使用 Okta 設定 SCIM
您可以透過 Okta 設定使用者管理、佈建群組以及指派 Tableau Cloud 站台角色。如果您還不熟悉 Tableau 網站角色和每個角色允許的能力,請參閱設定使用者的網站角色。
步驟 1:執行必要條件
SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。
完成使用 Okta 設定 SAML的以下區段:
完成這兩個部分中的步驟後,保持登入 Okta 管理員主控台和 Tableau Cloud 的狀態,並顯示以下頁面:
在 Tableau Cloud 中的「設定」>「驗證」頁面。
在 Okta 管理員主控台,「應用程式」>「應用程式」>「Tableau Cloud」>「佈建」。
步驟 2:啟用 SCIM 支援
採用以下步驟透過 Okta 啟用 SCIM 支援。另請參閱下方的透過 Okta 支援 SCIM 的注意事項區段。
- 以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」。
執行以下動作:
在「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。
此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」和「密碼」方塊。
重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。
複製密碼權杖值。
在 Okta 管理員主控台中,執行以下動作:
從左側窗格中,選取「應用程式」>「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「佈建」索引標籤。
按一下「啟用 API 整合」按鈕。
選取「啟用 API 整合」核取方塊,並按一下「儲存」。
執行以下動作:
對於「API 權杖」,貼上在上一步中複製的 Tableau Cloud SCIM 密碼權杖。
對於「基本 URL」,複製並貼上 Tableau Cloud SCIM 設定中顯示的基本 URL。
按一下「測試 API 認證」按鈕以確保設定正確完成。若設定正確完成,您會看到「Tableau Cloud 已成功驗證!」訊息。
完成後,請按一下「儲存」。
步驟 3:將群組指派給 Tableau 應用程式
對於 Tableau 的使用者佈建,我們建議管理群組裡的使用者,以便在 Tableau 中更輕鬆地進行管理。
在 Okta 中,將群組指派給 Tableau 應用程式,以便可以將使用者佈建到 Tableau Cloud。更具體地說,需要兩個不同的群組,一個指派給「指派」索引標籤的群組和一個指派給「推送群組」索引標籤的群組。「指派」索引標籤中的群組用於在 Tableau Cloud 中建立使用者。「推送群組」索引標籤中的群組用於在 Tableau Cloud 中建立群組並管理群組成員資格。
附註:
Okta 要求在「指派」索引標籤中擁有一個群組,並在「推送群組」索引標籤中擁有一個群組,以防止競爭條件。有關詳情,請參閱 Okta 文件中的應用程式指派和群組推送(連結在新視窗開啟)和關於群組推送(連結在新視窗開啟)。
此過程中的步驟假設已建立至少兩個群組。有關在 Okta 中建立群組的詳情,請參閱 Okta 文件中的建立群組(連結在新視窗開啟)。
可以使用下列程序新增群組並將群組指派給 Tableau 應用程式。
從左側窗格中,選取「應用程式」>「應用程式」,按一下「Tableau Cloud」應用程式,然後按一下「指派」索引標籤。
按一下「指派」下拉式清單並選取「指派到群組」。
執行以下動作:
選取相關的群組。
選取希望佈建 Tableau 使用者的站台角色。選項包括:
未授權
Viewer
Explorer
Explorer (可發佈)
Creator
站台管理員 Explorer
站台管理員 Creator
完成後,按一下「儲存並返回」按鈕。
在「推送群組」索引標籤中重複步驟 1-4 ,然後按一下「完成」按鈕。
步驟 4:啟用群組佈建
Okta 可讓您將現有群組及其成員資格推送至 Tableau Cloud。推送群組後,可以在 Okta 中管理群組成員資格,以自動更新 Tableau Cloud 中對應的群組。在執行這些步驟之前,我們建議您先檢閱 Okta 文件中的群組推送先決條件(連結在新視窗開啟)和關於群組推送(連結在新視窗開啟)。
重要資訊:啟用 SCIM 後,應透過 Okta 管理使用者及其屬性。直接在 Tableau Cloud 內部進行變更可能會導致非預期行為和值遭到覆寫。
以下過程將從上一區段中停止的地方繼續進行,並假設已登入 Okta 管理員控制台。
從左側窗格中,選取「應用程式」>「應用程式」,按一下 Tableau Cloud 應用程式,然後按一下「推送群組」索引標籤。
按一下「推送群組」按鈕,然後從下拉功能表中選取以下其中一個選項。
按名稱尋找群組:選取此選項可按名稱搜尋群組。
按規則尋找群組:選取此選項可建立一個搜尋規則,該規則會推送與該規則相符的任何群組。
(可選)若推送多個群組,請按一下儲存並新增另一個按鈕,然後重複上一步。
- 完成後,請按一下「儲存」。
