Konfigurera SCIM med Okta
Du kan konfigurera användarhantering via Okta, provisionera grupper och tilldela Tableau Cloud-platsroller. Om du inte har arbetat med Tableau-platsroller och associerade behörigheter tidigare rekommenderar vi att du läser Ställa in användarnas platsroller.
Steg 1: Se till att alla krav uppfyllda
SCIM kräver att du konfigurerar platsen så att den har stöd för enkel SAML-inloggning.
Fyll i följande avsnitt i Konfigurera SAML med Okta:
När du har slutfört stegen i de här två avsnitten fortsätter du att vara inloggad i både Okta-konsolen och Tableau Cloud och ser till att följande sidor visas:
I Tableau Cloud, sidan Inställningar > Autentisering.
I Oktas administratörskonsol, Applications (Program) > Applications (Program) > Tableau Cloud > Provisioning (Provisionering).
Steg 2: Aktivera SCIM-stöd
Använd följande steg för att aktivera SCIM-stöd med Okta. Mer information finns i Kommentarer om och begränsningar för SCIM-stöd med Azure Active Directory i nedanstående avsnitt.
- Logga in på Tableau Cloud-platsen som platsadministratör och välj Inställningar > Autentisering.
Gör följande:
På sidan Autentisering, under Automatisk provisionering och gruppsynkronisering (SCIM), markerar du kryssrutan Aktivera SCIM.
Detta fyller i rutorna Bas-URL och Hemlighet med värden som används i identitetsleverantörens SCIM-konfiguration.
Viktigt: Den hemliga token visas bara omedelbart efter att den har genererats. Om du tappar bort den innan den kan användas av din identitetsleverantör kan du välja Generera ny hemlighet. Dessutom är denna hemliga token kopplad till Tableau Cloud-användarkontot som tillhör platsadministratören som möjliggör SCIM-stöd. Om användarens platsroll ändras eller om användaren tas bort från platsen blir denna hemliga token ogiltig. En annan platsadministratör måste då generera en ny hemlig token och tillämpa den på din identitetsleverantör.
Kopiera det hemliga tokenvärdet.
Gör följande i Oktas administratörskonsol:
I den vänstra rutan väljer du Application (Program) > Application (Program), klickar på Tableau Cloud och sedan på fliken Provisioning (Provisionering).
Klicka på knappen Enable API Integration (Aktivera API-integrering).
Markera kryssrutan Aktivera API-integrering och klicka på Spara.
Gör följande:
I API Token (API-token) klistrar du in den hemliga SCIM-token för Tableau Cloud som du kopierade i föregående steg.
I Base URL (Bas-URL) kopierar du och klistrar in bas-URL:en som visas i SCIM-inställningarna för Tableau Cloud.
Klicka på Test API Credentials (Testa API-uppgifter) för att kontrollera att konfigurationen är korrekt. Om konfigurationen gjordes korrekt visas meddelandet "Tableau Cloud verifierades!".
Klicka på Spara när du är klar.
Steg 3: Tilldela användare och grupper till Tableau
I Okta måste du tilldela användare och grupper till Tableau-programmet så att användarna kan provisioneras till Tableau.
Obs! Okta rekommenderar att du har en separat grupp för tilldelning och för överförda grupper. Mer information finns i About Group Push(Länken öppnas i ett nytt fönster) (på engelska) i dokumentationen för Okta.
I fönstret till vänster väljer du Application (Program) > Application (Program), klickar på Tableau Cloud och sedan på fliken Assignments (Tilldelningar).
Klicka på listrutan Assign (Tilldela) och välj antingen Assign to People (Tilldela till personer) eller Assign to Groups (Tilldela till grupper).
Gör följande:
Välj relevant användare eller grupp.
Välj den platsroll du vill att användarna ska provisioneras med i Tableau. Alternativen är:
Olicensierad
Viewer
Explorer
Explorer (kan publicera)
Creator
Platsadministratör – Explorer
Platsadministratör – Creator
När du är klar klickar du på knappen Spara och gå tilbaka.
Upprepa steg 3-4 efter behov och klicka sedan på knappen Klar.
