Configurare SCIM con Microsoft Entra ID

Puoi configurare la gestione degli utenti tramite Microsoft Entra ID, noto anche come Azure Active Directory (AD), eseguire il provisioning dei gruppi e assegnare ruoli del sito di Tableau Cloud.

Durante l’esecuzione di queste procedure, potrebbe essere utile disporre della documentazione di Entra ID. Vedi l’esercitazione Configurare Tableau Cloud per il provisioning utenti automatico(Il collegamento viene aperto in una nuova finestra).

Nota: se hai già abilitato il provisioning per la tua applicazione e desideri eseguire l’aggiornamento per utilizzare l’endpoint Tableau SCIM 2.0, consulta l’articolo Microsoft Aggiornare un’applicazione Tableau Cloud(Il collegamento viene aperto in una nuova finestra). Se stai configurando il provisioning per una nuova istanza dell’applicazione Tableau Cloud, attieniti alla procedura seguente.

Fase 1. Completare le operazioni preliminari

La funzionalità SCIM richiede di configurare il sito in modo da supportare l’accesso Single Sign-On (SSO) SAML.

  1. Completa la sezione “Aggiungere Tableau Cloud alle tue applicazioni Microsoft Entra ID” in Configurare SAML con Microsoft Entra ID.

  2. Dopo aver aggiunto Tableau Cloud da Azure Marketplace, resta connesso sia al portale di Entra che a Tableau Cloud, con le pagine seguenti visualizzate:

    • In Tableau Cloud, la pagina Impostazioni > Autenticazione.
    • Nel portale di Entra, la pagina Applicazione Tableau Cloud > Provisioning.

Fase 2. Abilitare il supporto di SCIM

Per abilitare il supporto SCIM con Microsoft Entra ID, procedi come segue. Consulta anche la sezione Note e limitazioni per l’assistenza SCIM con Azure Active Directory di seguito.

Nota: per la procedura nel portale di Entra, assicurati di utilizzare l’app Tableau Cloud della raccolta.

  1. Accedi al tuo sito Tableau Cloud in qualità di amministratore e seleziona Impostazioni > Autenticazione.

  2. Esegui queste operazioni:

    1. Nella pagina Autenticazione seleziona la casella di controllo Abilita SCIM in Provisioning automatico e sincronizzazione dei gruppi (SCIM),.

      Questo popola l’URL di base e le caselle Segreto con i valori che userai nella configurazione SCIM dell’IdP.

      Importante: il token del segreto viene visualizzato solo subito dopo che è stato generato. Se lo perdi prima di poterlo applicare al tuo IdP, seleziona Genera nuovo segreto. Inoltre, il token del segreto è legato all’account utente di Tableau Cloud dell’amministratore del sito che abilita il supporto SCIM. Se il ruolo sul sito di tale utente cambia o se l’utente viene rimosso dal sito, il token del segreto non è più valido e un altro amministratore del sito deve generare un nuovo token del segreto e applicarlo al tuo IdP.

  3. Copia il valore del token segreto e quindi, nella pagina Provisioning del portale di Entra, esegui le operazioni seguenti:

    • Per Modalità di provisioning seleziona Automatico.

    • Per Metodo di autenticazione seleziona Autenticazione bearer.

    • Per URL tenant copia e incolla l’URL di base mostrato nelle impostazioni SCIM di Tableau Cloud.

    • Per Token segreto incolla il token segreto SCIM di Tableau Cloud che hai copiato in precedenza.

  4. Fai clic sul pulsante Verifica connessione per verificare che le credenziali funzionino come previsto, quindi fai clic su Salva.

  5. Nella sezione Mapping verifica che Esegui il provisioning di gruppi di Microsoft Entra ID ed Esegui il provisioning di utenti di Microsoft Entra ID siano abilitati.

  6. Seleziona Esegui il provisioning di gruppi di Microsoft Entra ID e nella pagina Mapping attributi esamina gli attributi sincronizzati da Entra ID in Tableau Cloud. Per salvare eventuali modifiche, fai clic su Salva.

  7. Seleziona Esegui il provisioning di utenti di Microsoft Entra ID e nella pagina Mapping attributi esamina gli attributi sincronizzati da Entra ID in Tableau Cloud. Per salvare eventuali modifiche, fai clic su Salva.

