使用 Okta 設定 SCIM

您可以透過 Okta 設定使用者管理、佈建群組以及指派 Tableau Cloud 站台角色。如果您還不熟悉 Tableau 網站角色和每個角色允許的能力,請參閱設定使用者的網站角色

步驟 1:執行必要條件

SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。

  1. 完成使用 Okta 設定 SAML的以下區段:

  2. 完成這兩個部分中的步驟後,保持登入 Okta 管理員主控台和 Tableau Cloud 的狀態,並顯示以下頁面:

    • Tableau Cloud 中的「設定」>「驗證」頁面。

    • 在 Okta 管理員主控台,「應用程式」>「應用程式」>「Tableau Cloud」>「佈建」

步驟 2:啟用 SCIM 支援

採用以下步驟透過 Okta 啟用 SCIM 支援。另請參閱下方區段中的透過 Azure Active Directory 支援 SCIM 的注意事項與限制

  1. 以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」
  2. 執行以下動作:

    1. 「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。

      此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」「密碼」方塊。

      重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。

  3. 複製密碼權杖值。

  4. 在 Okta 管理員主控台中,執行以下動作:

    1. 從左側窗格中,選取「應用程式」>「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「佈建」索引標籤。

    2. 按一下「啟用 API 整合」按鈕。

    3. 選取「啟用 API 整合」核取方塊,並按一下「儲存」

    4. 執行以下動作:

      1. 對於「API 權杖」,貼上在上一步中複製的 Tableau Cloud SCIM 密碼權杖。

      2. 對於「基本 URL」,複製並貼上 Tableau Cloud SCIM 設定中顯示的基本 URL

  5. 按一下「測試 API 認證」按鈕以確保設定正確完成。若設定正確完成,您會看到「Tableau Cloud 已成功驗證!」訊息。

  6. 完成後,請按一下「儲存」

步驟 3:將使用者和群組指派給 Tableau

在 Okta 中,您需要將使用者和群組指派給 Tableau 應用程式,以便將使用者佈建到 Tableau。

附註:Okta 建議您有分別的指派群組和推送群組。有關詳情,請參閱 Okta 文件中的關於群組推送。(連結在新視窗開啟)

  1. 從左側窗格中,選取「應用程式」 > 「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「指派」索引標籤。

  2. 按一下「指派」下拉式清單並選取「指派給人員」或者「指派到群組」

  3. 執行以下動作:

    1. 選取相關的使用者或群組。

    2. 選取希望佈建 Tableau 使用者的站台角色。選項包括:

      • 未授權

      • Viewer

      • Explorer

      • Explorer (可發佈)

      • Creator

      • 站台管理員 Explorer

      • 站台管理員 Creator

  4. 完成後,按一下「儲存並返回」按鈕。

  5. 根據需要重複步驟 3-4,然後按一下「完成」按鈕。

步驟 4:啟用群組佈建

Okta 可讓您將現有群組及其成員資格推送至 Tableau Cloud。推送群組後,可以在 Okta 中管理群組成員資格,以自動更新 Tableau Cloud 中對應的群組。在執行這些步驟之前,我們建議您先檢閱 Okta 文件中的群組推送先決條件(連結在新視窗開啟)關於群組推送(連結在新視窗開啟)

重要資訊:啟用 SCIM 後,應透過 IdP 管理使用者及其屬性。直接在 Tableau Cloud 內部進行變更可能會導致非預期行為和值遭到覆寫。

下列步驟會從您在上一個部分中離開的位置開始,並假設您已登入 Okta 管理員主控台。

  1. 從左側窗格中,選取「應用程式」 > 「應用程式」,按一下 Tableau Cloud 應用程式,然後按一下「推送群組」索引標籤。

  2. 按一下「推送群組」按鈕,然後從下拉功能表中選取以下其中一個選項。

    • 按名稱尋找群組:選取此選項可按名稱搜尋群組。

    • 按規則尋找群組:選取此選項可建立一個搜尋規則,該規則會推送與該規則相符的任何群組。

    您可以按一下「推送狀態」欄中的「啟用」「停用」立即停用群組推送、取消連結推送的群組或推送群組成員身分。要刪除、停用或啟用多個群組,請按一下「大量編輯」。有關更多資訊,請參閱 Okta 文件中的啟用群組推入。(連結在新視窗開啟)

  3. (可選)若推送多個群組,請按一下儲存並新增另一個按鈕,然後重複上一步。

  4. 完成後,請按一下「儲存」

透過 Okta 支援 SCIM 的注意事項

  • 在 Okta 使用者指派設定中,「使用者名稱」「主要電子郵件」 值必須相同。

  • 必須為要使用 SCIM 管理的每個站台新增單獨的 Tableau Cloud Okta 應用程式。

  • 如果要移轉站台,則需要為新站台重新設定 SCIM 佈建。

  • 佈建新使用者時,Okta 中的名字和姓氏屬性與 Tableau Cloud 不同步。新使用者在首次登入 Tableau Cloud 時必須設定這些欄位。

  • 從 Okta 中的 Tableau Cloud 應用程式取消指派使用者或從 Okta 中完全停用或刪除使用者時,則該使用者在 Tableau Cloud 中將轉換為未授權站台角色。如果使用者擁有任何內容,必須先重新指派這些內容資產的所有權,然後才能在 Tableau Cloud 中手動刪除使用者。

  • 您可以在使用者或群組層級設定使用者在 Okta 中的站台角色(例如 Creator、Explorer 或 Viewer)。建議您在群組層級指派站台角色。如果直接為使用者指派站台角色,則會覆寫所有群組設定。

  • 使用者可以是多個群組的成員。群組可以具有不同的站台角色。如果為使用者指派具有不同站台角色的群組,則使用者將收到 Tableau Cloud 中權限最高的站台角色。例如,如果您選擇 Viewer 和 Creator,Tableau 將指派 Creator 站台角色。

    下面按照從權限最高到權限最低的順序列出站台角色:

    • 站台管理員 Creator

    • 站台管理員 Explorer

    • Creator

    • Explorer (可發佈)

    • Explorer

    • Viewer

  • 可以在 Okta 中更新使用者的站台角色屬性,並將此變更傳播至 Tableau Cloud。其他屬性(例如使用者名稱和主要電子郵件)無法更新。若要變更這些屬性,請移除使用者,變更屬性,然後再次新增使用者。

  • 從 2024 年 1 月開始 (Tableau 2023.3),支援 SCIM 與登入時授權 (GLSI) 一同使用。GLSI 要求如下:

    1.手動啟用群組選項,並直接在 Tableau Cloud 中為屬於該群組成員的使用者選取最小站台角色。無法在 Okta 中設定具有 GLSI 屬性的群組,但可以在 Tableau Cloud 中為從 Okta 佈建的群組設定屬性。
    2.必須將使用者佈建為在 IdP 中未授權

感謝您的意見反應!已成功提交您的意見回饋。謝謝!