使用 Okta 配置 SCIM


您可以通过 Okta 配置用户管理、预置组以及分配 Tableau Cloud 站点角色。如果您还不熟悉 Tableau 站点角色和每个角色允许的能力,请参见设置用户的站点角色

步骤 1:执行先决条件

SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。

  1. 完成使用 Okta 配置 SAML中的以下部分:

  2. 完成这两个部分中的步骤后,保持已登录 Okta 管理员控制台和 Tableau Cloud 的状态,并显示以下页面:

    • Tableau Cloud 中,显示“设置”>“身份验证”页面。

    • 在 Okta 管理员控制台中,显示“Applications”(应用程序)>“Applications”(应用程序)>“Tableau Cloud”>“Provisioning”(预置)

步骤 2:启用 SCIM 支持

使用以下步骤为 Okta 启用 SCIM 支持。另请参见下面部分中的 Azure Active Directory SCIM 支持的注意事项和分区限制

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. 执行以下操作:

    1. “身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。

      此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”“密文”框。

      重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。

  3. 复制密文令牌值。

  4. 在 Okta 管理员控制台中,执行以下操作:

    1. 从左窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击“Tableau Cloud”应用程序,然后单击“Provisioning”(预置)选项卡。

    2. 单击“Enable API Integration”(启用 API 集成)按钮。

    3. 选中“Enable API integration”(启用 API 集成)复选框并单击“Save”(保存)

    4. 执行以下操作:

      1. 对于“API Token”(API 令牌),粘贴您在上一步骤中复制的 Tableau Cloud SCIM 密文令牌。

      2. 对于“Base URL”(基本 URL),复制并粘贴 Tableau Cloud SCIM 设置中显示的基本 URL

  5. 单击“Test API Credentials”(测试 API 凭据)按钮以确保配置正确完成。如果配置正确完成,您会看到“Tableau Cloud was verified successfully!”(Tableau Cloud 已成功验证!)消息。

  6. 完成后,单击“Save”(保存)

步骤 3:将用户和组分配给 Tableau

在 Okta 中,您需要将用户和组分配给 Tableau 应用程序,以便可以将用户预置到 Tableau。

注意:Okta 建议您有一个单独的组用于分配和推送组。有关详细信息,请参见 Okta 文档中的关于组推送(链接在新窗口中打开)

  1. 从左侧窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击“Tableau Cloud”应用程序,然后单击“Assignmentsg”(分配)选项卡。

  2. 单击“Assign”(分配)下拉列表,然后选择“Assign to People”(分配给人员)“Assign to Groups”(分配给组)

  3. 执行以下操作:

    1. 选择相关的用户或组。

    2. 选择您希望向 Tableau 预置用户的站点角色。选项包括:

      • 未许可

      • Viewer(查看者)

      • Explorer

      • Explorer(可发布)

      • Creator

      • 站点管理员 Explorer

      • 站点管理员 Creator

  4. 完成后,单击“Save and Go Back”(保存并返回)按钮。

  5. 根据需要重复步骤 3-4,然后单击“Done”(完成)按钮。

步骤 4:启用组预置

Okta 允许您将现有组及其成员资格推送至 Tableau Cloud。推送了一个组之后,您可以在 Okta 中管理组成员资格以自动更新 Tableau Cloud 中对应的组。在执行这些步骤之前,我们建议您查看 Okta 文档中的组推送先决条件(链接在新窗口中打开)关于组推送(链接在新窗口中打开)

重要信息:启用 SCIM 后,应通过 IdP 管理用户及其属性。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。

以下步骤从您离开上一个部分的位置继续,并且假设您已登录到 Okta 管理员控制台。

  1. 从左侧窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击 Tableau Cloud 应用程序,然后单击“Push Groups”(推送组)选项卡。

  2. 单击“Push Groups”(推送组)按钮,并从下拉菜单中则选择以下选项之一:

    • 按名称查找组:选择此选项可按名称搜索组。

    • 按规则查找组:选择此选项可创建一个搜索规则,该规则会推送与该规则匹配的任何组。

    您可以通过单击“推送状态”列中的“活动”“非活动”立即停用组推送、取消已推送组的链接或推送组成员资格。若要删除、停用或激活多个组,请单击“批量编辑”。有关详细信息,请参见 Okta 文档中的启用组推送(链接在新窗口中打开)

  3. (可选)如果推送多个组,请单击“Save & Add Another”(保存并添加另一个)按钮,然后重复上一步。

  4. 完成后,单击“保存”

Okta SCIM 支持的注意事项

  • 在 Okta 用户分配设置中,“用户名”“主要电子邮件”必须相同。

  • 您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Cloud Okta 应用。

  • 如果要迁移站点,您将需要为新站点重新配置 SCIM 配置。

  • 在预置新用户时,Okta 中的名字和姓氏属性与 Tableau Cloud 不同步。新用户在首次登录 Tableau Cloud 时必须设置这些字段。

  • 当从 Okta 中的 Tableau Cloud 应用程序取消分配用户或从 Okta 中完全停用或删除用户时,该用户将转换为 Tableau Cloud 中的未许可站点角色。如果用户拥有任何内容,您必须首先重新分配这些内容资产的所有权,然后才能手动删除在 Tableau Cloud 中的用户。

  • 可以在 Okta 中的用户或组级别设置用户的站点角色(例如 Creator、Explorer 或 Viewer(查看者))。建议在组级别分配站点角色。如果为用户直接分配了站点角色,它将覆盖任何组设置。

  • 用户可以是多个组的成员。组可以有不同的站点角色。如果为用户分配了具有不同站点角色的组,则用户将在 Tableau Cloud 中获得权限最高的站点角色。举例来说,如果选择 Viewer(查看者)和 Creator,Tableau 将分配 Creator 站点角色。

    下面按权限从最高到最低的顺序列出了站点角色:

    • 站点管理员 Creator

    • 站点管理员 Explorer

    • Creator

    • Explorer(可发布)

    • Explorer

    • Viewer(查看者)

  • 您可以在 Okta 中更新用户的站点角色属性,并且此更改将传播到 Tableau Cloud。无法更新其他属性(例如用户名和主电子邮件)。若要更改这些属性,请移除该用户,更改属性,然后再次添加用户。

  • 从 2024 年 2 月 (Tableau 2023.3) 开始,支持使用 SCIM 和登录时授予许可证(GLSI)。GLSI 要求如下:

    1.手动启用组选项,并为 Tableau Cloud 中直接为该组成员的用户选择最低站点角色。无法在 Okta 中设置具有 GLSI 属性的组,但您可以在 Tableau Cloud 中为从 Okta 预置的组设置属性。
    2. 必须从 IdP 将用户预置为未许可

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!