使用 Azure Active Directory 配置 SCIM
您可以通过 Azure Active Directory 配置用户管理、预置组以及分配 Tableau Cloud 站点角色。
在您完成以下步骤时,它使您能够随时浏览 Microsoft 文档。请参见教程为 Tableau Cloud 配置自动用户预配(链接在新窗口中打开)。
注意:如果您已经为您的应用程序启用了预置并且想要更新以使用 Tableau SCIM 2.0 端点,请参见 Microsoft 文章更新 Tableau Cloud 应用程序(链接在新窗口中打开)。如果您正在为 Tableau Cloud 应用程序的新实例设置预置,请按照以下步骤操作。
步骤 1:执行先决条件
SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。
完成使用 Azure Active Directory 配置 SAML中“将 Tableau Cloud 添加到 Azure AD 应用程序”部分。
通过 Azure Marketplace 添加 Tableau Cloud 后,保持已登录 Azure 门户和 Tableau Cloud 的状态,并显示以下页面:
- 在 Tableau Cloud 中,显示“设置”>“身份验证”页面。
- 在 Azure 门户中,Tableau Cloud 应用程序 >“Provisioning”(预置)页面。
步骤 2:启用 SCIM 支持
使用以下步骤为 Azure Active Directory 启用 SCIM 支持。另请参见下面的 Azure Active Directory SCIM 支持的注意事项和分区限制部分。
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
执行以下操作:
在“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。
此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”和“密文”框。
重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。
复制密文令牌值,然后在 Azure 门户的“Provisioning”(预置)页面中执行以下操作:
对于“Provisioning Mode”(预置模式),选择“Automatic”(自动)。
对于“Authentication Method”(身份验证方法),选择“Bearer Authentication”(Bearer 身份验证)。
对于“Secret Token”(密文令牌),粘贴您之前复制的 Tableau Cloud SCIM 密文令牌。
对于“Tenant URL”(租户 URL),复制并粘贴 Tableau Cloud SCIM 设置中显示的基本 URL。
单击“Test Connection”(测试连接)以验证凭据是否按预期工作,然后单击“Save”(保存)。
在“Mappings”(映射)部分,验证是否启用了“Provision Azure Active Directory Groups”(预置 Azure Active Directory 组)和“Provision Azure Active Directory Users”(预置 Azure Active Directory 用户)。
选择“Provision Azure Active Directory Groups”(预置 Azure Active Directory 组) ,然后在“Attribute Mappings”(属性映射)页面上,查看从 Azure 同步到 Tableau Cloud 的属性。若要保存任何更改,请单击“Save”(保存)。
选择“Provision Azure Active Directory Users”(预置 Azure Active Directory 用户) ,然后在“Attribute Mapping”(属性映射)页面上,查看从 Azure 同步到 Tableau Cloud 的属性。若要保存任何更改,请单击“Save”(保存)。
步骤 3:将用户和组分配给 Tableau Cloud 应用程序
使用以下步骤将单个用户和组分配给 Azure 中的 Tableau Cloud 应用程序。
从应用程序页面中,选择“Enterprise Apps”(企业应用)>“Users and groups”(用户和组)。
单击“Add user/group”(添加用户/组)。
在“Add Assignment”(添加分配)页面上,选择用户或组并分配以下站点角色之一: Creator、SiteAdministratorCreator、Explorer、SiteAdministratorExplorer、ExplorerCanPublish、Viewer(查看者) 或 Unlicensed。
如果您选择的角色不在上述列表中,您将收到错误消息。有关站点角色的详细信息,请参见设置用户的站点角色。
单击“Assign”(分配)。
为站点角色创建组
一个用户可以是 Azure 中多个组的成员,但他们只会获得 Tableau Cloud 中权限最高的站点角色。举例来说,如果用户是具有站点角色 Viewer(查看者)和 Creator 的两个组的成员,则 Tableau 将分配 Creator 站点角色。
若要跟踪角色分配,我们建议在 Azure 中创建特定于角色的组,例如“Tableau - Creator”、“Tableau - Explorer”等。然后您可以使用这些组为 Tableau Cloud 中的正确角色快速预置新用户。
下面按权限从最高到最低的顺序列出了站点角色:
站点管理员 Creator
站点管理员 Explorer
Creator
Explorer(可发布)
Explorer
Viewer(查看者)
注意:用户及其属性应通过 Azure 进行管理。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。
步骤 4:预置用户和组
在您启用 SCIM 支持并将用户和组分配给 Azure 中的 Tableau Cloud 应用程序后,下一步是将用户预置到您的 Tableau 站点。
在“Provisioning”(预置)页面上,展开“Settings”(设置)部分,然后在“Scope”(范围)中定义您要预置到 Tableau Cloud 的用户或组。
注意:Tableau Cloud 不支持 Azure AD 设置“同步所有用户和组”。
将“Provisioning Status”(预置状态)切换为“On”(打开)。
单击“Save”(保存)。
保存操作将启动“Scope”(范围)中定义的用户或组的初始同步。只要 Azure AD 预置服务运行,就会大约每 40 分钟进行一次同步。若要在计划之外手动预置用户,请选择“Provision on demand”(按需预置)。有关按需预置的详细信息,请参见 Microsoft 文章 Azure Active Directory 中的按需预配(链接在新窗口中打开)。
预置完成后,您应该会在 Tableau Cloud 中的“站点用户”页面上看到来自 Azure AD 的用户或组.
在 Tableau Cloud 中更改用户身份验证
默认情况下,为预置的用户分配 SAML 身份验证类型。若要更改用户的身份验证类型,请使用以下步骤。
在 Tableau Cloud 中,选择“用户”。
在“站点用户”页面上,选中要向其分配身份验证类型的用户旁边的复选框。
在“操作”菜单上,选择“身份验证”。
在“身份验证”对话框中,选择用户的首选身份验证类型。
有关 Tableau Cloud 中的不同身份验证类型的详细信息,请参见身份验证。
Azure Active Directory SCIM 支持的注意事项
您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Cloud 应用。
在 Azure AD 的 Tableau Cloud 应用程序中取消预置用户时,或者如果从 Azure AD 中完全删除用户,该用户将转换为 Tableau Cloud 中的未许可站点角色。如果用户拥有任何内容,您必须首先重新分配这些内容资产的所有权,然后才能手动删除在 Tableau Cloud 中的用户。
从 2024 年 2 月 (Tableau 2023.3) 开始,支持使用 SCIM 和登录时授予许可证(GLSI)。GLSI 要求如下:
1.手动启用组选项,并为 Tableau Cloud 中直接为该组成员的用户选择最低站点角色。无法在 Azure AD 中设置具有 GLSI 属性的组,但您可以在 Tableau Cloud 中为从 Azure AD 预置的组设置属性。
2. 必须从 IdP 将用户预置为未许可。