Ajuda do Tableau Cloud

É possível configurar o gerenciamento de usuários pelo Okta, provisionar grupos e atribuir funções de site do Tableau Cloud. Se você ainda não estiver familiarizado com as funções no site do Tableau e os recursos que cada uma delas permite, consulte Definir funções dos usuários no site.

Etapa 1: executar os pré-requisitos

O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML (SSO).

1. Preencha as seguintes seções em Configurar SAML com Okta:

   • Etapa1: abrir as configurações do SAML do Tableau Cloud

   • Etapa 2: adicionar o Tableau Cloud aos aplicativos Okta

2. Após concluir as etapas dessas duas seções, permaneça conectado ao console do administrador do Okta e ao Tableau Cloud, com as páginas a seguir exibidas:

   • No Tableau Cloud, a página Configurações > Autenticação.

   • No console de administrador do Okta, Aplicativos > Aplicativos > Tableau Cloud > Provisionamento.

Etapa 2: ativar suporte SCIM

Use as etapas a seguir para habilitar suporte SCIM com Okta. Consulte também a seção abaixo Observações para suporte SCIM com o Okta.

1. Entre no seu site do Tableau Cloud como administrador do site e selecione Configurações > Autenticação.

2. Faça o seguinte:

   1. Na página Autenticação, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.

      Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.

      Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Cloud do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.

3. Copie o valor do token secreto.

   

4. No console do admnistrador do Okta, faça o seguinte:

   1. No painel esquerdo, selecione Aplicativo > Aplicativo, clique aplicativo Tableau Cloud e clique na guia Provisionamento.

   2. Clique no botão Habilitar integração de API.

   3. Marque a caixa de seleção Habilitar integração da API e clique em Salvar.

   4. Faça o seguinte:

      1. Para API Token, cole o token secreto SCIM do Tableau Cloud copiado na etapa anterior.

      2. Em URL base, copie e cole a URL base mostrada nas configurações SCIM do Tableau Cloud.

5. Clique no botão Testar credenciais de API para garantir que a configuração tenha sido feita corretamente. Se a configuração foi feita corretamente, você verá a mensagem "O Tableau Cloud foi verificado com sucesso!".

6. Quando concluir, clique em Salvar.

Etapa 3: atribuir grupos ao aplicativo Tableau

Para provisionamento de usuários no Tableau, recomendamos que você gerencie usuários em grupos para facilitar o gerenciamento no Tableau.

No Okta, atribua grupos ao aplicativo Tableau para que os usuários possam ser provisionados no Tableau Cloud. Mais especificamente, você precisa de dois grupos distintos, um grupo atribuído à guia Atribuição e um grupo atribuído à guia Grupo de envio. O grupo na guia Atribuições é usado para criar usuários no Tableau Cloud. O grupo na guia Enviar grupo é usado para criar o grupo e gerenciar a associação ao grupo no Tableau Cloud.

Observações:

• O Okta exige que você tenha um grupo na guia Atribuições e um grupo na guia Grupo de envio para evitar uma condição de corrida. Para obter mais informações, veja Atribuições de aplicativos e Grupo de envio(O link abre em nova janela) e Sobre Grupo de envio(O link abre em nova janela) na documentação do Okta.

• As etapas deste procedimento pressupõem que você já criou pelo menos dois grupos. Para obter mais informações sobre a criação de grupos no Okta, consulte: Criar um grupo(O link abre em nova janela) na documentação do Okta.

Você pode usar o procedimento abaixo para adicionar um grupo e atribuí-lo ao aplicativo Tableau.

