Configurare SCIM con Okta

Puoi configurare la gestione degli utenti tramite Okta, eseguire il provisioning dei gruppi e assegnare i ruoli del sito di Tableau Cloud. Se non hai ancora familiarità con i ruoli del sito Tableau e le capacità che ciascuno di essi consente, vedi Impostare i ruoli sul sito degli utenti.

Fase 1. Completare le operazioni preliminari

La funzionalità SCIM richiede di configurare il sito in modo da supportare l’accesso Single Sign-On (SSO) SAML.

  1. Completa le seguenti sezioni in Configurare SAML con Okta:

  2. Dopo aver eseguito le operazioni descritte in queste due sezioni, puoi accedere sia alla console di amministrazione di Okta che a Tableau Cloud, con le seguenti pagine visualizzate:

    • In Tableau Cloud, la pagina Impostazioni > Autenticazione.

    • Nella console di amministrazione di Okta, Applicazioni > ApplicazioniTableau Cloud > Provisioning.

Fase 2. Abilitare il supporto di SCIM

Per abilitare il supporto di SCIM con Okta, procedi come segue. Consulta anche la sezione Note per il supporto di SCIM con Okta di seguito.

  1. Accedi al tuo sito Tableau Cloud in qualità di amministratore e seleziona Impostazioni > Autenticazione.
  2. Esegui queste operazioni:

    1. Nella pagina Autenticazione seleziona la casella di controllo Abilita SCIM in Provisioning automatico e sincronizzazione dei gruppi (SCIM),.

      Questo popola l’URL di base e le caselle Segreto con i valori che userai nella configurazione SCIM dell’IdP.

      Importante: il token del segreto viene visualizzato solo subito dopo che è stato generato. Se lo perdi prima di poterlo applicare al tuo IdP, seleziona Genera nuovo segreto. Inoltre, il token del segreto è legato all’account utente di Tableau Cloud dell’amministratore del sito che abilita il supporto SCIM. Se il ruolo sul sito di tale utente cambia o se l’utente viene rimosso dal sito, il token del segreto non è più valido e un altro amministratore del sito deve generare un nuovo token del segreto e applicarlo al tuo IdP.

  3. Copia il valore del token segreto.

  4. Nella console di amministrazione di Okta procedi come segue:

    1. Dal riquadro di sinistra seleziona Applicazione > Applicazione, fai clic sull’app Tableau Cloud, quindi fai clic sulla scheda Provisioning.

    2. Fai clic sul pulsante Abilita integrazione API.

    3. Seleziona la casella di controllo Abilita integrazione API, quindi fai clic su Salva.

    4. Esegui queste operazioni:

      1. Per il Token di API, incolla il token segreto SCIM Tableau Cloud copiato nella fase precedente.

      2. Per URL di base, copia e incolla l’URL di base mostrata nelle Tableau Cloud impostazioni SCIM.

  5. Fai clic sul pulsante Testa credenziali API per verificare che la configurazione sia stata eseguita correttamente. Se la configurazione è stata eseguita senza errori, verrà visualizzato il messaggio “Tableau Cloud è stato verificato correttamente”.

  6. Al termine, fai clic su Salva.

Fase 3. Assegnare gruppi all’app Tableau

Per il provisioning degli utenti in Tableau, ti consigliamo di organizzarli in gruppi per facilitarne la gestione in Tableau.

In Okta assegna i gruppi all’app Tableau in modo da consentire il provisioning degli utenti in Tableau Cloud. Più specificamente, sono necessari due gruppi distinti, uno assegnato alla scheda Assignment e uno assegnato alla scheda Push Group. Il gruppo nella scheda Assignments viene utilizzato per creare utenti in Tableau Cloud. Il gruppo nella scheda Push Group viene utilizzato per creare il gruppo e gestire l’appartenenza al gruppo in Tableau Cloud.

Note:

Puoi utilizzare la procedura seguente per aggiungere un gruppo e assegnarlo all’app Tableau.

  1. Dal riquadro di sinistra seleziona Application > Application, fai clic sull’app Tableau Cloud, quindi fai clic sulla scheda Assignments.

