Automatizar o provisionamento de usuários e sincronização de grupos por meio de um provedor de identidade externo

Automatize a adição ou remoção de usuários do Tableau Online ou adicione ou remova membros de grupos usando o provedor de identidade (IdP). O gerenciamento de usuários do IdP do Tableau Online usa o padrão System for Cross-domain Identity Management (Sistema de Gerenciamento de Usuários entre Domínios, SCIM), que é um padrão aberto para automatização da troca de informações de identidade de usuário. No momento, oferecemos suporte ao SCIM com os seguintes IdPs:

  • Okta
  • OneLogin

Pretendemos suportar IdPs adicionais conforme a funcionalidade evolui. Se tiver dúvidas sobre os planos futuros, envie um e-mail para nossa equipe de pré-lançamento do SCIM.

Observação: se você estiver usando o Microsoft Azure Active Directory, poderá provisionar automaticamente usuários e grupos com etapas no seguinte artigo da Microsoft: Configurar o Tableau Online para provisionamento automático de usuário(Link opens in a new window).

O SCIM é usado para provisionar usuários nos aplicativos na nuvem, como o Tableau Online. Os IdPs da nuvem gerenciam identidades de usuário centralmente, incluindo atribuir usuários a aplicativos e grupos. O IdP usa o padrão SCIM para garantir que os aplicativos de downstream estejam sincronizados com as atribuições de provisionamento configuradas com o IdP. Gerenciar usuários dessa maneira aumenta a segurança e pode reduzir consideravelmente a quantidade de trabalho manual dos administradores de site do Tableau Online ao gerenciar usuários do site e associação de grupos.

Pré-requisitos

Para habilitar a integração SCIM com o site do Tableau Online, é necessário os níveis de acesso adequados:

  • Acesso do administrador ao site do Tableau Online.

  • Capacidade de modificar as configurações do IdP para o Tableau Online

Etapas para habilitar o suporte SCIM com seu IdP

As seções a seguir fornecem etapas específicas de IdP para habilitar o suporte SCIM para seu site do Tableau Online.

Observação: algumas dessas etapas refletem a interface do IdP de terceiros. Essas configurações do IdP estão sujeitas a alterações sem nosso conhecimento.

Habilitar suporte para SCIM com o Okta

Use as etapas a seguir para habilitar suporte SCIM: Consulte também Observações e limitações conhecidas do suporte SCIM com o Okta.

  1. O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML. Se ainda não tiver feito isso, conclua as seguintes em Configurar SAML com Okta:

    Após concluir as etapas dessas duas seções, permaneça conectado ao console do Okta e ao Tableau Online, com as páginas a seguir exibidas:

    • No Tableau Online, a página Configurações > Autenticação.

    • No console de desenvolvedor do Okta, AplicativosTableau Online > Provisionamento.

  2. Na página Autenticação, no Tableau Online, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.

    Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.

    Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Online do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.

  3. Copie o valor de token secreto e, em seguida, na página Provisionamento no console do administrador do Okta, selecione Integração da API na coluna Configurações.

  4. Selecione Editar e faça o seguinte:

    • Marque a caixa de seleção Habilitar integração da API.

    • Para API Token, cole o token secreto SCIM do Tableau Online copiado na etapa anterior.

    • Em URL base, copie e cole a URL base mostrada nas configurações SCIM do Tableau Online.

Observações e limitações conhecidas do suporte SCIM com o Okta

  • Nas configurações de atribuição de usuário do Okta, os valores para Nome de usuário e E-mail principal devem ser idênticos.

  • É necessário adicionar um aplicativo Okta do Tableau Online para cada site que deseja gerenciar usando o SCIM.

  • Caso deseje migrar um site, será necessário reconfigurar o provisionamento do SCIM para o novo site.

  • Ao provisionar novos usuários, os atributos de primeiro e último nome no Okta não são sincronizados com o Tableau Online. Os novos usuários devem definir esses campos ao entrar no Tableau Online pela primeira vez.

