Puoi automatizzare l'aggiunta o la rimozione degli utenti in Tableau Online o l'aggiunta o la rimozione di membri nei gruppi utilizzando il tuo provider di identità (IdP). La gestione utenti IdP di Tableau Online utilizza SCIM (System for Cross-domain Identity Management), uno standard aperto per automatizzare lo scambio di informazioni sull'identità dell'utente. Attualmente supportiamo SCIM con i seguenti IdP:

  • Okta
  • OneLogin

Intendiamo supportare ulteriori IdPs man mano che la funzionalità si evolve. Se hai domande sui piani per il futuro, invia un'e-mail al nostro team della versione provvisoria SCIM.

Nota: se utilizzi Microsoft Azure Active Directory, puoi eseguire automaticamente il provisioning di utenti e gruppi con la procedura descritta nel seguente articolo di Microsoft: Configure Tableau Online for automatic user provisioning(Il collegamento viene aperto in una nuova finestra).

SCIM è utilizzato per fornire agli utenti in applicazioni cloud quali Tableau Online. Gli IdP cloud gestiscono centralmente le identità degli utenti, compresa l'assegnazione degli utenti alle applicazioni e ai gruppi. L'IdP utilizza lo standard SCIM per garantire che le applicazioni "a valle" siano sincronizzate con le assegnazioni di provisioning impostate con l'IdP. Gestire gli utenti in questo modo migliora la sicurezza e può ridurre notevolmente il lavoro manuale che gli amministratori del sito Tableau Online devono eseguire per gestire gli utenti del sito e l'appartenenza ai gruppi.

Prerequisiti

Per abilitare l'integrazione SCIM con il Tableau Online sito, è necessario che tu disponga dei livelli di accesso appropriati:

  • Accesso all'amministratore del sito per il Tableau Online sito.

  • Capacità di modificare le impostazioni di configurazione degli IdPs per Tableau Online.

Passaggi per abilitare l'assistenza SCIM con l'IdP

Le sezioni seguenti forniscono passaggi specifici per l'IdP per abilitare l'assistenza SCIM per il Tableau Online sito.

Nota: alcuni di questi passaggi riflettono un'interfaccia IdP di terze parti. Queste impostazioni IdP sono soggette a modifiche a nostra insaputa.

Abilita assistenza per SCIM con Okta

Per abilitare l'assistenza SCIM, esegui la procedura seguente. Vedi anche Note e limitazioni conosciute per l'assistenza SCIM con Okta.

  1. La funzionalità SCIM richiede di configurare il sito per supportare l'accesso Single Sign-On SAML. In caso contrario, completa le sezioni seguenti in Configurare SAML con Okta:

    Dopo aver eseguito le operazioni descritte in queste due sezioni, puoi accedere sia alla console Okta che Tableau Online a quella con le pagine visualizzate:

    • In Tableau Online, la pagina Impostazioni > Autenticazione.

    • Nella Console Developer Console, ApplicazioniTableau Online > Provisioning.

  2. Nella pagina Autenticazione in Tableau Online, in Provisioning automatico e sincronizzazione dei gruppi (SCIM), seleziona la casella di controllo Abilita SCIM.

    Questo popola l'URL di base e le caselle Segreto con i valori che userai nella configurazione SCIM dell'IdP.

    Importante: il token del segreto viene visualizzato solo subito dopo che è stato generato. Se lo perdi prima di poterlo applicare al tuo IdP, seleziona Genera nuovo segreto. Inoltre, il token del segreto è legato all'account utente di Tableau Online dell'amministratore del sito che abilita il supporto SCIM. Se il ruolo sul sito di tale utente cambia o se l'utente viene rimosso dal sito, il token del segreto non è più valido e un altro amministratore del sito deve generare un nuovo token del segreto e applicarlo al tuo IdP.

  3. Copia il valore del token segreto e quindi nella pagina Provisioning nella console di amministrazione Okta, seleziona Integrazione API nella colonna Impostazioni.

  4. Seleziona Modifica ed esegui le operazioni seguenti:

    • Seleziona la casella di controllo Abilita integrazione API.

    • Per il Token di API, incolla il token segreto SCIM Tableau Online copiato nel passaggio precedente.

    • Per URL di base, copia e incolla l'URL di base mostrata nelle Tableau Online impostazioni SCIM.

Abilitare il provisioning dei gruppi

Okta ti consente di eseguire il push dei gruppi esistenti in Tableau Online per assegnare attributi utente, come gruppi o ruoli del sito. Una volta che è stato eseguito il push di un gruppo, puoi gestire l'appartenenza al gruppo in Okta per aggiornare automaticamente il gruppo corrispondente in Tableau Online.

I seguenti passaggi partono dal punto della sezione precedente in cui ti trovavi e presuppongono che tu abbia effettuato l'accesso alla console di amministrazione Okta.

  1. Nella scheda Applicazione seleziona l'applicazione Tableau Online.

  2. Seleziona la scheda Push gruppi.

  3. Fai clic su Push gruppi, quindi seleziona una delle opzioni dall'elenco a discesa.

    • Trova gruppi per nome: seleziona questa opzione per cercare i gruppi per nome.

