Configurar SCIM com Microsoft Entra ID


Você pode configurar o gerenciamento de usuários por meio do Microsoft Entra ID (também conhecido como Azure Active Directory (AD)), provisionar grupos e atribuir funções de site Tableau Cloud.

Ao concluir as etapas a seguir, será útil ter a documentação do Entra ID sempre disponível. Veja o tutorial, Configurar o Tableau Cloud para provisionamento automático de usuários(O link abre em nova janela).

Observações:

  • se você já habilitou o provisionamento para seu aplicativo e deseja atualizar para usar o endpoint do Tableau SCIM 2.0, consulte o artigo da Microsoft Atualizar um aplicativo do Tableau Cloud(O link abre em nova janela). Se você estiver configurando o provisionamento para uma nova instância do aplicativo Tableau Cloud, siga os passos abaixo.

  • Essas etapas refletem um aplicativo de terceiros e estão sujeitas a alteração sem o nosso conhecimento. Se as etapas descritas aqui não corresponderem às telas que você vê na sua conta do IdP, você pode usar o tópico geral SCIM, juntamente com a documentação do IdP.

  • As etapas de configuração no IdP podem estar em uma ordem diferente daquela que você vê no Tableau.

Etapa 1: execute os pré-requisitos

O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML (SSO).

  1. Preencha a seção “Adicionar Tableau Cloud para seus aplicativos do Microsoft Entra ID” em Configurar SAML com Microsoft Entra ID.

  2. Após adicionar o Tableau Cloud com o Azure Marketplace, permaneça conectado ao portal do Entra e no Tableau Cloud, com as seguintes páginas exibidas:

    • No Tableau Cloud, a página Configurações > Autenticação.
    • No portal do Entra, a página do aplicativo Tableau Cloud > Provisionamento.

Etapa 2: ativar suporte SCIM

Use as etapas a seguir para habilitar suporte SCIM com Microsoft Entra ID. Consulte também Observações e limitações para suporte SCIM com Azure Active Directory na seção abaixo.

Observação: para as etapas do portal Entra, verifique se você está usando o aplicativo Tableau Cloud da galeria.

No Tableau Cloud

  1. Entre no seu site do Tableau Cloud como administrador do site e selecione Configurações > Autenticação.

  2. Faça o seguinte:

    1. Na página Autenticação, em Sistema de gerenciamento de usuários entre domínios (SCIM), clique no botão Nova configuração.

    2. Na caixa de diálogo Configuração de SMTP, faça o seguinte:

      1. Insira um nome da configuração do SCIM.

      2. Copie a URL base para usar nas configurações de SCIM do seu IdP.

      3. No menu suspenso Autenticação, selecione a configuração de autenticação SAML para associar ao SCIM.

      4. Clique em Salvar.

        Observação: isso preenche a seção Token SCIM.

        Uma nova configuração de SCIM

    3. Em Token SCIM, faça o seguinte:

      1. Clique no botão Novo segredo.

      2. Na caixa de diálogo Novo segredo, clique no botão Novo segredo novamente. Um segredo recém-gerado será exibido.

      3. Copie o segredo e armazene-o em um local seguro.

        Importante:

        • Se você fechar a configuração de SCIM antes de adicionar o segredo às configurações de SCIM do seu IdP, poderá editar a configuração de SCIM, mas será necessário clicar em Novo segredo novamente para gerar um novo segredo.

        • O segredo está ligado ao usuário administrador de site do Tableau que criou a configuração de SCIM. Se essa função no site do usuário for alterada ou o usuário não for mais um membro do site, o segredo ficará inválido. Nesse caso, outro administrador de site pode gerar um novo segredo para a configuração de SCIM existente e adicioná-lo às configurações de SCIM do IdP ou criar uma nova configuração de SCIM, garantindo que a URL base e o segredo sejam adicionados às configurações de SCIM do IdP.

      4. Clique em Fechar.

No Microsoft Entra

  1. Na página Provisionamento no portal do Entra, faça o seguinte:

    • Para Modo de provisionamento, selecione Automático.

    • Para Método de autenticação, selecione Autenticação do portador.

    • Em URL do locatário, copie e cole a URL base mostrada nas configurações SCIM do Tableau Cloud.

    • Para Token secreto, copie e cole o SCIM Tableau Cloud secreto que foi gerado.

    Uma tela de configuração com definições para provisionar o Tableau Cloud.

  2. Clique no botão Conexão de teste para verificar se as credenciais estão funcionando conforme o esperado e clique em Salvar.

  3. Na seção Mapeamentos, verifique se Provisionar grupos do Microsoft Entra ID e Provisionar usuários do Microsoft Entra ID estão habilitados.

    Uma página de configurações para definir como os dados devem fluir entre o Microsoft Entra ID e o SCIM do Tableau Cloud.

  4. Selecione Provisionar Grupos do Microsoft Entra ID e, na página Mapeamentos de Atributos, revise os atributos sincronizados do Entra ID para Tableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

    Mapeamentos de atributos do SCIM do Tableau Cloud para o atributo do Microsoft Entra ID.

