Configurar o SCIM com o Active Directory do Azure


É possível configurar o gerenciamento de usuários pelo Azure Active Directory, provisionar grupos e atribuir funções de site do Tableau Cloud.

Ao concluir as etapas a seguir, será útil ter a documentação da Microsoft à mão. Veja o tutorial, Configurar o Tableau Cloud para provisionamento automático de usuários(O link abre em nova janela).

Observação: se você já habilitou o provisionamento para seu aplicativo e deseja atualizar para usar o endpoint do Tableau SCIM 2.0, consulte o artigo da Microsoft Atualizar um aplicativo do Tableau Cloud(O link abre em nova janela). Se você estiver configurando o provisionamento para uma nova instância do aplicativo Tableau Cloud, siga os passos abaixo.

Etapa 1: execute os pré-requisitos

O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML (SSO).

  1. Preencha a seção Adicionar Tableau Cloud para seus aplicativos do Azure AD em Configurar o SAML com o Active Directory do Azure.

  2. Após adicionar o Tableau Cloud com o Azure Marketplace, permaneça conectado ao portal do Azure e ao Tableau Cloud, com as seguintes páginas exibidas:

    • No Tableau Cloud, a página Configurações > Autenticação.
    • No portal do Azure, a página do aplicativo Tableau Cloud > Provisionamento.

Etapa 2: ativar suporte SCIM

Use as etapas a seguir para habilitar suporte SCIM com o Azure Active Directory. Consulte também Observações e limitações para suporte SCIM com Azure Active Directory na seção abaixo.

  1. Entre no seu site do Tableau Cloud como administrador do site e selecione Configurações > Autenticação.

  2. Faça o seguinte:

    1. Na página Autenticação, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.

      Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.

      Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Cloud do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.

  3. Copie o valor de token secreto e, na página Provisionamento do portal do Azure, faça o seguinte:

    • Para Modo de provisionamento, selecione Automático.

    • Para Método de autenticação, selecione Autenticação do portador.

    • Em Token secreto, cole o segredo SCIM do Tableau Cloud copiado antes.

    • Em URL do locatário, copie e cole a URL base mostrada nas configurações SCIM do Tableau Cloud.

  4. Clique em Conexão de teste para verificar se as credenciais estão funcionando conforme o esperado e clique em Salvar.

  5. Na seção Mapeamentos, verifique se Provisionar grupos do Azure Active Directory e Provisionar usuários do Azure Active Directory estão habilitados.

  6. Selecione Provisionar Grupos do Azure Active Directory e, na página Mapeamentos de Atributos, revise os atributos sincronizados do Azure paraTableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

  7. Selecione Provisionar usuários do Azure Active Directory e, na página Mapeamento de Atributos, revise os atributos sincronizados do Azure paraTableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

Etapa 3: atribuir usuários e grupos ao aplicativo do Tableau Cloud

Use as etapas a seguir para atribuir usuários e grupos individuais ao aplicativo do Tableau Cloud no Azure.

  1. Na página do aplicativo, selecione Aplicativos corporativos > Usuários e grupos.

  2. Clique em Adicionar usuário/grupo.

  3. Na página Adicionar Atribuição, selecione um usuário ou grupo e atribua uma das seguintes funções de site: Creator , SiteAdministratorCreator, Explorer , SiteAdministratorExplorer, ExplorerCanPublish, Viewer ou Unlicensed.

    Você receberá um erro se selecionar uma função que não esteja na lista acima. Para obter mais informações sobre as funções de site, consulte Definir funções dos usuários no site.

  4. Clique em Atribuir.

Criar grupos para funções de site

Um usuário pode ser membro de vários grupos no Azure, mas receberá apenas a função de site mais permissiva no Tableau Cloud. Por exemplo, se um usuário for membro de dois grupos com funções de site Viewer e Creator, o Tableau atribuirá a função de site Creator.

Para acompanhar as atribuições de função, recomendamos a criação de grupos específicos de função no Azure, como "Tableau - Creator", "Tableau - Explorer" etc. Você pode usar os grupos para provisionar rapidamente novos usuários para a função correta no Tableau Cloud.

As funções de site são listadas abaixo da mais permissiva para a menos permissiva:

  • Creator (Administrador de site)

  • Explorer (Administrador de site)

  • Creator

  • Explorer (pode publicar)

  • Explorer

  • Viewer

Observação: os usuários e seus atributos devem ser gerenciados por meio do Azure. Mudanças feitas diretamente dentro do Tableau Cloud pode resultar em comportamento inesperado e valores sobrescritos.

Etapa 4: provisionar usuários e grupos

Depois de habilitar o suporte SCIM e atribuir usuários e grupos ao aplicativo do Tableau Cloud no Azure, a próxima etapa é provisionar usuários para o site do Tableau.

  1. Na página Provisionamento, expanda a seção Configurações e defina os usuários ou grupos que você deseja provisionar o Tableau Cloud em Escopo.

    Observação: a configuração do Azure AD "Sincronizar todos os usuários e grupos" não tem suporte com Tableau Cloud.

  2. Alterne o status de provisionamento para ativado.

  3. Clique em Salvar.

O salvamento inicia a sincronização inicial dos usuários ou grupos definidos no Escopo. A sincronização ocorre aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Azure AD seja executado. Para provisionar manualmente os usuários fora do agendamento, selecione Provisionar sob demanda. Para obter mais informações sobre o provisionamento sob demanda, consulte o artigo da Microsoft Provisionamento sob demanda no Azure Active Directory(O link abre em nova janela).

Após a conclusão do provisionamento, você deverá ver os usuários ou grupos do Azure AD na página Usuários do site no Tableau Cloud.

Alterar a autenticação do usuário no Tableau Cloud

Os usuários provisionados recebem o tipo de autenticação SAML por padrão. Para alterar o tipo de autenticação para usuários, use as etapas abaixo.

  1. No Tableau Cloud, selecione Usuários.

  2. Na página Usuários do site, marque as caixas de seleção próximas aos usuários que receberão um tipo de autenticação.

  3. No menu Ações, selecione Autenticação.

  4. Na caixa de diálogo Autenticação, selecione o tipo de autenticação preferencial para o usuário.

Para obter mais informações sobre os tipos de autenticação diferentes no Tableau Cloud, consulte Autenticação.

Observações para suporte SCIM com Azure Active Directory

  • É necessário adicionar um aplicativo Tableau Cloud separado para cada site que deseja gerenciar usando o SCIM.

  • Ao desprovisionar um usuário no aplicativo Tableau Cloud no Azure AD ou se um usuário for totalmente excluído do Azure AD, o usuário será convertido em uma função de site Sem licença no Tableau Cloud. Se o usuário for proprietário de algum conteúdo, primeiro você deverá reatribuir a propriedade desses ativos de conteúdo antes de poder excluir manualmente o usuário no Tableau Cloud.

  • A partir de fevereiro de 2024 (Tableau 2023.3), é aceito o uso do SCIM com Atribuição de licença no logon (GLSI). O GLSI exige a ativação manual da opção para um grupo e a seleção da função mínima no site para os usuários que são membros do grupo no Tableau Cloud. Não é possível definir um grupo com o atributo GLSI no Azure AD, mas você pode definir o atributo para o grupo provisionado no Azure AD no Tableau Cloud.

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!