Fase 3. Assegnare gruppi all’app Tableau Cloud

Per assegnare gruppi all’app Tableau Cloud della raccolta in Microsoft Entra ID, procedi come segue.

  1. Nella pagina dell’applicazione seleziona App aziendali > Utenti e gruppi.

  2. Fai clic su Aggiungi utente/gruppo.

  3. Nella pagina Aggiungi assegnazione seleziona un gruppo e assegna uno dei seguenti ruoli sul sito:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Unlicensed

    Nota se selezioni un ruolo che non è incluso nell’elenco precedente, verrà visualizzato un errore. Per ulteriori informazioni sui ruoli del sito, vedi Impostare i ruoli sul sito degli utenti.

  4. Fai clic su Assegna.

Creare gruppi per i ruoli del sito

Un utente può essere membro di più gruppi in Entra ID, ma riceverà solo il ruolo sul sito più permissivo in Tableau Cloud. Ad esempio, se un utente è membro di due gruppi con ruoli del sito Viewer e Creator, Tableau assegnerà il ruolo del sito Creator.

Per tenere traccia delle assegnazioni dei ruoli, è consigliabile creare gruppi specifici per il ruolo in Entra ID, ad esempio “Tableau - Creator”, “Tableau - Explorer” e così via. Sarà quindi possibile utilizzare i gruppi per eseguire rapidamente il provisioning di nuovi utenti per il ruolo corretto in Tableau Cloud.

I ruoli del sito sono elencati di seguito, ordinati da quello con il maggior numero di autorizzazioni a quello con il minor numero:

  • Creator amministratore sito

  • Explorer amministratore sito

  • Creator

  • Explorer (autorizzato a pubblicare)

  • Explorer

  • Viewer

Nota: gli utenti e i relativi attributi devono essere gestiti tramite Entra ID. Le modifiche apportate direttamente all’interno di Tableau Cloud possono causare comportamenti imprevisti e valori sovrascritti.

Fase 4: eseguire il provisioning di gruppi

Dopo aver abilitato il supporto SCIM e assegnato gruppi all’applicazione Tableau Cloud in Entra ID, la fase successiva consiste nel provisioning degli utenti nel sito Tableau Cloud.

  1. Nella pagina Provisioning espandi la sezione Impostazioni e in Ambito definisci gli utenti o i gruppi di cui desideri eseguire il provisioning in Tableau Cloud.

    Nota: l’impostazione di Entra ID “Sincronizza tutti gli utenti e i gruppi” non è supportata con Tableau Cloud.

  2. Imposta Stato provisioning su Attivato.

  3. Fai clic su Salva.

Il salvataggio avvia la sincronizzazione iniziale dei gruppi definiti in Ambito. La sincronizzazione viene eseguita ogni 40 minuti circa, a condizione che il servizio di provisioning di Entra ID sia in esecuzione. Per eseguire manualmente il provisioning degli utenti al di fuori della pianificazione, seleziona Esegui il provisioning su richiesta. Per maggiori informazioni sul provisioning su richiesta, consulta l’articolo di Microsoft Provisioning su richiesta in Microsoft Entra ID(Il collegamento viene aperto in una nuova finestra).

Al termine del provisioning, dovresti visualizzare i gruppi di Entra ID nella pagina Utenti del sito in Tableau Cloud.

Modificare l’autenticazione utente in Tableau Cloud

Agli utenti di cui è stato eseguito il provisioning viene assegnato il tipo di autenticazione SAML per impostazione predefinita. Per modificare il tipo di autenticazione per gli utenti, procedi come segue.

  1. In Tableau Cloud seleziona Utenti.

  2. Nella pagina Utenti del sito seleziona le caselle di controllo accanto agli utenti ai quali vuoi assegnare un tipo di autenticazione.

  3. Nel menu Azioni, seleziona Autenticazione.

  4. Nella finestra di dialogo Autenticazione seleziona il tipo di autenticazione desiderato per l’utente.

Per maggiori informazioni sui diversi tipi di autenticazione in Tableau Cloud, consulta Autenticazione.

SCIM e Concedi licenza all’accesso

A partire da febbraio 2024 (Tableau 2023.3), è possibile utilizzare SCIM con l’opzione Concedi licenza all’accesso (GLSI) con Microsoft Entra ID.

