Configurare SCIM con Microsoft Entra ID


Puoi configurare la gestione degli utenti tramite Microsoft Entra ID, noto anche come Azure Active Directory (AD), eseguire il provisioning dei gruppi e assegnare ruoli del sito di Tableau Cloud.

Durante l’esecuzione di queste procedure, potrebbe essere utile disporre della documentazione di Entra ID. Vedi l’esercitazione Configurare Tableau Cloud per il provisioning utenti automatico(Il collegamento viene aperto in una nuova finestra).

Note:

  • Questi passaggi riflettono un’applicazione di terze parti e sono soggette a modifiche a nostra insaputa. Se i passaggi qui descritti non corrispondono alle schermate che vedi nel tuo account IdP, usa l’argomento generale SCIM, insieme alla documentazione dell’IdP.

  • Le fasi di configurazione nell’IdP potrebbero seguire un ordine diverso rispetto a quello indicato in Tableau.

Fase 1. Completare le operazioni preliminari

La funzionalità SCIM richiede di configurare il sito in modo da supportare l’accesso Single Sign-On (SSO) SAML.

  1. Completa la sezione “Aggiungere Tableau Cloud alle tue applicazioni Microsoft Entra ID” in Configurare SAML con Microsoft Entra ID.

  2. Dopo aver aggiunto Tableau Cloud da Azure Marketplace, resta connesso sia al portale di Entra che a Tableau Cloud, con le pagine seguenti visualizzate:

    • In Tableau Cloud, la pagina Impostazioni > Autenticazione.
    • Nel portale di Entra, la pagina Applicazione Tableau Cloud > Provisioning.

Fase 2. Abilitare il supporto di SCIM

Per abilitare il supporto SCIM con Microsoft Entra ID, procedi come segue. Consulta anche la sezione Note e limitazioni per l’assistenza SCIM con Azure Active Directory di seguito.

Nota: per la procedura nel portale di Entra, assicurati di utilizzare l’app Tableau Cloud della raccolta.

In Tableau Cloud

  1. Accedi al tuo sito Tableau Cloud in qualità di amministratore e seleziona Impostazioni > Autenticazione.

  2. Esegui queste operazioni:

    1. Nella pagina Autenticazione, in System for Cross-domain Identity Management (SCIM), fai clic sul pulsante Nuova configurazione.

    2. Nella finestra di dialogo Nuova configurazione SCIM, procedi come segue:

      1. Immetti un nome per la configurazione SCIM.

      2. Copia l’URL di base da utilizzare nelle impostazioni SCIM del tuo IdP.

      3. Nel menu a discesa Autenticazione, seleziona la configurazione di autenticazione SAML da associare a SCIM.

      4. Fai clic su Salva.

        Nota: questa operazione popola la sezione Token SCIM.

        Una nuova configurazione SCIM

    3. In Token SCIM, procedi come segue:

      1. Fai clic sul pulsante Nuovo segreto.

      2. Nella finestra di dialogo Nuovo segreto, fai di nuovo clic sul pulsante Nuovo segreto. Verrà visualizzato un segreto appena generato.

      3. Copia il segreto e conservalo in un luogo sicuro.

        Importante:

        • Se chiudi la configurazione SCIM prima di aggiungere il segreto alle impostazioni SCIM dell’IdP, puoi modificare la configurazione SCIM, ma dovrai generare un nuovo segreto facendo di nuovo clic su Nuovo segreto.

        • Il segreto è legato all’utente amministratore del sito Tableau che ha creato la configurazione SCIM. Se il ruolo sul sito di quell’utente cambia o se l’utente non è più membro del sito, il segreto non è più valido. In questo caso, un altro amministratore del sito può generare un nuovo segreto per la configurazione SCIM esistente e aggiungerlo alle impostazioni SCIM dell’IdP oppure creare una nuova configurazione SCIM assicurandosi che l’URL di base e il segreto vengano aggiunti alle impostazioni SCIM dell’IdP.

      4. Fai clic su Chiudi.

In Microsoft Azure

  1. Nella pagina Provisioning nel portale Entra esegui le operazioni indicate di seguito:

    • Per Modalità di provisioning seleziona Automatico.

    • Per Metodo di autenticazione seleziona Autenticazione bearer.

    • Per URL tenant copia e incolla l’URL di base mostrato nelle impostazioni SCIM di Tableau Cloud.

    • Per Token segreto, copia e incolla il Tableau Cloud segreto SCIM generato.

    Schermata di configurazione con le impostazioni per il provisioning di Tableau Cloud.

  2. Fai clic sul pulsante Verifica connessione per verificare che le credenziali funzionino come previsto, quindi fai clic su Salva.

  3. Nella sezione Mapping verifica che Esegui il provisioning di gruppi di Microsoft Entra ID ed Esegui il provisioning di utenti di Microsoft Entra ID siano abilitati.

    Pagina di impostazioni per definire il modo in cui i dati devono fluire tra Microsoft Entra ID e Tableau Cloud SCIM.

  4. Seleziona Esegui il provisioning di gruppi di Microsoft Entra ID e nella pagina Mapping attributi esamina gli attributi sincronizzati da Entra ID in Tableau Cloud. Per salvare eventuali modifiche, fai clic su Salva.

    Mapping degli attributi SCIM di Tableau Cloud all’attributo Microsoft Entra ID.

  5. Seleziona Esegui il provisioning di utenti di Microsoft Entra ID e nella pagina Mapping attributi esamina gli attributi sincronizzati da Entra ID in Tableau Cloud. Per salvare eventuali modifiche, fai clic su Salva.

