SCIM configureren met Okta
U kunt gebruikersbeheer via Okta configureren, groepen inrichten en Tableau Cloud-siterollen toewijzen. Als u nog niet bekend bent met de siterollen van Tableau en de mogelijkheden die elke rol biedt, raadpleeg dan Siterollen voor gebruikers instellen.
Stap 1: Voldoe aan de vereisten
Voor SCIM-functionaliteit is het vereist dat u uw site zodanig configureert dat SAML single sign-on (SSO) wordt ondersteund.
Voer de stappen in de volgende gedeelten in SAML configureren met Okta uit:
Nadat u de stappen in deze twee gedeelten hebt voltooid, moet u aangemeld blijven bij zowel de Okta-beheerdersconsole als Tableau Cloud, waarbij de volgende pagina's worden weergegeven:
In Tableau Cloud: Instellingen > de pagina Verificatie.
Selecteer in de Okta-beheerdersconsole achtereenvolgens Toepassingen > Toepassingen > Tableau Cloud > Inrichting.
Stap 2: Schakel SCIM-ondersteuning in
Volg de volgende stappen om SCIM-ondersteuning met Okta in te schakelen. Zie ook het gedeelte Opmerkingen over SCIM-ondersteuning met Okta hieronder.
- Meld u als sitebeheerder aan bij uw Tableau Cloud-site en selecteer Instellingen > Verificatie.
Doe het volgende:
Schakel op de pagina Verificatie onder Automatische inrichting en groepssynchronisatie (SCIM) het selectievakje SCIM inschakelen in.
Het vak Basis-URL en het vak Geheim worden ingevuld met waarden die u gebruikt in de SCIM-configuratie van de IdP.
Belangrijk: het geheime token wordt pas direct na het genereren weergegeven. Als u het token kwijtraakt voordat u het kunt toepassen op uw IdP, kunt u het volgende selecteren: Nieuw geheim genereren. Bovendien is het geheime token gekoppeld aan het Tableau Cloud-gebruikersaccount van de sitebeheerder die SCIM-ondersteuning inschakelt. Als de siterol van die gebruiker verandert of als de gebruiker van de site wordt verwijderd, wordt het geheime token ongeldig en moet een andere sitebeheerder een nieuw geheim token genereren en dit toepassen op uw IdP.
Kopieer de geheime tokenwaarde.
Doe het volgende in de Okta-beheerconsole:
Selecteer in het linkerdeelvenster Toepassing > Toepassing, klik op de Tableau Cloud-app en klik vervolgens op het tabblad Inrichting.
Klik op de knop API-integratie inschakelen.
Schakel het selectievakje API-integratie inschakelen in en klik op Opslaan.
Doe het volgende:
Plak bij API-token het geheime SCIM-token van Tableau Cloud dat u in de vorige stap hebt gekopieerd.
Kopieer en plak bij Basis-URL de Basis-URL die wordt weergegeven in de SCIM-instellingen van Tableau Cloud.
Klik op de knop API-referenties testen om te controleren of de configuratie juist is uitgevoerd. Als de configuratie juist is uitgevoerd, ziet u het bericht 'Tableau Cloud is geverifieerd.'.
Wanneer u klaar bent, klikt u op Opslaan.
Stap 3: Wijs groepen toe aan de Tableau-app
Voor het inrichten van gebruikers in Tableau raden we aan om gebruikers in groepen te beheren, zodat u deze eenvoudiger in Tableau kunt beheren.
Wijs in Okta groepen toe aan de Tableau-app, zodat de gebruikers kunnen worden ingericht voor Tableau Cloud. Concreet hebt u twee afzonderlijke groepen nodig: één groep die is toegewezen aan het tabblad Toewijzing en één groep die is toegewezen aan het tabblad Push-groep. De groep op het tabblad Toewijzingen wordt gebruikt om gebruikers te maken in Tableau Cloud. De groep op het tabblad Push-groep wordt gebruikt om de groep te maken en het groepslidmaatschap in Tableau Cloud te beheren.
Opmerkingen:
Het is voor Okta vereist dat u een groep hebt op het tabblad Toewijzingen en een groep op het tabblad Push-groep om een raceconditie te voorkomen. Zie App assignments and Group Push(Link wordt in een nieuw venster geopend) en About Group Push(Link wordt in een nieuw venster geopend) in de Okta-documentatie voor meer informatie.
Bij de stappen in deze procedure wordt ervan uitgegaan dat u al minimaal twee groepen hebt gemaakt. Zie Create a group(Link wordt in een nieuw venster geopend) in de Okta-documentatie voor meer informatie over het maken van groepen in Okta.
U kunt de onderstaande procedure volgen om een groep toe te voegen en de groep toe te wijzen aan de Tableau-app.
Selecteer in het linkerdeelvenster Toepassing > Toepassing, klik op de Tableau Cloud-app en klik vervolgens op het tabblad Toewijzingen.