  • Você pode definir a função de site de um usuário (como Creator, Explorer ou Viewer) no nível do usuário ou no nível do grupo. Recomendamos atribuir a função de site no nível do grupo. Se o usuário estiver atribuído a uma função de site diretamente, ele substituirá as configurações do grupo.

  • Um usuário pode ser membro de muitos grupos. Os grupos podem ter diferentes funções de site. Se um usuário tiver grupos atribuídos com diferentes funções de site, o usuário receberá a função de site mais permissiva no Tableau Online. Por exemplo, se você escolher Viewer e Creator, o Tableau atribuirá a função do site de Creator.

    As funções de site são listadas abaixo da mais permissiva para a menos permissiva:

    • Criador do administrador de site

    • Explorador do administrador de site

    • Creator

    • Explorer (pode publicar)

    • Explorer

    • Viewer

  • Você pode atualizar o atributo de função de site para um usuário em Okta e essa alteração será propagada para o Tableau Online. Outros atributos, como Nome de usuário e E-mail principal, não podem ser atualizados. Para alterar esses atributos, remova o usuário, altere o atributo e adicione o usuário novamente.

Habilitar suporte para SCIM com o OneLogin

É possível configurar o gerenciamento de usuários pelo OneLogin, provisionar grupos e atribuir funções de site do Tableau Online. Se você ainda não estiver familiarizado com as funções no site do Tableau e os recursos que cada uma delas permite, consulte Definir funções dos usuários no site.

Enquanto conclui estas etapas, talvez também seja útil ter a documentação do OneLogin à mão. Comece por Introdução ao provisionamento de usuários(Link opens in a new window).

  1. O recurso de SCIM requer que você configure seu site para suportar o logon único de SAML. Se ainda não tiver feito isso, conclua as seguintes seções do artigo "Configurar SAML com OneLogin".

    Após concluir as etapas dessas duas seções, permaneça conectado ao portal OneLogin e ao Tableau Online, com as seguintes páginas exibidas:

    • No Tableau Online, a página Configurações > Autenticação.

    • No portal OneLogin, a página Configuração.

  2. Na página Autenticação, no Tableau Online, em Sincronização de Grupos e Provisionamento Automático (SCIM), marque a caixa de seleção Ativar SCIM.

    Isso preenche as caixas URL base e Segredo com os valores que serão usados na configuração SCIM do IdP.

    Importante: o token de segredo é exibido apenas assim que é gerado. Caso o perca antes de aplicá-lo ao IdP, é possível selecionar Gerar novo segredo. Além disso, o token de segredo está ligado à conta de usuário do Tableau Online do administrador de site que habilita o suporte ao SCIM. Se essa função no site do usuário for alterada ou o usuário for removido do site, o token de segredo se torna inválido e outro administrador de site deve gerar um novo token de segredo e aplicá-lo ao seu IdP.

  3. Copie o valor de token secreto e, na página Configuração do portal OneLogin, faça o seguinte:

    • Em Status de API, clique em Habilitar.

    • Em Token de portador SCIM, cole o token secreto SCIM do Tableau Online copiado anteriormente.

    • Em URL base SCIM, copie e cole a URL base mostrada nas configurações SCIM do Tableau Online.

      Image of the OneLogin portal's Configuration page

  4. Na página Provisionamento:

    • Marque a caixa de seleção Habilitar provisionamento para o Tableau.

    • Selecione Suspender para Quando usuários forem excluídos no OneLogin, execute esta ação no Tableau.

      Image of the OneLogin portal's Provisioning page set for Tableau Online

  5. Clique em Salvar. Se você quiser concluir as etapas de provisionamento de grupos, mantenha-se conectado ao portal OneLogin e prossiga para a próxima seção.

