Configurare SCIM con OneLogin

Puoi configurare la gestione degli utenti tramite OneLogin, eseguire il provisioning dei gruppi e assegnare ruoli del sito di Tableau Cloud. Se non hai ancora familiarità con i ruoli del sito Tableau e le capacità che ciascuno di essi consente, vedi Impostare i ruoli sul sito degli utenti.

Durante l’esecuzione di questi passaggi, potrebbe essere utile disporre anche della documentazione di OneLogin. Inizia con Introduction to User Provisioning(Il collegamento viene aperto in una nuova finestra) nella documentazione di OneLogin.

Fase 1. Completare le operazioni preliminari

La funzionalità SCIM richiede di configurare il sito in modo da supportare l’accesso Single Sign-On (SSO) SAML.

  1. Completa le sezioni seguenti nell’articolo Configurare SAML con OneLogin(Il collegamento viene aperto in una nuova finestra):

  2. Dopo aver terminato i passaggi di queste due sezioni, resta connesso sia al portale OneLogin che Tableau Cloud alle pagine seguenti visualizzate:

    • In Tableau Cloud, la pagina Impostazioni > Autenticazione.

    • Nel portale OneLogin, la pagina Configurazione.

Fase 2. Abilitare il supporto di SCIM

Per abilitare l’assistenza SCIM con OneLogin, procedi come segue. Vedi anche la sezione Note e limitazioni per l’assistenza SCIM con OneLogin di seguito.

Nota: ricordati di fare clic su Salva nell’angolo superiore destro del portale OneLogin dopo aver apportato modifiche alla configurazione.

  1. Accedi al tuo sito Tableau Cloud in qualità di amministratore e seleziona Impostazioni > Autenticazione.

  2. Esegui queste operazioni:

    1. Nella pagina Autenticazione seleziona la casella di controllo Abilita SCIM in Provisioning automatico e sincronizzazione dei gruppi (SCIM),.

      Questo popola l’URL di base e le caselle Segreto con i valori che userai nella configurazione SCIM dell’IdP.

      Importante: il token del segreto viene visualizzato solo subito dopo che è stato generato. Se lo perdi prima di poterlo applicare al tuo IdP, seleziona Genera nuovo segreto. Inoltre, il token del segreto è legato all’account utente di Tableau Cloud dell’amministratore del sito che abilita il supporto SCIM. Se il ruolo sul sito di tale utente cambia o se l’utente viene rimosso dal sito, il token del segreto non è più valido e un altro amministratore del sito deve generare un nuovo token del segreto e applicarlo al tuo IdP.

  3. Copia il valore del token segreto.

  4. Nella pagina Configuration del portale OneLogin esegui le operazioni indicate di seguito:

    • Per lo Stato API, fai clic su Attiva.

    • Per il token di trasporto SCIM, incolla il token segreto SCIM di Tableau Cloud che hai copiato in precedenza.

    • Per l’URL di base SCIM, copia e incolla l’URL di base mostrato nelle impostazioni SCIM di Tableau Cloud.

      Immagine della pagina di configurazione del portale OneLogin

  5. Nella pagina Provisioning esegui le operazioni indicate di seguito:

    • Seleziona Abilita il provisioning.

    • Seleziona Sospendi per Quando gli utenti vengono eliminati in OneLogin o viene rimosso l’accesso all’app dell’utente, esegui questa azione.

      Immagine della pagina di provisioning del portale OneLogin impostata per Tableau Cloud

  6. Fai clic su Salva.

  7. (Facoltativo) Nella pagina Parametri mappa il nome utente SCIM all’attributo E-mail. Se non associ il nome utente SCIM a un attributo nel formato di un indirizzo e-mail, dovrai compilare manualmente questo campo per ciascun utente come parte del processo di provisioning.

    Se il valore mappato non contiene l’indirizzo e-mail dell’utente, viene visualizzato un errore durante il provisioning degli utenti.

Se desideri completare i passaggi per il provisioning di utenti e gruppi, resta connesso al portale OneLogin e passa alla sezione successiva.

Fase 3: eseguire il provisioning di utenti e gruppi

OneLogin ti offre una serie di modi attraverso i quali puoi assegnare attributi utente come gruppi o ruoli del sito. Puoi applicarli a livello Tableau Cloud di app, per creare regole di mapping o applicarli manualmente a singoli utenti.