Klik op de vervolgkeuzelijst Toewijzen en selecteer Toewijzen aan groepen.
Doe het volgende:
Selecteer de relevante groep.
Selecteer de siterol die u voor de gebruikers wilt inrichten voor Tableau. De opties zijn:
Zonder licentie
Viewer
Explorer
Explorer (kan publiceren)
Creator
Sitebeheerder Explorer
Sitebeheerder Creator
Wanneer u klaar bent, klikt u op de knop Opslaan en teruggaan.
Herhaal stap 1 t/m 4 op het tabblad Groep pushen en klik vervolgens op de knop Gereed.
Stap 4: Schakel groep inrichten in
Met Okta kunt u bestaande groepen en hun lidmaatschappen pushen naar Tableau Cloud. Nadat een groep is gepusht, kunt u het groepslidmaatschap in Okta beheren om de overeenkomstige groep in Tableau Cloud automatisch bijwerken. Voordat u deze stappen uitvoert, raden wij u aan om de volgende informatie te lezen: Group Push prerequisites(Link wordt in een nieuw venster geopend) en About Group Push(Link wordt in een nieuw venster geopend) in de Okta-documentatie.
Belangrijk: nadat u SCIM hebt ingeschakeld, worden gebruikers en hun kenmerken beheerd via Okta. Wijzigingen die worden aangebracht in Tableau Cloud kunnen direct leiden tot onverwacht gedrag en genegeerde waarden.
De volgende procedure gaat verder waar u in het vorige gedeelte was gebleven. Hierbij wordt ervan uitgegaan dat u bent aangemeld bij de Okta-beheerdersconsole.
Selecteer in het linkerdeelvenster Toepassing > Toepassing, klik op de Tableau Cloud-app en klik vervolgens op het tabblad Groepen pushen.
Klik op de knop Groepen pushen en selecteer vervolgens een van de volgende opties in het vervolgkeuzemenu:
Groepen zoeken op naam: selecteer deze optie om groepen op naam te zoeken.
Groepen zoeken op regel: selecteer deze optie om een zoekregel te maken die alle groepen pusht die aan de regel voldoen.
(Optioneel) Als u meerdere groepen wilt pushen, klikt u op de knop Opslaan en nog een toevoegen en herhaalt u de vorige stap.
- Wanneer u klaar bent, klikt u op Opslaan.
U kunt het pushen van groepen deactiveren, gepushte groepen loskoppelen of groepslidmaatschappen onmiddellijk pushen door te klikken op Actief of Inactief in de kolom Pushstatus. Als u meerdere groepen wilt verwijderen, deactiveren of activeren, klikt u op In bulk bewerken. Zie Enable Group Push(Link wordt in een nieuw venster geopend) in de Okta-documentatie voor meer informatie.
SCIM en licentie verlenen bij aanmelding
Vanaf februari 2024 (Tableau 2023.3) kunt u SCIM gebruiken met Licentie verlenen bij aanmelding (GLSI) met Okta.
Voor het gebruik van SCIM met GLSI voor Okta is het volgende vereist:
In Okta moeten gebruikers worden toegevoegd aan de groepen op de tabbladen Toewijzing en Groep pushen in de Tableau-app.
In Tableau Cloud moet u de GLSI-optie inschakelen voor de groepen en de minimale siterol selecteren voor de gebruikers die lid zijn van de groepen.
Opmerking: het is niet mogelijk om een groep met het GLSI-kenmerk in Okta in te stellen.
Gebruikers moeten in Okta als 'Zonder licentie' worden ingericht.
GLSI inschakelen
Zie Licentie verlenen bij aanmelding voor het instellen en inschakelen van GLSI.
SCIM-gebruikers uit GLSI verwijderen
U moet eerst SCIM-gebruikers verwijderen uit hun voor GLSI ingeschakelde groepen in Okta voordat u deze in Okta kunt deactiveren. Als u gebruikers deactiveert, krijgen deze gebruikers de rol 'Zonder licentie' in Tableau Cloud. Gebruikers kunnen de rol 'Zonder licentie' echter pas in Tableau Cloud krijgen als ze geen lid meer zijn van GLSI-groepen.
Verwijder in Okta eerst de gebruiker uit de voor GLSI ingeschakelde groep die is toegewezen aan het tabblad Groep pushen.
In Okta kunt u de gebruiker verwijderen uit de voor GLSI ingeschakelde groep die is toegewezen aan het tabblad Toewijzingen, of door de gebruiker in Okta te verwijderen. Nadat u dit hebt gedaan, wordt de gebruiker in Tableau Cloud omgezet naar 'Zonder licentie'. Als u de inrichting van een gebruiker in Okta verwijdert, wordt de gebruiker in Tableau Cloud alleen omgezet naar 'Zonder licentie' en wordt de gebruiker zelf niet verwijderd.
