使用 Okta 設定 SCIM

您可以透過 Okta 設定使用者管理、佈建群組以及指派 Tableau Cloud 站台角色。如果您還不熟悉 Tableau 網站角色和每個角色允許的能力,請參閱設定使用者的網站角色

步驟 1:執行必要條件

SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。

  1. 完成使用 Okta 設定 SAML的以下區段:

  2. 完成這兩個部分中的步驟後,保持登入 Okta 管理員主控台和 Tableau Cloud 的狀態,並顯示以下頁面:

    • Tableau Cloud 中的「設定」>「驗證」頁面。

    • 在 Okta 管理員主控台,「應用程式」>「應用程式」>「Tableau Cloud」>「佈建」

步驟 2:啟用 SCIM 支援

採用以下步驟透過 Okta 啟用 SCIM 支援。另請參閱下方的透過 Okta 支援 SCIM 的注意事項區段。

  1. 以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」
  2. 執行以下動作:

    1. 「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。

      此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」「密碼」方塊。

      重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。

  3. 複製密碼權杖值。

  4. 在 Okta 管理員主控台中,執行以下動作:

    1. 從左側窗格中,選取「應用程式」>「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「佈建」索引標籤。

    2. 按一下「啟用 API 整合」按鈕。

    3. 選取「啟用 API 整合」核取方塊,並按一下「儲存」

    4. 執行以下動作:

      1. 對於「API 權杖」,貼上在上一步中複製的 Tableau Cloud SCIM 密碼權杖。

      2. 對於「基本 URL」,複製並貼上 Tableau Cloud SCIM 設定中顯示的基本 URL

  5. 按一下「測試 API 認證」按鈕以確保設定正確完成。若設定正確完成,您會看到「Tableau Cloud 已成功驗證!」訊息。

  6. 完成後,請按一下「儲存」

步驟 3:將群組指派給 Tableau 應用程式

對於 Tableau 的使用者佈建,我們建議管理群組裡的使用者,以便在 Tableau 中更輕鬆地進行管理。

在 Okta 中,將群組指派給 Tableau 應用程式,以便可以將使用者佈建到 Tableau Cloud。更具體地說,需要兩個不同的群組,一個指派給「指派」索引標籤的群組和一個指派給「推送群組」索引標籤的群組。「指派」索引標籤中的群組用於在 Tableau Cloud 中建立使用者。「推送群組」索引標籤中的群組用於在 Tableau Cloud 中建立群組並管理群組成員資格。

附註:

可以使用下列程序新增群組並將群組指派給 Tableau 應用程式。

  1. 從左側窗格中,選取「應用程式」>「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「指派」索引標籤。

  2. 按一下「指派」下拉式清單並選取「指派到群組」

  3. 執行以下動作:

    1. 選取相關的群組。

    2. 選取希望佈建 Tableau 使用者的站台角色。選項包括:

      • 未授權

      • Viewer

      • Explorer

      • Explorer (可發佈)

      • Creator

      • 站台管理員 Explorer

      • 站台管理員 Creator

  4. 完成後,按一下「儲存並返回」按鈕。

  5. 「推送群組」索引標籤中重複步驟 1-4 ,然後按一下「完成」按鈕。

步驟 4:啟用群組佈建

Okta 可讓您將現有群組及其成員資格推送至 Tableau Cloud。推送群組後,可以在 Okta 中管理群組成員資格,以自動更新 Tableau Cloud 中對應的群組。在執行這些步驟之前,我們建議您先檢閱 Okta 文件中的群組推送先決條件(連結在新視窗開啟)關於群組推送(連結在新視窗開啟)

重要資訊:啟用 SCIM 後,應透過 Okta 管理使用者及其屬性。直接在 Tableau Cloud 內部進行變更可能會導致非預期行為和值遭到覆寫。

以下過程將從上一區段中停止的地方繼續進行,並假設已登入 Okta 管理員控制台。

  1. 從左側窗格中,選取「應用程式」>「應用程式」,按一下 Tableau Cloud 應用程式,然後按一下「推送群組」索引標籤。

  2. 按一下「推送群組」按鈕,然後從下拉功能表中選取以下其中一個選項。

    • 按名稱尋找群組:選取此選項可按名稱搜尋群組。

    • 按規則尋找群組:選取此選項可建立一個搜尋規則,該規則會推送與該規則相符的任何群組。

    您可以按一下「推送狀態」欄中的「啟用」「停用」立即停用群組推送、取消連結推送的群組或推送群組成員身分。要刪除、停用或啟用多個群組,請按一下「大量編輯」。有關更多資訊,請參閱 Okta 文件中的啟用群組推入。(連結在新視窗開啟)

  3. (可選)若推送多個群組,請按一下儲存並新增另一個按鈕,然後重複上一步。

  4. 完成後,請按一下「儲存」

SCIM 並在登入時授權

從 2024 年 2 月開始 (Tableau 2023.3),可以將 SCIM 與登入時授權 (GLSI) 以及 Okta 一同使用。

將 SCIM 與適用於 Okta 的 GLSI 需要滿足以下條件:

  1. 在 Okta 中,將使用者新增至 Tableau 應用程式的「指派」和「推送群組」索引標籤中的群組。

  2. 在 Tableau Cloud 中,為群組啟用 GLSI 選項並為屬於群組成員的使用者選取最低站台角色。

    附註:無法在 Okta 中設定具有 GLSI 屬性的群組。

  3. 在 Okta 中將使用者佈建為「未授權」。

啟用 GLSI

若要設定並啟用 GLSI,請參閱登入時授權

使用 GLSI 移除 SCIM 使用者

必須先從 Okta 啟用 GLSI 的群組中刪除 SCIM 使用者,然後再嘗試在 Okta 中停用他們。停用使用者會將使用者設定為 Tableau Cloud 中的「未授權」角色。但是,在使用者不再是任何啟用 GLSI 的群組的成員之前,他們無法在 Tableau Cloud 中獲得「未授權」角色。

  1. 在 Okta 中,首先從指派給「推送群組」索引標籤啟用 GLSI 的群組中刪除使用者。

  2. 在 Okta 中,透過從指派給「指派」索引標籤啟用 GLSI 的群組中刪除使用者或在 Okta 中刪除使用者來解除佈建使用者。執行此動作後,使用者將在 Tableau Cloud 中轉換為「未授權」。在 Okta 中解除佈建使用者只會導致該使用者在 Tableau Cloud 中轉換為「未授權」,而不會刪除該使用者。

    附註: 

如果遇到問題,請參閱嘗試透過 SCIM 解除佈建使用者時出現錯誤「使用者角色未更新為:未授權(錯誤代碼=10079)」(連結在新視窗開啟) Knowledge 文章。

關於 Tableau Cloud 的「所有使用者」群組

如果已啟用具有 GLSI 的預設「所有使用者」群組,則無法在 Okta 中解除佈建使用者,因此無法為 Tableau Cloud 中屬於啟用 GLSI 群組的任何使用者取得「未授權」角色。若要移除啟用 GLSI 的「所有使用者」群組中的 SCIM 使用者,必須從 Tableau Cloud 手動刪除這些使用者。

附註:如果使用者有與其關聯的內容,需要將內容所有權重新指派給其他使用者,然後才能刪除使用者。

刪除 SCIM 使用者

在 Okta 中刪除 SCIM 使用者只會將他們轉換為「未授權」角色,而不會在 Tableau Cloud 中刪除他們。如果要刪除使用者,必須手動刪除 Tableau Cloud 中的使用者。

有關刪除使用者的詳請,請在檢視、管理或移除使用者主題中參閱「從站台移除使用者」。

透過 Okta 支援 SCIM 的注意事項

  • 在 Okta 使用者指派設定中,「使用者名稱」「主要電子郵件」 值必須相同。

  • 必須為要使用 SCIM 管理的每個站台新增單獨的 Tableau Cloud Okta 應用程式。

  • 如果要移轉站台,則需要為新站台重新設定 SCIM 佈建。

  • 佈建新使用者時,Okta 中的名字和姓氏屬性與 Tableau Cloud 不同步。新使用者在首次登入 Tableau Cloud 時必須設定這些欄位。

  • 從 Okta 中的 Tableau Cloud 應用程式取消指派使用者或從 Okta 中完全停用或刪除使用者時,則該使用者在 Tableau Cloud 中將轉換為「未授權」站台角色。如果使用者擁有任何內容,必須先重新指派這些內容資產的所有權,然後才能在 Tableau Cloud 中手動刪除使用者。

  • 您可以在使用者或群組層級設定使用者在 Okta 中的站台角色(例如 Creator、Explorer 或 Viewer)。建議您在群組層級指派站台角色。如果直接為使用者指派站台角色,則會覆寫所有群組設定。

  • 使用者可以是多個群組的成員。群組可以具有不同的站台角色。如果為使用者指派具有不同站台角色的群組,則使用者將收到 Tableau Cloud 中權限最高的站台角色。例如,如果您選擇 Viewer 和 Creator,Tableau 將指派 Creator 站台角色。

    下面按照從權限最高到權限最低的順序列出站台角色:

    • 站台管理員 Creator

    • 站台管理員 Explorer

    • Creator

    • Explorer (可發佈)

    • Explorer

    • Viewer

  • 可以在 Okta 中更新使用者的站台角色屬性,並將此變更傳播至 Tableau Cloud。其他屬性(例如使用者名稱和主要電子郵件)無法更新。若要變更這些屬性,請移除使用者,變更屬性,然後再次新增使用者。

  • 從 2024 年 1 月開始 (Tableau 2023.3),支援 SCIM 與登入時授權 (GLSI) 一同使用。有關詳情,請參閱SCIM 並在登入時授權

感謝您的意見反應!已成功提交您的意見回饋。謝謝!