กำหนดค่า SCIM ด้วย Microsoft Entra ID


คุณสามารถกำหนดค่าการจัดการผู้ใช้ผ่าน Microsoft Entra ID (หรือเรียกกันว่า Azure Active Directory (AD)), กลุ่มการจัดสรร และมอบหมายบทบาทในไซต์ของ Tableau Cloud

ในขณะที่คุณทำตามขั้นตอนต่อไปนี้ การมีเอกสารประกอบของ Entra ID อยู่ก็สามารถช่วยได้ ดูแบบฝึกสอน กำหนดค่า Tableau Cloud สำหรับการจัดสรรผู้ใช้อัตโนมัติ(ลิงก์จะเปิดในหน้าต่างใหม่)

หมายเหตุ: หากคุณเปิดใช้งานการจัดสรรสำหรับแอปพลิเคชันของคุณแล้ว และต้องการอัปเดตเพื่อใช้ปลายทาง Tableau SCIM 2.0 โปรดดูบทความของ Microsoft อัปเดต Tableau Cloud แอปพลิเคชัน(ลิงก์จะเปิดในหน้าต่างใหม่) หากคุณกำลังตั้งค่าการจัดสรรสำหรับอินสแตนซ์ใหม่ของแอปพลิเคชัน Tableau Cloud ให้ทำตามขั้นตอนด้านล่าง

ขั้นตอนที่ 1: ดำเนินการตามข้อกำหนดเบื้องต้น

ความสามารถในการใช้งานของ SCIM กำหนดให้คุณต้องกำหนดค่าไซต์ของคุณให้รองรับการลงชื่อเพียงครั้งเดียวแบบ SAML (SSO)

  1. ดำเนินการในส่วนนี้ เพิ่ม Tableau Cloud ไปยังแอปพลิชัน Microsoft Entra ID ของคุณในกำหนดค่า SAML ด้วย Microsoft Entra ID

  2. หลังจากเพิ่ม Tableau Cloud จาก Azure Marketplace แล้ว ยังคงลงชื่อทั้งพอร์ทัล Entra และ Tableau Cloud โดยแสดงหน้าต่อไปนี้

    • ใน Tableau Cloud ไปที่การตั้งค่า > การตรวจสอบสิทธิ์
    • ในพอร์ทัล Entra แอปพลิเคชัน Tableau Cloud > หน้าการจัดสรร

ขั้นตอนที่ 2: เปิดใช้งานการรองรับ SCIM

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การรองรับ SCIM กับ IdP ของคุณ โปรดดูส่วนหมายเหตุและข้อจำกัดสำหรับการรองรับ SCIM ด้วย Azure Active Directory ด้านล่าง

หมายเหตุ: สำหรับขั้นตอนในพอร์ทัล Entra ตรวจสอบว่าคุณใช้แอป Tableau Cloud จากแกลเลอรี

  1. เข้าสู่ระบบไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลไซต์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์

  2. วิธีการมีดังนี้

    1. บนหน้าการตรวจสอบสิทธิ์ในส่วนการจัดสรรอัตโนมัติและการซิงโครไนซ์กลุ่ม (SCIM) ให้เลือกช่องทำเครื่องหมายเปิดใช้งาน SCIM

      ซึ่งจะเติมค่าในช่อง URL ฐานด้วยค่าที่คุณจะใช้ในการกำหนดค่า SCIM ของ IdP

    2. คลิกสร้างข้อมูลลับใหม่ ข้อมูลลับที่สร้างใหม่จะแสดงขึ้น พร้อมให้คัดลอกลงในการกำหนดค่า SCIM