    Tabella che mostra i mapping degli attributi che definiscono la sincronizzazione.

Fase 3. Assegnare gruppi all’app Tableau Cloud

Per assegnare gruppi all’app Tableau Cloud della raccolta in Microsoft Entra ID, procedi come segue.

  1. Nella pagina dell’applicazione seleziona App aziendali > Utenti e gruppi.

  2. Fai clic su Aggiungi utente/gruppo.

  3. Nella pagina Aggiungi assegnazione seleziona un gruppo e assegna uno dei seguenti ruoli sul sito:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Senza licenza

    Nota se selezioni un ruolo che non è incluso nell’elenco precedente, verrà visualizzato un errore. Per ulteriori informazioni sui ruoli del sito, vedi Impostare i ruoli sul sito degli utenti.

  4. Fai clic su Assegna.

Creare gruppi per i ruoli del sito

Un utente può essere membro di più gruppi in Entra ID, ma riceverà solo il ruolo sul sito più permissivo in Tableau Cloud. Ad esempio, se un utente è membro di due gruppi con ruoli del sito Viewer e Creator, Tableau assegnerà il ruolo del sito Creator.

Per tenere traccia delle assegnazioni dei ruoli, è consigliabile creare gruppi specifici per il ruolo in Entra ID, ad esempio “Tableau - Creator”, “Tableau - Explorer” e così via. Sarà quindi possibile utilizzare i gruppi per eseguire rapidamente il provisioning di nuovi utenti per il ruolo corretto in Tableau Cloud.

I ruoli del sito sono elencati di seguito, ordinati da quello con il maggior numero di autorizzazioni a quello con il minor numero:

  • Creator amministratore sito

  • Explorer amministratore sito

  • Creator

  • Explorer (autorizzato a pubblicare)

  • Explorer

  • Viewer

Nota: gli utenti e i relativi attributi devono essere gestiti tramite Entra ID. Le modifiche apportate direttamente all’interno di Tableau Cloud possono causare comportamenti imprevisti e valori sovrascritti.

Fase 4: eseguire il provisioning di gruppi

Dopo aver abilitato il supporto SCIM e assegnato gruppi all’applicazione Tableau Cloud in Entra ID, la fase successiva consiste nel provisioning degli utenti nel sito Tableau Cloud.

  1. Nella pagina Provisioning espandi la sezione Impostazioni e in Ambito definisci gli utenti o i gruppi di cui desideri eseguire il provisioning in Tableau Cloud.

    Menu di impostazioni per esprimere il consenso alle notifiche email in caso di errori e per stabilire i parametri per la sincronizzazione di utenti e gruppi.

    Nota: l’impostazione di Entra ID “Sincronizza tutti gli utenti e i gruppi” non è supportata con Tableau Cloud.

  2. Imposta Stato provisioning su Attivato.

  3. Fai clic su Salva.

Il salvataggio avvia la sincronizzazione iniziale dei gruppi definiti in Ambito. La sincronizzazione viene eseguita ogni 40 minuti circa, a condizione che il servizio di provisioning di Entra ID sia in esecuzione. Per eseguire manualmente il provisioning degli utenti al di fuori della pianificazione, seleziona Esegui il provisioning su richiesta. Per maggiori informazioni sul provisioning su richiesta, consulta l’articolo di Microsoft Provisioning su richiesta in Microsoft Entra ID(Il collegamento viene aperto in una nuova finestra).

Al termine del provisioning, dovresti visualizzare i gruppi di Entra ID nella pagina Utenti del sito in Tableau Cloud.

Modificare l’autenticazione utente in Tableau Cloud

Agli utenti di cui è stato eseguito il provisioning viene assegnato il tipo di autenticazione SAML per impostazione predefinita. Per modificare il tipo di autenticazione per gli utenti, procedi come segue.

  1. In Tableau Cloud seleziona Utenti.

  2. Nella pagina Utenti del sito seleziona le caselle di controllo accanto agli utenti ai quali vuoi assegnare un tipo di autenticazione.

  3. Nel menu Azioni, seleziona Autenticazione.

  4. Nella finestra di dialogo Autenticazione seleziona il tipo di autenticazione desiderato per l’utente.

Per maggiori informazioni sui diversi tipi di autenticazione in Tableau Cloud, consulta Autenticazione.

Note per il supporto di SCIM con Azure Active Directory

  • Devi aggiungere un’app separata Tableau Cloud per ogni sito che desideri gestire con SCIM.

  • Quando si effettua il deprovisioning di un utente nell’applicazione Tableau Cloud in Azure AD o se un utente viene eliminato completamente da Azure AD, l’utente viene convertito nel ruolo sul sito Senza licenza in Tableau Cloud. Se l’utente è proprietario di contenuti, devi riassegnare la proprietà di tali risorse di contenuto prima di poter eliminare manualmente l’utente in Tableau Cloud.

  • A partire da febbraio 2024 (Tableau 2023.3), è supportato l’utilizzo di SCIM con l’opzione Concedi licenza all’accesso. L’opzione Concedi licenza all’accesso richiede quanto segue:

    1. L’abilitazione manuale dell’opzione per un gruppo e la selezione del ruolo minimo sul sito per gli utenti che sono membri del gruppo direttamente in Tableau Cloud. Non è possibile impostare un gruppo con l’attributo Concedi licenza all’accesso in Azure AD, ma puoi impostare l’attributo per il gruppo di cui hai effettuato il provisioning da Azure AD in Tableau Cloud.
    2. L’IdP deve eseguire il provisioning dell’utente come senza licenza.

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!