Konfigurera SCIM med OneLogin
Du kan konfigurera användarhantering via OneLogin, provisionera grupper och tilldela Tableau Cloud-platsroller. Om du inte har arbetat med Tableau-platsroller och associerade behörigheter tidigare rekommenderar vi att du läser Ställa in användarnas platsroller.
När du går igenom stegen nedan kan det också vara bra att ha OneLogin-dokumentationen till hands. Börja med Introduction to User Provisioning(Länken öppnas i ett nytt fönster) (på engelska) i OneLogin-dokumentationen.
Steg 1: Se till att alla krav uppfyllda
SCIM kräver att du konfigurerar platsen så att den har stöd för enkel SAML-inloggning.
Fyll i följande avsnitt i Konfigurera SAML med OneLogin(Länken öppnas i ett nytt fönster):
Fortsätt att vara inloggad på både OneLogin-portalen och i Tableau Cloud när du har följt stegen i de båda avsnitten, och se till att följande sidor visas:
I Tableau Cloud, sidan Inställningar > Autentisering.
På OneLogin-portalen: Sidan Configuration (Konfiguration).
Steg 2: Aktivera SCIM-stöd
Använd följande steg för att aktivera SCIM-stöd med OneLogin. Mer information finns i avsnittet Kommentarer om och begränsningar för SCIM-stöd med OneLogin nedan.
Obs: Kom ihåg att klicka på Spara i det övre högra hörnet på OneLogin-portalen när du har gjort konfigurationsändringar.
Logga in på Tableau Cloud-platsen som platsadministratör och välj Inställningar > Autentisering.
Gör följande:
På sidan Autentisering, under Automatisk provisionering och gruppsynkronisering (SCIM), markerar du kryssrutan Aktivera SCIM.
Detta fyller i rutorna Bas-URL och Hemlighet med värden som används i identitetsleverantörens SCIM-konfiguration.
Viktigt: Den hemliga token visas bara omedelbart efter att den har genererats. Om du tappar bort den innan den kan användas av din identitetsleverantör kan du välja Generera ny hemlighet. Dessutom är denna hemliga token kopplad till Tableau Cloud-användarkontot som tillhör platsadministratören som möjliggör SCIM-stöd. Om användarens platsroll ändras eller om användaren tas bort från platsen blir denna hemliga token ogiltig. En annan platsadministratör måste då generera en ny hemlig token och tillämpa den på din identitetsleverantör.
Kopiera det hemliga tokenvärdet.
På sidan Configuration (Konfiguration) i OneLogin-portalen gör du följande:
Klicka på Enable (Aktivera) för API Status (API-status).
I SCIM Bearer Token (SCIM-ägartoken) klistrar du in den hemliga SCIM-token för Tableau Cloud som du kopierade tidigare.
I SCIM Base URL (Bas-URL för SCIM) kopierar du och klistrar in denBas-URL som visas i SCIM-inställningarna för Tableau Cloud.
På sidan Provisioning (Provisionering) gör du följande:
Välj Enable provisioning (Aktivera provisionering).
Välj Suspend (Inaktivera) för när användare tas bort i OneLogin, eller utför åtgärden nedan när användarens programåtkomst tas bort.
Klicka på Spara.
(Valfritt) På sidan Parameters (Parametrar) mappar du SCIM Username (SCIM-användarnamn) till attributetEmail (E-post). Om du inte mappar SCIM-användarnamn till ett attribut i e-postadressformat måste du fylla i detta fält manuellt för varje användare som en del av provisioneringsprocessen.
Ett fel visas vid provisionering av användare om det mappade värdet inte innehåller användarens e-postadress.
Fortsätt att vara inloggad på OneLogin-portalen och gå till nästa avsnitt om du vill slutföra stegen för att provisionera grupper.
Steg 3: Provisionera användare och grupper
Med OneLogin kan du tilldela användarattribut som till exempel grupper eller platsroller på olika sätt. Du kan tillämpa dem på Tableau Cloud-appnivå, skapa mappningsregler eller definiera dem manuellt för enskilda användare.