Habilitar o provisionamento de grupos e atribuir funções no site do Tableau

O OneLogin oferece várias maneiras de atribuir atributos de usuário, como grupos ou funções no site. Você pode aplicá-las no nível de aplicativo do Tableau Online, criar regras de mapeamento ou aplicá-las manualmente a usuários individuais.

As etapas a seguir continuam de onde você saiu da seção anterior e presumem que esteja conectado ao portal OneLogin e ao aplicativo Tableau Online. Essas etapas fornecem algumas informações específicas do Tableau que você pode usar com a documentação do OneLogin para o mapeamento de atributos de grupo e função no site para os usuários.

Provisionar grupos

Importe grupos do Tableau Online para o OneLogin e especifique os grupos que você deseja que sejam selecionados por padrão na caixa de diálogo de provisionamento de usuários.

  1. Na página Parâmetros, clique em Grupos e marque a caixa de seleção Incluir em provisionamento de usuários.

  2. Vá até a página Provisionamento e, na seção Direitos, clique em Atualizar.

    Esse procedimento importa os grupos do Tableau Online.

  3. Volte para a página Parâmetros e selecione os grupos que você deseja mostrar como valores selecionados na caixa de diálogo de provisionamento de usuários.

  4. Para alterar os membros do grupo, vá até a página Usuários, selecione um usuário e, na seção Grupos, modifique os valores disponíveis e selecionados.

Você também pode criar mapeamentos que colocam os usuários em grupos automaticamente, com base nas condições definidas por você. Para começar agora, consulte o artigo Mapeamentos(Link opens in a new window) do OneLogin.

Atribuir funções no site do Tableau

Por padrão, os usuários recebem a função de site Viewer (Visualizador), que assume uma licença Viewer (Visualizador).

Seja qual for o método usado no OneLogin para atribuir funções no site, em algum momento você precisará inserir o nome da função no site em uma caixa de texto. Para obter os valores permitidos que você pode digitar, consulte Valores válidos de funções no site do Tableau abaixo das etapas.

Veja algumas formas possíveis de atribuir funções no site:

  • Para usuários individuais: na guia Usuários, selecione o usuário e, nas configurações do usuário, digite o nome da função no site na caixa de texto.

  • Para um conjunto de usuários: na página Parâmetros, clique em Função no site e, para Valor, selecione uma das opções para atribuir o atributo de função no site. Por exemplo:

    • Se todos os usuários tiverem a mesma função no site, selecione Macro e insira o nome da função no site.

    • Se o diretório do usuário do OneLogin incluir a função no site, selecione o atributo correspondente.

Quando terminar de atribuir a função no site, clique em Salvar.

Valores válidos de funções no site do Tableau

Na página Provisionamento do portal OneLogin, os valores de funções no site que você pode inserir são baseados nas funções de licenças atuais ou herdadas.

  • Funções de licenças atuais incluem os seguintes valores de função no site:

    Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed ou Viewer.

  • Tipos de licenças herdadas (pré-v2018.1) vêm com as seguintes funções no site:

    Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer ou ViewerWithPublish

Consulte também

Para saber os efeitos da alteração de atributos de usuário ou aprender a redefinir atributos de usuário individuais alterados manualmente, consulte o artigo do OneLogin Atributos de provisionamento: o efeito de padrões, regras e entrada manual(Link opens in a new window).

Substituir um token secreto SCIM

Quando você precisa substituir seu token secreto SCIM (sistema para gerenciamento de identidade entre domínios), você pode fazer uma das seguintes ações:

  • No Tableau Online, na página Configurações > Autorização, sob Provisionamento Automático e sincronização de grupo (SCIM),clique em Gerar novo segredo para gerar um novo token secreto para substituir o antigo. Quando você gera um novo token secreto, para usá-lo, deve reconfigurar o SCIM.
  • Um administrador pode revogar um token secreto que pertence a outro usuário excluindo esse usuário do site Tableau Online e, em seguida, adicionando-o de volta ao site.
Agradecemos seu feedback!