使用 Microsoft Entra ID 設定 SCIM

您可以透過 Microsoft Entra ID(也稱為 Azure Active Directory (AD))設定使用者管理、佈建群組以及指派 Tableau Cloud 站台角色。

完成以下步驟時,手邊有 Entra ID 文件將會有所幫助。請參閱教程設定 Tableau Cloud 來自動佈建使用者(連結在新視窗開啟)

附註:若已為應用程式啟用佈建,並且想要進行更新以使用 Tableau SCIM 2.0 端點,請參閱 Microsoft 文章更新 Tableau Cloud 應用程式(連結在新視窗開啟)。若要為 Tableau Cloud 應用程式的新執行個體設定佈建,請按照以下步驟操作。

第 1 步:執行必要條件

SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。

  1. 請完成使用 Microsoft Entra ID 設定 SAML 中的「將 Tableau Cloud 新增到 Microsoft Entra ID 應用程式」區段。

  2. 從 Azure Marketplace 新增 Tableau Cloud 後,保持登入到 Entra 入口網站和 Tableau Cloud,系統會顯示以下頁面:

    • Tableau Cloud 中的「設定」>「驗證」頁面。
    • Entra 入口網站中的Tableau Cloud「應用程式 > 佈建」頁面。

步驟 2:啟用 SCIM 支援

使用以下步驟使用 Microsoft Entra ID 啟用 SCIM 支援。另請參閱 透過 Azure Active Directory 提供 SCIM 支援的附註與限制部分。

附註: 對於 Entra 入口網站中的步驟,請確保使用的是資源庫中的 Tableau Cloud 應用程式。

  1. 以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」

  2. 執行以下動作:

    1. 「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。

      此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」「密碼」方塊。

      重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。

  3. 複製密碼權杖值,然後在 Entra 入口網站中的佈建頁面上,執行以下動作:

    • 對於佈建模式,選取自動

    • 對於驗證方法,選取持有人驗證

    • 對於租用戶 URL,複製並貼上 Tableau Cloud SCIM 設定中顯示的基底 URL

    • 對於祕密權杖,貼上之前複製的 Tableau Cloud SCIM 祕密權杖。

  4. 按一下測試連線按鈕以驗證認證是否按預期工作,然後按一下儲存

  5. 對應區段中,驗證是否已啟用佈建 Microsoft Entra ID 群組佈建 Microsoft Entra ID 使用者

  6. 選取佈建 Microsoft Entra ID 群組,然後在屬性對應頁面上,查看從 Entra ID 同步到 Tableau Cloud 的屬性。要儲存任何變更,請按一下儲存

  7. 選取佈建 Microsoft Entra ID 使用者,然後在屬性對應頁面上,查看從 Entra ID 同步到 Tableau Cloud 的屬性。要儲存任何變更,請按一下儲存

步驟 3:將與群組指派給 Tableau Cloud 應用程式

使用以下步驟將群組指派給 Microsoft Entra ID 中的 Tableau Cloud 資源庫應用程式。

  1. 從應用程式頁面中,選取企業應用程式 > 使用者和群組

  2. 按一下新增使用者/群組

  3. 新增指派頁面上,選取一個群組並指派以下站台角色之一:

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • 未授權

    附註:若選取的角色不在上述清單中,將收到錯誤訊息。有關網站角色的詳情,請參閱設定使用者的網站角色

  4. 按一下指派

為網站角色建立群組

使用者可以是 Entra ID 中多個群組的成員,但他們在 Tableau Cloud 中只能取得最寬鬆的站台角色。例如,若使用者是具有網站角色 Viewer 和 Creator 的兩個群組的成員,Tableau 將指派 Creator 網站角色。

要追蹤角色指派,我們建議在 Entra ID 中建立特定於角色的群組,例如「Tableau - Creator」「Tableau - Explorer」等。然後,可以使用這些群組在 Tableau Cloud 中快速佈建新使用者,以取得正確的角色。

下面按照從權限最高到權限最低的順序列出站台角色:

  • 站台管理員 Creator

  • 站台管理員 Explorer

  • Creator

  • Explorer (可發佈)

  • Explorer

  • Viewer

附註:使用者及其屬性應透過 Entra ID 進行管理。直接在 Tableau Cloud 內部進行變更可能會導致非預期行為和值遭到覆寫。

步驟 4:佈建群組

在 Entra ID 中啟用 SCIM 支援並將群組指派給 Tableau Cloud 應用程式後,下一步是將使用者佈建到 Tableau Cloud 站台。

  1. 「佈建」頁面上,展開「設定」區段,然後在「範圍」中定義要佈建到 Tableau Cloud 的群組。

    附註:Tableau Cloud 不支援 Entra ID 設定「同步所有使用者與群組」。

  2. 佈建狀態切換為

  3. 按一下儲存

儲存會啟動初始同步範圍中定義的群組。只要 Entra ID 佈建服務執行,就會大約每 40 分鐘進行一次同步。要在排程之外手動佈建使用者,請選取隨選佈建。有關隨需佈建的詳情,請參閱 Microsoft 文章在 Microsoft Entra ID 隨需佈建(連結在新視窗開啟)