    • Trova gruppi per regola: seleziona questa opzione per creare una regola di ricerca che esegua il push di tutti i gruppi che corrispondono alla regola.

Puoi disattivare il push dei gruppi, scollegare i gruppi con push o eseguire immediatamente il push dell'appartenenza al gruppo facendo clic su Attivo o Inattivo nella colonna Stato push. Per eliminare, disattivare o attivare più gruppi, fai clic su Modifica in blocco.

Per maggiori informazioni, consulta Enable Group Push(Il collegamento viene aperto in una nuova finestra) nella documentazione di Okta.

Note e limitazioni conosciute per l'assistenza SCIM con Okta

  • Nelle impostazioni dell'assegnazione utente Okta, i valori per Nome utentee e-mail primaria devono essere identici.

  • È necessario che tu aggiunga un'applicazione separata Okta di Tableau Online per ogni sito che desideri gestire con SCIM.

  • Se desideri effettuare la migrazione di un sito, sarà necessario riconfigurare il provisioning SCIM per il nuovo sito.

  • Quando si confrontano nuovi utenti, gli attributi di nome e cognome in Okta non sono sincronizzati con Tableau Online. I nuovi utenti devono impostare questi campi quando accedono per la prima volta a Tableau Online.

  • Puoi impostare un ruolo del sito per l'utente (come Creator, Explorer o Viewer) in Okta a livello di utente o di gruppo. Si consiglia di assegnare il ruolo del sito a livello di gruppo. Se all'utente viene assegnato direttamente un ruolo del sito, questo sovrascriverà qualsiasi impostazione del gruppo.

  • Un utente può essere membro di molti gruppi. I gruppi possono avere diversi ruoli del sito. Se a un utente viene assegnato un gruppo con diversi ruoli del sito, riceverà quello con il maggior numero di autorizzazioni in Tableau Online. Ad esempio, scegliendo i ruoli Viewer e Creator, Tableau assegnerà il ruolo del sito Creator.

    I ruoli del sito sono elencati di seguito, ordinati da quello con il maggior numero di autorizzazioni a quello con il minor numero:

    • Creator amministratore sito

    • Explorer amministratore sito

    • Creator

    • Explorer (autorizzato a pubblicare)

    • Explorer

    • Viewer

  • Puoi aggiornare l'attributo del ruolo del sito per un utente in Okta e questo cambiamento si propagherà in Tableau Online. Altri attributi, come il nome utente e l'e-mail principale, non possono essere aggiornati. Per modificare questi attributi rimuovi l'utente, modifica l'attributo e quindi aggiungi nuovamente l'utente.

  • L'utilizzo di SCIM con l'opzione Concedi licenza all'accesso non è supportato e potrebbe comportare un provisioning errato dei ruoli del sito per utenti o gruppi.

Abilita assistenza per SCIM con OneLogin

Puoi configurare la gestione degli utenti tramite OneLogin, gruppi di provisioning e assegnare ruoli del sito di Tableau Online. Se non hai ancora familiarità con i ruoli del sito Tableau e le capacità che ciascuno di essi consente, vedi Impostare i ruoli sul sito degli utenti.

Durante l'esecuzione di questi passaggi, potrebbe essere utile disporre anche della documentazione di OneLogin. Inizia con Introduzione al provisioning degli utenti(Il collegamento viene aperto in una nuova finestra).

  1. La funzionalità SCIM richiede di configurare il sito per supportare l'accesso Single Sign-On SAML. Se questa operazione non è ancora stata eseguita, esegui le sezioni seguenti nell'articolo "Configura SAML con OneLogin":

    Dopo aver terminato i passaggi di queste due sezioni, resta connesso sia al portale OneLogin che Tableau Online alle pagine seguenti visualizzate:

    • In Tableau Online, la pagina Impostazioni > Autenticazione.

    • Nel portale OneLogin, la pagina Configurazione.

  2. Nella pagina Autenticazione in Tableau Online, in Provisioning automatico e sincronizzazione dei gruppi (SCIM), seleziona la casella di controllo Abilita SCIM.

    Questo popola l'URL di base e le caselle Segreto con i valori che userai nella configurazione SCIM dell'IdP.

    Importante: il token del segreto viene visualizzato solo subito dopo che è stato generato. Se lo perdi prima di poterlo applicare al tuo IdP, seleziona Genera nuovo segreto. Inoltre, il token del segreto è legato all'account utente di Tableau Online dell'amministratore del sito che abilita il supporto SCIM. Se il ruolo sul sito di tale utente cambia o se l'utente viene rimosso dal sito, il token del segreto non è più valido e un altro amministratore del sito deve generare un nuovo token del segreto e applicarlo al tuo IdP.

  3. Copia il valore del token segreto e quindi, nella pagina Configurazione del portale OneLogin, esegui le operazioni seguenti:

    • Per lo Stato API, fai clic su Attiva.

    • Per SCIM Bearer Token, incolla il token segreto SCIM di Tableau Online che hai copiato in precedenza.

    • Per l' URL di base SCIM, copia e incolla l'URL di base mostrata nelle impostazioni SCIM di Tableau Online.

