กำหนดค่า SCIM ด้วย Microsoft Entra ID
คุณสามารถกำหนดค่าการจัดการผู้ใช้ผ่าน Microsoft Entra ID (หรือเรียกกันว่า Azure Active Directory (AD)), กลุ่มการจัดสรร และมอบหมายบทบาทในไซต์ของ Tableau Cloud
ในขณะที่คุณทำตามขั้นตอนต่อไปนี้ การมีเอกสารประกอบของ Entra ID อยู่ก็สามารถช่วยได้ ดูแบบฝึกสอน กำหนดค่า Tableau Cloud สำหรับการจัดสรรผู้ใช้อัตโนมัติ(ลิงก์จะเปิดในหน้าต่างใหม่)
หมายเหตุ: หากคุณเปิดใช้งานการจัดสรรสำหรับแอปพลิเคชันของคุณแล้ว และต้องการอัปเดตเพื่อใช้ปลายทาง Tableau SCIM 2.0 โปรดดูบทความของ Microsoft อัปเดต Tableau Cloud แอปพลิเคชัน(ลิงก์จะเปิดในหน้าต่างใหม่) หากคุณกำลังตั้งค่าการจัดสรรสำหรับอินสแตนซ์ใหม่ของแอปพลิเคชัน Tableau Cloud ให้ทำตามขั้นตอนด้านล่าง
ขั้นตอนที่ 1: ดำเนินการตามข้อกำหนดเบื้องต้น
ความสามารถในการใช้งานของ SCIM กำหนดให้คุณต้องกำหนดค่าไซต์ของคุณให้รองรับการลงชื่อเพียงครั้งเดียวแบบ SAML (SSO)
ดำเนินการในส่วนนี้ เพิ่ม Tableau Cloud ไปยังแอปพลิชัน Microsoft Entra ID ของคุณในกำหนดค่า SAML ด้วย Microsoft Entra ID
หลังจากเพิ่ม Tableau Cloud จาก Azure Marketplace แล้ว ยังคงลงชื่อทั้งพอร์ทัล Entra และ Tableau Cloud โดยแสดงหน้าต่อไปนี้
- ใน Tableau Cloud ไปที่การตั้งค่า > การตรวจสอบสิทธิ์
- ในพอร์ทัล Entra แอปพลิเคชัน Tableau Cloud > หน้าการจัดสรร
ขั้นตอนที่ 2: เปิดใช้งานการรองรับ SCIM
ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การรองรับ SCIM กับ IdP ของคุณ โปรดดูส่วนหมายเหตุและข้อจำกัดสำหรับการรองรับ SCIM ด้วย Azure Active Directory ด้านล่าง
หมายเหตุ: สำหรับขั้นตอนในพอร์ทัล Entra ตรวจสอบว่าคุณใช้แอป Tableau Cloud จากแกลเลอรี
เข้าสู่ระบบไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลไซต์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์
วิธีการมีดังนี้
บนหน้าการตรวจสอบสิทธิ์ในส่วนการจัดสรรอัตโนมัติและการซิงโครไนซ์กลุ่ม (SCIM) ให้เลือกช่องทำเครื่องหมายเปิดใช้งาน SCIM
ซึ่งจะเติมค่าในฟิลด์ URL ฐาน และข้อมูลลับ ด้วยค่าที่คุณจะใช้ในการกำหนดค่า SCIM ของ IdP
ข้อสำคัญ: โทเค็นข้อมูลลับจะแสดงทันทีหลังจากสร้างแล้วเท่านั้น หากคุณทำหายก่อนที่จะนำไปใช้กับ IdP ของคุณ คุณสามารถเลือกสร้างข้อมูลลับใหม่ได้ นอกจากนี้ โทเค็นข้อมูลลับยังเชื่อมโยงกับบัญชีผู้ใช้ Tableau Cloud ของผู้ดูแลเว็บไซต์ที่เปิดใช้งานการสนับสนุน SCIM หากบทบาทในเว็บไซต์ของผู้ใช้เปลี่ยนไปหรือผู้ใช้ถูกลบออกจากไซต์ โทเค็นข้อมูลลับจะไม่ถูกต้อง และผู้ดูแลเว็บไซต์รายอื่นจะต้องสร้างโทเค็นข้อมูลลับใหม่และนำไปใช้กับ IdP ของคุณ
คัดลอกค่าโทเค็นข้อมูลลับ และในหน้าการจัดสรรในพอร์ทัล Entra ของคุณ ให้ทำดังต่อไปนี้
