SCIM configureren met Microsoft Entra ID

U kunt gebruikersbeheer configureren via Microsoft Entra ID (ook bekend als Azure Active Directory (AD)), groepen inrichten en Tableau Cloud-siterollen toewijzen.

Bij het uitvoeren van de volgende stappen is het handig om de Entra ID-documentatie bij de hand te hebben. Zie de tutorial, Tableau Cloud configureren voor het automatisch inrichten van gebruikers(Link wordt in een nieuw venster geopend).

Opmerking: als u het inrichten al voor uw toepassing hebt ingeschakeld en wilt updaten naar het gebruik van het Tableau SCIM 2.0-eindpunt, verwijzen wij u naar het Microsoft-artikel Een Tableau Cloud-toepassing bijwerken(Link wordt in een nieuw venster geopend). Volg de onderstaande stappen als u de inrichting voor een nieuwe instantie van de Tableau Cloud-toepassing instelt.

Stap 1: Voldoe aan de vereisten

Voor SCIM-functionaliteit is het vereist dat u uw site zodanig configureert dat SAML single sign-on (SSO) wordt ondersteund.

  1. Voltooi de stappen in het gedeelte 'Tableau Cloud toevoegen aan uw Microsoft Entra ID-toepassingen' in SAML configureren met Microsoft Entra ID.

  2. Blijf aangemeld bij zowel de Entra-portal als Tableau Cloud nadat u Tableau Cloud vanuit Azure Marketplace hebt toegevoegd, en zorg dat de volgende pagina's worden weergegeven:

    • In Tableau Cloud: Instellingen > de pagina Verificatie.
    • In de Entra-portal: de Tableau Cloud-toepassing > de pagina Inrichting.

Stap 2: Schakel SCIM-ondersteuning in

Volg de volgende stappen om SCIM-ondersteuning met Microsoft Entra ID in te schakelen. Zie ook het gedeelte Opmerkingen en beperkingen voor SCIM-ondersteuning met Azure Active Directory hieronder.

Opmerking: voor de stappen in de Entra-portal moet u ervoor zorgen dat u de Tableau Cloud-app uit de galerij gebruikt.

  1. Meld u als sitebeheerder aan bij uw Tableau Cloud-site en selecteer Instellingen > Verificatie.

  2. Doe het volgende:

    1. Schakel op de pagina Verificatie onder Automatische inrichting en groepssynchronisatie (SCIM) het selectievakje SCIM inschakelen in.

      Het vak Basis-URL en het vak Geheim worden ingevuld met waarden die u gebruikt in de SCIM-configuratie van de IdP.

      Belangrijk: het geheime token wordt pas direct na het genereren weergegeven. Als u het token kwijtraakt voordat u het kunt toepassen op uw IdP, kunt u het volgende selecteren: Nieuw geheim genereren. Bovendien is het geheime token gekoppeld aan het Tableau Cloud-gebruikersaccount van de sitebeheerder die SCIM-ondersteuning inschakelt. Als de siterol van die gebruiker verandert of als de gebruiker van de site wordt verwijderd, wordt het geheime token ongeldig en moet een andere sitebeheerder een nieuw geheim token genereren en dit toepassen op uw IdP.

  3. Kopieer de geheime tokenwaarde en ga op de pagina Inrichting in uw Entra-portal als volgt te werk:

    • Selecteer voor de Inrichtingsmodus de optie Automatisch.

    • Selecteer voor de Verificatiemethode de optie Dragerverificatie.

    • Kopieer en plak de Basis-URL bij Tenant-URL. U vindt de basis-URL bij de SCIM-instellingen van Tableau Cloud.

    • Bij Geheim token plakt u het geheime SCIM-token van Tableau Cloud dat u eerder hebt gekopieerd.

  4. Klik op de knop Verbinding testen om te verifiëren of de referenties werken zoals dat wordt verwacht en klik vervolgens op Opslaan.

  5. Controleer in het gedeelte Toewijzingen of Microsoft Entra ID-groepen inrichten en Microsoft Entra ID-gebruikers inrichten zijn ingeschakeld.

  6. Selecteer Microsoft Entra ID-groepen inrichten en controleer op de pagina Kenmerktoewijzingen de van Entra ID naar Tableau Cloud gesynchroniseerde kenmerken. Om eventuele wijzigingen op te slaan, klikt u op Opslaan.

  7. Selecteer Microsoft Entra ID-gebruikers inrichten en controleer op de pagina Kenmerktoewijzingen de van Entra ID naar Tableau Cloud gesynchroniseerde kenmerken. Om eventuele wijzigingen op te slaan, klikt u op Opslaan.

