Configurar SCIM com Microsoft Entra ID


Você pode configurar o gerenciamento de usuários por meio do Microsoft Entra ID (também conhecido como Azure Active Directory (AD)), provisionar grupos e atribuir funções de site Tableau Cloud.

Ao concluir as etapas a seguir, será útil ter a documentação do Entra ID sempre disponível. Veja o tutorial, Configurar o Tableau Cloud para provisionamento automático de usuários(O link abre em nova janela).

Observação: se você já habilitou o provisionamento para seu aplicativo e deseja atualizar para usar o endpoint do Tableau SCIM 2.0, consulte o artigo da Microsoft Atualizar um aplicativo do Tableau Cloud(O link abre em nova janela). Se você estiver configurando o provisionamento para uma nova instância do aplicativo Tableau Cloud, siga os passos abaixo.

Etapa 1: execute os pré-requisitos

O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML (SSO).

  1. Preencha a seção “Adicionar Tableau Cloud para seus aplicativos do Microsoft Entra ID” em Configurar SAML com Microsoft Entra ID.

  2. Após adicionar o Tableau Cloud com o Azure Marketplace, permaneça conectado ao portal do Entra e no Tableau Cloud, com as seguintes páginas exibidas:

    • No Tableau Cloud, a página Configurações > Autenticação.
    • No portal do Entra, a página do aplicativo Tableau Cloud > Provisionamento.

Etapa 2: ativar suporte SCIM

Use as etapas a seguir para habilitar suporte SCIM com Microsoft Entra ID. Consulte também Observações e limitações para suporte SCIM com Azure Active Directory na seção abaixo.

Observação: para as etapas do portal Entra, verifique se você está usando o aplicativo Tableau Cloud da galeria.

  1. Entre no seu site do Tableau Cloud como administrador do site e selecione Configurações > Autenticação.

  2. Faça o seguinte:

    1. Na página Autenticação, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.

      Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.

      Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Cloud do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.

  3. Copie o valor de token secreto e, na página Provisionamento do portal do Entra, faça o seguinte:

    • Para Modo de provisionamento, selecione Automático.

    • Para Método de autenticação, selecione Autenticação do portador.

    • Em URL do locatário, copie e cole a URL base mostrada nas configurações SCIM do Tableau Cloud.

    • Em Token secreto, cole o segredo SCIM do Tableau Cloud copiado antes.

  4. Clique no botão Conexão de teste para verificar se as credenciais estão funcionando conforme o esperado e clique em Salvar.

  5. Na seção Mapeamentos, verifique se Provisionar grupos do Microsoft Entra ID e Provisionar usuários do Microsoft Entra ID estão habilitados.

  6. Selecione Provisionar Grupos do Microsoft Entra ID e, na página Mapeamentos de Atributos, revise os atributos sincronizados do Entra ID para Tableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

  7. Selecione Provisionar usuários do Microsoft Entra ID e, na página Mapeamento de Atributos, revise os atributos sincronizados do Entra ID para Tableau Cloud. Para salvar qualquer atualizações, clique em Salvar.

Etapa 3: atribuir grupos ao aplicativo Tableau Cloud

Use as etapas a seguir para atribuir grupos ao aplicativo Tableau Cloud de galeria no Microsoft Entra ID.

  1. Na página do aplicativo, selecione Aplicativos corporativos > Usuários e grupos.

  2. Clique em Adicionar usuário/grupo.

  3. Na página Adicionar tarefa, selecione um grupo e atribua uma das seguintes funções de site:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Não licenciado

    Observação: você receberá um erro se selecionar uma função que não esteja na lista acima. Para obter mais informações sobre as funções de site, consulte Definir funções dos usuários no site.

  4. Clique em Atribuir.

Criar grupos para funções de site

Um usuário pode ser membro de vários grupos no Entra ID, mas receberá apenas a função de site mais permissiva no Tableau Cloud. Por exemplo, se um usuário for membro de dois grupos com funções de site Viewer e Creator, o Tableau atribuirá a função de site Creator.

Para acompanhar as atribuições de função, recomendamos a criação de grupos específicos de função no Entra ID, como "Tableau - Creator", "Tableau - Explorer" etc. Você pode usar os grupos para provisionar rapidamente novos usuários para a função correta no Tableau Cloud.

As funções de site são listadas abaixo da mais permissiva para a menos permissiva:

  • Creator (Administrador de site)

  • Explorer (Administrador de site)

  • Creator

  • Explorer (pode publicar)

  • Explorer

  • Viewer

Observação: os usuários e seus atributos devem ser gerenciados por meio do Entra ID. Mudanças feitas diretamente dentro do Tableau Cloud pode resultar em comportamento inesperado e valores sobrescritos.

Etapa 4: provisionar grupos

Depois de habilitar o suporte SCIM e atribuir grupos ao aplicativo do Tableau Cloud no Entra ID, a próxima etapa é provisionar usuários para o site do Tableau Cloud.

  1. Na página Provisionamento, expanda a seção Configurações e defina os grupos que você deseja provisionar o Tableau Cloud em Escopo.

    Observação: a configuração do Entra ID “Sincronizar todos os usuários e grupos” não tem suporte com Tableau Cloud.