สำหรับโหมดการจัดสรร ให้เลือกอัตโนมัติ
สำหรับวิธีการตรวจสอบสิทธิ์ ให้เลือกการตรวจสอบสิทธิ์ตัวส่ง
สำหรับ URL ของผู้เช่า ให้คัดลอกและวาง URL ฐานที่แสดงในการตั้งค่า SCIM Tableau Cloud
สำหรับโทเค็นข้อมูลลับ ให้วางโทเค็นข้อมูลลับ Tableau Cloud ของ SCIM ที่คุณคัดลอกไว้ก่อนหน้านี้
คลิกปุ่มทดสอบการเชื่อมต่อเพื่อตรวจสอบว่าข้อมูลเข้าสู่ระบบทำงานตามที่คาดไว้ จากนั้นคลิกบันทึก
ในส่วนการแมป ให้ตรวจสอบว่าเปิดใช้งานจัดสรรกลุ่ม Microsoft Entra ID และจัดสรรผู้ใช้ Microsoft Entra ID แล้ว
เลือกจัดสรรกลุ่ม Microsoft Entra ID และในหน้าการแมปแอตทริบิวต์ ให้ตรวจสอบแอตทริบิวต์ที่ซิงค์จาก Entra ID ไปยัง Tableau Cloud เพื่อบันทึกการเปลี่ยนแปลง ให้คลิกที่ บันทึก
เลือกจัดสรรผู้ใช้ Microsoft Entra ID และในหน้าการแมปแอตทริบิวต์ ให้ตรวจสอบแอตทริบิวต์ที่ซิงค์จาก Entra ID ไปยัง Tableau Cloud เพื่อบันทึกการเปลี่ยนแปลง ให้คลิกที่ บันทึก
ขั้นตอนที่ 3: มอบหมายกลุ่มไปยังแอป Tableau Cloud
ใช้ขั้นตอนต่อไปนี้เพื่อมอบหมายกลุ่มให้กับแอปแกลเลอรีของ Tableau Cloud ใน Microsoft Entra ID
จากหน้าแอปพลิเคชัน เลือกแอปองค์กร > ผู้ใช้และกลุ่ม
คลิกเพิ่มผู้ใช้/กลุ่ม
ในหน้าเพิ่มการมอบหมาย เลือกกลุ่มและมอบหมายบทบาทในไซต์อย่างใดอย่างหนึ่งต่อไป
Creator
SiteAdministratorCreator
Explorer
SiteAdministratorExplorer
ExplorerCanPublish
Viewer
ไม่มีใบอนุญาต
คลิกมอบหมาย
หมายเหตุ: คุณจะได้รับข้อผิดพลาดหากคุณเลือกบทบาทที่ไม่ได้อยู่ในรายการด้านบน หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับบทบาทในไซต์ โปรดดู กำหนดบทบาทในไซต์ของผู้ใช้
สร้างกลุ่มสำหรับบทบาทในไซต์
ผู้ใช้สามารถเป็นสมาชิกของหลายกลุ่มใน Entra ID แต่จะได้รับบทบาทในไซต์ที่ได้รับอนุญาตมากที่สุดใน Tableau Cloud ตัวอย่างเช่น หากผู้ใช้เป็นสมาชิกของสองกลุ่มที่มีบทบาทในไซต์เป็น Viewer และ Creator Tableau จะมอบหมายบทบาทในไซต์เป็น Creator
หากต้องการติดตามการมอบหมายบทบาท เราแนะนำให้สร้างกลุ่มเฉพาะบทบาทใน Entra ID เช่น “Tableau - Creator”, “Tableau - Explorer” ฯลฯ จากนั้นคุณสามารถใช้กลุ่มเพื่อจัดสรรผู้ใช้ใหม่สำหรับบทบาทที่ถูกต้องใน Tableau Cloud
บทบาทในไซต์จะระบุไว้ด้านล่าง เรียงจากบทบาทที่มีสิทธิ์มากที่สุดไปยังบทบาทที่มีสิทธิ์น้อยที่สุด:
ผู้ดูแลไซต์ในฐานะ Creator
ผู้ดูแลไซต์ในฐานะ Explorer
Creator
Explorer (สามารถเผยแพร่ได้)
Explorer
Viewer
หมายเหตุ: ผู้ใช้และแอตทริบิวต์ควรได้รับการจัดการผ่าน Entra ID การเปลี่ยนแปลงที่ทำใน Tableau Cloud โดยตรงอาจก่อให้เกิดลักษณะการทำงานที่ไม่พึงประสงค์และค่าที่ถูกเขียนทับ
ขั้นตอนที่ 4: จัดสรรกลุ่ม