      Immagine della pagina di configurazione del portale OneLogin

  4. Nella pagina Provisioning:

    • Seleziona la casella di controllo Abilita Provisioning per Tableau.

    • Seleziona Sospendi per Quando gli utenti vengono eliminati in OneLogin, esegui questa azione in Tableau.

      Immagine della pagina di provisioning del portale OneLogin impostata per Tableau Online

  5. Fai clic su Salva. Se desideri completare i passaggi per il provisioning dei gruppi, resta connesso al portale OneLogin e passa alla sezione successiva.

Abilitare il provisioning dei gruppi e assegna i ruoli del sito di Tableau

OneLogin ti offre una serie di modi attraverso i quali puoi assegnare attributi utente come gruppi o ruoli del sito. Puoi applicarli a livello Tableau Online di app, per creare regole di mapping o applicarli manualmente a singoli utenti.

I seguenti passaggi partono dal punto della sezione precedente in cui ti trovavi e presuppongono che tu abbia effettuato l'accesso al portale OneLogin e all'app di Tableau Online. Queste fasi forniscono alcune informazioni specifiche per Tableau che puoi utilizzare con la documentazione OneLogin per la mappatura degli attributi dei ruoli di gruppo e del sito agli utenti.

Gruppi di provisioning

Importare i gruppi online elaborati in OneLogin e specifica i gruppi che desideri selezionare per impostazione predefinita nella finestra di dialogo di provisioning dell'utente.

  1. Nella pagina Parametri fai clic su Gruppi e seleziona la casella di controllo Includi in provisioning utente.

  2. Passa alla pagina Provisioning e nella sezione Diritti fai clic su Aggiorna.

    Questo importa i gruppi da Tableau Online.

  3. Torna alla pagina Parametri e seleziona i gruppi che desideri visualizzare come valori selezionati nella finestra di dialogo di provisioning dell'utente.

  4. Per modificare l'appartenenza al gruppo, passa alla pagina Utenti, seleziona un utente e nella sezione Gruppi modifica i valori disponibili e selezionati.

Puoi anche creare mapping che inseriscono automaticamente gli utenti in gruppi, in base alle condizioni definite dall'utente. Per iniziare, vedi l'articolo OneLogin Mapping(Il collegamento viene aperto in una nuova finestra).

Assegnare ruoli del sito Tableau

Per impostazione predefinita, agli utenti viene assegnato il ruolo del sito Viewer, che occupa una licenza di tipo Viewer.

Qualunque sia il metodo utilizzato in OneLogin per assegnare i ruoli del sito, a un certo punto è necessario che tu immetta il nome del ruolo del sito in una casella di testo. Per i valori consentiti, vedi i Valori del ruolo del sito di Valid Tableau nelle fasi seguenti.

Di seguito sono illustrati alcuni dei modi attraverso i quali puoi assegnare i ruoli del sito:

  • Per singoli utenti: nella scheda Utenti seleziona l'utente e, nelle impostazioni utente, digita il nome del ruolo del sito nella casella di testo.

  • Per un insieme di utenti: nella pagina Parametri, fai clic su Ruolo del sito, quindi, per Valore seleziona una delle opzioni per l'assegnazione dell'attributo ruolo del sito. Ad esempio:

    • Se tutti gli utenti hanno lo stesso ruolo del sito, seleziona Macro e immetti il nome del ruolo del sito.

    • Se la directory utente OneLogin contiene il ruolo del sito, seleziona l'attributo corrispondente.

Al termine dell'assegnazione del ruolo del sito, fai clic su Salva.

Valori del ruolo del sito di Valid Tableau

Nella pagina Provisioning del tuo portale OneLogin, i valori del ruolo del sito che puoi immettere sono basati su ruoli di licenza correnti o precedenti.

  • I ruoli di licenza correnti includono i valori del ruolo del sito seguenti:

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed o Viewer.

  • I tipi di licenza legacy (precedente alla versione 2018.1) vengono forniti con i ruoli del sito seguenti:

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer o ViewerWithPublish

Vedi anche

Per informazioni sugli effetti della modifica in corso degli attributi utente o sulla reimpostazione di singoli attributi utente modificati manualmente, vedi l'articolo OneLogin degli attributi di Provisioning delle impostazioni predefinite: effetto di Default, Regole e Inserimento manuale(Il collegamento viene aperto in una nuova finestra).

Sostituire un token segreto SCIM

Quando è necessario sostituire il token segreto SCIM (System for Cross-domain Identity Management), puoi eseguire una delle operazioni seguenti:

  • In Tableau Online, nella pagina Impostazioni > Autorizzazione, in Provisioning automatico e sincronizzazione dei gruppi (SCIM), fai clic su Genera nuovo segreto per generare un nuovo token segreto con cui sostituire quello precedente. Quando generi un nuovo token segreto, devi riconfigurare SCIM per utilizzare il nuovo token segreto.
  • Un amministratore può revocare un token segreto appartenente a un altro utente eliminando tale utente dal sito Tableau Online e quindi aggiungendolo di nuovo al sito.
Grazie per il tuo feedback.