      ข้อสำคัญ: โทเค็นข้อมูลลับจะแสดงทันทีหลังจากสร้างแล้วเท่านั้น หากคุณทำหายก่อนที่จะนำไปใช้กับ IdP ของคุณ คุณสามารถเลือกสร้างข้อมูลลับใหม่ได้ นอกจากนี้ โทเค็นข้อมูลลับยังเชื่อมโยงกับบัญชีผู้ใช้ Tableau Cloud ของผู้ดูแลเว็บไซต์ที่เปิดใช้งานการสนับสนุน SCIM หากบทบาทในเว็บไซต์ของผู้ใช้เปลี่ยนไปหรือผู้ใช้ถูกลบออกจากไซต์ โทเค็นข้อมูลลับจะไม่ถูกต้อง และผู้ดูแลเว็บไซต์รายอื่นจะต้องสร้างโทเค็นข้อมูลลับใหม่และนำไปใช้กับ IdP ของคุณ

    3. ภายใต้การตรวจสอบสิทธิ์ ให้เลือกการกำหนดค่าการตรวจสอบสิทธิ์ SAML ที่จะเชื่อมโยงกับ SCIM

      หมายเหตุ: การกำหนดค่าการตรวจสอบสิทธิ์ SAML เพียงหนึ่งรายการเท่านั้นที่สามารถรองรับ SCIM ในไซต์ได้

      เคล็ดลับ: หากในอนาคต คุณเลือกค่าอื่นภายใต้การตรวจสอบสิทธิ์ (รวมตั้งแต่ค่า “ไม่มี” ไปจนถึงการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้) จะต้องรีเซ็ตข้อมูลลับเพื่อให้ SCIM ทำงานได้ ข้อมูลลับเก่าจะใช้ไม่ได้กับการเชื่อมต่ออีกต่อไป แม้ว่าปุ่มทดสอบการเชื่อมต่อยังคงใช้งานได้กับข้อมูลลับเก่า ในกรณีนี้ ให้คลิกสร้างข้อมูลลับใหม่อีกครั้งและคัดลอกข้อมูลลับใหม่ลงในการกำหนดค่า SCIM ของ IdP

  3. ในหน้าการจัดสรรในพอร์ทัล Entra ให้ทำดังนี้:

    • สำหรับโหมดการจัดสรร ให้เลือกอัตโนมัติ

    • สำหรับวิธีการตรวจสอบสิทธิ์ ให้เลือกการตรวจสอบสิทธิ์ตัวส่ง

    • สำหรับ URL ของผู้เช่า ให้คัดลอกและวาง URL ฐานที่แสดงในการตั้งค่า SCIM Tableau Cloud

    • สำหรับโทเค็นข้อมูลลับ ให้คัดลอกและวางข้อมูลลับ SCIM Tableau Cloud ที่ถูกสร้างขึ้น

    หน้าจอการกำหนดค่าพร้อมการตั้งค่าสำหรับการจัดสรร Tableau Cloud

  4. คลิกปุ่มทดสอบการเชื่อมต่อเพื่อตรวจสอบว่าข้อมูลเข้าสู่ระบบทำงานตามที่คาดไว้ จากนั้นคลิกบันทึก

  5. ในส่วนการแมป ให้ตรวจสอบว่าเปิดใช้งานจัดสรรกลุ่ม Microsoft Entra ID และจัดสรรผู้ใช้ Microsoft Entra ID แล้ว

    หน้าการตั้งค่าสำหรับกำหนดวิธีการไหลของข้อมูลระหว่าง Microsoft Entra ID และ Tableau Cloud SCIM

  6. เลือกจัดสรรกลุ่ม Microsoft Entra ID และในหน้าการแมปแอตทริบิวต์ ให้ตรวจสอบแอตทริบิวต์ที่ซิงค์จาก Entra ID ไปยัง Tableau Cloud เพื่อบันทึกการเปลี่ยนแปลง ให้คลิกที่ บันทึก

    การแมปแอตทริบิวต์ Tableau Cloud SCIM กับแอตทริบิวต์ Microsoft Entra ID

  7. เลือกจัดสรรผู้ใช้ Microsoft Entra ID และในหน้าการแมปแอตทริบิวต์ ให้ตรวจสอบแอตทริบิวต์ที่ซิงค์จาก Entra ID ไปยัง Tableau Cloud เพื่อบันทึกการเปลี่ยนแปลง ให้คลิกที่ บันทึก