หลังจากที่คุณได้เปิดใช้งานการรองรับ SCIM และมอบหมายกลุ่มให้กับแอปพลิเคชัน Tableau Cloud ใน Entra ID แล้ว ขั้นตอนต่อไปคือการจัดสรรผู้ใช้ให้กับไซต์ Tableau Cloud
ในหน้าการจัดสรร ให้ขยายส่วนการตั้งค่า และกำหนดกลุ่มที่คุณต้องการจัดสรร Tableau Cloud ในขอบเขต
หมายเหตุ: Tableau Cloud ไม่รองรับ “ซิงค์ผู้ใช้และกลุ่มทั้งหมด” ในการตั้งค่า Entra ID
สลับสถานะการจัดสรรเป็นเปิด
คลิกบันทึก
การบันทึกจะเริ่มต้นการซิงโครไนซ์เริ่มต้นของผู้ใช้หรือกลุ่มที่กำหนดไว้ในขอบเขต การซิงค์จะเกิดขึ้นทุกๆ 40 นาที เท่าที่บริการจัดสรร Entra ID ทำงาน หากต้องการจัดสรรผู้ใช้ด้วยตนเองนอกกำหนดการ ให้เลือก จัดสรรแบบออนดีมานด์ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการจัดสรรแบบออนดีมานด์ ดูบทความ Microsoft การจัดสรรแบบออนดีมานด์ใน Microsoft Entra ID(ลิงก์จะเปิดในหน้าต่างใหม่)
หลังจากการจัดสรรเสร็จสมบูรณ์ คุณควรเห็นกลุ่มจาก Entra ID ในหน้าผู้ใช้ไซต์ใน Tableau Cloud
เปลี่ยนการตรวจสอบสิทธิ์ผู้ใช้ใน Tableau Cloud
ผู้ใช้ที่จัดสรรจะได้รับประเภทการตรวจสอบสิทธิ์ SAML ตามค่าเริ่มต้น หากต้องการเปลี่ยนประเภทการตรวจสอบสิทธิ์สำหรับผู้ใช้ ให้ใช้ขั้นตอนด้านล่าง
ใน Tableau Cloud เลือกผู้ใช้
ในหน้าของผู้ใช้ของไซต์ ให้เลือกกล่องทำเครื่องหมายที่อยู่ถัดจากผู้ใช้ที่คุณต้องการกำหนดประเภทการตรวจสอบสิทธิ์
ที่เมนู การดำเนินการ ให้เลือก การตรวจสอบสิทธิ์
ในกล่องโต้ตอบการตรวจสอบสิทธิ์ ให้เลือกประเภทการตรวจสอบสิทธิ์ที่ต้องการสำหรับผู้ใช้
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับประเภทการตรวจสอบสิทธิ์ต่างๆ ใน Tableau Cloud โปรดดู การตรวจสอบสิทธิ์
SCIM และให้ใบอนุญาตเมื่อเข้าสู่ระบบ
ตั้งแต่เดือนกุมภาพันธ์ 2024 (Tableau 2023.3) เป็นต้นไป คุณสามารถใช้ SCIM ร่วมกับอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ (GLSI) ด้วย Microsoft Entra ID
การใช้ SCIM ร่วมกับ GLSI สำหรับ Entra ID ต้องมีสิ่งต่อไปนี้
ใน Entra ID เพิ่มผู้ใช้ลงในกลุ่มในแอป Tableau Cloud
ใน Tableau Cloud การเปิดใช้งานตัวเลือก GLSI สำหรับกลุ่มและเลือกบทบาทในไซต์ขั้นต่ำสำหรับผู้ใช้ที่เป็นสมาชิกของกลุ่ม
หมายเหตุ: ไม่สามารถตั้งค่ากลุ่มด้วยแอตทริบิวต์ GLSI ใน Entra ID ได้
ผู้ใช้ที่จะจัดสรรเป็นไม่มีใบอนุญาตใน Entra ID
เปิดใช้ GLSI
หากต้องการเปิดใช้งาน GLSI ใน Tableau Cloud โปรดดูอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ
ลบผู้ใช้ SCIM ร่วมกับ GLSI
คุณต้องลบผู้ใช้ SCIM ออกจากกลุ่มที่เปิดใช้งาน GLSI ใน Microsoft Entra ID ก่อนที่จะพยายามลบผู้ใช้ออกจาก Microsoft Entra ID เมื่อผู้ใช้ SCIM ถูกลบออกจากกลุ่มที่เปิดใช้งาน GLSI ทั้งหมด ผู้ใช้จะแปลงเป็นบทบาท “ไม่มีใบอนุญาต” ใน Tableau Cloud
