Configurar o SCIM com Okta
É possível configurar o gerenciamento de usuários pelo Okta, provisionar grupos e atribuir funções de site do Tableau Cloud. Se você ainda não estiver familiarizado com as funções no site do Tableau e os recursos que cada uma delas permite, consulte Definir funções dos usuários no site.
Etapa 1: executar os pré-requisitos
O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML (SSO).
Preencha as seguintes seções em Configurar SAML com Okta:
Após concluir as etapas dessas duas seções, permaneça conectado ao console do administrador do Okta e ao Tableau Cloud, com as páginas a seguir exibidas:
No Tableau Cloud, a página Configurações > Autenticação.
No console de administrador do Okta, Aplicativos > Aplicativos > Tableau Cloud > Provisionamento.
Etapa 2: ativar suporte SCIM
Use as etapas a seguir para habilitar suporte SCIM com Okta. Consulte também Observações e limitações para suporte SCIM com Azure Active Directory na seção abaixo.
- Entre no seu site do Tableau Cloud como administrador do site e selecione Configurações > Autenticação.
Faça o seguinte:
Na página Autenticação, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.
Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.
Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Cloud do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.
Copie o valor do token secreto.
No console do admnistrador do Okta, faça o seguinte:
No painel esquerdo, selecione Aplicativo > Aplicativo, clique no aplicativo Tableau Cloud e clique na guia Provisionamento.
Clique no botão Habilitar integração de API.
Marque a caixa de seleção Habilitar integração da API e clique em Salvar.
Faça o seguinte:
Para API Token, cole o token secreto SCIM do Tableau Cloud copiado na etapa anterior.
Em URL base, copie e cole a URL base mostrada nas configurações SCIM do Tableau Cloud.
Clique no botão Testar credenciais de API para garantir que a configuração tenha sido feita corretamente. Se a configuração foi feita corretamente, você verá a mensagem "O Tableau Cloud foi verificado com sucesso!".
Quando concluir, clique em Salvar.
Etapa 3: atribuir usuários e grupos ao Tableau
No Okta, você precisa atribuir usuários e grupos ao aplicativo Tableau para que os usuários possam ser provisionados no Tableau.
Observação: o Okta recomenda que você tenha um grupo separado para atribuição e para grupo push. Para obter mais informações, consulte Sobre envio de grupo(O link abre em nova janela) na documentação do Okta.
No painel esquerdo, selecione Aplicativo > Aplicativo, clique no aplicativo Tableau Cloud e clique na guia Atribuições.
Clique no menu suspenso Atribuir e selecione Atribuir às pessoas ou Atribuir a grupos.
Faça o seguinte:
Selecione o usuário ou grupo relevante.
Selecione a função de site que você deseja que os usuários sejam provisionados no Tableau. As opções são:
Não licenciado
Viewer
Explorer
Explorer (pode publicar)
Creator
Explorer (Administrador de site)
Creator (Administrador de site)
Ao terminar, clique no botão Salvar e voltar.
Repita as etapas 3 a 4 conforme necessário e clique no botão Concluído.
Etapa 4: ativar provisionamento de grupo
Okta permite que você envie grupos existentes e suas associações para Tableau Cloud. Depois que um grupo é enviado, você pode gerenciar a associação ao grupo no Okta para atualizar automaticamente o grupo correspondente no Tableau Cloud. Antes de seguir estas etapas, recomendamos que você revise Pré-requisitos de push de grupo(O link abre em nova janela) e Sobre push de grupo(O link abre em nova janela) na documentação do Okta.
Importante: após habilitar o SCIM, os usuários e seus atributos devem ser gerenciados por meio do IdP. Mudanças feitas diretamente dentro do Tableau Cloud pode resultar em comportamento inesperado e valores sobrescritos.
As etapas a seguir continuam de onde você saiu da seção anterior e presumem que esteja conectado ao console do administrador do Okta.
No painel esquerdo, selecione Aplicativo > Aplicativo, clique no aplicativo Tableau Cloud e clique na guia Grupos de envio.
Clique no botão Grupos de envio e escolha uma das seguintes opções no menu suspenso.
Encontrar grupos por nome: selecione esta opção para pesquisar grupos por nome.
Encontrar grupos por regra: selecione esta opção para criar uma regra de pesquisa que envia qualquer grupo que corresponda à regra.
(Opcional) Se estiver enviando vários grupos, clique no botão Salvar e adicionar outro e repita a etapa anterior.
- Quando concluir, clique em Salvar.
Você pode desativar o envio de grupo, desvincular grupos enviados ou enviar a associação de grupo imediatamente clicando em Ativo ou Inativo na coluna Status de envio. Para excluir, desativar ou ativar vários grupos, clique em Editar em massa. Para obter mais informações, consulte Habilitar envio de grupo(O link abre em nova janela) na documentação do Okta.
Observações para suporte SCIM com o Okta
Nas configurações de atribuição de usuário do Okta, os valores para Nome de usuário e E-mail principal devem ser idênticos.
É necessário adicionar um aplicativo Okta do Tableau Cloud para cada site que deseja gerenciar usando o SCIM.
Caso deseje migrar um site, será necessário reconfigurar o provisionamento do SCIM para o novo site.
Ao provisionar novos usuários, os atributos de primeiro e último nome no Okta não são sincronizados com o Tableau Cloud. Os novos usuários devem definir esses campos ao entrar no Tableau Cloud pela primeira vez.
Quando a atribuição de um usuário ao aplicativo Tableau Cloud no Okta ou o usuário é desativado ou excluído totalmente do Okta, o usuário é convertido a uma função Sem licença do site no Tableau Cloud. Se o usuário for proprietário de algum conteúdo, primeiro você deverá reatribuir a propriedade desses ativos de conteúdo antes de poder excluir manualmente o usuário no Tableau Cloud.
Você pode definir a função de site de um usuário (como Creator, Explorer ou Viewer) no nível do usuário ou no nível do grupo. Recomendamos atribuir a função de site no nível do grupo. Se o usuário estiver atribuído a uma função de site diretamente, ele substituirá as configurações do grupo.
Um usuário pode ser membro de muitos grupos. Os grupos podem ter diferentes funções de site. Se um usuário tiver grupos atribuídos com diferentes funções de site, o usuário receberá a função de site mais permissiva no Tableau Cloud. Por exemplo, se você escolher Viewer e Creator, o Tableau atribuirá a função do site de Creator.
As funções de site são listadas abaixo da mais permissiva para a menos permissiva:
Creator (Administrador de site)
Explorer (Administrador de site)
Creator
Explorer (pode publicar)
Explorer
Viewer
Você pode atualizar o atributo de função de site para um usuário em Okta e essa alteração será propagada para o Tableau Cloud. Outros atributos, como Nome de usuário e E-mail principal, não podem ser atualizados. Para alterar esses atributos, remova o usuário, altere o atributo e adicione o usuário novamente.
A partir de fevereiro de 2024 (Tableau 2023.3), é aceito o uso do SCIM com Atribuição de licença no logon (GLSI). O GLSI exige a ativação manual da opção para um grupo e a seleção da função mínima no site para os usuários que são membros do grupo no Tableau Cloud. Não é possível definir um grupo com o atributo GLSI no Okta, mas você pode definir o atributo para o grupo provisionado no Okta no Tableau Cloud.