使用 OneLogin 配置 SCIM


您可以通过 OneLogin 配置用户管理、预置组以及分配 Tableau Cloud 站点角色。如果您还不熟悉 Tableau 站点角色和每个角色允许的能力,请参见设置用户的站点角色

在您完成这些步骤时,它还使您能够随时浏览 OneLogin 文档。从 OneLogin 文档中的用户预置简介(链接在新窗口中打开)开始。

步骤 1:执行先决条件

SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。

  1. 完成使用 OneLogin 配置 SAML(链接在新窗口中打开)中的以下部分:

  2. 完成这两个部分中的步骤后,保持已登录 OneLogin 门户和 Tableau Cloud 的状态,并显示以下页面:

    • Tableau Cloud 中,显示“设置”>“身份验证”页面。

    • 在 OneLogin 门户中,打开“Configuration”(配置)页面。

步骤 2:启用 SCIM 支持

使用以下步骤为 OneLogin 启用 SCIM 支持。另请参见下面的 OneLogin SCIM 支持的注意事项和限制部分。

注意:请记住在进行配置更改后单击 OneLogin 门户右上角的“Save”(保存)

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. 执行以下操作:

    1. “身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。

      此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”“密文”框。

      重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。

  3. 复制密文令牌值。

  4. 在 OneLogin 门户中的“Configuration”(配置)页面上,执行以下操作:

    • 对于“API Status”(API 状态),单击“Enable”(启用)

    • 对于“SCIM Bearer Token”(SCIM Bearer 令牌),粘贴您之前复制的 Tableau Cloud SCIM 密文令牌。

    • 对于“SCIM Base URL”(SCIM 基本 URL),复制并粘贴 Tableau Cloud SCIM 设置中显示的基本 URL

      OneLogin 门户的“配置”页面的图像

  5. “Provisioning”(预置)页面上,执行以下操作:

    • 选择“Enable provisioning”(启用预置)

    • “When users are deleted in OneLogin, or the user's app access is removed, perform the below action”(在 OneLogin 中删除用户或移除用户的应用访问权限时,执行以下操作)选择“Suspend”(暂停)

      OneLogin 门户的“预置”页面(针对 Tableau Cloud 设置)的图像

  6. 单击“Save”(保存)

  7. (可选)在“Parameters”(参数)页面上,将“SCIM Username”(SCIM 用户名)映射到“Email”(电子邮件)属性。如果您未将 SCIM 用户名映射到电子邮件地址格式的属性,则必须在预置过程中为每个用户手动填充此字段。

    如果映射值不包含用户电子邮件地址,则预置用户时会显示错误。

如果要完成预置用户和组的步骤,请保持登录到 OneLogin 门户,并继续执行下一部分。

步骤 3:预置用户和组

OneLogin 为您提供了多种方式,您可以通过这些方式来分配诸如组或站点角色等用户属性。您可以在 Tableau Cloud 应用级别应用这些属性、创建映射规则或将它们手动应用于单个用户。

在开始之前,请务必注意 OneLogin 的组概念与 Tableau 的组概念的操作方式不同。在 OneLogin 中,组充当安全边界,将特定的安全策略应用于用户。因此,用户一次只能属于一个组。

此外,OneLogin 使用角色作为不同用户群组可以访问的应用程序的容器。为用户分配角色后,您将授予他们对该角色中包含的所有应用程序的访问权限。这类似于 Tableau 的组概念。用户在 OneLogin 中可以有多个角色,可以映射到一个目标应用组,例如 Tableau Cloud

注意:以下步骤假设您已登录 OneLogin 门户和 Tableau Cloud 应用软件。这些步骤提供一些特定于 Tableau 的信息,您可以将这些信息与 OneLogin 文档结合使用,将组和站点角色映射属性到用户。

配置用户

使用以下步骤,通过 OneLogin 门户将单个用户预置到 Tableau Cloud

  1. 转到“Users”(用户)选项卡,并选择要预置的用户。这将打开用户设置页面。

  2. 从左侧的导航菜单中,选择“Applications”(应用程序)

  3. “Applications”(应用程序)页面上,单击加号 (+) 图标为您的 Tableau Cloud 应用程序预置用户,然后单击“Continue”(继续)

  4. “站点角色”字段中为用户输入适当的 Tableau Cloud 站点角色。有关站点角色的详细信息,请参见设置用户的站点角色(链接在新窗口中打开)

  5. 单击“保存”

为多个用户预置 OneLogin 角色

您可以通过在 OneLogin 中分配角色来将多个用户预置到 Tableau Cloud。可以手动或使用映射自动将用户添加到角色。

若要将用户添加到角色,请执行以下操作:

  1. 转到“Users”(用户)>“Roles”(角色),然后选择现有角色或创建新角色。有关详细信息,请参见 OneLogin 的角色(链接在新窗口中打开)一文。

