélectionnez les groupes que vous souhaitez afficher comme valeurs sélectionnées dans la boîte de dialogue de provisionnement des utilisateurs.

  4. Pour modifier les membres du groupe, allez à la page Users (Utilisateurs), sélectionnez un utilisateur et dans la section Groups (Groupes), modifiez les valeurs disponibles et sélectionnées.

Vous pouvez également créer des mappages qui placent les utilisateurs dans des groupes automatiquement, en fonction de conditions que vous définissez. Pour démarrer, consultez l'article OneLogin Mappages(Le lien s’ouvre dans une nouvelle fenêtre).

Attribuer des rôles sur le site Tableau

Par défaut, les utilisateurs reçoivent le rôle sur le site Viewer, qui occupe une licence du type Viewer.

Quelle que soit la méthode que vous utilisez dans OneLogin pour attribuer des rôles sur le site, à un point donné, vous devez entrer le nom du rôle sur le site dans une zone de texte. Pour les valeurs autorisées que vous pouvez saisir, consultez Valeurs valides de rôles sur le site Tableau sous les étapes.

Voici quelques manières d'attribuer des rôles sur le site :

  • Pour les utilisateurs individuels : Dans l'onglet Utilisateurs, sélectionnez l'utilisateur, puis dans les paramètres utilisateur, entrez le nom du rôle sur le site dans la zone de texte.

  • Pour un ensemble d'utilisateurs : Dans la page Paramètres, cliquez sur Rôle sur le site, puis, dans Valeur, sélectionnez l'une des options d'affectation d'attribut de rôle sur le site. Par exemple :

    • Si tous les utilisateurs ont le même rôle sur le site, sélectionnez Macro et entrez le nom du rôle sur le site.

    • Si le répertoire utilisateur OneLogin contient le rôle sur le site, sélectionnez l'attribut correspondant.

Une fois que vous avez fini d'attribuer le rôle sur le site, cliquez sur Enregistrer.

Valeurs valides de rôles sur le site Tableau

Dans la page Provisioning (Provisionnement) de votre portail OneLogin, les valeurs de rôles sur le site sont basées sur les rôles sur le site actuels ou anciens.

  • Les rôles actuels de licence incluent les valeurs suivantes de rôles sur le site :

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed ou Viewer.

  • Les anciens types de licence (pré-v2018.1) sont associés aux rôles sur le site suivants :

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer ou ViewerWithPublish

Voir également

Pour connaître les effets des modifications des attributs utilisateur, ou savoir comment réinitialiser les attributs utilisateur individuels que vous avez modifiés manuellement, consultez l'article OneLogin Provisionnement d'attributs : effet des paramètres par défaut, des règles et de la saisie manuelle(Le lien s’ouvre dans une nouvelle fenêtre).

Remplacer un jeton secret SCIM

Lorsque vous devez remplacer votre jeton secret SCIM (system for cross-domain identity management), vous pouvez effectuer l’une des opérations suivantes :

  • Dans Tableau Online, dans la page Paramètres > Autorisation, sous Provisionnement automatique et synchronisation de groupe (SCIM), cliquez sur Générer un nouveau secret pour générer un nouveau jeton secret qui remplace votre ancien jeton. Lorsque vous générez un nouveau jeton secret, vous devez reconfigurer SCIM de manière à utiliser le nouveau jeton secret.
  • Un administrateur peut révoquer un jeton secret qui appartient à un autre utilisateur en supprimant cet utilisateur du site Tableau Online, puis en les rajoutant au site.
Merci de vos commentaires !