Prima di iniziare, è importante notare che il concetto di gruppi di OneLogin funziona in modo diverso rispetto al concetto di gruppi di Tableau. In OneLogin, i gruppi funzionano come limiti di sicurezza per applicare specifici criteri di sicurezza agli utenti. Per questo motivo, gli utenti possono appartenere a un solo gruppo alla volta.

Inoltre, OneLogin usa i ruoli come contenitore per le applicazioni a cui possono accedere gruppi di utenti differenti. Dopo aver assegnato un ruolo agli utenti, viene concesso loro l’accesso a tutte le applicazioni incluse nel ruolo. Questo è simile al concetto di gruppi di Tableau. Gli utenti possono avere più ruoli in OneLogin, che possono essere mappati a un gruppo di applicazioni di destinazione, come Tableau Cloud.

Nota: i passaggi seguenti presuppongono che hai effettuato l’accesso al portale OneLogin e all’app Tableau Cloud. Queste fasi forniscono alcune informazioni specifiche per Tableau che puoi utilizzare con la documentazione OneLogin per la mappatura degli attributi dei ruoli di gruppo e del sito agli utenti.

Eseguire il provisioning di un utente

Procedi come segue per eseguire il provisioning di singoli utenti in Tableau Cloud tramite il portale OneLogin.

  1. Passa alla scheda Utenti e seleziona l’utente di cui desideri eseguire il provisioning. Verrà visualizzata la pagina delle impostazioni utente.

  2. Dal menu di navigazione a sinistra seleziona Applicazioni.

  3. Nella pagina Applicazioni fai clic sull’icona del segno più (+) per eseguire il provisioning dell’utente per l’applicazione Tableau Cloud, quindi fai clic su Continua.

  4. Immetti il ruolo del sito appropriato di Tableau Cloud per l’utente nel campo Ruolo del sito. Per ulteriori informazioni sui ruoli del sito, vedi Impostare i ruoli sul sito degli utenti(Il collegamento viene aperto in una nuova finestra).

  5. Fai clic su Salva.

Eseguire il provisioning di più utenti con i ruoli OneLogin

Puoi eseguire il provisioning di più utenti in Tableau Cloud assegnando i ruoli in OneLogin. Gli utenti possono essere aggiunti ai ruoli manualmente o automaticamente utilizzando i mapping.

Per aggiungere gli utenti a un ruolo:

  1. Passa a Utenti > Ruoli e seleziona un ruolo esistente o crea un nuovo ruolo. Per maggiori informazioni, consulta l’articolo di OneLogin Roles(Il collegamento viene aperto in una nuova finestra).

    L’esempio seguente mostra il ruolo "Sales", che verrà usato più avanti come gruppo in Tableau Cloud.

  2. Nella pagina Applicazioni assegna il ruolo di accesso all’applicazione Tableau Cloud. Dovrebbe essere eseguito automaticamente il provisioning degli utenti associati all’applicazione.

  3. Nella pagina Utenti puoi aggiungere manualmente gli utenti a un ruolo immettendo il nome e il cognome oppure aggiungere un mapping per assegnare automaticamente un ruolo agli utenti in base ad attributi specifici, ad esempio il gruppo di Active Directory.

  4. Dopo aver aggiunto gli utenti ai ruoli, è consigliabile creare regole all’interno dell’applicazione per assegnare il ruolo del sito appropriato di Tableau Cloud in base al ruolo OneLogin. Per maggiori informazioni, consulta l’articolo di OneLogin Configure Apps(Il collegamento viene aperto in una nuova finestra).

    Nello screenshot seguente, agli utenti con il ruolo "Sales" verrà assegnato il ruolo del sito Creator in Tableau Cloud. Allo stesso modo, agli utenti con il ruolo "Marketing" verrà assegnato il ruolo del sito Viewer.

Aggiungere utenti a gruppi esistenti di Tableau Cloud

Importa i gruppi di Tableau Cloud in OneLogin e specifica i gruppi che desideri selezionare per impostazione predefinita nella finestra di dialogo per il provisioning degli utenti.

  1. Nella pagina Parametri fai clic su Gruppi e seleziona la casella di controllo Includi in provisioning utente.

  2. Passa alla pagina Provisioning e nella sezione Diritti fai clic su Aggiorna.

    I gruppi verranno importati da Tableau Cloud.

  3. Torna alla pagina Parametri e seleziona i gruppi che desideri visualizzare come valori selezionati nella finestra di dialogo di provisioning dell’utente.