    ตารางแสดงการแมปแอตทริบิวต์ที่กำหนดการซิงโครไนซ์

ขั้นตอนที่ 3: มอบหมายกลุ่มไปยังแอป Tableau Cloud

ใช้ขั้นตอนต่อไปนี้เพื่อมอบหมายกลุ่มให้กับแอปแกลเลอรีของ Tableau Cloud ใน Microsoft Entra ID

  1. จากหน้าแอปพลิเคชัน เลือกแอปองค์กร > ผู้ใช้และกลุ่ม

  2. คลิกเพิ่มผู้ใช้/กลุ่ม

  3. ในหน้าเพิ่มการมอบหมาย เลือกกลุ่มและมอบหมายบทบาทในไซต์อย่างใดอย่างหนึ่งต่อไป

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • ไม่มีใบอนุญาต

    หมายเหตุ: คุณจะได้รับข้อผิดพลาดหากคุณเลือกบทบาทที่ไม่ได้อยู่ในรายการด้านบน หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับบทบาทในไซต์ โปรดดู กำหนดบทบาทในไซต์ของผู้ใช้

  4. คลิกมอบหมาย

สร้างกลุ่มสำหรับบทบาทในไซต์

ผู้ใช้สามารถเป็นสมาชิกของหลายกลุ่มใน Entra ID แต่จะได้รับบทบาทในไซต์ที่ได้รับอนุญาตมากที่สุดใน Tableau Cloud ตัวอย่างเช่น หากผู้ใช้เป็นสมาชิกของสองกลุ่มที่มีบทบาทในไซต์เป็น Viewer และ Creator Tableau จะมอบหมายบทบาทในไซต์เป็น Creator

หากต้องการติดตามการมอบหมายบทบาท เราแนะนำให้สร้างกลุ่มเฉพาะบทบาทใน Entra ID เช่น “Tableau - Creator”, “Tableau - Explorer” ฯลฯ จากนั้นคุณสามารถใช้กลุ่มเพื่อจัดสรรผู้ใช้ใหม่สำหรับบทบาทที่ถูกต้องใน Tableau Cloud

บทบาทในไซต์จะระบุไว้ด้านล่าง เรียงจากบทบาทที่มีสิทธิ์มากที่สุดไปยังบทบาทที่มีสิทธิ์น้อยที่สุด:

  • ผู้ดูแลไซต์ในฐานะ Creator

  • ผู้ดูแลไซต์ในฐานะ Explorer

  • Creator

  • Explorer (สามารถเผยแพร่ได้)

  • Explorer

  • Viewer

หมายเหตุ: ผู้ใช้และแอตทริบิวต์ควรได้รับการจัดการผ่าน Entra ID การเปลี่ยนแปลงที่ทำใน Tableau Cloud โดยตรงอาจก่อให้เกิดลักษณะการทำงานที่ไม่พึงประสงค์และค่าที่ถูกเขียนทับ

ขั้นตอนที่ 4: จัดสรรกลุ่ม

หลังจากที่คุณได้เปิดใช้งานการรองรับ SCIM และมอบหมายกลุ่มให้กับแอปพลิเคชัน Tableau Cloud ใน Entra ID แล้ว ขั้นตอนต่อไปคือการจัดสรรผู้ใช้ให้กับไซต์ Tableau Cloud

  1. ในหน้าการจัดสรร ให้ขยายส่วนการตั้งค่า และกำหนดกลุ่มที่คุณต้องการจัดสรร Tableau Cloud ในขอบเขต

    เมนูการตั้งค่าสำหรับเลือกรับการแจ้งเตือนทางอีเมลเกี่ยวกับความล้มเหลวและกำหนดพารามิเตอร์สำหรับการซิงค์ผู้ใช้และกลุ่ม

    หมายเหตุ: Tableau Cloud ไม่รองรับ “ซิงค์ผู้ใช้และกลุ่มทั้งหมด” ในการตั้งค่า Entra ID

