Automatiser l’approvisionnement des utilisateurs et la synchronisation des groupes via un fournisseur d’identité externe
Vous pouvez automatiser l’ajout ou la suppression d’utilisateurs dans Tableau Cloud ou l’ajout ou la suppression de membres de groupes en utilisant votre fournisseur d’identité (IdP).
La gestion des utilisateurs par Tableau Cloud utilise la norme SCIM (System for Cross-domain Identity Management), qui est une norme ouverte permettant d’automatiser l’échange des informations d’identité des utilisateurs. SCIM permet aux fournisseurs d’identité (IdP) de gérer les identités d’utilisateur de manière centralisée, y compris l’affectation d’utilisateurs à des applications et des groupes. L’IdP utilise SCIM pour que les applications en aval telles que Tableau Cloud soient synchronisées avec les affectations d’approvisionnement configurées avec l’IdP. Une gestion des utilisateurs selon cette méthode améliore la sécurité et peut réduire considérablement la quantité de travail manuel que les administrateurs de site doivent fournir pour gérer les utilisateurs de site et les membres de groupe.
Dans le diagramme ci-dessus, l’IdP transmet par push les mises à jour à Tableau Online et contrôle la fréquence avec laquelle les points de terminaison SCIM de Tableau Cloud sont appelés pour s’assurer que les utilisateurs et les groupes sont correctement mis en miroir.
Configuration spécifique à l’IdP
Les étapes décrites dans cette rubrique fournissent des informations de base que vous pouvez utiliser avec la documentation de votre IdP pour configurer SCIM pour votre site Tableau Cloud. Vous pouvez obtenir des étapes de configuration spécifiques à l’IdP pour les IdP suivants que nous prenons en charge :
Conditions préalables
Pour activer l’intégration de SCIM avec votre site Tableau Cloud, vous devez disposer des niveaux d’accès appropriés :
Accès de l’administrateur de site au site Tableau Cloud
Possibilité de modifier vos paramètres de configuration d’IdP pour Tableau Cloud
En outre, la fonctionnalité SCIM exige que vous configuriez votre site de manière à prendre en charge l’authentification unique SAML(SSO). Si vous ne l’avez pas encore fait, consultez Activer l’authentification SAML sur un site, puis suivez la documentation de votre IdP pour ajouter Tableau Cloud en tant qu’application.
Activer la prise en charge SCIM avec votre IdP
Suivez les étapes ci-après pour activer la prise en charge SCIM. Pour terminer ce processus, vous aurez également besoin de la documentation fournie par votre IdP. Cherchez des sujets traitant de la configuration ou de la définition d’un fournisseur de services en vue d’une activation SCIM.
Remarques :
Une fois que SCIM est activé, les utilisateurs et leurs attributs doivent être gérés via l’IdP. Les modifications apportées au sein de Tableau Cloud directement peuvent entraîner un comportement inattendu et le remplacement de valeurs.
À compter de novembre 2024 (Tableau 2024.3) :
Vous pouvez choisir la configuration d’authentification SAML à associer à SCIM. Par contre, une seule configuration d’authentification SAML peut prendre en charge SCIM sur un site.
La fonctionnalité SCIM n’est plus limitée à l’administrateur du site. En d’autres termes, tous les administrateurs de site ont la possibilité de configurer et de modifier SCIM. Par contre, une seule configuration d’authentification SAML peut prendre en charge SCIM sur un site.
Pour activer SCIM
Connectez-vous à votre site Tableau Cloud en tant qu’administrateur de site, et sélectionnez Paramètres > Authentification.
Procédez comme suit :
Dans la page Authentification, sous Provisionnement automatique et synchronisation de groupe (SCIM), cochez la case Activer SCIM.
Les zones URL de base et Secret sont alors renseignées avec les valeurs que vous allez utiliser dans la configuration SCIM de l’IdP.
Important : le jeton secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, vous pouvez sélectionner Générer un nouveau secret. En outre, le jeton secret est lié au compte utilisateur Tableau Cloud de l’administrateur de site prenant en charge SCIM. Si le rôle sur le site de cet utilisateur change ou que l’utilisateur est supprimé du site, le secret cesse d’être valide, et un autre administrateur de site doit générer un nouveau secret et l’appliquer à votre IdP.
Copiez la valeur du jeton secret, puis accédez aux paramètres de votre IdP. Collez le jeton secret SCIM Tableau Cloud dans le champ approprié.
Copiez et collez l’URL de base indiquée dans les paramètres SCIM Tableau Cloud sur le champ approprié dans votre IdP.
Suivez la documentation de votre IdP pour approvisionner les utilisateurs et les groupes après avoir activé la prise en charge SCIM.
Remplacer un jeton secret SCIM
Lorsque vous devez remplacer votre jeton secret SCIM (System for Cross-domain Identity Management), effectuez les étapes suivantes :
Dans Tableau Cloud, Accédez à Paramètres > Autorisation.
Sous Approvisionnement automatique et synchronisation du groupe (SCIM), cliquez sur Générer un nouveau secret.
Reconfigurez SCIM de manière à utiliser le nouveau jeton secret.
Un administrateur de site peut révoquer un jeton secret qui appartient à un autre utilisateur en supprimant cet utilisateur de Tableau Cloud, puis en le rajoutant au site.