Stap 3: Wijs groepen toe aan de Tableau Cloud-toepassing

Volg de volgende stappen om groepen toe te wijzen aan de app uit de Tableau Cloud-galerij in Microsoft Entra ID.

  1. Ga naar de pagina met toepassingen en selecteer Zakelijke apps > Gebruikers en groepen.

  2. Klik op Gebruiker/groep toevoegen.

  3. Selecteer op de pagina Toewijzing toevoegen een groep en wijs een van de volgende siterollen toe:

    • Creator

    • Sitebeheerder Creator

    • Explorer

    • Sitebeheerder Explorer

    • Explorer kan publiceren

    • Viewer

    • Zonder licentie

    Opmerking: er wordt een foutmelding weergegeven als u een rol selecteert die niet in de bovenstaande lijst staat. Zie Siterollen voor gebruikers instellen voor meer informatie over siterollen.

  4. Klik op Toewijzen.

Groepen maken voor siterollen

Een gebruiker kan lid zijn van meerdere groepen in Entra ID, maar krijgt alleen de siterol met de meeste rechten in Tableau Cloud. Als een gebruiker bijvoorbeeld lid is van twee groepen met de siterol Viewer en de siterol Creator, wijst Tableau de siterol Creator toe.

Om de roltoewijzingen bij te houden, raden we aan om rolspecifieke groepen in Entra ID te maken, zoals “Tableau - Creator”, “Tableau - Explorer”, enz. U kunt de groepen vervolgens gebruiken om snel nieuwe gebruikers in te richten voor de juiste rol in Tableau Cloud.

Hieronder staan de siterollen, in volgorde van de meeste rechten naar de minste rechten:

  • Sitebeheerder Creator

  • Sitebeheerder Explorer

  • Creator

  • Explorer (kan publiceren)

  • Explorer

  • Viewer

Opmerking: gebruikers en hun kenmerken moeten worden beheerd via Entra ID. Wijzigingen die worden aangebracht in Tableau Cloud kunnen direct leiden tot onverwacht gedrag en genegeerde waarden.

Stap 4: Richt gebruikers en groepen in

Nadat u SCIM-ondersteuning hebt ingeschakeld en gebruikers en groepen aan de Tableau Cloud-toepassing in Entra ID hebt toegewezen, is de volgende stap het inrichten van gebruikers voor uw Tableau Cloud-site.

  1. Vouw op de pagina Inrichting het gedeelte Instellingen uit en definieer bij Bereik de gebruikers of groepen die u wilt inrichten in Tableau Cloud.

    Opmerking: de Entra ID-instelling waarmee alle gebruikers en groepen worden gesynchroniseerd, wordt niet ondersteund met Tableau Cloud.

  2. Zet de schakelaar Inrichtingsstatus op Aan.

  3. Klik op Opslaan.

Met het opslaan wordt de eerste synchronisatie van de gebruikers of groepen gestart die zijn gedefinieerd in Bereik. Synchronisatie vindt ongeveer elke 40 minuten plaats, zolang de Entra ID-inrichtingsservice actief is. Als u gebruikers handmatig buiten de planning om wilt in te richten, selecteert u Inrichting on demand. Zie het Microsoft-artikel Inrichting op aanvraag in Microsoft Entra ID(Link wordt in een nieuw venster geopend) voor meer informatie over on-demand inrichting.

Nadat de inrichting is voltooid, ziet u de gebruikers of groepen van Entra ID op de pagina Sitegebruikers in Tableau Cloud.

Gebruikersverificatie wijzigen in Tableau Cloud

Aan ingerichte gebruikers wordt standaard het type SAML-verificatie toegewezen. Volg de onderstaande stappen als u het verificatietype voor gebruikers wilt wijzigen.

  1. Selecteer Gebruikers in Tableau Cloud.

  2. Schakel op de pagina Sitegebruikers de selectievakjes naast de gebruikers in aan wie u een verificatietype wilt toewijzen.

  3. Selecteer Verificatie in het menu Acties.

  4. Selecteer in het dialoogvenster Verificatie het gewenste verificatietype voor de gebruiker.

Zie Verificatie voor meer informatie over de verschillende verificatietypen in Tableau Cloud.

SCIM en licentie verlenen bij aanmelding

Vanaf februari 2024 (Tableau 2023.3) kunt u SCIM gebruiken met Licentie verlenen bij aanmelding (GLSI) met Microsoft Entra ID.

Voor het gebruik van SCIM met GLSI voor Entra ID is het volgende vereist:

  1. In Entra ID moeten in de Tableau Cloud-app gebruikers worden toegevoegd aan de groep.

  2. In Tableau Cloud moet de GLSI-optie voor de groep worden ingeschakeld en moet de minimale siterol worden geselecteerd voor de gebruikers die lid zijn van de groep.