  2. สลับสถานะการจัดสรรเป็นเปิด

  3. คลิกบันทึก

การบันทึกจะเริ่มต้นการซิงโครไนซ์เริ่มต้นของผู้ใช้หรือกลุ่มที่กำหนดไว้ในขอบเขต การซิงค์จะเกิดขึ้นทุกๆ 40 นาที เท่าที่บริการจัดสรร Entra ID ทำงาน หากต้องการจัดสรรผู้ใช้ด้วยตนเองนอกกำหนดการ ให้เลือก จัดสรรแบบออนดีมานด์ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการจัดสรรแบบออนดีมานด์ ดูบทความ Microsoft การจัดสรรแบบออนดีมานด์ใน Microsoft Entra ID(ลิงก์จะเปิดในหน้าต่างใหม่)

หลังจากการจัดสรรเสร็จสมบูรณ์ คุณควรเห็นกลุ่มจาก Entra ID ในหน้าผู้ใช้ไซต์ใน Tableau Cloud

เปลี่ยนการตรวจสอบสิทธิ์ผู้ใช้ใน Tableau Cloud

ผู้ใช้ที่จัดสรรจะได้รับประเภทการตรวจสอบสิทธิ์ SAML ตามค่าเริ่มต้น หากต้องการเปลี่ยนประเภทการตรวจสอบสิทธิ์สำหรับผู้ใช้ ให้ใช้ขั้นตอนด้านล่าง

  1. ใน Tableau Cloud เลือกผู้ใช้

  2. ในหน้าของผู้ใช้ของไซต์ ให้เลือกกล่องทำเครื่องหมายที่อยู่ถัดจากผู้ใช้ที่คุณต้องการกำหนดประเภทการตรวจสอบสิทธิ์

  3. ที่เมนู การดำเนินการ ให้เลือก การตรวจสอบสิทธิ์

  4. ในกล่องโต้ตอบการตรวจสอบสิทธิ์ ให้เลือกประเภทการตรวจสอบสิทธิ์ที่ต้องการสำหรับผู้ใช้

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับประเภทการตรวจสอบสิทธิ์ต่างๆ ใน Tableau Cloud โปรดดู การตรวจสอบสิทธิ์

ดูหมายเหตุสำหรับการรองรับ SCIM ด้วย Azure Active Directory

  • คุณต้องเพิ่มแอป Tableau Cloud แยกต่างหากสำหรับแต่ละไซต์ที่คุณต้องการจัดการโดยใช้ SCIM

  • เมื่อยกเลิกการจัดสรรผู้ใช้ในแอปพลิเคชัน Tableau Cloud ใน Azure AD หรือหากผู้ใช้ถูกลบออกจาก Azure AD ทั้งหมด ผู้ใช้จะแปลงเป็นบทบาทในไซต์ไม่มีใบอนุญาตใน Tableau Cloud หากผู้ใช้ไม่ได้เป็นเจ้าของเนื้อหา ก่อนอื่นคุณจะต้องมอบหมายสิทธิ์ความเป็นเจ้าของให้กับแอสเซทเนื้อหาเหล่านี้อีกครั้งก่อนที่จะลบผู้ใช้ใน Tableau Cloud

  • ตั้งแต่เดือนกุมภาพันธ์ 2024 (Tableau 2023.3) เป็นต้นไป จะรองรับการใช้ SCIM ร่วมกับอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ (GLSI) ข้อกำหนดของ GLSI มีดังนี้

    1. เปิดใช้งานตัวเลือกสำหรับกลุ่มด้วยตนเองและเลือกบทบาทขั้นต่ำในไซต์สำหรับผู้ใช้ที่เป็นสมาชิกของกลุ่มโดยตรงใน Tableau Cloud ไม่สามารถตั้งค่ากลุ่มด้วยแอตทริบิวต์ GLSI ใน Azure AD ได้ แต่สามารถตั้งค่าแอตทริบิวต์สำหรับกลุ่มที่คุณจัดสรรจาก Azure AD ใน Tableau Cloud ได้
    2. ต้องจัดสรรผู้ใช้เป็น ไม่มีใบอนุญาต จาก IdP

ย้อนกลับไปด้านบน