กำหนดค่า SCIM ด้วย Okta
คุณสามารถกำหนดค่าการจัดการผู้ใช้ผ่าน Okta จัดสรรกลุ่ม และมอบหมายบทบาทในไซต์ Tableau Cloud หากคุณยังไม่คุ้นชินกับบทบาทไซต์ของ Tableau และความสามารถของแต่ละบทบาท ให้ดู กำหนดบทบาทในไซต์ของผู้ใช้
ขั้นตอนที่ 1: ดำเนินการตามข้อกำหนดเบื้องต้น
ความสามารถในการใช้งานของ SCIM กำหนดให้คุณต้องกำหนดค่าไซต์ของคุณให้รองรับการลงชื่อเพียงครั้งเดียวแบบ SAML (SSO)
ดำเนินการในส่วนต่อไปนี้ให้เสร็จสิ้นในกำหนดค่า SAML ด้วย Okta:
หลังจากที่คุณทำตามขั้นตอนในสองส่วนนี้เสร็จแล้ว ให้ลงชื่อเข้าใช้ทั้งคอนโซลผู้ดูแล Okta และ Tableau Cloud โดยแสดงหน้าต่อไปนี้
ใน Tableau Cloud ไปที่การตั้งค่า > การตรวจสอบสิทธิ์
ในคอนโซลผู้ดูแล Okta ให้ไปที่แอปพลิเคชัน > แอปพลิเคชัน > Tableau Cloud > การจัดสรร
ขั้นตอนที่ 2: เปิดใช้งานการรองรับ SCIM
ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การรองรับ SCIM ด้วย Okta ดูเพิ่มเติมที่หมายเหตุสำหรับการรองรับ SCIM ร่วมกับ Okta
- เข้าสู่ระบบไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลไซต์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์
วิธีการมีดังนี้
บนหน้าการตรวจสอบสิทธิ์ในส่วนการจัดสรรอัตโนมัติและการซิงโครไนซ์กลุ่ม (SCIM) ให้เลือกช่องทำเครื่องหมายเปิดใช้งาน SCIM
ซึ่งจะเติมค่าในฟิลด์ URL ฐาน และข้อมูลลับ ด้วยค่าที่คุณจะใช้ในการกำหนดค่า SCIM ของ IdP
ข้อสำคัญ: โทเค็นข้อมูลลับจะแสดงทันทีหลังจากสร้างแล้วเท่านั้น หากคุณทำหายก่อนที่จะนำไปใช้กับ IdP ของคุณ คุณสามารถเลือกสร้างข้อมูลลับใหม่ได้ นอกจากนี้ โทเค็นข้อมูลลับยังเชื่อมโยงกับบัญชีผู้ใช้ Tableau Cloud ของผู้ดูแลเว็บไซต์ที่เปิดใช้งานการสนับสนุน SCIM หากบทบาทในเว็บไซต์ของผู้ใช้เปลี่ยนไปหรือผู้ใช้ถูกลบออกจากไซต์ โทเค็นข้อมูลลับจะไม่ถูกต้อง และผู้ดูแลเว็บไซต์รายอื่นจะต้องสร้างโทเค็นข้อมูลลับใหม่และนำไปใช้กับ IdP ของคุณ
คัดลอกค่าโทเค็นข้อมูลลับ
ในคอนโซลผู้ดูแล Okta ให้ทำดังนี้:
จากหน้าต่างด้านซ้าย ให้เลือกแอปพลิเคชัน > แอปพลิเน คลิกแอป Tableau Cloud จากนั้นคลิกที่แท็บการจัดสรร
คลิกปุ่มเปิดใช้งานการผสานรวม API
เลือกช่องทำเครื่องหมายเปิดใช้งานการผสานรวม API และคลิกบันทึก
วิธีการมีดังนี้
สำหรับโทเค็น API ให้วาง Tableau Cloud โทเค็นข้อมูลลับของ SCIM ที่คุณคัดลอกไว้ในขั้นตอนก่อนหน้า
สำหรับ URL ฐาน ให้คัดลอกและวาง URL ฐานที่แสดงในการตั้งค่า Tableau Cloud SCIM
คลิกปุ่มทดสอบข้อมูลเข้าสู่ระบบ API เพื่อให้แน่ใจว่าการกำหนดค่าทำอย่างถูกต้อง หากการกำหนดค่าทำอย่างถูกต้อง คุณจะเห็นข้อความ “Tableau Cloud ได้รับการตรวจสอบเรียบร้อยแล้ว!”