1. No painel esquerdo, selecione Aplicativo > Aplicativo, clique aplicativo Tableau Cloud e clique na guia Atribuições.

2. Clique no menu suspenso Atribuir e selecione Atribuir a grupos.

3. Faça o seguinte:

   1. Selecione o grupo relevante.

   2. Selecione a função de site que você deseja que os usuários sejam provisionados no Tableau. As opções são:

      • Não licenciado

      • Viewer

      • Explorer

      • Explorer (pode publicar)

      • Creator

      • Explorer (Administrador de site)

      • Creator (Administrador de site)

4. Ao concluir, clique no botão Salvar e voltar.

5. Repita as etapas 1 a 4 da guia Grupo de envio e, em seguida, clique no botão Concluído.

Etapa 4: ativar provisionamento de grupo

Okta permite que você envie grupos existentes e suas associações para Tableau Cloud. Depois que um grupo é enviado, você pode gerenciar a associação ao grupo no Okta para atualizar automaticamente o grupo correspondente no Tableau Cloud. Antes de seguir estas etapas, recomendamos que você revise Pré-requisitos de push de grupo(O link abre em nova janela) e Sobre push de grupo(O link abre em nova janela) na documentação do Okta.

Importante: após habilitar o SCIM, os usuários e seus atributos devem ser gerenciados por meio do Okta. Mudanças feitas diretamente dentro do Tableau Cloud pode resultar em comportamento inesperado e valores sobrescritos.

O procedimento a seguir continua de onde você saiu da seção anterior e presume que esteja conectado ao console do administrador do Okta.

1. No painel esquerdo, selecione Aplicativo > Aplicativo, clique no aplicativo Tableau Cloud e na guia Grupos de envio.

2. Clique no botão Grupos de envio e escolha uma das seguintes opções no menu suspenso.

• Encontrar grupos por nome: selecione esta opção para pesquisar grupos por nome.

• Encontrar grupos por regra: selecione esta opção para criar uma regra de pesquisa que envia qualquer grupo que corresponda à regra.

Você pode desativar o envio de grupo, desvincular grupos enviados ou enviar a associação de grupo imediatamente clicando em Ativo ou Inativo na coluna Status de envio. Para excluir, desativar ou ativar vários grupos, clique em Editar em massa. Para obter mais informações, consulte Habilitar envio de grupo(O link abre em nova janela) na documentação do Okta.

3. (Opcional) Se estiver enviando vários grupos, clique no botão Salvar e adicionar outro e repita a etapa anterior.

4. Quando concluir, clique em Salvar.

SCIM e concessão de licença ao entrar

A partir de fevereiro de 2024 (Tableau 2023.3), você poderá usar o SCIM com Atribuição de licença no logon (GLSI) com Okta.

Usar SCIM com GLSI para Okta requer o seguinte:

1. No Okta, adicionar usuários aos grupos nas guias Atribuição e Grupo de envio do aplicativo Tableau.

2. No Tableau Cloud, habilite a opção GLSI para os grupos e selecione a função mínima no site para os usuários que são membros dos grupos.

   Observação: não é possível definir um grupo com o atributo GLSI no Okta.

3. Usuários a serem provisionados como "Não licenciados" no Okta.

Habilitar GLSI

Para configurar e ativar o GLSI, consulte Atribuição de licença no logon.

Remover usuários do SCIM com GLSI

Você deve primeiro remover os usuários do SCIM de seus grupos habilitados para GLSI no Okta antes de tentar desativá-los no Okta. A desativação de usuários definirá os usuários para a função “Não licenciado” no Tableau Cloud. No entanto, os usuários não poderão obter a função “Não licenciado” no Tableau Cloud até que não sejam mais membros de nenhum grupo habilitado para GLSI.

1. No Okta, primeiro remova o usuário do grupo habilitado para GLSI atribuído à guia Grupo de envio.

2. No Okta, desprovisione o usuário removendo-o do grupo habilitado para GLSI atribuído à guia Atribuições ou excluindo o usuário no Okta. Depois de fazer isso, o usuário será convertido para “Não licenciado” no Tableau Cloud. Desprovisionar um usuário no Okta apenas faz com que o usuário seja convertido em “Não licenciado” no Tableau Cloud e não o exclui.