  2. Fai clic sul menu a discesa Assign, quindi seleziona Assign to Groups.

  3. Esegui queste operazioni:

    1. Seleziona il gruppo pertinente.

    2. Seleziona il ruolo sul sito di cui eseguire il provisioning per gli utenti in Tableau. Le opzioni disponibili sono:

      • Senza licenza

      • Viewer

      • Explorer

      • Explorer (autorizzato a pubblicare)

      • Creator

      • Explorer amministratore sito

      • Creator amministratore sito

  4. Al termine, fai clic sul pulsante Salva e torna indietro.

  5. Ripeti le fasi 1-4 nella scheda Push Group, quindi fai clic sul pulsante Done.

Fase 4. Abilitare il provisioning dei gruppi

Okta ti consente di eseguire il push dei gruppi esistenti e delle relative appartenenze in Tableau Cloud. Una volta che è stato eseguito il push di un gruppo, puoi gestire l’appartenenza al gruppo in Okta per aggiornare automaticamente il gruppo corrispondente in Tableau Cloud. Prima di eseguire questa procedura, è consigliabile consultare gli argomenti Prerequisiti per il push dei gruppi(Il collegamento viene aperto in una nuova finestra) (in inglese) e Informazioni sul push dei gruppi(Il collegamento viene aperto in una nuova finestra) (in inglese) nella documentazione di Okta.

Importante: dopo aver abilitato SCIM, gli utenti e i relativi attributi devono essere gestiti tramite Okta. Le modifiche apportate direttamente all’interno di Tableau Cloud possono causare comportamenti imprevisti e valori sovrascritti.

La seguente procedura parte dal punto della sezione precedente in cui ti trovavi e presuppongono che tu abbia effettuato l’accesso alla console di amministrazione Okta.

  1. Dal riquadro di sinistra, seleziona Application > Application, fai clic sull’app Tableau Cloud, quindi fai clic sulla scheda Push Group.

  2. Fai clic sul pulsante Push gruppi, quindi seleziona una delle seguenti opzioni dall’elenco a discesa.

    • Trova gruppi per nome: seleziona questa opzione per cercare i gruppi per nome.

    • Trova gruppi per regola: seleziona questa opzione per creare una regola di ricerca che esegua il push di tutti i gruppi che corrispondono alla regola.

    Puoi disattivare il push dei gruppi, scollegare i gruppi con push o eseguire immediatamente il push dell’appartenenza al gruppo facendo clic su Attivo o Inattivo nella colonna Stato push. Per eliminare, disattivare o attivare più gruppi, fai clic su Modifica in blocco. Per maggiori informazioni, consulta Abilitare il push dei gruppi(Il collegamento viene aperto in una nuova finestra) (in inglese) nella documentazione di Okta.

  3. (Facoltativo) Se esegui il push di più gruppi, fai clic sul pulsante Salva e aggiungi un altro, quindi ripeti la fase precedente.

  4. Al termine, fai clic su Salva.

SCIM e Concedi licenza all’accesso

A partire da febbraio 2024 (Tableau 2023.3), è possibile utilizzare SCIM con l’opzione Concedi licenza all’accesso (GLSI) con Okta.

Per utilizzare SCIM con Concedi licenza all’accesso per Okta, esegui quanto segue:

  1. In Okta, aggiungi utenti ai gruppi nelle schede Assignment e Push Group dell’app Tableau.

  2. In Tableau Cloud, abilita l’opzione Concedi licenza all’accesso per i gruppi e seleziona il ruolo minimo sul sito per gli utenti che sono membri dei gruppi.

    Nota: non è possibile impostare un gruppo con l’attributo GLSI in Okta.

  3. Gli utenti verranno sottoposti a provisioning come “Senza licenza” in Okta.

Abilitare GLSI

Per impostare e abilitare GLSI, vedere Concedi licenza all’accesso.

Rimuovere utenti SCIM con GLSI

Devi rimuovere gli utenti SCIM dai rispettivi gruppi abilitati per GLSI in Okta prima di tentare di disattivarli in Okta. In seguito alla disattivazione, gli utenti verranno impostati sul ruolo “Senza licenza” in Tableau Cloud. Tuttavia, gli utenti non possono ottenere il ruolo “Senza licenza” in Tableau Cloud finché non sono più membri di alcun gruppo abilitato per GLSI.

  1. In Okta, rimuovi prima l’utente dal gruppo abilitato per GLSI assegnato alla scheda Push Group.

  2. In Okta, esegui il deprovisioning dell’utente rimuovendolo dal gruppo abilitato per GLSI assegnato alla scheda Assignments o eliminandolo in Okta. Dopo aver eseguito questa operazione, l’utente verrà convertito al ruolo “Senza licenza” in Tableau Cloud. Il deprovisioning di un utente in Okta comporta solo la conversione dell’utente al ruolo “Senza licenza” in Tableau Cloud e non ne implica l’eliminazione.