  2. Alterne o status de provisionamento para ativado.

  3. Clique em Salvar.

O salvamento inicia a sincronização inicial dos grupos definidos no Escopo. A sincronização ocorre aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Entra ID seja executado. Para provisionar manualmente os usuários fora do agendamento, selecione Provisionar sob demanda. Para obter mais informações sobre o provisionamento sob demanda, consulte o artigo da Microsoft Provisionamento sob demanda no Microsoft Entra ID(O link abre em nova janela).

Após a conclusão do provisionamento, você deverá ver os grupos do Entra ID na página Usuários do site no Tableau Cloud.

Alterar a autenticação do usuário no Tableau Cloud

Os usuários provisionados recebem o tipo de autenticação SAML por padrão. Para alterar o tipo de autenticação para usuários, use as etapas abaixo.

  1. No Tableau Cloud, selecione Usuários.

  2. Na página Usuários do site, marque as caixas de seleção próximas aos usuários que receberão um tipo de autenticação.

  3. No menu Ações, selecione Autenticação.

  4. Na caixa de diálogo Autenticação, selecione o tipo de autenticação preferencial para o usuário.

Para obter mais informações sobre os tipos de autenticação diferentes no Tableau Cloud, consulte Autenticação.

SCIM e concessão de licença ao entrar

A partir de fevereiro de 2024 (Tableau 2023.3), você poderá usar o SCIM com Atribuição de licença no logon (GLSI) com Microsoft Entra ID.

Usar SCIM com GLSI para Entra ID requer o seguinte:

  1. Em Entra ID, adicionar usuários ao grupo no aplicativo Tableau Cloud.

  2. No Tableau Cloud, habilite a opção GLSI para os grupo e selecione a função mínima no site para os usuários que são membros do grupo.

    Observação: não é possível definir um grupo com o atributo GLSI no Entra ID.

  3. Os usuários serão provisionados como não licenciados no Entra ID.

Habilitar GLSI

Para habilitar o GLSI no Tableau Cloud, consulte Atribuição de licença no logon.

Remover usuários do SCIM com GLSI

Você deve remover usuários SCIM de seus grupos habilitados para GLSI no Microsoft Entra ID antes de tentar excluí-los do Microsoft Entra ID. Quando os usuários SCIM são removidos de todos os seus grupos habilitados para GLSI, os usuários são convertidos para a função “Não licenciado” no Tableau Cloud.

  1. Em Entra ID, desprovisione o usuário do grupo habilitado para GLSI no aplicativo Tableau Cloud. Desprovisionar um usuário no Entra ID apenas faz com que o usuário seja convertido em “Não licenciado” no Tableau Cloud e não o exclui.

Observações:

  • Se o usuário não for mais membro de grupo adicional do aplicativo Tableau Cloud no Entra ID ou se o usuário estiver atribuído individualmente ao aplicativo Tableau Cloud, o usuário será convertido em “Não licenciado” no Tableau Cloud.

  • Se você quiser excluir o usuário SCIM no Tableau Cloud (consulte Excluir usuários do SCIM, abaixo), você exclui manualmente o usuário do Tableau Cloud.

  1. Remova o usuário dos grupos com GLSI ativado.

  2. Remover o usuário SCIM do site.

Se você encontrar problemas, consulte o artigo de conhecimento Erro “A função do usuário não foi atualizada para: não licenciado (errorCode=10079)” ao tentar desprovisionar usuários via SCIM(O link abre em nova janela).

Sobre o grupo “Todos os usuários” do Tableau Cloud

Se você tiver habilitado o grupo padrão “Todos os usuários” com GLSI, não poderá desprovisionar os usuários no Entra ID e, portanto, não poderá cancelar a licença de nenhum dos usuários que pertençam ao grupo habilitado para GLSI no Tableau Cloud. Para remover usuário do a SCIM no grupo “Todos os usuários” habilitado para GLSI, você deve excluir manualmente os usuário do Tableau Cloud.

Observação: se os usuários tiverem conteúdo associado a eles, você precisará reatribuir a propriedade do conteúdo a outros usuários antes de poder excluí-los.

Excluir usuários do SCIM

A exclusão de usuários SCIM no Entra ID apenas os converterá na função “Não licenciado” e não os excluirá no Tableau Cloud. Se quiser excluir usuários, você deverá excluí-los manualmente no Tableau Cloud.

Para obter mais informações sobre a exclusão de usuários, consulte Remover usuários de um site no tópico Exibir, gerenciar ou remover usuários.

Observação: se os usuários tiverem conteúdo associado a eles, você precisará reatribuir a propriedade do conteúdo a outros usuários antes de poder excluí-los.

Observações para suporte SCIM com Microsoft Entra ID

  • É necessário adicionar um aplicativo Tableau Cloud separado para cada site que deseja gerenciar usando o SCIM.

  • Ao desprovisionar um usuário no aplicativo Tableau Cloud no Entra ID ou se um usuário for totalmente excluído do Entra ID, o usuário será convertido para uma função de site “Não licenciado” no Tableau Cloud. Se o usuário for proprietário de algum conteúdo, primeiro você deverá reatribuir a propriedade desses ativos de conteúdo antes de poder excluir manualmente o usuário no Tableau Cloud.

  • A partir de fevereiro de 2024 (Tableau 2023.3), é aceito o uso do SCIM com Atribuição de licença no logon (GLSI). Para obter mais informações, consulte SCIM e concessão de licença ao entrar acima.

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!