Innan du börjar är det viktigt att notera att OneLogin-konceptet för grupper fungerar annorlunda än Tableau-konceptet för grupper. I OneLogin fungerar grupper som säkerhetsgränser för att tillämpa specifika säkerhetspolicyer för användare. På grund av detta kan användare bara tillhöra en grupp åt gången.
Dessutom använder OneLogin roller som behållare för applikationer som olika användarkohorter har tillgång till. När du tilldelar användare en roll ger du denne åtkomst till alla program som ingår i rollen. Detta liknar Tableau-konceptet med grupper. Användare kan ha flera roller i OneLogin, som kan mappas till en målgrupp för progra, som t.ex. Tableau Cloud.
Obs! Följande steg förutsätter att du är inloggad på OneLogin-portalen och Tableau Cloud-appen. Stegen innehåller en del information som är specifik för Tableau, som du kan använda med OneLogin-dokumentationen för att mappa attribut för grupp- och platsroller med användare.
Provisionera en användare
Använd följande steg för att provisionera enskilda användare till Tableau Cloud via OneLogin-portalen.
Gå till fliken Users (Användare) och välj den användare du vill provisionera. Då öppnas sidan med användarinställningar.
I den vänstra navigationsmenyn väljer du Applications (Program).
På sidan Applications klickar du på plusikonen (+) för att provisionera användaren för Tableau Cloud-programmet och klickar sedan på Continue (Fortsätt).
Ange lämplig Tableau Cloud-platsroll för användaren i fältet Sire Role (Platsroll). Se Ställa in användarnas platsroller(Länken öppnas i ett nytt fönster) för mer information om platsroller.
Klicka på Spara.
Provisionera flera användare med OneLogin-roller
Du kan provisionera flera användare till Tableau Cloud genom att tilldela roller i OneLogin. Användare kan läggas till roller manuellt eller automatiskt med hjälp av mappningar.
Så här lägger du till användare till en roll:
Gå till Användare > Roller och välj en befintlig roll eller skapa en ny roll. Mer information finns i OneLogin-artikeln Roles(Länken öppnas i ett nytt fönster).
Följande exempel visar rollen ”försäljning” som vi kommer att använda som grupp i Tableau Cloud senare.
På sidan Program tilldelar du rollen åtkomst till Tableau Cloud-programmet. Detta bör provisionera de associerade användarna till programmet automatiskt.
På sidan Användare kan du lägga till användare till en roll manuellt genom att ange dennes för- och efternamn, eller lägga till en mappning för att automatiskt lägga till användare till en roll baserat på specifika attribut – som till exempel dennes Active Directory-grupp.
När du har lagt till användare till roller rekommenderar vi att du skapar regler i programmet för att tilldela lämplig Tableau Cloud-platsroll baserad på OneLogin-rollen. Mer information finns i OneLogin-artikeln Configure Apps(Länken öppnas i ett nytt fönster).
I skärmbilden nedan kommer användare med rollen ”Försäljning” att tilldelas platsrollen Creator i Tableau Cloud. På samma sätt kommer användare med rollen ”Marknadsföring” att tilldelas platsrollen Viewer.
Lägga till användare till en befintlig Tableau Cloud-grupp
Importera Tableau Cloud-grupper till OneLogin och ange vilka grupper som ska vara markerade som standard i dialogrutan för användarprovisionering.
Klicka på Groups (Grupper) på sidan Parameters (Parametrar) och markera kryssrutan Include in User Provisioning (Ta med i användaretablering).
Gå till sidan Provisioning (Provisionering) och klicka på Refresh (Uppdatera) i avsnittet Entitlements (Berättiganden).
Då importeras grupperna från Tableau Cloud.
Gå tillbaka till sidan Parameters (Parametrar) och välj de grupper som ska visas som förvalda värden i dialogrutan för användaretablering.
Om du vill ändra gruppmedlemskap går du till sidan Users (Användare), väljer en användare och ändrar de tillgängliga och valda värdena i avsnittet Groups (Grupper).
