使用 OneLogin 設定 SCIM

您可以透過 OneLogin 設定使用者管理、佈建群組以及指派 Tableau Cloud 網站角色。如果您還不熟悉 Tableau 網站角色和每個角色允許的能力,請參閱設定使用者的網站角色

您完成以下步驟時,還可協助讓您隨時都可瀏覽 OneLogin 文件。從 OneLogin 文件中的使用者佈建簡介(連結在新視窗開啟)開始。

附註:

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,則可以使用SCIM主題以及 IdP 的文件。

  • IdP 中的設定步驟的順序可能與您在 Tableau 看到的順序不同。

步驟 1:執行必要條件

SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。

  1. 完成使用 OneLogin 設定 SAML(連結在新視窗開啟) 的以下部分:

  2. 完成這兩個部分中的步驟後,保持已登入 OneLogin 門戶和 Tableau Cloud 的狀態,並顯示以下頁面:

    • Tableau Cloud 中的「設定」>「驗證」頁面。

    • 在 OneLogin 門戶中,開啟 [Configuration] (配置)頁面。

步驟 2:啟用 SCIM 支援

採用以下步驟透過 OneLogin 啟用 SCIM 支援。另請參閱 透過 OneLogin 提供 SCIM 支援的附註與限制部分。

附註:請記住在進行設定變更後,按一下 OneLogin 入口網站右上角的儲存

  1. 以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」

  2. 執行以下動作:

    1. 「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。

      此操作將使用在 IdP 的 SCIM 設定中使用的值填充「基本 URL」方塊。

    2. 按一下「產生新密碼」。將顯示新產生的密碼,準備將其複製到 SCIM 設定中。

      重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。

    3. 「SCIM 身分驗證」中選取與 SCIM 關聯的 SAML 驗證設定。

      附註:站台上只有一種 SAML 驗證設定可以支援 SCIM。

      提示:如果任何時候在「驗證」下選取了不同的值(包括從「無」到已配置的 SAML 身分驗證),則必須重置密碼才能使 SCIM 正常運作。舊的密碼將不再適用於該連線,即使 「測試連線」按鈕仍然可以成功使用舊的密碼。在這種情況下,按一下 「產生新密碼」再次將新密碼複製到您的 IdP 的 SCIM 設定中。

  3. 複製密碼權杖值。

  4. 在 OneLogin 入口網站中開啟「設定」頁面。

    • 對於 [API Status] (API 狀態),按一下 [Enable] (啟用)

    • 對於 [SCIM Bearer Token] (SCIM Bearer 權杖),貼上您之前複製的 Tableau Cloud SCIM 密碼權杖。

    • 對於 [SCIM Base URL] (SCIM 基本 URL),複製並貼上 Tableau Cloud SCIM 設定中顯示的基本 URL

      OneLogin 入口網站「配置」頁面的圖片

  5. 「佈建」頁面上中執行以下動作:

    • 選取啟用佈建

    • 在 OneLogin 中刪除使用者,或移除使用者的應用程式存取權限,並執行以下動作時,選取暫停

      OneLogin 入口網站為 Tableau Cloud 設定的「佈建」頁面圖片

  6. 按一下「儲存」

  7. (可選)在「參數」頁面上,將 SCIM 使用者名稱對應到電子郵件屬性。若未將 SCIM 使用者名稱對應到電子郵件地址格式中的屬性,則必須在佈建流程中為每個使用者手動填入此欄位。

    若對應值不包含使用者電子郵件地址,則在佈建使用者時會顯示錯誤。

若要完成佈建使用者和群組的步驟,請保持登入到 OneLogin 入口網站,並繼續下一部分。

第 3 步:佈建使用者與群組

OneLogin 為您提供了多種方式,您可以透過這些方式來指派諸如群組或網站角色等使用者屬性。您可以在 Tableau Cloud 應用層級應用這些屬性、建立對應規則或將它們手動應用於單個使用者。

在開始之前,請務必注意 OneLogin 群組概念與 Tableau 群組概念的作業方式不同。在 OneLogin 中,群組充當安全邊界,以將特定的安全性原則套用於使用者。因此,使用者一次只能屬於一個群組。

此外,OneLogin 使用角色作為不同使用者群組可以存取的應用程式之容器。為使用者指派角色後,將授予他們對該角色中包含的所有應用程式的存取權限。這類似於 Tableau 群組概念。使用者在 OneLogin 中可以有多個角色,這些角色可以對應到目標應用程式群組,例如 Tableau Cloud

附註:以下步驟假設您已登入 OneLogin 入口網站和 Tableau Cloud 應用程式。這些步驟提供一些特定於 Tableau 的資訊,您可以將這些資訊與 OneLogin 文件結合使用,將群組和網站角色對應屬性到使用者。

佈建使用者

使用以下步驟透過 OneLogin 入口網站將使用者佈建到 Tableau Cloud

  1. 前往使用者索引標籤,並選取要佈建的使用者。這將開啟使用者設定頁面。

  2. 從左側巡覽功能表中,選取應用程式

  3. 應用程式頁面上,按一下加號 (+) 圖示,以為您的 Tableau Cloud 應用程式佈建使用者,然後按一下繼續

  4. 網站角色欄位中為使用者輸入適當的 Tableau Cloud 網站角色。有關網站角色的詳情,請參閱設定使用者的網站角色(連結在新視窗開啟)

  5. 按一下「儲存」

使用 OneLogin 角色佈建多個使用者

可以透過在 OneLogin 中指派角色將多個使用者佈建到 Tableau Cloud。可以手動或使用對應自動將使用者新增到角色。

要將使用者新增到角色:

  1. 前往使用者 > 角色,然後選取現有角色或建立新角色。有關詳細資訊,請參閱 OneLogin 文章角色(連結在新視窗開啟)

    以下範例顯示了我們稍後將在 Tableau Cloud 中作為群組使用的角色「銷售」。

    按使用者對應登入條件。

  2. 應用程式頁面上,將角色存取權限指派給 Tableau Cloud 應用程式。這應該會自動將關聯的使用者佈建到應用程式。

  3. 使用者頁面上,可以透過輸入使用者的名字和姓氏手動將使用者新增到角色,或者新增對應以根據特定屬性(例如使用者的 Active Directory 群組)自動將使用者新增到角色。

    按角色和部門對應登入條件。

  4. 將使用者新增到角色後,我們建議在應用程式中建立原則,以根據 OneLogin 角色指派適當的 Tableau Cloud 網站角色。有關詳細資訊,請參閱 OneLogin 文章設定應用程式(連結在新視窗開啟)

    在下面的螢幕擷取畫面中,具有「銷售」角色的使用者會在 Tableau Cloud 中被指派 Creator 網站角色。同樣,具有「行銷」角色的使用者將被指派 Viewer 網站角色。

    Tableau Cloud 的 SSO 規則設定。

將使用者新增到現有 Tableau Cloud 群組

Tableau Cloud 群組匯入 OneLogin,並指定希望在使用者佈建對話方塊中預設選取的群組。

  1. 開啟 [Parameters] (參數)頁面,按一下 [Groups] (群組),並選中 [Include in User Provisioning] (包括在使用者設定中)核取方塊。

  2. 轉到 [Provisioning] (設定)頁面,並在 [Entitlements] (權利)部分中按一下 [Refresh] (重新整理)

    此操作會從 Tableau Cloud 匯入群組。

  3. 返回到 [Parameters] (參數)頁面,然後選取要在使用者設定頁面中顯示為選定值的群組。

    編輯欄位群組的表單。

  4. 若要變更群組成員身分,請轉到 [Users] (使用者)頁面,選取一個使用者,並在 [Groups] (群組)部分修復可用和選定的值。

您也可以建立根據定義的條件將使用者自動放入群組中的對應。有關詳細資訊,請參閱 OneLogin 文章對應(連結在新視窗開啟)

透過 OneLogin 在 Tableau Cloud 中建立群組

使用以下步驟根據 OneLogin 對應中的屬性建立 Tableau Cloud 群組。例如,根據使用者角色在 Tableau Cloud 中建立群組。

  1. 前往應用程式,選取 Tableau Cloud 應用程式,然後選取原則

  2. 原則頁面上,按一下新增原則,以開啟編輯對應視窗。

  3. 動作下,從下拉式功能表中選取設定群組,然後選取從 OneLogin 對應

    具有相符值的條件欄位會使用規則運算式。若要在 Tableau Cloud 中建立與 OneLogin 中的角色名稱相符的群組,請在文字欄位中輸入 .*

    編輯應用程式對應的表單。

指派 Tableau 網站角色

預設情況下,將為使用者指派 [Viewer] 網站角色,該角色需要 [Viewer] 授權類型。

無論您在 OneLogin 中使用什麼方法來指派網站角色,在某一時刻您都需要在文字方塊中輸入網站角色名稱。有關可以輸入的允許值,請參閱下方的有效的 Tableau 網站角色值

以下是可以指派網站角色的一些方法

對於單個使用者:

  1. 使用者頁面上,選取使用者,然後巡覽到應用程式索引標籤。選取相應的 Tableau Cloud 應用程式。

  2. 在使用者設定中,在網站角色文字方塊中輸入網站角色名稱。

對於一組使用者:

  1. 參數頁面上,按一下網站角色,然後對於,選取用於指派網站角色屬性的選項之一

    例如:

    • 如果所有使用者具有相同的網站角色,請選取 [Macro] (宏)並輸入網站角色名稱。

    • 如果 OneLogin 使用者目錄包含網站角色,請選取對應的屬性。

  2. 原則頁面上,建立原則,以將角色對應到 Tableau Cloud 中的特定角色。

指派完網站角色後,按一下 [Save] (儲存)

有效的 Tableau 網站角色值

在 OneLogin 門戶中的 [Provisioning] (設定)頁面上,您可以輸入的網站角色值取決於當前授權角色或舊授權角色。

  • 當前授權角色包括以下網站角色值:

    Creator、Explorer、ExplorerCanPublish、ReadOnly、 ServerAdministrator、SiteAdministratorExplorer、 SiteAdministratorCreator、Unlicensed 或 Viewer(檢視者)。

  • 舊授權角色(v2018.1 之前)授權類型附帶以下網站角色:

    Interactor、Publisher、ServerAdministrator、 SiteAdministrator、Unlicensed、UnlicensedWithPublish、 Viewer 或 ViewerWithPublish

若要瞭解變更使用者屬性的效果,或瞭解如何重設您手動變更的單獨使用者屬性,請參閱 OneLogin 文章設定屬性:預設值、規則和手動輸入的效果(連結在新視窗開啟)

透過 OneLogin 進行 SCIM 支援的附註事項與限制

  • 必須為要使用 SCIM 管理的每個站台單獨新增 Tableau Cloud 應用程式。

  • 在 OneLogin 中從 Tableau Cloud 應用程式中取消設定或移除現有使用者時,如果他們擁有任何內容資產,該使用者在 Tableau Cloud 中將轉換為未授權站台角色。如果使用者擁有內容,必須先重新指派這些內容資產的所有權,然後才能在 Tableau Cloud 中手動刪除使用者。

  • 不支援透過登入時授權使用 SCIM,並且可能導致使用者或群組的站台角色佈建不正確。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!