    下面的示例显示了我们稍后将在 Tableau Cloud 中作为一个组使用的角色“Sales”。

  2. “Applications”(应用程序)页面上,为角色分配 Tableau Cloud 应用程序的访问权限。这应该会自动将关联的用户预置到该应用程序。

  3. “Users”(用户)页面上,您可以通过输入用户的名字和姓氏手动将用户添加到角色,或者添加映射以根据特定属性(例如他们的 Active Directory 组)自动将用户添加到角色。

  4. 将用户添加到角色后,我们建议您在应用程序中创建规则以基于 OneLogin 角色分配适当的 Tableau Cloud 站点角色。有关详细信息,请参见 OneLogin 文章配置应用程序(链接在新窗口中打开)

    在下面的屏幕截图中,具有“Sales”角色的用户将被分配 Tableau Cloud 中的“Creator”站点角色。同样,具有“Marketing”角色的用户将被分配“Viewer(查看者)”站点角色。

将用户添加到现有 Tableau Cloud

Tableau Cloud 组导入 OneLogin,并指定希望在用户配置对话框中默认处于选定状态的组。

  1. 打开“Parameters”(参数)页面,单击“Groups”(组),并选中“Include in User Provisioning”(包括在用户配置中)复选框。

  2. 转到“Provisioning”(配置)页面,并在“Entitlements”(权利)部分中单击“Refresh”(刷新)

    此操作将从 Tableau Cloud 导入组。

  3. 返回到“Parameters”(参数)页面,然后选择要在用户配置页面中显示为选定值的组。

  4. 若要更改组成员身份,请转到“Users”(用户)页面,选择一个用户,并在“Groups”(组)部分修复可用和选定的值。

您也可以创建根据定义的条件将用户自动放入组中的映射。有关详细信息,请参见 OneLogin 文章映射(链接在新窗口中打开)

通过 OneLogin 创建 Tableau Cloud 中的组

使用以下步骤,基于 OneLogin 映射中的属性创建 Tableau Cloud 组。例如,根据用户角色创建 Tableau Cloud 中的组。

  1. 转到“Applications”(应用程序),选择 Tableau Cloud 应用程序,然后选择“Rules”(规则)

  2. “Rules”(规则)页面上,单击“Add Rule”(添加规则)以打开编辑映射窗口。

  3. “Actions”(操作)下,从下拉菜单中选择“Set Groups”(设置组),然后选择“Map from OneLogin”(从 OneLogin 映射)

    “with value that matches”(具有匹配值)条件字段使用正则表达式。如果要在 Tableau Cloud 中创建与 OneLogin 中的角色名称匹配的组,请在文本字段中键入 .*

分配 Tableau 站点角色

默认情况下,将为用户分配“Viewer”站点角色,该角色占用“Viewer”许可证类型。

无论您在 OneLogin 中使用什么方法来分配站点角色,在某一时刻您都需要在文本框中输入站点角色名称。有关您可键入的允许的值,请参见下面的有效的 Tableau 站点角色值

您可以通过以下一些方式来分配站点角色

对于个别用户:

  1. “Users”(用户)页面上,选择用户,然后导航到“Applications”(应用程序)选项卡。选择对应的 Tableau Cloud 应用程序。

  2. 在用户设置的“Site Role”(站点角色)文本框中键入站点角色名称。

对于一组用户:

  1. “Parameters”(参数)页面上,单击“Site Role”(站点角色),然后为“Value”(值)选择选项之一来分配站点角色属性。

    例如:

    • 如果所有用户具有相同的站点角色,请选择“Macro”(宏)并输入站点角色名称。

    • 如果 OneLogin 用户目录包含站点角色,请选择对应的属性。

  2. “Rules”(规则)页面上,创建一个将角色映射到 Tableau Cloud 中的特定角色的规则。

分配完站点角色后,单击“Save”(保存)

有效的 Tableau 站点角色值

在 OneLogin 门户中的“Provisioning”(配置)页面上,您可以输入的站点角色值取决于当前许可证角色或旧许可证角色。

  • 当前许可证角色包括以下站点角色值:

    Creator、Explorer、ExplorerCanPublish、ReadOnly、 ServerAdministrator、SiteAdministratorExplorer、 SiteAdministratorCreator、Unlicensed 或 Viewer(查看者)。

  • 旧许可证角色(v2018.1 之前)许可证类型附带以下站点角色:

    Interactor、Publisher、ServerAdministrator、 SiteAdministrator、Unlicensed、UnlicensedWithPublish、 Viewer 或 ViewerWithPublish

若要了解更改用户属性的效果,或了解如何重置您手动更改的单独用户属性,请参见 OneLogin 文章设置属性:默认值、规则和手动输入的效果(链接在新窗口中打开)

OneLogin SCIM 支持的注意事项和限制

  • 您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Cloud 应用。

  • 在 OneLogin 中从 Tableau Cloud 应用程序中取消预置或移除现有用户时,如果用户拥有任何内容资产,该用户将转换为 Tableau Cloud 中的未许可站点角色。如果用户确实拥有内容,您必须首先重新分配这些内容资产的所有权,然后才能手动删除在 Tableau Cloud 中的用户。

  • 将 SCIM 与登录时授予许可证一起使用不受支持,并且可能导致用户或组的站点角色预置不正确。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!