   Observações: 

   • Se você deseja excluir um usuário no Okta, consulte Desativar e excluir contas de usuário(O link abre em nova janela) na documentação do Okta.

   • Se você quiser excluir o usuário SCIM no Tableau Cloud (consulte Excluir usuários do SCIM, abaixo), você exclui manualmente o usuário do Tableau Cloud.

Se você encontrar problemas, consulte o artigo de conhecimento Erro “A função do usuário não foi atualizada para: não licenciado (errorCode=10079)” ao tentar desprovisionar usuários via SCIM(O link abre em nova janela).

Sobre o grupo “Todos os usuários” do Tableau Cloud

Se você tiver habilitado o grupo padrão “Todos os usuários” com GLSI, não será possível desprovisionar os usuários no Okta e, portanto, não será possível obter a função “Não licenciado” para nenhum dos usuários que pertencem ao grupo habilitado para GLSI no Tableau Cloud. Para remover usuários do SCIM no grupo “Todos os usuários” habilitado para GLSI, você deve excluir manualmente os usuários do Tableau Cloud.

Observação: se os usuários tiverem conteúdo associado a eles, você precisará reatribuir a propriedade do conteúdo a outros usuários antes de poder excluí-los.

Excluir usuários do SCIM

A exclusão de usuários SCIM no Okta apenas os converterá na função “Não licenciado” e não os excluirá no Tableau Cloud. Se quiser excluir usuários, você deverá excluí-los manualmente no Tableau Cloud.

Para obter mais informações sobre a exclusão de usuários, consulte Remover usuários de um site no tópico Exibir, gerenciar ou remover usuários.

Observações para suporte SCIM com o Okta

• Nas configurações de atribuição de usuário do Okta, os valores para Nome de usuário e E-mail principal devem ser idênticos.

• É necessário adicionar um aplicativo Okta do Tableau Cloud para cada site que deseja gerenciar usando o SCIM.

• Caso deseje migrar um site, será necessário reconfigurar o provisionamento do SCIM para o novo site.

• Ao provisionar novos usuários, os atributos de primeiro e último nome no Okta não são sincronizados com o Tableau Cloud. Os novos usuários devem definir esses campos ao entrar no Tableau Cloud pela primeira vez.

• Quando a atribuição de um usuário ao aplicativo Tableau Cloud no Okta ou o usuário é desativado ou excluído totalmente do Okta, o usuário é convertido a uma função “Sem licença” do site no Tableau Cloud. Se o usuário for proprietário de algum conteúdo, primeiro você deverá reatribuir a propriedade desses ativos de conteúdo antes de poder excluir manualmente o usuário no Tableau Cloud.

• Você pode definir a função de site de um usuário (como Creator, Explorer ou Viewer) no nível do usuário ou no nível do grupo. Recomendamos atribuir a função de site no nível do grupo. Se o usuário estiver atribuído a uma função de site diretamente, ele substituirá as configurações do grupo.

• Um usuário pode ser membro de muitos grupos. Os grupos podem ter diferentes funções de site. Se um usuário tiver grupos atribuídos com diferentes funções de site, o usuário receberá a função de site mais permissiva no Tableau Cloud. Por exemplo, se você escolher Viewer e Creator, o Tableau atribuirá a função do site de Creator.

  As funções de site são listadas abaixo da mais permissiva para a menos permissiva:

  • Creator (Administrador de site)

  • Explorer (Administrador de site)

  • Creator

  • Explorer (pode publicar)

  • Explorer

  • Viewer

• Você pode atualizar o atributo de função de site para um usuário em Okta e essa alteração será propagada para o Tableau Cloud. Outros atributos, como Nome de usuário e E-mail principal, não podem ser atualizados. Para alterar esses atributos, remova o usuário, altere o atributo e adicione o usuário novamente.

• A partir de fevereiro de 2024 (Tableau 2023.3), é aceito o uso do SCIM com Atribuição de licença no logon (GLSI). Para obter mais informações, consulte SCIM e concessão de licença ao entrar acima.