SCIM


跨域身份管理系统 (SCIM) 是一种协议,它对 Tableau Cloud 等基于云的应用程序的用户和组预置自动化进行了标准化。Tableau Cloud 支持 SCIM,使身份提供程序 (IdP) 能够集中管理用户身份,同时简化在 Tableau Cloud 中管理用户和组成员身份的流程。IdP 使用 SCIM 来确保及时授予和撤销访问权限,并且 Tableau Cloud 与 IdP 中的预置分配保持同步。这种类型的集成提高了安全性,并减少了 Tableau Cloud 中站点管理员的手动工作。

身份提供程序链接到 SCIM 和 Tableau Cloud 的简单说明。

在上图中,IdP 将更新推送到 Tableau Cloud 并控制 Tableau Cloud 的 SCIM 端点被调用的频率,以确保用户和组得到适当的镜像。

特定于 IdP 的配置

本主题后面的步骤提供了您可与 IdP 文档配合使用来为 Tableau Cloud 站点配置 SCIM 的一般信息。可以为我们支持的以下 IdP 获取特定于 IdP 的配置步骤:

启用 SCIM 支持概述

查看以下步骤,在 Tableau Cloud 和您的 IdP 中启用 SCIM 集成。若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SCIM 预置配置或启用服务提供程序的主题。

注意:

  • 启用 SCIM 后,应通过 IdP 管理用户及其属性。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。

  • 从 2025 年 1 月 (Tableau 2024.3) 开始:

    • 您可以选择 SAML 身份验证配置与 SCIM 关联。但是,一个站点上只能有一个 SAML 身份验证配置可以支持 SCIM。

    • SCIM 功能不再属于站点管理员范围。换句话说,所有站点管理员都有配置和编辑 SCIM 的能力。

  • 从 2025 年 6 月 (Tableau 2025.2) 开始:

    • 您可以在站点上配置一个或多个 SCIM 配置。

    • 您可以绕过 Tableau 生成的 SCIM 令牌,而是使用外部生成的 JWT(使用 Tableau 已连接应用)来支持 Tableau Cloud 中的 SCIM 请求。

步骤 1:执行先决条件

启用 SCIM 与 Tableau Cloud 站点的集成之前,您将需要满足以下要求:

  • 具有 Tableau Cloud 站点的站点管理员访问权限。

  • 能够针对 Tableau Cloud 修改 IdP 的设置。

  • 您的站点已配置为支持 SAML 单点登录 (SSO)。如果您还没有这样做,请参见在站点或 TCM 上启用 SAML 身份验证,然后按照您的 IdP 的文档添加 Tableau Cloud 作为应用程序。

  • (可选)如果使用外部令牌生成和管理,您已创建并启用 Tableau 已连接应用。如果您还没有这样做,请参见使用 Tableau 已连接应用进行应用程序集成

步骤 2:启用 SCIM 支持

在 Tableau Cloud 中 - 使用 Tableau 生成的令牌

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. 执行以下操作:

    1. “身份验证”页面的“跨域身份管理系统 (SCIM)”下,单击“新配置”按钮。

    2. “新的 SCIM 配置”对话框中,执行以下操作:

      1. 为 SCIM 配置输入一个名称。

      2. 复制要在 IdP 的 SCIM 设置中使用的“基本 URL”

      3. “身份验证”下拉列表中,选择要与 SCIM 关联的 SAML 身份验证配置。

      4. 单击“保存”

        注意:这将填充“SCIM 令牌”部分。

        新的 SCIM 配置

    3. “SCIM 令牌”下,执行以下操作:

      1. 单击“新建密文”按钮。

      2. 在“新建密文”对话框中,再次单击“新建密文”按钮。将显示新生成的密文。

      3. 复制密文,并将其存储在安全位置。

        重要信息:

        • 如果关闭 SCIM 配置,然后才能将密文添加到 IdP 的 SCIM 设置,您可以编辑 SCIM 配置,但需要再次单击“新建密文”以生成新密文。

        • 该密文与创建 SCIM 配置的 Tableau 站点管理员用户相关联。如果该用户的站点角色发生变化或者用户不再是站点的成员,则密文将变为无效。在这种情况下,另一个站点管理员可以为现有 SCIM 配置生成新密文并将其添加到 IdP 的 SCIM 设置,或者创建新的 SCIM 配置,确保将基本 URL 和密文添加到 IdP 的 SCIM 设置。

      4. 单击“关闭”

  3. 导航到您的 IdP 的 SCIM 设置,并在相应的字段中粘贴 Tableau Cloud 基本 URL 和 SCIM 令牌。

在 Tableau Cloud 中,使用外部令牌

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. 执行以下操作:

    1. “跨域身份管理系统 (SCIM)”下,单击“新配置”按钮。

    2. “新的 SCIM 配置”对话框中,执行以下操作:

      1. 为 SCIM 配置输入一个名称。

      2. 复制要在 IdP 的 SCIM 设置中使用的“基本 URL”

      3. “身份验证”下拉列表中,选择要与 SCIM 关联的 SAML 身份验证配置。

      4. 单击“保存”

        注意:这将填充“SCIM 令牌”部分,您可以放心忽略该部分。

      5. 完成后,单击“关闭”

  3. 导航到您的 IdP 的 SCIM 设置,并在相应的字段中粘贴 Tableau Cloud 基本 URL。

在 IdP 中

满足先决条件并在 Tableau Cloud 中启用 SCIM 后,使用 IdP 文档中的步骤通过身份提供程序 (IdP) 启用 SCIM 支持。有关特定 IdP 的某些一般准则,请参见特定于 IdP 的配置

步骤 3:预置用户和组

在启用 SCIM 支持后,按照您的 IdP 文档预置用户和组。有关特定 IdP 的某些一般准则,请参见特定于 IdP 的配置

替换 Tableau 生成的 SCIM 令牌

当您需要替换 Tableau 生成的 SCIM 令牌时,请按照以下步骤为现有 SCIM 配置生成新密文。

注意:若要为现有 SCIM 配置生成新令牌,您必须是创建 SCIM 配置的站点管理员。

  1. 在 Tableau Cloud 中,导航到“设置”>“身份验证”

  2. 在“跨域身份管理系统 (SCIM)”下,在 SCIM 配置旁边,选择“操作”>“编辑配置”

  3. 在“SCIM 令牌”下,执行以下操作:

    1. 单击“新建密文”按钮。

    2. 在“新建密文”对话框中,再次单击“新建密文”按钮。将显示新生成的密文。

    3. 复制密文,并将其存储在安全位置。

      重要信息:

      • 如果关闭 SCIM 配置,然后才能将密文添加到 IdP 的 SCIM 设置,您可以编辑 SCIM 配置,但需要再次单击“新建密文”以生成新密文。

      • 该密文与创建 SCIM 配置的 Tableau 站点管理员用户相关联。如果该用户的站点角色发生变化或者用户不再是站点的成员,则密文将变为无效。在这种情况下,另一个站点管理员可以为现有 SCIM 配置生成新密文并将其添加到 IdP 的 SCIM 设置,或者创建新的 SCIM 配置,确保将基本 URL 和密文添加到 IdP 的 SCIM 设置。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!