    Note: 

Se riscontri problemi, consulta l’articolo della Knowledge Base Errore “Il ruolo utente non è stato aggiornato a Unlicensed (errorCode=10079)” durante il tentativo di deprovisioning degli utenti tramite SCIM(Il collegamento viene aperto in una nuova finestra).

Informazioni sul gruppo “Tutti gli utenti” di Tableau Cloud

Se hai abilitato il gruppo predefinito “Tutti gli utenti” con GLSI, non puoi effettuare il deprovisioning degli utenti in Okta e quindi non puoi ottenere il ruolo “Senza licenza” per nessuno degli utenti che appartengono al gruppo abilitato per GLSI in Tableau Cloud. Per rimuovere gli utenti SCIM nel gruppo “Tutti gli utenti” abilitato per GLSI, devi eliminarli manualmente da Tableau Cloud.

Nota: se agli utenti sono associati contenuti, dovrai riassegnare la proprietà dei contenuti ad altri utenti prima di poterli eliminare.

Eliminare gli utenti SCIM

L’eliminazione degli utenti SCIM in Okta implica solo la conversione al ruolo “Senza licenza” e non l’eliminazione da Tableau Cloud. Se desideri eliminare gli utenti, devi eseguire manualmente l’operazione in Tableau Cloud.

Per maggiori informazioni sull’eliminazione degli utenti, consulta la sezione “Rimuovere utenti da un sito” nell’argomento Visualizzare, gestire o rimuovere gli utenti.

Note per il supporto di SCIM con Okta

  • Nelle impostazioni dell’assegnazione utente Okta, i valori per Nome utentee e-mail primaria devono essere identici.

  • Devi aggiungere un’applicazione separata Okta di Tableau Cloud per ogni sito che desideri gestire con SCIM.

  • Se desideri effettuare la migrazione di un sito, sarà necessario riconfigurare il provisioning SCIM per il nuovo sito.

  • Quando esegui il provisioning dei nuovi utenti, gli attributi di nome e cognome in Okta non sono sincronizzati con Tableau Cloud. I nuovi utenti devono impostare questi campi quando accedono per la prima volta a Tableau Cloud.

  • Quando viene annullata l’assegnazione di un utente all’app Tableau Cloud in Okta o l’utente viene disattivato o eliminato completamente da Okta, l’utente viene convertito al ruolo sul sito “Senza licenza” in Tableau Cloud. Se l’utente è proprietario di contenuti, devi riassegnare la proprietà di tali risorse di contenuto prima di poter eliminare manualmente l’utente in Tableau Cloud.

  • Puoi impostare un ruolo del sito per l’utente (come Creator, Explorer o Viewer) in Okta a livello di utente o di gruppo. Si consiglia di assegnare il ruolo del sito a livello di gruppo. Se all’utente viene assegnato direttamente un ruolo del sito, questo sovrascriverà qualsiasi impostazione del gruppo.

  • Un utente può essere membro di molti gruppi. I gruppi possono avere diversi ruoli del sito. Se a un utente viene assegnato un gruppo con diversi ruoli del sito, riceverà quello con il maggior numero di autorizzazioni in Tableau Cloud. Ad esempio, scegliendo i ruoli Viewer e Creator, Tableau assegnerà il ruolo del sito Creator.

    I ruoli del sito sono elencati di seguito, ordinati da quello con il maggior numero di autorizzazioni a quello con il minor numero:

    • Creator amministratore sito

    • Explorer amministratore sito

    • Creator

    • Explorer (autorizzato a pubblicare)

    • Explorer

    • Viewer

  • Puoi aggiornare l’attributo del ruolo del sito per un utente in Okta e questo cambiamento si propagherà in Tableau Cloud. Altri attributi, come il nome utente e l’e-mail principale, non possono essere aggiornati. Per modificare questi attributi rimuovi l’utente, modifica l’attributo e quindi aggiungi nuovamente l’utente.

  • A partire da febbraio 2024 (Tableau 2023.3), è supportato l’utilizzo di SCIM con l’opzione Concedi licenza all’accesso. Per maggiori informazioni, consulta SCIM e Concedi licenza all’accesso in precedenza.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!