通过外部身份提供程序自动进行用户配置和组同步

您可以使用标识提供程序 (IdP) 自动在 Tableau Online 中组添加或移除用户,或者从组中添加或移除成员。Tableau Online IdP 用户管理使用跨域身份管理 (SCIM) 标准,这是一种用于自动交换用户身份信息的开放式标准。目前我们支持具有以下 IdP 的 SCIM:

  • Okta
  • OneLogin

随着功能的发展,我们打算支持其他 IdP。如果对将来的计划有疑问,您可以向我们的 SCIM 预发行版团队发送电子邮件

注意:如果您使用的是 Microsoft Azure Active Directory,可以使用以下 Microsoft 文章中的步骤自动预配用户和组:为 Tableau Online 配置自动用户预配(Link opens in a new window)

SCIM 用于对诸如 Tableau Online 等云应用程序中的用户进行配置。云 IdP 集中管理用户身份,包括将用户分配给应用程序和组。IdP 使用 SCIM 标准来确保“下游”应用程序与使用 IdP 设置的这些配置分配保持同步。通过这种方式管理用户可以提高安全性,并且可大大减少 Tableau Online 站点管理员管理站点用户和组成员身份所需执行的手动工作量。

先决条件

若要实现 SCIM 与 Tableau Online 站点的集成,您将需要适当的访问级别:

  • Tableau Online 站点的站点管理员访问权限。

  • 能够修改 Tableau Online 的 IdP 配置设置

针对您的 IdP 启用 SCIM 支持的步骤

以下部分提供特定于 IdP 的步骤,用于为您的 Tableau Online 站点启用 SCIM 支持。

注意:其中一些步骤反映第三方 IdP 接口。这些 IdP 设置会在我们不知情的情况下发生变化。

使用 Okta 实现对 SCIM 的支持

使用以下步骤来启用 SCIM 支持。另请参见Okta SCIM 支持的注意事项和已知限制

  1. SCIM 功能要求您将站点配置为支持 SAML 单点登录。如果您未执行此操作,请完成使用 Okta 配置 SAML一文中的以下部分:

    完成这两个部分中的步骤后,保持已登录 Okta 控制台和 Tableau Online 的状态,并显示以下页面:

    • Tableau Online 中,显示“设置”>“身份验证”页面。

    • 在 Okta 开发人员控制台中,显示“Applications”(应用程序)>“Tableau Online”>“Provisioning”(配置)

  2. Tableau Online“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。

    此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”“密文”框。

    重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Online 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。

  3. 复制密文令牌值,然后在 Okta 管理员控制台的“Provisioning”(配置)页面上,选择“Settings”(设置)列中的“API Integration”(API 集成)

  4. 选择“Edit”(编辑),然后执行以下操作:

    • 选中“Enable API integration”(启用 API 集成)复选框。

    • 对于“API Token”(API 令牌),粘贴您在上一步骤中复制的 Tableau Online SCIM 密文令牌。

    • 对于“Base URL”(基本 URL),复制并粘贴 Tableau Online SCIM 设置中显示的基本 URL

Okta SCIM 支持的注意事项和已知限制

  • 在 Okta 用户分配设置中,“用户名”“主要电子邮件”必须相同。

  • 您必须为要使用 SCIM 管理的每个站点添加单独的 Tableau Online Okta 应用。

  • 如果要迁移站点,您将需要为新站点重新配置 SCIM 配置。

  • 在配置新用户时,Okta 中的名字和姓氏属性与 Tableau Online 不同步。新用户在首次登录 Tableau Online 时必须设置这些字段。

  • 可以在 Okta 中的用户或组级别设置用户的站点角色(例如 Creator、Explorer 或 Viewer(查看者))。建议在组级别分配站点角色。如果为用户直接分配了站点角色,它将覆盖任何组设置。

  • 用户可以是多个组的成员。组可以有不同的站点角色。如果为用户分配了具有不同站点角色的组,则用户将在 Tableau Online 中获得权限最高的站点角色。举例来说,如果选择 Viewer(查看者)和 Creator,Tableau 将分配 Creator 站点角色。

    下面按权限从最高到最低的顺序列出了站点角色:

    • 站点管理员 Creator

    • 站点管理员 Explorer

    • Creator

    • Explorer(可发布)

    • Explorer

    • Viewer(查看者)

  • 您可以在 Okta 中更新用户的站点角色属性,并且此更改将传播到 Tableau Online。无法更新其他属性(例如用户名和主电子邮件)。若要更改这些属性,请移除该用户,更改属性,然后再次添加用户。

  • 将 SCIM 与登录时授予许可证一起使用不受支持,并且可能导致用户或组的站点角色预置不正确。

使用 OneLogin 实现对 SCIM 的支持

您可以通过 OneLogin 配置用户管理、配置组以及分配 Tableau Online 站点角色。如果您还不熟悉 Tableau 站点角色和每个角色允许的能力,请参见设置用户的站点角色

在您完成这些步骤时,它还使您能够随时浏览 OneLogin 文档。首先请阅读用户配置简介(Link opens in a new window)

  1. SCIM 功能要求您将站点配置为支持 SAML 单点登录。如果您尚未执行此操作,请完成“使用 OneLogin 配置 SAML”一文中的以下部分:

    完成这两个部分中的步骤后,保持已登录 OneLogin 门户和 Tableau Online 的状态,并显示以下页面:

    • Tableau Online 中,显示“设置”>“身份验证”页面。

    • 在 OneLogin 门户中,打开“Configuration”(配置)页面。

  2. Tableau Online“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。

    此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”“密文”框。

    重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Online 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。

  3. 复制密文令牌值,然后在 OneLogin 门户的“Configuration”(配置)页面中执行以下操作:

    • 对于“API Status”(API 状态),单击“Enable”(启用)

    • 对于“SCIM Bearer Token”(SCIM Bearer 令牌),粘贴您之前复制的 Tableau Online SCIM 密文令牌。

    • 对于“SCIM Base URL”(SCIM 基本 URL),复制并粘贴 Tableau Online SCIM 设置中显示的基本 URL

      OneLogin 门户的“配置”页面的图像

  4. “Provisioning”(配置)页面上:

    • 选中“Enable Provisioning for Tableau”(启用 Tableau 配置)复选框。

    • “When users are deleted in OneLogin, perform this action in Tableau”(如果在 OneLogin 中删除了用户,则在 Tableau 中执行此操作)选择“Suspend”(挂起)

      OneLogin 门户的“预置”页面(针对 Tableau Online 设置)的图像

  5. 单击“Save”(保存)。如果要完成配置组的步骤,请保持登录到 OneLogin 门户,并继续执行下一部分。

启用组配置并分配 Tableau 站点角色

OneLogin 为您提供了多种方式,您可以通过这些方式来分配诸如组或站点角色等用户属性。您可以在 Tableau Online 应用级别应用这些属性、创建映射规则或将它们手动应用于单个用户。

以下步骤从您离开上一个部分的位置开始,并且假设您已登录到 OneLogin 门户和 Tableau Online 应用。这些步骤提供一些特定于 Tableau 的信息,您可以将这些信息与 OneLogin 文档结合使用,将组和站点角色映射属性到用户。

配置组

将 Tableau Online 组导入 OneLogin,并指定希望在用户配置对话框中默认处于选定状态的组。

  1. 打开“Parameters”(参数)页面,单击“Groups”(组),并选中“Include in User Provisioning”(包括在用户配置中)复选框。

  2. 转到“Provisioning”(配置)页面,并在“Entitlements”(权利)部分中单击“Refresh”(刷新)

    此操作将从 Tableau Online 导入组。

  3. 返回到“Parameters”(参数)页面,然后选择要在用户配置页面中显示为选定值的组。

  4. 若要更改组成员身份,请转到“Users”(用户)页面,选择一个用户,并在“Groups”(组)部分修复可用和选定的值。

您也可以创建根据定义的条件将用户自动放入组中的映射。若要开始操作,请参见 OneLogin 文章映射(Link opens in a new window)

分配 Tableau 站点角色

默认情况下,将为用户分配“Viewer”站点角色,该角色占用“Viewer”许可证类型。

无论您在 OneLogin 中使用什么方法来分配站点角色,在某一时刻您都需要在文本框中输入站点角色名称。有关您可键入的允许的值,请参见这些步骤下面的有效的 Tableau 站点角色值

您可以通过以下一些方式来分配站点角色:

  • 对于单独的用户:“Users”(用户)选项卡上选择用户,然后在用户设置中的文本框中键入站点角色名称。

  • 对于一组用户:“Parameters”(参数)页面上,单击“Site Role”(站点角色),然后为“Value”(值)选择选项之一来分配站点角色属性。例如:

    • 如果所有用户具有相同的站点角色,请选择“Macro”(宏)并输入站点角色名称。

    • 如果 OneLogin 用户目录包含站点角色,请选择对应的属性。

分配完站点角色后,单击“Save”(保存)

有效的 Tableau 站点角色值

在 OneLogin 门户中的“Provisioning”(配置)页面上,您可以输入的站点角色值取决于当前许可证角色或旧许可证角色。

  • 当前许可证角色包括以下站点角色值:

    Creator、Explorer、ExplorerCanPublish、ReadOnly、 ServerAdministrator、SiteAdministratorExplorer、 SiteAdministratorCreator、Unlicensed 或 Viewer(查看者)。

  • 旧许可证角色(v2018.1 之前)许可证类型附带以下站点角色:

    Interactor、Publisher、ServerAdministrator、 SiteAdministrator、Unlicensed、UnlicensedWithPublish、 Viewer 或 ViewerWithPublish

另请参见

若要了解更改用户属性的效果,或了解如何重置您手动更改的单独用户属性,请参见 OneLogin 文章设置属性:默认值、规则和手动输入的效果(Link opens in a new window)

替换 SCIM 密文令牌

当您需要替换 SCIM(跨域身份管理系统)的密文令牌时,可以执行以下操作之一:

  • 在 Tableau Online 中,在“设置”>“授权”页面上的“自动预置和组同步 (SCIM)”下,单击“生成新密文”以生成新的密文令牌以替换旧密文。生成新密文令牌时,必须重新配置 SCIM 以使用新的密文令牌。
  • 管理员可以通过从 Tableau Online 站点中删除另一个用户,然后将其添加回站点来撤销属于该用户的密文令牌。
感谢您的反馈!