    Opmerking: het is niet mogelijk om een groep in te stellen met het GLSI-kenmerk in Entra ID.

  3. Gebruikers moeten worden ingericht als 'zonder licentie' in Entra ID.

GLSI inschakelen

Zie Licentie verlenen bij aanmelding om GLSI in Tableau Cloud in te schakelen.

SCIM-gebruikers uit GLSI verwijderen

U moet SCIM-gebruikers verwijderen uit hun voor GLSI ingeschakelde groepen in Microsoft Entra ID voordat u deze uit Microsoft Entra ID kunt verwijderen. Wanneer SCIM-gebruikers uit al hun voor GLSI ingeschakelde groepen worden verwijderd, worden de gebruikers in Tableau Cloud omgezet naar de rol 'Zonder licentie'.

  1. Verwijder in Entra ID de inrichting van de gebruiker uit de voor GLSI ingeschakelde groep in de Tableau Cloud-app. Als u de inrichting van een gebruiker in Entra ID verwijdert, wordt de gebruiker in Tableau Cloud alleen omgezet naar 'Zonder licentie' en wordt de gebruiker zelf niet verwijderd.

Opmerkingen:

  • Als de gebruiker geen lid meer is van een van de extra Tableau Cloud-app-groepen in Entra ID, of als de gebruiker individueel is toegewezen aan de Tableau Cloud-app, wordt de gebruiker in Tableau Cloud omgezet naar 'Zonder licentie'.

  • Als u de SCIM-gebruiker in Tableau Cloud wilt verwijderen (zie SCIM-gebruikers verwijderen hieronder), moet u de gebruiker handmatig uit Tableau Cloud verwijderen.

  1. Verwijder de gebruiker uit de groepen waarvoor GLSI is ingeschakeld.

  2. Verwijder de SCIM-gebruiker van de site.

Zie het artikel Error "User role was not updated to: Unlicensed (errorCode=10079)" When Attempting to Deprovision Users via SCIM(Link wordt in een nieuw venster geopend) als u problemen ondervindt.

Over de groep 'Alle gebruikers' van Tableau Cloud

Als u de standaardgroep 'Alle gebruikers' met GLSI hebt ingeschakeld, kunt u de inrichting van gebruikers in Entra ID niet verwijderen en kunt u dus ook de licentie niet wegnemen bij de gebruikers die tot de voor GLSI ingeschakelde groep in Tableau Cloud behoren. Als u een SCIM-gebruiker uit de voor GLSI ingeschakelde groep 'Alle gebruikers' wilt verwijderen, moet u de gebruiker handmatig uit Tableau Cloud verwijderen.

Opmerking: als er inhoud aan gebruikers is gekoppeld, moet u het eigendom van de inhoud opnieuw toewijzen aan andere gebruikers voordat u de gebruikers kunt verwijderen.

SCIM-gebruikers verwijderen

Wanneer u SCIM-gebruikers in Entra ID verwijdert, worden alleen de gebruikerslicenties ingetrokken en worden ze niet uit Tableau Cloud verwijderd. Als u gebruikers wilt verwijderen, moet u ze handmatig uit Tableau Cloud verwijderen.

Zie 'Gebruikers van een site verwijderen' in het onderwerp Gebruikers bekijken, beheren of verwijderen voor meer informatie over het verwijderen van gebruikers.

Opmerking: als er inhoud aan gebruikers is gekoppeld, moet u het eigendom van de inhoud opnieuw toewijzen aan andere gebruikers voordat u de gebruikers kunt verwijderen.

Opmerkingen over SCIM-ondersteuning met Microsoft Entra ID

  • U moet voor elke site die u met SCIM wilt beheren een aparte Tableau Cloud-app toevoegen.

  • Wanneer u de inrichting van een gebruiker in de Tableau Cloud-app in Entra ID verwijdert of als een gebruiker volledig uit Entra ID wordt verwijderd, krijgt de gebruiker de siterol Zonder licentie in Tableau Cloud. Als de gebruiker eigenaar is van inhoud, moet u eerst het eigendom van die inhoud opnieuw toewijzen voordat u de gebruiker handmatig uit Tableau Cloud kunt verwijderen.

  • Vanaf februari 2024 (Tableau 2023.3) wordt het gebruik van SCIM met Licentie verlenen bij aanmelding (GLSI) ondersteund. Zie SCIM en licentie verlenen bij aanmelding hierboven voor meer informatie.

     

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.