  4. Per modificare l’appartenenza al gruppo, passa alla pagina Utenti, seleziona un utente e nella sezione Gruppi modifica i valori disponibili e selezionati.

Puoi anche creare mapping che inseriscono automaticamente gli utenti in gruppi, in base alle condizioni definite dall’utente. Per maggiori informazioni, consulta l’articolo di OneLogin Mappings(Il collegamento viene aperto in una nuova finestra).

Creare i gruppi in Tableau Cloud da OneLogin

Procedi come segue per creare i gruppi di Tableau Cloud in base agli attributi nelle mappature di OneLogin. Ad esempio, puoi creare un gruppo in Tableau Cloud in base ai ruoli utente.

  1. Passa ad Applicazioni, seleziona l’applicazione Tableau Cloud, quindi scegli Regole.

  2. Nella pagina Regole fai clic su Aggiungi regola per aprire la finestra di modifica dei mapping.

  3. In Azioni seleziona Imposta gruppi dal menu a discesa, quindi seleziona Mappa da OneLogin.

    Il campo delle condizioni con il valore corrispondente utilizza espressioni regolari. Se desideri creare un gruppo in Tableau Cloud che corrisponda al nome del ruolo in OneLogin, digita.* nel campo di testo.

Assegnare ruoli del sito Tableau

Per impostazione predefinita, agli utenti viene assegnato il ruolo del sito Viewer, che occupa una licenza di tipo Viewer.

Qualunque sia il metodo utilizzato in OneLogin per assegnare i ruoli del sito, a un certo punto è necessario che tu immetta il nome del ruolo del sito in una casella di testo. Per i valori consentiti, consulta Valori del ruolo del sito validi per Tableau di seguito.

Di seguito sono illustrati alcuni dei modi attraverso i quali puoi assegnare i ruoli del sito

Per i singoli utenti:

  1. Nella pagina Utenti seleziona l’utente, quindi passa alla scheda Applicazioni. Seleziona l’applicazione Tableau Cloud corrispondente.

  2. Nelle impostazioni utente digita il nome del ruolo del sito nella casella di testo Ruolo del sito.

Per un insieme di utenti:

  1. Nella pagina Parametri fai clic su Ruolo del sito, quindi per Valore seleziona una delle opzioni per l’assegnazione dell’attributo per il ruolo del sito.

    Ad esempio:

    • Se tutti gli utenti hanno lo stesso ruolo del sito, seleziona Macro e immetti il nome del ruolo del sito.

    • Se la directory utente OneLogin contiene il ruolo del sito, seleziona l’attributo corrispondente.

  2. Nella pagina Regole crea una regola che esegua il mapping di un ruolo a un ruolo specifico in Tableau Cloud.

Al termine dell’assegnazione del ruolo del sito, fai clic su Salva.

Valori del ruolo del sito validi per Tableau

Nella pagina Provisioning del tuo portale OneLogin, i valori del ruolo del sito che puoi immettere sono basati su ruoli di licenza correnti o precedenti.

  • I ruoli di licenza correnti includono i valori del ruolo del sito seguenti:

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed o Viewer.

  • I tipi di licenza legacy (precedenti alla versione 2018.1) vengono forniti con i ruoli del sito seguenti:

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer o ViewerWithPublish

Per informazioni sugli effetti della modifica in corso degli attributi utente o sulla reimpostazione di singoli attributi utente modificati manualmente, vedi l’articolo OneLogin degli attributi di Provisioning delle impostazioni predefinite: effetto di Default, Regole e Inserimento manuale(Il collegamento viene aperto in una nuova finestra).

Note e limitazioni per l’assistenza SCIM con OneLogin

  • Devi aggiungere un’app separata Tableau Cloud per ogni sito che desideri gestire con SCIM.

  • Quando si esegue il deprovisioning o si rimuove un utente esistente dall’applicazione Tableau Cloud in OneLogin, l’utente viene convertito in un ruolo sul sito Senza licenza in Tableau Cloud nel caso sia proprietario di risorse di contenuto. Se l’utente non è proprietario di contenuti, devi riassegnare la proprietà di tali risorse di contenuto prima di poter eliminare manualmente l’utente in Tableau Cloud.

  • L’utilizzo di SCIM con l’opzione Concedi licenza all’accesso non è supportato e potrebbe comportare un provisioning errato dei ruoli del sito per utenti o gruppi.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!