使用 Okta 配置 SCIM
您可以通过 Okta 配置用户管理、预置组以及分配 Tableau Cloud 站点角色。如果您还不熟悉 Tableau 站点角色和每个角色允许的能力,请参见设置用户的站点角色。
步骤 1:执行先决条件
SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。
完成使用 Okta 配置 SAML中的以下部分:
完成这两个部分中的步骤后,保持已登录 Okta 管理员控制台和 Tableau Cloud 的状态,并显示以下页面:
在 Tableau Cloud 中,显示“设置”>“身份验证”页面。
在 Okta 管理员控制台中,显示“Applications”(应用程序)>“Applications”(应用程序)>“Tableau Cloud”>“Provisioning”(预置)。
步骤 2:启用 SCIM 支持
使用以下步骤为 Okta 启用 SCIM 支持。另请参见下面的 Okta SCIM 支持的注意事项部分。
- 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
执行以下操作:
在“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。
此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”和“密文”框。
重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。
复制密文令牌值。
在 Okta 管理员控制台中,执行以下操作:
从左窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击“Tableau Cloud”应用程序,然后单击“Provisioning”(预置)选项卡。
单击“Enable API Integration”(启用 API 集成)按钮。
选中“Enable API integration”(启用 API 集成)复选框并单击“Save”(保存)。
执行以下操作:
对于“API Token”(API 令牌),粘贴您在上一步骤中复制的 Tableau Cloud SCIM 密文令牌。
对于“Base URL”(基本 URL),复制并粘贴 Tableau Cloud SCIM 设置中显示的基本 URL。
单击“Test API Credentials”(测试 API 凭据)按钮以确保配置正确完成。如果配置正确完成,您会看到“Tableau Cloud was verified successfully!”(Tableau Cloud 已成功验证!)消息。
完成后,单击“Save”(保存)。
步骤 3:将组分配给 Tableau 应用程序
对于 Tableau 的用户预置,我们建议您分组管理用户,以便在 Tableau 中更轻松地管理。
在 Okta 中,将组分配给 Tableau 应用程序,以便可以将用户预置到 Tableau Cloud。更具体地说,您需要两个不同的组,一个组分配给“分配”选项卡,另一个组分配给“推送组”选项卡。“分配”选项卡中的组用于在 Tableau Cloud 中创建用户。“推送组”选项卡中的组用于在 Tableau Cloud 中创建组并管理组成员身份。
注意:
Okta 要求您在“分配”选项卡中有一个组,并在“推送组”选项卡中有一个组,以防止出现竞争情况。有关详细信息,请参见 Okta 文档中的应用程序分配和组推送(链接在新窗口中打开)以及关于组推送(链接在新窗口中打开)。
此过程中的步骤假设您已创建至少两个组。有关在 Okta 中创建组的详细信息,请参见 Okta 文档中的创建组(链接在新窗口中打开)。
您可以使用以下程序添加组并将该组分配给 Tableau 应用程序。
从左窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击“Tableau Cloud”应用程序,然后单击“Assignmentsg”(分配)选项卡。
单击“Assign”(分配)下拉列表,然后选择“Assign to Groups”(分配给组)。
执行以下操作:
选择相关的组。
选择您希望向 Tableau 预置用户的站点角色。选项包括:
未许可
Viewer(查看者)
Explorer
Explorer(可发布)
Creator
站点管理员 Explorer
站点管理员 Creator
完成后,单击“Save and Go Back”(保存并返回)按钮。
在“Push Group”(推送组)选项卡中重复步骤 1-4,然后单击“Done”(完成)按钮。
步骤 4:启用组预置
Okta 允许您将现有组及其成员资格推送至 Tableau Cloud。推送了一个组之后,您可以在 Okta 中管理组成员资格以自动更新 Tableau Cloud 中对应的组。在执行这些步骤之前,我们建议您查看 Okta 文档中的组推送先决条件(链接在新窗口中打开)和关于组推送(链接在新窗口中打开)。
重要信息:启用 SCIM 后,应通过 Okta 管理用户及其属性。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。
以下程序从您离开上一个部分的位置继续并且假设您已登录到 Okta 管理员控制台。
从左侧窗格中,选择“Application”(应用程序)>“Application”(应用程序),单击 Tableau Cloud 应用程序,然后单击“Push Groups”(推送组)选项卡。
单击“Push Groups”(推送组)按钮,并从下拉菜单中则选择以下选项之一:
按名称查找组:选择此选项可按名称搜索组。
按规则查找组:选择此选项可创建一个搜索规则,该规则会推送与该规则匹配的任何组。
(可选)如果推送多个组,请单击“Save & Add Another”(保存并添加另一个)按钮,然后重复上一步。
- 完成后,单击“保存”。
您可以通过单击“推送状态”列中的“活动”或“非活动”立即停用组推送、取消已推送组的链接或推送组成员资格。若要删除、停用或激活多个组,请单击“批量编辑”。有关详细信息,请参见 Okta 文档中的启用组推送(链接在新窗口中打开)。
SCIM 和登录时授予许可证
从 2024 年 2 月 (Tableau 2023.3) 开始,您可以将 SCIM 与 Okta 的登录时授予许可证结合使用。
将 SCIM 与 Okta 的 GLSI 结合使用需要以下内容:
在 Okta 中,将用户添加到 Tableau 应用程序的“分配”和“推送组”选项卡中的组中。
在 Tableau Cloud 中,为组启用 GLSI 选项,并为作为组成员的用户选择最低站点角色。
注意:无法在 Okta 中设置具有 GLSI 属性的组。
在 Okta 中,用户将被预置成“Unlicensed”(未许可)。
启用 GLSI
若要设置和启用 GLSI,请参见登录时授予许可证。
使用 GLSI 移除 SCIM 用户
尝试在 Okta 中停用 SCIM 用户之前,您必须先将 SCIM 用户从 Okta 中启用 GLSI 的组中移除。停用用户会将用户设置为 Tableau Cloud 中的“未许可”角色。但是,用户无法在 Tableau Cloud 中获得“未许可”角色,直至他们不再是任何启用 GLSI 的组的成员。
在 Okta 中,首先从分配给“Push Group”(推送组)选项卡的启用 GLSI 的组中移除用户。
在 Okta 中,通过从分配给“Assignments”(分配)选项卡的启用 GLSI 的组中移除用户或在 Okta 中删除用户来取消预置用户。执行此操作后,用户将在 Tableau Cloud 中转换为“未许可”。在 Okta 中取消预置用户只会导致用户在 Tableau Cloud 中转换为“未许可”,而不会删除该用户。
注意:
如果您想在 Okta 中删除用户,请参见 Okta 文档中的停用和删除用户帐户(链接在新窗口中打开)。
如果要删除 Tableau Cloud 中的 SCIM 用户(请参见下面的删除 SCIM 用户),请从 Tableau Cloud 中手动删除该用户。
如果您遇到问题,请参见通过 SCIM 尝试取消预置用户时出现错误“用户角色未更新为:未许可(errorCode=10079)”(链接在新窗口中打开)知识文章。
关于 Tableau Cloud 的“所有用户”组
如果您已使用 GLSI 启用了默认的“所有用户”组,则无法在 Okta 中取消预置用户,因此无法为 Tableau Cloud 中属于启用了 GLSI 的组的任何用户获取“未许可”角色。若要移除启用 GLSI 的“所有用户”组中的 SCIM 用户,您必须从 Tableau Cloud 中手动删除这些用户。
注意:如果用户拥有与其关联的内容,则您需要先将内容所有权重新分配给其他用户,然后才能删除这些用户。
删除 SCIM 用户
在 Okta 中删除 SCIM 用户只会将他们转换为“未许可”角色,而不会在 Tableau Cloud 中删除他们。如果要删除用户,则必须在 Tableau Cloud 中手动删除用户。
有关删除用户的详细信息,请参见查看、管理或移除用户主题中的“从站点中移除用户”。
Okta SCIM 支持的注意事项
在 Okta 用户分配设置中,“用户名”和“主要电子邮件”必须相同。
您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Cloud Okta 应用。
如果要迁移站点,您将需要为新站点重新配置 SCIM 配置。
在预置新用户时,Okta 中的名字和姓氏属性与 Tableau Cloud 不同步。新用户在首次登录 Tableau Cloud 时必须设置这些字段。
当从 Okta 中的 Tableau Cloud 应用程序取消预置用户或从 Okta 中完全停用或删除用户时,该用户将转换为 Tableau Cloud 中的“未许可”站点角色。如果用户拥有任何内容,您必须首先重新分配这些内容资产的所有权,然后才能手动删除在 Tableau Cloud 中的用户。
可以在 Okta 中的用户或组级别设置用户的站点角色(例如 Creator、Explorer 或 Viewer(查看者))。建议在组级别分配站点角色。如果为用户直接分配了站点角色,它将覆盖任何组设置。
用户可以是多个组的成员。组可以有不同的站点角色。如果为用户分配了具有不同站点角色的组,则用户将在 Tableau Cloud 中获得权限最高的站点角色。举例来说,如果选择 Viewer(查看者)和 Creator,Tableau 将分配 Creator 站点角色。
下面按权限从最高到最低的顺序列出了站点角色:
站点管理员 Creator
站点管理员 Explorer
Creator
Explorer(可发布)
Explorer
Viewer(查看者)
您可以在 Okta 中更新用户的站点角色属性,并且此更改将传播到 Tableau Cloud。无法更新其他属性(例如用户名和主电子邮件)。若要更改这些属性,请移除该用户,更改属性,然后再次添加用户。
从 2024 年 2 月 (Tableau 2023.3) 开始,支持使用 SCIM 和登录时授予许可证(GLSI)。有关详细信息,请参见上面的SCIM 和登录时授予许可证。