Per utilizzare SCIM con Concedi licenza all’accesso per Entra ID, esegui quanto segue:

  1. In Entra ID aggiungi utenti al gruppo nell’app Tableau Cloud.

  2. In Tableau Cloud, abilita l’opzione Concedi licenza all’accesso per il gruppo e seleziona il ruolo minimo sul sito per gli utenti che sono membri del gruppo.

    Nota: non è possibile impostare un gruppo con l’attributo GLSI in Entra ID.

  3. Gli utenti verranno sottoposti a provisioning come Senza licenza in Entra ID.

Abilitare GLSI

Per abilitare GLSI in Tableau Cloud, consulta Concedi licenza all’accesso.

Rimuovere utenti SCIM con GLSI

Devi rimuovere gli utenti SCIM dai rispettivi gruppi abilitati per GLSI in Microsoft Entra ID prima di tentare di eliminarli da Microsoft Entra ID. Quando vengono rimossi da tutti i gruppi abilitati per GLSI, gli utenti SCIM vengono convertiti nel ruolo “Senza licenza” in Tableau Cloud.

  1. In Entra ID esegui il deprovisioning dell’utente dal gruppo abilitato per GLSI nell’app Tableau Cloud. Il deprovisioning di un utente in Entra ID comporta solo la conversione dell’utente al ruolo “Senza licenza” in Tableau Cloud e non ne implica l’eliminazione.

Note:

  • Se non è più membro di altri gruppi dell’app Tableau Cloud in Entra ID o se viene assegnato singolarmente all’app Tableau Cloud, l’utente viene convertito nel ruolo “Senza licenza” in Tableau Cloud.

  • Se desideri eliminare l’utente SCIM in Tableau Cloud (consulta Eliminare gli utenti SCIM di seguito), devi eliminare manualmente l’utente da Tableau Cloud.

  1. Rimuovi l’utente dai gruppi con GLSI abilitato.

  2. Rimuovi l’utente SCIM dal sito.

Se riscontri problemi, consulta l’articolo della Knowledge Base Errore “Il ruolo utente non è stato aggiornato a Unlicensed (errorCode=10079)” durante il tentativo di deprovisioning degli utenti tramite SCIM(Il collegamento viene aperto in una nuova finestra).

Informazioni sul gruppo “Tutti gli utenti” di Tableau Cloud

Se hai abilitato il gruppo predefinito “Tutti gli utenti” con GLSI, non puoi effettuare il deprovisioning degli utenti in Entra ID e quindi non puoi rimuovere la licenza a nessuno degli utenti che appartengono al gruppo abilitato per GLSI in Tableau Cloud. Per rimuovere un utente SCIM nel gruppo “Tutti gli utenti” abilitato per GLSI, devi eliminare manualmente l’utente da Tableau Cloud.

Nota: se agli utenti sono associati contenuti, dovrai riassegnare la proprietà dei contenuti ad altri utenti prima di poterli eliminare.

Eliminare gli utenti SCIM

L’eliminazione degli utenti SCIM in Entra ID implica solo la conversione al ruolo “Senza licenza” e non l’eliminazione da Tableau Cloud. Se desideri eliminare gli utenti, devi eseguire manualmente l’operazione in Tableau Cloud.

Per maggiori informazioni sull’eliminazione degli utenti, consulta la sezione “Rimuovere utenti da un sito” nell’argomento Visualizzare, gestire o rimuovere gli utenti.

Nota: se agli utenti sono associati contenuti, dovrai riassegnare la proprietà dei contenuti ad altri utenti prima di poterli eliminare.

Note per il supporto di SCIM con Microsoft Entra ID

  • Devi aggiungere un’app separata Tableau Cloud per ogni sito che desideri gestire con SCIM.

  • Quando si effettua il deprovisioning di un utente nell’applicazione Tableau Cloud in Azure AD o se un utente viene eliminato completamente da Azure AD, l’utente viene convertito nel ruolo sul sito Senza licenza in Tableau Cloud. Se l’utente è proprietario di contenuti, devi riassegnare la proprietà di tali risorse di contenuto prima di poter eliminare manualmente l’utente in Tableau Cloud.

  • A partire da febbraio 2024 (Tableau 2023.3), è supportato l’utilizzo di SCIM con l’opzione Concedi licenza all’accesso. Per maggiori informazioni, consulta SCIM e Concedi licenza all’accesso in precedenza.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!