通过外部身份提供程序自动进行用户配置和组同步
您可以使用身份提供程序 (IdP) 自动在 Tableau Cloud 中组添加或移除用户,或者从组中添加或移除成员。
Tableau Cloud 的用户管理使用跨域身份管理 (SCIM) 标准,这是一种用于自动交换用户身份信息的开放式标准。SCIM 允许身份提供程序 (IdP) 集中管理用户身份,包括将用户分配给应用程序和组。IdP 使用 SCIM 来确保像 Tableau Cloud 这样的“下游”应用程序与使用 IdP 设置的这些预置分配保持同步。通过这种方式管理用户可以提高安全性并且可大大减少站点管理员管理站点用户和组成员身份所需执行的手动工作。
在上图中,IdP 将更新推送到 Tableau Cloud 并控制 Tableau Cloud 的 SCIM 端点被调用的频率,以确保用户和组得到适当的镜像。
特定于 IdP 的配置
本主题后面的步骤提供了您可与 IdP 文档配合使用来为 Tableau Cloud 站点配置 SCIM 的一般信息。可以为我们支持的以下 IdP 获取特定于 IdP 的配置步骤:
先决条件
若要实现 SCIM 与 Tableau Cloud 站点的集成,您将需要适当的访问级别:
Tableau Cloud 站点的站点管理员访问权限
能够修改 Tableau Cloud 的 IdP 配置设置
此外,SCIM 功能要求您将站点配置为支持 SAML 单点登录 (SSO)。如果您还没有这样做,请参见在站点上启用 SAML 身份验证,然后按照您的 IdP 的文档添加 Tableau Cloud 作为应用程序。
针对您的 IdP 启用 SCIM 支持
使用以下步骤来启用 SCIM 支持。若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SCIM 预置配置或启用服务提供程序的主题。
注意:
启用 SCIM 后,应通过 IdP 管理用户及其属性。在 Tableau Cloud 内直接进行的更改可能导致意外行为和覆盖值。
从 2024 年 11 月开始 (Tableau 2024.3):
您可以选择 SAML 身份验证配置与 SCIM 关联。但是,一个站点上只能有一个 SAML 身份验证配置可以支持 SCIM。
SCIM 功能不再属于站点管理员范围。换句话说,所有站点管理员都有配置和编辑 SCIM 的能力。但是,一个站点上只能有一个 SAML 身份验证配置可以支持 SCIM。
启用 SCIM
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
执行以下操作:
在“身份验证”页面上的“自动预置和组同步 (SCIM)”下,选中“启用 SCIM”复选框。
此操作将使用您将在 IdP 的 SCIM 配置中使用的值填充“基本 URL”和“密文”框。
重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以选择“生成新密文”。此外,密文令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色发生变化或者从站点中移除了用户,密文令牌将变为无效,并且另个站点管理员必须生成新密文并将其应用于您的 IdP。
复制密文令牌值,然后导航到您的 IdP 设置。在相应字段中粘贴 Tableau Cloud SCIM 密文令牌。
复制 Tableau Cloud SCIM 设置中显示的“基本 URL”,并将其粘贴 IdP 中的相应字段。
在启用 SCIM 支持后,按照您的 IdP 文档预置用户和组。
替换 SCIM 密文令牌
当您需要替换 SCIM(跨域身份管理系统)的密文令牌时,请按照以下步骤进行操作:
在 Tableau Cloud 中,导航到“设置”>“授权”。
在“自动预置和组同步 (SCIM)”下,单击“生成新密文”。
重新配置 SCIM 以使用新的密文令牌。
站点管理员也可以通过从 Tableau Cloud 中删除另一个用户,然后将其添加回站点来撤销属于该用户的密文令牌。