เมื่อเสร็จแล้ว ให้คลิกบันทึก
ขั้นตอนที่ 3: มอบหมายกลุ่มให้กับแอป Tableau
สำหรับการจัดสรรผู้ใช้ให้กับ Tableau เราขอแนะนำให้คุณจัดการผู้ใช้ในกลุ่มเพื่อการจัดการที่ง่ายขึ้นใน Tableau
ใน Okta คุณต้องมอบหมายกลุ่มให้กับแอป Tableau เพื่อให้สามารถจัดสรรผู้ใช้ให้กับ Tableau Cloud ได้ โดยเฉพาะอย่างยิ่ง คุณต้องมีกลุ่มที่แตกต่างกันสองกลุ่ม ได้แก่ กลุ่มที่มอบหมายให้กับแท็บ Assignment และกลุ่มที่มอบหมายให้กับแท็บ Push Group กลุ่มในแท็บ Assignment ใช้เพื่อสร้างผู้ใช้ใน Tableau Cloud กลุ่มในแท็บ Push Group ใช้เพื่อสร้างกลุ่มและจัดการการเป็นสมาชิกกลุ่มใน Tableau Cloud
หมายเหตุ:
Okta กำหนดให้คุณต้องมีกลุ่มในแท็บ Assignment และกลุ่มสำหรับแท็บ Push Group เพื่อป้องกันสภาพการแข่งขัน หากต้องการข้อมูลเพิ่มเติม โปรดดูการมอบหมายแอปและการพุชแบบกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่) และเกี่ยวกับการพุชกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่)ในเอกสารประกอบของ Okta
ขั้นตอนในขั้นตอนนี้ถือว่าคุณได้สร้างกลุ่มไว้แล้วอย่างน้อยสองกลุ่ม หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการสร้างกลุ่มใน Okta โปรดดูสร้างกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่)ในเอกสาร Okta
คุณสามารถใช้ขั้นตอนด้านล่างเพื่อเพิ่มกลุ่มและมอบหมายกลุ่มให้กับแอป Tableau ได้
จากแผงด้านซ้าย ให้เลือกแอปพลิเคชัน > แอปพลิเคชัน คลิกแอป Tableau Cloud จากนั้นคลิกที่แท็บ Assignment
คลิกที่ดรอปดาวน์มอบหมายและเลือกมอบหมายให้กับกลุ่ม
วิธีการมีดังนี้
เลือกกลุ่มที่เกี่ยวข้อง
เลือกบทบาทในไซต์ที่คุณต้องการจัดสรรผู้ใช้ให้กับ Tableau ตัวเลือกต่างๆ มีดังนี้
ไม่มีใบอนุญาต
Viewer
Explorer
Explorer (สามารถเผยแพร่ได้)
Creator
ผู้ดูแลไซต์ในฐานะ Explorer
ผู้ดูแลไซต์ในฐานะ Creator
เมื่อเสร็จแล้ว ให้คลิกปุ่มบันทึกและย้อนกลับ
ทำซ้ำขั้นตอนที่ 1-4 ในแท็บพุชกลุ่ม จากนั้นคลิกปุ่มเสร็จสิ้น
ขั้นตอนที่ 4: เปิดใช้งานการจัดสรรกลุ่ม
Okta ช่วยให้คุณสามารถพุชกลุ่มที่มีอยู่และการเป็นสมาชิกของกลุ่มกับ Tableau Cloud เมื่อพุชกลุ่มแล้ว คุณสามารถจัดการการเป็นสมาชิกกลุ่มใน Okta เพื่ออัปเดตกลุ่มที่เกี่ยวข้องใน Tableau Cloud ก่อนที่คุณจะทำตามขั้นตอนเหล่านี้ เราขอแนะนำให้คุณตรวจสอบข้อกำหนดเบื้องต้นของการพุชกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่)และเกี่ยวกับการพุชกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่)ในเอกสารของ Okta