ใน Entra ID ให้ยกเลิกการจัดสรรผู้ใช้จากกลุ่มที่เปิดใช้งาน GLSI ในแอป Tableau Cloud การยกเลิกการจัดสรรผู้ใช้ใน Entra ID จะแปลงผู้ใช้เป็น “ไม่มีใบอนุญาต” ใน Tableau Cloud และจะไม่ลบผู้ใช้
หมายเหตุ:
หากผู้ใช้ไม่ได้เป็นสมาชิกของกลุ่มแอป Tableau Cloud เพิ่มเติมใน Entra ID อีกต่อไป หรือหากผู้ใช้ได้รับการมอบหมายเป็นรายบุคคลให้กับแอป Tableau Cloud ผู้ใช้จะถูกแปลงเป็น “ไม่มีใบอนุญาต” ใน Tableau Cloud
หากคุณต้องการลบผู้ใช้ SCIM ใน Tableau Cloud (ดูลบผู้ใช้ SCIM ด้านล่าง) คุณลบผู้ใช้ออกจาก Tableau Cloud ด้วยตนเอง
นำผู้ใช้ออกจากกลุ่มที่เปิดใช้งาน GLSI
ลบผู้ใช้ SCIM ออกจากเว็บไซต์
หากคุณพบปัญหา โปรดดูบทความในฐานข้อมูลข้อผิดพลาด “บทบาทผู้ใช้ไม่ได้อัปเดตเป็น: ไม่มีใบอนุญาต (errorCode=10079)” เมื่อพยายามยกเลิกการจัดสรรผู้ใช้ผ่าน SCIM(ลิงก์จะเปิดในหน้าต่างใหม่)
เกี่ยวกับกลุ่ม “ผู้ใช้ทั้งหมด” ของ Tableau Cloud
หากคุณเปิดใช้งานกลุ่ม “ผู้ใช้ทั้งหมด” เริ่มต้นร่วมกับ GLSI คุณจะไม่สามารถยกเลิกการจัดสรรผู้ใช้ใน Entra ID ได้ ดังนั้นจึงไม่สามารถยกเลิกใบอนุญาตของผู้ใช้ใดๆ ที่อยู่ในกลุ่มที่เปิดใช้งาน GLSI ใน Tableau Cloud หากต้องการลบผู้ใช้ SCIM ในกลุ่ม “ผู้ใช้ทั้งหมด” ที่เปิดใช้งาน GLSI คุณต้องลบผู้ใช้ออกจาก Tableau Cloud ด้วยตนเอง
หมายเหตุ: หากผู้ใช้มีเนื้อหาที่เชื่อมโยงกับตน คุณจะต้องมอบหมายการเป็นเจ้าของเนื้อหาให้กับผู้ใช้รายอื่นอีกครั้งก่อนจึงจะสามารถลบผู้ใช้ได้
ลบผู้ใช้ SCIM
การลบผู้ใช้ SCIM ใน Entra ID จะแปลงบทบาท “ไม่มีใบอนุญาต” เท่านั้น และจะไม่ลบผู้ใช้ใน Tableau Cloud หากคุณต้องการลบผู้ใช้ คุณต้องลบผู้ใช้ใน Tableau Cloud ด้วยตนเอง
หากต้องการข้อมูลเพิ่มเติม โปรดดู “ลบผู้ใช้ออกจากไซต์” ในหัวข้อดู จัดการ หรือนำผู้ใช้ออก
หมายเหตุ: หากผู้ใช้มีเนื้อหาที่เชื่อมโยงกับตน คุณจะต้องมอบหมายการเป็นเจ้าของเนื้อหาให้กับผู้ใช้รายอื่นอีกครั้งก่อนจึงจะสามารถลบผู้ใช้ได้
หมายเหตุสำหรับการรองรับ SCIM ด้วย Microsoft Entra ID
คุณต้องเพิ่มแอป Tableau Cloud แยกต่างหากสำหรับแต่ละไซต์ที่คุณต้องการจัดการโดยใช้ SCIM
เมื่อยกเลิกการจัดสรรผู้ใช้ในแอปพลิเคชัน Tableau Cloud ใน Azure AD หรือหากผู้ใช้ถูกลบออกจาก Azure AD ทั้งหมด ผู้ใช้จะแปลงเป็นบทบาทในไซต์ไม่มีใบอนุญาตใน Tableau Cloud หากผู้ใช้ไม่ได้เป็นเจ้าของเนื้อหา ก่อนอื่นคุณจะต้องมอบหมายสิทธิ์ความเป็นเจ้าของให้กับแอสเซทเนื้อหาเหล่านี้อีกครั้งก่อนที่จะลบผู้ใช้ใน Tableau Cloud
ตั้งแต่เดือนกุมภาพันธ์ 2024 (Tableau 2023.3) เป็นต้นไป จะรองรับการใช้ SCIM ร่วมกับอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ (GLSI) หากต้องการข้อมูลเพิ่มเติม โปรดดู SCIM และให้ใบอนุญาตเมื่อเข้าสู่ระบบข้างต้น