Opmerkingen:
Zie Deactivate and delete user accounts(Link wordt in een nieuw venster geopend) in de Okta-documentatie als u een gebruiker in Okta wilt verwijderen.
Als u de SCIM-gebruiker in Tableau Cloud wilt verwijderen (zie SCIM-gebruikers verwijderen hieronder), moet u de gebruiker handmatig uit Tableau Cloud verwijderen.
Zie het artikel Error "User role was not updated to: Unlicensed (errorCode=10079)" When Attempting to Deprovision Users via SCIM(Link wordt in een nieuw venster geopend) als u problemen ondervindt.
Over de groep 'Alle gebruikers' van Tableau Cloud
Als u de standaardgroep 'Alle gebruikers' met GLSI hebt ingeschakeld, kunt u de inrichting van de gebruikers in Okta niet verwijderen en kunt u de rol 'Zonder licentie' dus niet verkrijgen voor gebruikers die tot de voor GLSI ingeschakelde groep in Tableau Cloud behoren. Als u SCIM-gebruikers uit de voor GLSI ingeschakelde groep 'Alle gebruikers' wilt verwijderen, moet u de gebruikers handmatig uit Tableau Cloud verwijderen.
Opmerking: als er inhoud aan gebruikers is gekoppeld, moet u het eigendom van de inhoud opnieuw toewijzen aan andere gebruikers voordat u de gebruikers kunt verwijderen.
SCIM-gebruikers verwijderen
Wanneer u SCIM-gebruikers in Okta verwijdert, worden ze alleen omgezet naar de rol 'Zonder licentie' en worden ze niet uit Tableau Cloud verwijderd. Als u gebruikers wilt verwijderen, moet u de gebruikers handmatig in Tableau Cloud verwijderen.
Zie 'Gebruikers van een site verwijderen' in het onderwerp Gebruikers bekijken, beheren of verwijderen voor meer informatie over het verwijderen van gebruikers.
Opmerkingen over SCIM-ondersteuning met Okta
In de instellingen voor Okta-gebruikerstoewijzingen moeten de waarden voor Gebruikersnaam en Primair e-mailadres identiek zijn.
U moet voor elke site die u met SCIM wilt beheren een afzonderlijke Tableau Cloud Okta-app toevoegen.
Als u een site wilt migreren, moet u de SCIM-inrichting voor de nieuwe site opnieuw configureren.
Bij het inrichten van nieuwe gebruikers worden de voornaam- en achternaamkenmerken in Okta niet gesynchroniseerd met Tableau Cloud. Nieuwe gebruikers moeten deze velden instellen wanneer ze zich voor de eerste keer bij Tableau Cloud aanmelden.
Wanneer de toewijzing van een gebruiker aan de Tableau Cloud-app in Okta wordt ingetrokken of wanneer de gebruiker volledig wordt gedeactiveerd of verwijderd uit Okta, wordt de gebruiker omgezet naar de siterol 'Zonder licentie' in Tableau Cloud. Als de gebruiker eigenaar is van inhoud, moet u eerst het eigendom van die inhoud opnieuw toewijzen voordat u de gebruiker handmatig uit Tableau Cloud kunt verwijderen.
U kunt de siterol van een gebruiker (zoals Creator, Explorer of Viewer) in Okta instellen op gebruikers- of groepsniveau. Wij adviseren om de siterol op groepsniveau toe te wijzen. Als aan de gebruiker rechtstreeks een siterol is toegewezen, heeft deze voorrang op alle groepsinstellingen.
Een gebruiker kan lid zijn van meerdere groepen. Groepen kunnen verschillende siterollen hebben. Als een gebruiker aan groepen met verschillende siterollen wordt toegewezen, krijgt de gebruiker de siterol met de meeste rechten in Tableau Cloud. Als u bijvoorbeeld Viewer en Creator kiest, wijst Tableau de siterol Creator toe.
Hieronder staan de siterollen, in volgorde van de meeste rechten naar de minste rechten:
Sitebeheerder Creator
Sitebeheerder Explorer
Creator
Explorer (kan publiceren)
Explorer
Viewer
U kunt het siterolkenmerk voor een gebruiker in Okta bijwerken. Deze wijziging wordt vervolgens doorgevoerd in Tableau Cloud. Andere kenmerken, zoals gebruikersnaam en primair e-mailadres, kunnen niet worden bijgewerkt. Als u deze kenmerken wilt wijzigen, moet u de gebruiker verwijderen, het kenmerk wijzigen en de gebruiker opnieuw toevoegen.
Vanaf februari 2024 (Tableau 2023.3) wordt het gebruik van SCIM met Licentie verlenen bij aanmelding (GLSI) ondersteund. Zie SCIM en licentie verlenen bij aanmelding hierboven voor meer informatie.