สำคัญ: หลังจากเปิดใช้งาน SCIM แล้ว ผู้ใช้และแอตทริบิวต์ของผู้ใช้จะมีการจัดการผ่าน Okta การเปลี่ยนแปลงที่ทำใน Tableau Cloud โดยตรงอาจก่อให้เกิดลักษณะการทำงานที่ไม่พึงประสงค์และค่าที่ถูกเขียนทับ
ขั้นตอนต่อไปนี้ดำเนินการต่อจากที่คุณทำค้างไว้ในส่วนก่อนหน้า และถือว่าคุณลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบ Okta แล้ว
จากแผงด้านซ้าย ให้เลือกแอปพลิเคชัน > แอปพลิเคชัน คลิกแอป Tableau Cloud จากนั้นคลิกแท็บ Push Group
คลิกปุ่ม Push Group และเลือกตัวเลือกใดตัวเลือกหนึ่งจากเมนูดรอปดาวน์
ค้นหากลุ่มตามชื่อ: เลือกตัวเลือกนี้เพื่อค้นหากลุ่มตามชื่อ
ค้นหากลุ่มตามกฎ: เลือกตัวเลือกนี้เพื่อสร้างกฎการค้นหาที่พุชกลุ่มใดๆ ที่ตรงกับกฎ
(ไม่บังคับ) หากพุชหลายกลุ่ม ให้คลิกบันทึกและเพิ่มรายการอื่น และทำซ้ำขั้นตอนก่อนหน้า
- เมื่อเสร็จแล้ว ให้คลิกบันทึก
คุณสามารถปิดใช้งานการพุชกลุ่ม ยกเลิกการลิงก์กลุ่มที่พุช หรือพุชความเป็นสมาชิกกลุ่มได้ทันทีโดยคลิก ใช้งานอยู่ หรือ ไม่ใช้งาน ในคอลัมน์สถานะการพุช หากต้องการลบ ปิดใช้งาน หรือเปิดใช้งานหลายกลุ่ม ให้คลิก แก้ไขเป็นกลุ่ม หากต้องการข้อมูลเพิ่มเติม โปรดดู เปิดใช้งานการพุชกลุ่ม(ลิงก์จะเปิดในหน้าต่างใหม่) ในเอกสารประกอบของ Okta
SCIM และให้ใบอนุญาตเมื่อเข้าสู่ระบบ
ตั้งแต่เดือนกุมภาพันธ์ 2024 (Tableau 2023.3) เป็นต้นไป คุณสามารถใช้ SCIM ร่วมกับอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ (GLSI) ด้วย Okta
การใช้ SCIM ร่วมกับ GLSI สำหรับ Okta ต้องมีสิ่งต่อไปนี้
ใน Okta เพิ่มผู้ใช้ในกลุ่มในแท็บ Assignment และ Push Group ของแอป Tableau
ใน Tableau Cloud การเปิดใช้งานตัวเลือก GLSI สำหรับกลุ่มและเลือกบทบาทในไซต์ขั้นต่ำสำหรับผู้ใช้ที่เป็นสมาชิกของกลุ่ม
หมายเหตุ: ไม่สามารถตั้งค่ากลุ่มด้วยแอตทริบิวต์ GLSI ใน Okta ได้
ผู้ใช้ที่จะจัดสรรเป็น “ไม่มีใบอนุญาต” ใน Okta
เปิดใช้ GLSI
หากต้องการตั้งค่าและเปิดใช้งาน GLSI โปรดดูอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ
ลบผู้ใช้ SCIM ร่วมกับ GLSI
ก่อนอื่นคุณต้องลบผู้ใช้ SCIM ออกจากกลุ่มที่เปิดใช้งาน GLSI ใน Okta ก่อนที่จะพยายามปิดใช้งานใน Okta การปิดใช้งานผู้ใช้จะตั้งค่าผู้ใช้ให้มีบทบาท “ไม่มีใบอนุญาต” ใน Tableau Cloud อย่างไรก็ตาม ผู้ใช้จะไม่ได้รับบทบาท “ไม่มีใบอนุญาต” ใน Tableau Cloud จนกว่าจะไม่ได้เป็นสมาชิกของกลุ่มที่เปิดใช้งาน GLSI อีกต่อไป
ใน Okta ให้ลบผู้ใช้ออกจากกลุ่มที่เปิดใช้งาน GLSI ซึ่งมอบหมายให้กับแท็บ Push Group ก่อน
ใน Okta ให้ยกเลิกการจัดสรรผู้ใช้โดยลบผู้ใช้ออกจากกลุ่มที่เปิดใช้ GLSI ซึ่งมอบหมายให้กับแท็บ Assignment หรือลบผู้ใช้ใน Okta หลังจากที่คุณทำเช่นนี้ ผู้ใช้จะแปลงเป็น “ไม่มีใบอนุญาต” ใน Tableau Cloud การยกเลิกการจัดสรรผู้ใช้ใน Okta จะแปลงผู้ใช้เป็น “ไม่มีใบอนุญาต” ใน Tableau Cloud และจะไม่ลบผู้ใช้
หมายเหตุ:
หากคุณต้องการลบผู้ใช้ใน Okta โปรดดูปิดการใช้งานและลบบัญชีผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในเอกสารของ Okta
หากคุณต้องการลบผู้ใช้ SCIM ใน Tableau Cloud (ดูลบผู้ใช้ SCIM ด้านล่าง) คุณลบผู้ใช้ออกจาก Tableau Cloud ด้วยตนเอง
หากคุณพบปัญหา โปรดดูบทความในฐานข้อมูลข้อผิดพลาด “บทบาทผู้ใช้ไม่ได้อัปเดตเป็น: ไม่มีใบอนุญาต (errorCode=10079)” เมื่อพยายามยกเลิกการจัดสรรผู้ใช้ผ่าน SCIM(ลิงก์จะเปิดในหน้าต่างใหม่)
เกี่ยวกับกลุ่ม “ผู้ใช้ทั้งหมด” ของ Tableau Cloud
หากคุณเปิดใช้งานกลุ่ม “ผู้ใช้ทั้งหมด” เริ่มต้นร่วมกับ GLSI คุณจะไม่สามารถยกเลิกการจัดสรรผู้ใช้ใน Okta ได้ ดังนั้นจึงไม่สามารถรับบทบาท “ไม่มีใบอนุญาต” สำหรับผู้ใช้ใดๆ ที่อยู่ในกลุ่มที่เปิดใช้งาน GLSI ใน Tableau Cloud หากต้องการลบผู้ใช้ SCIM ในกลุ่ม “ผู้ใช้ทั้งหมด” ที่เปิดใช้งาน GLSI คุณต้องลบผู้ใช้ออกจาก Tableau Cloud ด้วยตนเอง
หมายเหตุ: หากผู้ใช้มีเนื้อหาที่เชื่อมโยงกับตน คุณจะต้องมอบหมายการเป็นเจ้าของเนื้อหาให้กับผู้ใช้รายอื่นอีกครั้งก่อนจึงจะสามารถลบผู้ใช้ได้
ลบผู้ใช้ SCIM
การลบผู้ใช้ SCIM ใน Okta จะแปลงบทบาท “ไม่มีใบอนุญาต” เท่านั้น และจะไม่ลบผู้ใช้ใน Tableau Cloud หากคุณต้องการลบผู้ใช้ คุณต้องลบผู้ใช้ใน Tableau Cloud ด้วยตนเอง
หากต้องการข้อมูลเพิ่มเติม โปรดดู “ลบผู้ใช้ออกจากไซต์” ในหัวข้อดู จัดการ หรือนำผู้ใช้ออก