佈建完成後,應該會在 Tableau Cloud 中的「站台使用者」頁面上看到來自 Entra ID 的群組。

Tableau Cloud 中變更使用者驗證

預設情況下,會為已佈建的使用者指派 SAML 驗證類型。要為使用者變更驗證類型,請遵循以下步驟。

  1. Tableau Cloud 中,選取使用者

  2. [網站使用者] 頁面上,選中要向其指派驗證類型的使用者旁邊的核取方塊。

  3. 動作功能表上,選取驗證

  4. 在「驗證」對話方塊中,為使用者選取慣用驗證類型。

有關 Tableau Cloud 中不同驗證類型的更多資訊,請參閱驗證

SCIM 並在登入時授權

從 2024 年 2 月開始 (Tableau 2023.3),可以將 SCIM 與登入時授權 (GLSI) 以及 Microsoft Entra ID 一同使用。

將 SCIM 與 GLSI 結合使用於 Entra ID 需要滿足以下條件:

  1. 在 Entra ID 中,將使用者新增至 Tableau Cloud 應用程式中的群組。

  2. 在 Tableau Cloud 中,為群組啟用 GLSI 選項並為屬於群組成員的使用者選取最低站台角色。

    請注意:無法在 Entra ID 中設定具有 GLSI 屬性的群組。

  3. 在 Entra ID 中將佈建為未授權的使用者。

啟用 GLSI

若要在 Tableau Cloud 中啟用 GLSI,請參閱登入時授權

使用 GLSI 移除 SCIM 使用者

在嘗試從 Microsoft Entra ID 中刪除 SCIM 使用者之前,必須將其從 Microsoft Entra ID 中啟用 GLSI 的群組中移除。當 SCIM 使用者從其所有啟用 GLSI 的群組中移除時,使用者將轉換為 Tableau Cloud 中的「未授權」角色。

  1. 在 Entra ID 中,從 Tableau Cloud 應用程式中啟用 GLSI 的群組中解除佈建使用者。在 Entra ID 中解除佈建使用者只會導致該使用者在 Tableau Cloud 中轉換為「未授權」,而不會刪除該使用者。

附註:

  • 如果使用者不再是 Entra ID 中任何其他 Tableau Cloud 應用程式群組的成員,或者如果使用者被單獨指派到 Tableau Cloud 應用程式,則該使用者在 Tableau Cloud 中將轉換為「未授權」。

  • 如果想要刪除 Tableau Cloud 中的 SCIM 使用者(請參閱下方的刪除 SCIM 使用者),可以從 Tableau Cloud 中手動刪除使用者。

  1. 從啟用 GLSI 的群組中移除使用者。

  2. 從站台中移除 SCIM 使用者。

如果遇到問題,請參閱嘗試透過 SCIM 解除佈建使用者時出現錯誤「使用者角色未更新為:未授權(錯誤代碼=10079)」(連結在新視窗開啟) Knowledge 文章。

關於 Tableau Cloud 的「所有使用者」群組

如果已啟用帶有 GLSI 的預設「所有使用者」群組,則無法解除佈建 Entra ID 中的使用者,因此無法取消對屬於 Tableau Cloud 中啟用 GLSI 群組的任何使用者授權。若要移除啟用 GLSI 的「所有使用者」群組中的 SCIM 使用者,必須從 Tableau Cloud 手動刪除該使用者。

附註:如果使用者有與其關聯的內容,需要將內容所有權重新指派給其他使用者,然後才能刪除使用者。

刪除 SCIM 使用者

在 Entra ID 中刪除 SCIM 使用者只會將他們轉換為「未授權」角色,而不會在 Tableau Cloud 中刪除他們。如果要刪除使用者,必須手動刪除 Tableau Cloud 中的使用者。

有關刪除使用者的詳請,請在檢視、管理或移除使用者主題中參閱「從站台移除使用者」。

附註:如果使用者有與其關聯的內容,需要將內容所有權重新指派給其他使用者,然後才能刪除使用者。

具有 Microsoft Entra ID 的 SCIM 支援注意事項

  • 必須為要使用 SCIM 管理的每個站台單獨新增 Tableau Cloud 應用程式。

  • 在 Azure AD 的 Tableau Cloud 應用程式中取消佈建使用者後,或者如果從 Azure AD 中完全刪除使用者,則該使用者在 Tableau Cloud 中將轉換為未授權站台角色。如果使用者擁有任何內容,必須先重新指派這些內容資產的所有權,然後才能在 Tableau Cloud 中手動刪除使用者。

  • 從 2024 年 1 月開始 (Tableau 2023.3),支援 SCIM 與登入時授權 (GLSI) 一同使用。有關詳情,請參閱SCIM 並在登入時授權

感謝您的意見反應!已成功提交您的意見回饋。謝謝!