您可以按一下「推送狀態」欄中的「啟用」或「停用」立即停用群組推送、取消連結推送的群組或推送群組成員身分。要刪除、停用或啟用多個群組,請按一下「大量編輯」。有關更多資訊,請參閱 Okta 文件中的啟用群組推入。(連結在新視窗開啟)
SCIM 並在登入時授權
從 2024 年 2 月開始 (Tableau 2023.3),可以將 SCIM 與登入時授權 (GLSI) 以及 Okta 一同使用。
將 SCIM 與適用於 Okta 的 GLSI 需要滿足以下條件:
在 Okta 中,將使用者新增至 Tableau 應用程式的「指派」和「推送群組」索引標籤中的群組。
在 Tableau Cloud 中,為群組啟用 GLSI 選項並為屬於群組成員的使用者選取最低站台角色。
附註:無法在 Okta 中設定具有 GLSI 屬性的群組。
在 Okta 中將使用者佈建為「未授權」。
啟用 GLSI
若要設定並啟用 GLSI,請參閱登入時授權。
使用 GLSI 移除 SCIM 使用者
必須先從 Okta 啟用 GLSI 的群組中刪除 SCIM 使用者,然後再嘗試在 Okta 中停用他們。停用使用者會將使用者設定為 Tableau Cloud 中的「未授權」角色。但是,在使用者不再是任何啟用 GLSI 的群組的成員之前,他們無法在 Tableau Cloud 中獲得「未授權」角色。
在 Okta 中,首先從指派給「推送群組」索引標籤啟用 GLSI 的群組中刪除使用者。
在 Okta 中,透過從指派給「指派」索引標籤啟用 GLSI 的群組中刪除使用者或在 Okta 中刪除使用者來解除佈建使用者。執行此動作後,使用者將在 Tableau Cloud 中轉換為「未授權」。在 Okta 中解除佈建使用者只會導致該使用者在 Tableau Cloud 中轉換為「未授權」,而不會刪除該使用者。
附註:
如果想刪除 Okta 中的使用者,請參閱 Okta 文件中的停用並刪除使用者帳戶(連結在新視窗開啟)。
如果想要刪除 Tableau Cloud 中的 SCIM 使用者(請參閱下方的刪除 SCIM 使用者),可以從 Tableau Cloud 中手動刪除使用者。
如果遇到問題,請參閱嘗試透過 SCIM 解除佈建使用者時出現錯誤「使用者角色未更新為:未授權(錯誤代碼=10079)」(連結在新視窗開啟) Knowledge 文章。
關於 Tableau Cloud 的「所有使用者」群組
如果已啟用具有 GLSI 的預設「所有使用者」群組,則無法在 Okta 中解除佈建使用者,因此無法為 Tableau Cloud 中屬於啟用 GLSI 群組的任何使用者取得「未授權」角色。若要移除啟用 GLSI 的「所有使用者」群組中的 SCIM 使用者,必須從 Tableau Cloud 手動刪除這些使用者。
附註:如果使用者有與其關聯的內容,需要將內容所有權重新指派給其他使用者,然後才能刪除使用者。
刪除 SCIM 使用者
在 Okta 中刪除 SCIM 使用者只會將他們轉換為「未授權」角色,而不會在 Tableau Cloud 中刪除他們。如果要刪除使用者,必須手動刪除 Tableau Cloud 中的使用者。
有關刪除使用者的詳請,請在檢視、管理或移除使用者主題中參閱「從站台移除使用者」。
透過 Okta 支援 SCIM 的注意事項
在 Okta 使用者指派設定中,「使用者名稱」 和 「主要電子郵件」 值必須相同。
必須為要使用 SCIM 管理的每個站台新增單獨的 Tableau Cloud Okta 應用程式。
如果要移轉站台,則需要為新站台重新設定 SCIM 佈建。
佈建新使用者時,Okta 中的名字和姓氏屬性與 Tableau Cloud 不同步。新使用者在首次登入 Tableau Cloud 時必須設定這些欄位。
從 Okta 中的 Tableau Cloud 應用程式取消指派使用者或從 Okta 中完全停用或刪除使用者時,則該使用者在 Tableau Cloud 中將轉換為「未授權」站台角色。如果使用者擁有任何內容,必須先重新指派這些內容資產的所有權,然後才能在 Tableau Cloud 中手動刪除使用者。
您可以在使用者或群組層級設定使用者在 Okta 中的站台角色(例如 Creator、Explorer 或 Viewer)。建議您在群組層級指派站台角色。如果直接為使用者指派站台角色,則會覆寫所有群組設定。
使用者可以是多個群組的成員。群組可以具有不同的站台角色。如果為使用者指派具有不同站台角色的群組,則使用者將收到 Tableau Cloud 中權限最高的站台角色。例如,如果您選擇 Viewer 和 Creator,Tableau 將指派 Creator 站台角色。
下面按照從權限最高到權限最低的順序列出站台角色:
站台管理員 Creator
站台管理員 Explorer
Creator
Explorer (可發佈)
Explorer
Viewer
可以在 Okta 中更新使用者的站台角色屬性,並將此變更傳播至 Tableau Cloud。其他屬性(例如使用者名稱和主要電子郵件)無法更新。若要變更這些屬性,請移除使用者,變更屬性,然後再次新增使用者。
從 2024 年 1 月開始 (Tableau 2023.3),支援 SCIM 與登入時授權 (GLSI) 一同使用。有關詳情,請參閱SCIM 並在登入時授權。