หมายเหตุสำหรับการรองรับ SCIM ร่วมกับ Okta
หากต้องการตั้งค่าการมอบหมายผู้ใช้ Okta ค่าสำหรับชื่อผู้ใช้และอีเมลหลักต้องเหมือนกัน
คุณต้องเพิ่มแอป Tableau Cloud Okta แยกต่างหากสำหรับแต่ละไซต์ที่คุณต้องการจัดการโดยใช้ SCIM
หากคุณต้องการย้ายข้อมูลไซต์ คุณจะต้องกำหนดค่าการจัดสรร SCIM ใหม่สำหรับไซต์ใหม่
เมื่อจัดสรรผู้ใช้ใหม่ แอตทริบิวต์ชื่อและนามสกุลใน Okta จะไม่ซิงค์กับ Tableau Cloud ผู้ใช้ใหม่ต้องตั้งค่าฟิลด์เหล่านั้นเมื่อเข้าสู่ระบบ Tableau Cloud เป็นครั้งแรก
เมื่อผู้ใช้ถูกยกเลิกการมอบหมายจากแอป Tableau Cloud ใน Okta หรือผู้ใช้ถูกปิดใช้งานหรือลบออกจาก Okta ทั้งหมด ผู้ใช้จะแปลงเป็นบทบาทในไซต์ไม่มีใบอนุญาตใน Tableau Cloud หากผู้ใช้ไม่ได้เป็นเจ้าของเนื้อหา ก่อนอื่นคุณจะต้องมอบหมายสิทธิ์ความเป็นเจ้าของให้กับแอสเซทเนื้อหาเหล่านี้อีกครั้งก่อนที่จะลบผู้ใช้ใน Tableau Cloud
คุณสามารถกำหนดบทบาทในไซต์ของผู้ใช้ (เช่น Creator, Explorer หรือ Viewer) ใน Okta ที่ระดับผู้ใช้หรือระดับกลุ่ม เราขอแนะนำให้กำหนดบทบาทในไซต์ที่ระดับกลุ่ม หากผู้ใช้ได้รับมอบหมายบทบาทในไซต์โดยตรง จะแทนที่การตั้งค่ากลุ่มใดๆ
ผู้ใช้สามารถเป็นสมาชิกของกลุ่มต่างๆ ได้ กลุ่มสามารถมีบทบาทในไซต์ที่แตกต่างกัน หากผู้ใช้ได้รับมอบหมายกลุ่มที่มีบทบาทในไซต์ต่างกัน ผู้ใช้จะได้รับบทบาทในไซต์ที่อนุญาตมากที่สุดใน Tableau Cloud ตัวอย่างเช่น หากคุณเลือก Viewer และ Creator Tableau จะมอบหมายบทบาทในไซต์ Creator
บทบาทในไซต์จะระบุไว้ด้านล่าง เรียงจากบทบาทที่มีสิทธิ์มากที่สุดไปยังบทบาทที่มีสิทธิ์น้อยที่สุด:
ผู้ดูแลไซต์ในฐานะ Creator
ผู้ดูแลไซต์ในฐานะ Explorer
Creator
Explorer (สามารถเผยแพร่ได้)
Explorer
Viewer
คุณสามารถอัปเดตแอตทริบิวต์บทบาทในไซต์สำหรับผู้ใช้ใน Okta และการเปลี่ยนแปลงนี้จะเผยแพร่ไปยัง Tableau Cloud ไม่สามารถอัปเดตแอตทริบิวต์อื่นๆ เช่น ชื่อผู้ใช้และอีเมลหลัก หากต้องการเปลี่ยนแอตทริบิวต์เหล่านี้ ให้ลบผู้ใช้ เปลี่ยนแอตทริบิวต์ แล้วเพิ่มผู้ใช้อีกครั้ง
ตั้งแต่เดือนกุมภาพันธ์ 2024 (Tableau 2023.3) เป็นต้นไป จะรองรับการใช้ SCIM ร่วมกับอนุมัติใบอนุญาตเมื่อเข้าสู่ระบบ (GLSI) หากต้องการข้อมูลเพิ่มเติม โปรดดู SCIM และให้ใบอนุญาตเมื่อเข้าสู่ระบบข้างต้น