Du kan också skapa mappningar som automatiskt lägger till användare i grupper, baserat på de villkor som du anger. Mer information finns i OneLogin-artikeln Mappings(Länken öppnas i ett nytt fönster).
Skapa grupper i Tableau Cloud från OneLogin
Använd följande steg för att skapa Tableau Cloud-grupper baserat på attribut i OneLogin-mappningar. Skapa till exempel en grupp i Tableau Cloud baserad på användarroller.
Gå till Applications (Program), välj Tableau Cloud-programmet och sedan Rules (Regler).
På sidan Rules klickar du på Add Rule (Lägg till regel) för att öppna fönstret för redigeringsmappning.
Under Actions (Åtgärder) väljer du Set groups (Ställ in grupper) från rullgardinsmenyn och väljer sedan Map from OneLogin (Mappa från OneLogin).
Villkorsfältet med värde som matchar använder reguljära uttryck. Om du vill skapa en grupp i Tableau Cloud som matchar rollnamnet i OneLogin skriver du
.*
i textfältet.
Tilldela Tableau-platsroller
Som standard tilldelas användare platsrollen Viewer, som är associerad med en Viewer-licens.
Oavsett vilken metod du använder i OneLogin för att tilldela platsroller kommer du förr eller senare att behöva ange platsrollen i en textruta. Du kan se vilka värden som är tillåtna i Giltiga värden för Tableau-platsroller nedan.
Här är några exempel på hur du kan tilldela platsroller
För enskilda användare:
På sidan Users (Användare) väljer du användaren och navigerar sedan till fliken Applications (Program). Välj motsvarande Tableau Cloud-program.
I användarinställningarna skriver du platsrollen namn i textrutan Site Roll (Platsroll).
För flera användare:
Klicka på Site Role (Platsroll) på sidan Parameters (Parametrar) och välj något av alternativen för att tilldela attributet för platsroller vid Value (Värde).
Exempel:
Om alla användare har samma platsroll väljer du Macro (Makro) och anger namnet på platsrollen.
Om OneLogin-användarkatalogen innehåller platsrollen väljer du motsvarande attribut.
- På sidan Rules (Regler) skapar du en regel som mappar en roll till en viss roll i Tableau Cloud.
Klicka på Spara när du har tilldelat platsrollen.
Giltiga värden för Tableau-platsroller
Vilka värden som du kan ange för platsroller på sidan Provisioning (Etablering) på OneLogin-portalen baseras på rollerna för aktuella eller äldre licenser.
För aktuella licenser finns följande värden för platsroller:
Creator, Explorer, ExplorerCanPublish, ReadOnly, ServerAdministrator, SiteAdministratorExplorer, SiteAdministratorCreator, Unlicensed och Viewer.
Platsrollerna för äldre licenstyper (före v2018.1) är:
Interactor, Publisher, ServerAdministrator, SiteAdministrator, Unlicensed, UnlicensedWithPublish, Viewer och ViewerWithPublish
Information om vad som händer om du ändrar användarattribut, och hur du återställer attributen för enskilda användare som du angett manuellt, finns i OneLogin-artikeln Provisioning Attributes: the Effect of Defaults, Rules, and Manual Entry(Länken öppnas i ett nytt fönster).
Kommentarer om och begränsningar för SCIM-stöd med OneLogin
Du måste lägga till en separat Tableau Cloud-app för varje plats som du vill hantera med SCIM.
När en befintlig användare avregistreras eller tas bort från Tableau Cloud-applikationen i OneLogin, tilldelas användaren platsrollen Unlicensed i Tableau Cloud om användaren äger innehållsresurser. Om användaren äger innehåll måste du först tilldela äganderätten till dessa resurser innan du manuellt kan ta bort användaren i Tableau Cloud.
Använd inte SCIM med Bevilja licens vid inloggning eftersom det kan resultera i att platsroller för användare eller grupper etableras på fel sätt.