Steg 4: Aktivera provisionering av grupper
Med Okta kan du föra befintliga grupper och deras medlemskap till Tableau Cloud. När en grupp överförs kan du hantera gruppmedlemskap i Okta och automatiskt uppdatera motsvarande grupp i Tableau Cloud. Innan du följer dessa steg rekommenderar vi att du läser Group Push prerequisites(Länken öppnas i ett nytt fönster) och About Group Push(Länken öppnas i ett nytt fönster) i Okta-dokumentationen.
Viktigt: När SCIM har aktiverats ska användare och deras attribut hanteras via identitetsprovidern. Ändringar som görs direkt i Tableau Cloud kan leda till oväntat beteende och överskrivna värden.
Följande steg tar vid där du slutade i föregående avsnitt och förutsätter att du är inloggad i Okta-administratörskonsolen.
I fönstret till vänster väljer du Application (Program) > Application (Program), klickar på Tableau Cloud-programmet och sedan på fliken Push Groups (Överför grupper).
Klicka på knappen Push Groups (Överför grupper) och välj sedan ett av följande alternativ på listrutemenyn:
Find groups by name (Sök efter grupper baserat på namn): Välj det här alternativet om du vill söka efter grupper baserat på namn.
Find groups by rule (Sök efter grupper baserat på regel): Välj det här alternativet om du vill skapa en sökregel som överför alla grupper som matchar en regel.
(Valfritt) Om du överför flera grupper klickar du på Spara och lägg till ytterligare och upprepar föregående steg.
- Klicka på Spara när du är klar.
Du kan inaktivera gruppöverföring, bryta kopplingen till överförda grupper eller överföra gruppmedlemskap direkt genom att klicka på Active (Aktiv) eller Inactive (Inaktiv) i kolumnen Push Status (Överföringsstatus). Om du vill ta bort, inaktivera eller aktivera flera grupper klickar du på Bulk Edit (Redigera flera). Mer information finns i Aktivera gruppöverföring(Länken öppnas i ett nytt fönster) (på engelska) i dokumentationen för Okta.
Kommentarer för SCIM-stöd med Okta
I inställningarna för användartilldelning i Okta måste User Name (Användarnamn) och Primary email (Primär e-postadress) ha samma värden.
Du måste lägga till en separat Okta-app för Tableau Cloud för varje plats som du vill hantera med SCIM.
Om du vill migrera en plats måste du konfigurera om SCIM-etableringen för den nya platsen.
Vid provisionering av nya användare synkroniseras inte attributen för- och efternamn i Okta med Tableau Cloud. Nya användare måste ange dessa fält första gången de loggar in på Tableau Cloud.
När en användare avregistreras från Tableau Cloud-applikationen i Okta eller om användaren inaktiveras eller tas bort helt från Okta, tilldelas användaren platsrollen Unlicensed i Tableau Cloud. Om användaren äger innehåll måste du först tilldela äganderätten till dessa resurser innan du manuellt kan ta bort användaren i Tableau Cloud.
Du kan ange en användares platsroll (t.ex. Creator, Explorer eller Viewer) i Okta på användar- eller gruppnivå. Vi rekommenderar att du tilldelar platsrollen på gruppnivå. Om användaren tilldelas en platsroll direkt åsidosätter den eventuella gruppinställningar.
En användare kan vara medlem i många grupper. Grupper kan ha olika platsroller. Om en användare tilldelas grupper med olika platsroller tilldelas användaren den minst restriktiva platsrollen i Tableau Cloud. Om du till exempel väljer Viewer och Creator tilldelas platsrollen Creator.
Platsrollerna nedan visas från den minst restriktiva till den mest restriktiva:
Platsadministratör – Creator
Platsadministratör – Explorer
Creator
Explorer (kan publicera)
Explorer
Viewer
Du kan uppdatera attributet för platsrollen för en användare i Okta, så distribueras ändringen till Tableau Cloud. Det går inte att uppdatera andra attribut som till exempel User Name (Användarnamn) och Primary email (Primär e-postadress). Om du vill ändra dessa attribut tar du bort användaren, ändrar attributet och lägger sedan till användaren igen.
Från och med februari 2024 (Tableau 2023.3) stöds användning av SCIM med Bevilja licens vid inloggning (GLSI). GLSI kräver manuell aktivering av alternativet för en grupp och val av lägsta platsroll för de användare som är medlemmar i gruppen i Tableau Cloud. Det är inte möjligt att ställa in en grupp med GLSI-attributet i Okta, men du kan ställa in attributet för gruppen du har provisionerat från Okta i Tableau Cloud.