使用 Microsoft Entra ID 配置 SCIM
您可以通过 Microsoft Entra ID(也称为 Azure Active Directory (AD))配置用户管理、预置组以及分配 Tableau Cloud 站点角色。
当您完成以下步骤时,准备好 Entra ID 文档会有所帮助。请参见教程为 Tableau Cloud 配置自动用户预配(链接在新窗口中打开)。
注意:如果您已经为您的应用程序启用了预置并且想要更新以使用 Tableau SCIM 2.0 端点,请参见 Microsoft 文章更新 Tableau Cloud 应用程序(链接在新窗口中打开)。如果您正在为 Tableau Cloud 应用程序的新实例设置预置,请按照以下步骤操作。
步骤 1:执行先决条件
SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。
完成使用 Microsoft Entra ID 配置 SAML中的“将 Tableau Cloud 添加到 Microsoft Entra ID 应用程序”部分。
通过 Azure Marketplace 添加 Tableau Cloud 后,保持已登录 Entra 门户和 Tableau Cloud 的状态,并显示以下页面:
- 在 Tableau Cloud 中,显示“设置”>“身份验证”页面。
- 在 Entra 门户中,显示 Tableau Cloud 应用程序 >“Provisioning”(预置)页面。
步骤 2:启用 SCIM 支持
使用以下步骤通过 Microsoft Entra ID 启用 SCIM 支持。另请参见下面的 Azure Active Directory SCIM 支持的注意事项和分区限制部分。
注意:对于 Entra 门户中的步骤,请确保您使用库中的 Tableau Cloud 应用程序。
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
执行以下操作:
在“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。
此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”和“密文”框。
重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。
复制密文令牌值,然后在 Entra 门户的“Provisioning”(预置)页面中执行以下操作:
对于“Provisioning Mode”(预置模式),选择“Automatic”(自动)。
对于“Authentication Method”(身份验证方法),选择“Bearer Authentication”(Bearer 身份验证)。
对于“Tenant URL”(租户 URL),复制并粘贴 Tableau Cloud SCIM 设置中显示的基本 URL。
对于“Secret Token”(密文令牌),粘贴您之前复制的 Tableau Cloud SCIM 密文令牌。
单击“Test Connection”(测试连接)以验证凭据是否按预期工作,然后单击“Save”(保存)。
在“Mappings”(映射)部分,验证是否启用了“Provision Microsoft Entra ID Groups”(预置 Microsoft Entra ID 组)和“Provision Microsoft Entra ID Users”(预置 Microsoft Entra ID 用户)。
选择“Provision Microsoft Entra ID Groups”(预置 Microsoft Entra ID 组) ,然后在“Attribute Mappings”(属性映射)页面上,查看从 Entra ID 同步到 Tableau Cloud 的属性。若要保存任何更改,请单击“Save”(保存)。
选择“Provision Microsoft Entra ID Users”(预置 Microsoft Entra ID 用户) ,然后在“Attribute Mapping”(属性映射)页面上,查看从 Entra ID 同步到 Tableau Cloud 的属性。若要保存任何更改,请单击“Save”(保存)。
步骤 3:将组分配给 Tableau Cloud 应用程序
使用以下步骤将组分配给 Microsoft Entra ID 中的 Tableau Cloud 图库应用程序。
从应用程序页面中,选择“Enterprise Apps”(企业应用)>“Users and groups”(用户和组)。
单击“Add user/group”(添加用户/组)。
在“Add Assignment”(添加分配)页面上,选择一个组并分配以下站点角色之一:
Creator
SiteAdministratorCreator
Explorer
SiteAdministratorExplorer
ExplorerCanPublish
Viewer
Unlicensed
单击“Assign”(分配)。
注意:如果您选择的角色不在上述列表中,您将收到错误。有关站点角色的详细信息,请参见设置用户的站点角色。
为站点角色创建组
一个用户可以是 Entra ID 中多个组的成员,但他们只会获得 Tableau Cloud 中权限最高的站点角色。举例来说,如果用户是具有站点角色 Viewer(查看者)和 Creator 的两个组的成员,则 Tableau 将分配 Creator 站点角色。
若要跟踪角色分配,我们建议在 Entra ID 中创建特定于角色的组,例如“Tableau - Creator”、“Tableau - Explorer”等。然后您可以使用这些组为 Tableau Cloud 中的正确角色快速预置新用户。
下面按权限从最高到最低的顺序列出了站点角色:
站点管理员 Creator
站点管理员 Explorer
Creator
Explorer(可发布)
Explorer
Viewer(查看者)
注意:用户及其属性应通过 Entra ID 进行管理。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。
步骤 4:预置组
在您启用 SCIM 支持并将组分配给 Entra ID 中的 Tableau Cloud 应用程序后,下一步是将用户预置到您的 Tableau 站点。
在“Provisioning”(预置)页面上,展开“Settings”(设置)部分,然后在“Scope”(范围)中定义您要预置到 Tableau Cloud 的组。
注意:Tableau Cloud 不支持 Entra ID 设置“同步所有用户和组”。
将“Provisioning Status”(预置状态)切换为“On”(打开)。
单击“Save”(保存)。
保存操作将启动“Scope”(范围)中定义的组的初始同步。只要 Entra ID 预置服务运行,就会大约每 40 分钟进行一次同步。若要在计划之外手动预置用户,请选择“Provision on demand”(按需预置)。有关按需预置的详细信息,请参见 Microsoft 文章 Microsoft Entra ID 中的按需预配(链接在新窗口中打开)。
预置完成后,您应该会在 Tableau Cloud 中的“站点用户”页面上看到来自 Entra ID 的组。
在 Tableau Cloud 中更改用户身份验证
默认情况下,为预置的用户分配 SAML 身份验证类型。若要更改用户的身份验证类型,请使用以下步骤。
在 Tableau Cloud 中,选择“用户”。
在“站点用户”页面上,选中要向其分配身份验证类型的用户旁边的复选框。
在“操作”菜单上,选择“身份验证”。
在“身份验证”对话框中,选择用户的首选身份验证类型。
有关 Tableau Cloud 中的不同身份验证类型的详细信息,请参见身份验证。
SCIM 和登录时授予许可证
从 2024 年 2 月 (Tableau 2023.3) 开始,您可以将 SCIM 与 Microsoft Entra ID 的登录时授予许可证 (GLSI) 结合使用。
将 SCIM 与 Entra ID 的 GLSI 结合使用需要满足以下要求:
在 Entra ID 中,将用户添加到 Tableau Cloud 应用程序中的组。
在 Tableau Cloud 中,为组启用 GLSI 选项,并为作为组成员的用户选择最低站点角色。
注意:无法在 Entra ID 中设置具有 GLSI 属性的组。
在 Entra ID 中预置为“未许可”的用户。
启用 GLSI
若要在 Tableau Cloud 中启用 GLSI,请参见登录时授予许可证。
使用 GLSI 移除 SCIM 用户
尝试从 Microsoft Entra ID 中删除 SCIM 用户之前,您必须先将其从 Microsoft Entra ID 中启用 GLSI 的组中移除。当 SCIM 用户从其所有启用 GLSI 的组中移除时,这些用户将转换为 Tableau Cloud 中的“未许可”角色。
在 Entra ID 中,从 Tableau Cloud 应用程序中启用 GLSI 的组中取消预置用户。在 Entra ID 中取消预置用户只会导致用户在 Tableau Cloud 中转换为“未许可”,而不会删除该用户。
注意:
如果用户不再是 Entra ID 中任何其他 Tableau Cloud 应用程序组的成员,或者用户被单独分配到 Tableau Cloud 应用程序,则该用户将在 Tableau Cloud 中转换为“未许可”。
如果要删除 Tableau Cloud 中的 SCIM 用户(请参见下面的删除 SCIM 用户),请从 Tableau Cloud 中手动删除该用户。
从启用 GLSI 的组中移除用户。
从站点中移除 SCIM 用户。
如果您遇到问题,请参见通过 SCIM 尝试取消预置用户时出现错误“用户角色未更新为:未许可(errorCode=10079)”(链接在新窗口中打开)知识文章。
关于 Tableau Cloud 的“所有用户”组
如果您已使用 GLSI 启用默认的“所有用户”组,则无法取消预置 Entra ID 中的用户,因此无法取消许可 Tableau Cloud 中属于启用 GLSI 的组的任何用户。若要移除启用 GLSI 的“所有用户”组中的 SCIM 用户,您必须从 Tableau Cloud 中手动删除该用户。
注意:如果用户拥有与其关联的内容,则您需要先将内容所有权重新分配给其他用户,然后才能删除这些用户。
删除 SCIM 用户
在 Entra ID 中删除 SCIM 用户只会将他们转换为“未许可”角色,而不会在 Tableau Cloud 中删除他们。如果要删除用户,则必须在 Tableau Cloud 中手动删除用户。
有关删除用户的详细信息,请参见查看、管理或移除用户主题中的“从站点中移除用户”。
注意:如果用户拥有与其关联的内容,则您需要先将内容所有权重新分配给其他用户,然后才能删除这些用户。
Microsoft Entra ID 支持 SCIM 的注意事项
您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Cloud 应用。
在 Entra ID 的 Tableau Cloud 应用程序中取消预置用户时,或者如果从 Entra ID 中完全删除用户,该用户将转换为 Tableau Cloud 中的“未许可”站点角色。如果用户拥有任何内容,您必须首先重新分配这些内容资产的所有权,然后才能手动删除在 Tableau Cloud 中的用户。
从 2024 年 2 月 (Tableau 2023.3) 开始,支持使用 SCIM 和登录时授予许可证(GLSI)。有关详细信息,请参见上面的SCIM 和登录时授予许可证。