透過外部身分識別提供者自動執行使用者佈建和群組同步
您可以使用身分識別提供者 (IdP),自動從 Tableau Cloud 中新增或移除使用者,或從群組中新增或移除成員。
Tableau Cloud 的使用者管理使用跨網域身分管理 (SCIM) 標準系統,這是一種用於自動交換使用者身分資訊的開放式標準。SCIM 允許身分提供程式 (IdP) 集中管理使用者身分,包括為應用程式和群組指派使用者。IdP 使用 SCIM 標準確保「下游」應用程式(比如 Tableau Cloud)與使用 IdP 設定的這些設定指派保持同步。透過這種方式管理使用者可以提高安全性,並大幅減少站台管理員管理網站使用者和群組成員時必須執行的手動工作。
在上圖中,IdP 將更新推入 Tableau Cloud 並控制調用 Tableau Cloud 的 SCIM 端點的頻率,以確保對使用者和群組進行適當鏡像處理。
具體 IdP 設定
本主題後面各節中的步驟中為您提供了與 IdP 檔案搭配使用來為 Tableau Cloud 站台設定 SAML 的一般資訊。可以為以下我們支援的 IdP 獲取具體 IdP 的設定步驟:
必要條件
若要實現 SCIM 與 Tableau Cloud 站台的整合,則將需要適當的存取層級:
Tableau Cloud 站台的網站管理員存取權限
能夠為 Tableau Cloud 修改您的 IdP 組態設定
此外,SCIM 功能要求將站台設定為支援 SAML 單一登入 (SSO)。如果還沒有這樣做,請參閱在站台或 TCM上啟用 SAML 驗證,然後按照您的 IdP 的文件新增 Tableau Cloud 作為應用程式。
使用 IdP 啟用 SCIM 支援
使用以下步驟來啟用 SCIM 支援。要完成這個處理序,還需要 IdP 提供的文件。請查找那些介紹如何為 SCIM 佈建設定或啟用服務提供者的主題。
附註:
啟用 SCIM 後,應透過 IdP 管理使用者及其屬性。直接在 Tableau Cloud 內部進行變更可能會導致非預期行為和值遭到覆寫。
從 2024 年 11 月開始(Tableau 2024.3):
可以選擇與 SCIM 關聯的 SAML 驗證設定。但是,站台上只有一種 SAML 驗證設定可以支援 SCIM。
SCIM 功能不再屬於站台管理員範圍。換句話說,所有站台管理員都能夠設定和編輯 SCIM。但是,站台上只有一種 SAML 驗證設定可以支援 SCIM。
啟用 SCIM
以站台管理員身分登入到 Tableau Cloud 站台,並選取「設定」>「驗證」。
執行以下動作:
在「自動佈建與群組同步 (SCIM)」下的「驗證」頁面中,選取「啟用 SCIM」核取方塊。
此操作將使用在 IdP 的 SCIM 設定中使用的值填充「基本 URL」方塊。
按一下「產生新密碼」。將顯示新產生的密碼,準備將其複製到 SCIM 設定中。
重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Cloud 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。
在「SCIM 身分驗證」中選取與 SCIM 關聯的 SAML 驗證設定。
附註:站台上只有一種 SAML 驗證設定可以支援 SCIM。
提示:如果任何時候在「驗證」下選取了不同的值(包括從「無」到已配置的 SAML 身分驗證),則必須重置密碼才能使 SCIM 正常運作。舊的密碼將不再適用於該連線,即使 「測試連線」按鈕仍然可以成功使用舊的密碼。在這種情況下,按一下 「產生新密碼」再次將新密碼複製到您的 IdP 的 SCIM 設定中。
複製秘密權杖值,然後導覽到您的 IdP 設定。在適當欄位中貼上 Tableau Cloud SCIM 秘密權杖。
複製 Tableau Cloud SCIM 設定中顯示的基本 URL,並將其在您 IdP 的相應欄位中貼上。
啟用 SCIM 支援後,按照您的 IdP 文件佈建使用者和群組。
取代 SCIM 密碼權杖
如果需要取代 SCIM(跨網域身分管理系統)密碼權杖時,可以執行以下步驟:
在 Tableau Cloud 中,導覽至「設定>授權」。
在「Automatic Provisioning and Group Synchronization (SCIM) 」下,按一下「生成新秘密」 。
重新設定 SCIM 以使用新的秘密權杖。
站台管理員可以透過從 Tableau Cloud 刪除該使用者並將其新增回站台,以撤銷屬於另一個使用者的密碼權杖。