  5. Selecione Provisionar usuários do Microsoft Entra ID e, na página Mapeamento de Atributos, revise os atributos sincronizados do Entra ID para Tableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

    Uma tabela para mostrar os mapeamentos de atributos que definem a sincronização.

Etapa 3: atribuir grupos ao aplicativo Tableau Cloud

Use as etapas a seguir para atribuir grupos ao aplicativo Tableau Cloud de galeria no Microsoft Entra ID.

  1. Na página do aplicativo, selecione Aplicativos corporativos > Usuários e grupos.

  2. Clique em Adicionar usuário/grupo.

  3. Na página Adicionar tarefa, selecione um grupo e atribua uma das seguintes funções de site:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Não licenciado

    Observação: você receberá um erro se selecionar uma função que não esteja na lista acima. Para obter mais informações sobre as funções de site, consulte Definir funções dos usuários no site.

  4. Clique em Atribuir.

Criar grupos para funções de site

Um usuário pode ser membro de vários grupos no Entra ID, mas receberá apenas a função de site mais permissiva no Tableau Cloud. Por exemplo, se um usuário for membro de dois grupos com funções de site Viewer e Creator, o Tableau atribuirá a função de site Creator.

Para acompanhar as atribuições de função, recomendamos a criação de grupos específicos de função no Entra ID, como "Tableau - Creator", "Tableau - Explorer" etc. Você pode usar os grupos para provisionar rapidamente novos usuários para a função correta no Tableau Cloud.

As funções de site são listadas abaixo da mais permissiva para a menos permissiva:

  • Creator (Administrador de site)

  • Explorer (Administrador de site)

  • Creator

  • Explorer (pode publicar)

  • Explorer

  • Viewer

Observação: os usuários e seus atributos devem ser gerenciados por meio do Entra ID. Mudanças feitas diretamente dentro do Tableau Cloud pode resultar em comportamento inesperado e valores sobrescritos.

Etapa 4: provisionar grupos

Depois de habilitar o suporte SCIM e atribuir grupos ao aplicativo do Tableau Cloud no Entra ID, a próxima etapa é provisionar usuários para o site do Tableau Cloud.

  1. Na página Provisionamento, expanda a seção Configurações e defina os grupos que você deseja provisionar o Tableau Cloud em Escopo.

    Um menu de configurações para optar por receber notificações por e-mail sobre falhas e estabelecer os parâmetros para sincronizar usuários e grupos.

    Observação: a configuração do Entra ID “Sincronizar todos os usuários e grupos” não tem suporte com Tableau Cloud.

  2. Alterne o status de provisionamento para ativado.

  3. Clique em Salvar.

O salvamento inicia a sincronização inicial dos grupos definidos no Escopo. A sincronização ocorre aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Entra ID seja executado. Para provisionar manualmente os usuários fora do agendamento, selecione Provisionar sob demanda. Para obter mais informações sobre o provisionamento sob demanda, consulte o artigo da Microsoft Provisionamento sob demanda no Microsoft Entra ID(O link abre em nova janela).

Após a conclusão do provisionamento, você deverá ver os grupos do Entra ID na página Usuários do site no Tableau Cloud.

Alterar a autenticação do usuário no Tableau Cloud

Os usuários provisionados recebem o tipo de autenticação SAML por padrão. Para alterar o tipo de autenticação para usuários, use as etapas abaixo.

  1. No Tableau Cloud, selecione Usuários.

  2. Na página Usuários do site, marque as caixas de seleção próximas aos usuários que receberão um tipo de autenticação.

  3. No menu Ações, selecione Autenticação.

  4. Na caixa de diálogo Autenticação, selecione o tipo de autenticação preferencial para o usuário.

Para obter mais informações sobre os tipos de autenticação diferentes no Tableau Cloud, consulte Autenticação.

Observações para suporte SCIM com Azure Active Directory

  • É necessário adicionar um aplicativo Tableau Cloud separado para cada site que deseja gerenciar usando o SCIM.

  • Ao desprovisionar um usuário no aplicativo Tableau Cloud no Azure AD ou se um usuário for totalmente excluído do Azure AD, o usuário será convertido em uma função de site Sem licença no Tableau Cloud. Se o usuário for proprietário de algum conteúdo, primeiro você deverá reatribuir a propriedade desses ativos de conteúdo antes de poder excluir manualmente o usuário no Tableau Cloud.

  • A partir de fevereiro de 2024 (Tableau 2023.3), é aceito o uso do SCIM com Atribuição de licença no logon (GLSI). O GLSI exige o seguinte:

    1. A ativação manual da opção para um grupo e a seleção da função mínima no site para os usuários que são membros do grupo diretamente no Tableau Cloud. Não é possível definir um grupo com o atributo GLSI no Azure AD, mas você pode definir o atributo para o grupo provisionado no Azure AD no Tableau Cloud.
    2. O usuário deve ser provisionado como sem licença do IdP.

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!