您可以使用身分識別提供者 (IdP),自動從 Tableau Online 中新增或移除使用者,或從群組中新增或移除成員。Tableau Online IdP 使用者管理使用跨域身分管理 (SCIM) 標準,這是一種用於自動交換使用者身分資訊的開放式標準。目前我們支援 SCIM 與以下 IdP 一起使用:
- Okta
- OneLogin
隨著功能的發展,我們打算支援其他 IdP。如對未來計劃有所疑問,可以傳送電子郵件給我們的 SCIM 發行前團隊。
附註:若使用的是 Microsoft Azure Active Directory,則可以按照以下 Microsoft 文章中的步驟自動佈建使用者和群組:設定 Tableau Online 以自動佈建使用者(連結在新視窗開啟)。
SCIM 用於對諸如 Tableau Online 等雲端應用程式中的使用者進行設定。雲端 IdP 集中管理使用者身分,包括將使用者指派給應用程式和群組。IdP 使用 SCIM 標準來確保 [下游] 應用程式與使用 IdP 設定的這些設定指派保持同步。透過這種方式管理使用者可以提高安全性,且可大幅減少 Tableau Online 網站管理員管理網站使用者和群組成員需執行的手動工作。
必要條件
若要實現 SCIM 與 Tableau Online 網站的整合,您將需要適當的存取層級:
-
Tableau Online 網站的網站管理員存取權限。
-
能夠修改 Tableau Online 的 IdP 設定設定
使用 IdP 啟用 SCIM 支援的步驟
以下章節提供啟用 Tableau Online 站點 SCIM 支援的特定於 IdP 的步驟。
附註:其中一些步驟反映協力廠商 IdP 介面。這些 IdP 設定會在我們不知情的情況下發生變化。
使用以下步驟來啟用 SCIM 支援。另請參閱 Okta SCIM 支援的附註:事項和已知限制。
-
SCIM 功能要求您將網站設定為支援 SAML 單一登入。如果您尚未執行此操作,請完成使用 Okta 設定 SAML 中的以下部分:
完成這兩個部分中的步驟後,保持已登入 Okta 控制台和 Tableau Online 的狀態,並顯示以下頁面:
-
在 Tableau Online 中,顯示 [設定] > [驗證] 頁面。
-
在 Okta 開發人員控制台中,顯示 [Applications] (應用程式)> [Tableau Online] > [Provisioning] (設定)。
-
-
在 Tableau Online 的「驗證」頁面中,在「自動佈建和群組同步 (SCIM)」下,選取「啟用 SCIM」核取方塊。
此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」和「密碼」方塊。
重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Online 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。
-
複製密碼權杖值,然後在 Okta 管理員主控台的[Provisioning](佈建)頁面上,選取[Settings](設定)欄中的 [API Integration](API 整合)。
-
選取 [Edit] (編輯),然後執行以下操作:
-
選中 [Enable API integration] (啟用 API 整合)核取方塊。
-
對於 [API Token](API 權杖),貼上您在上一步驟中複製的 Tableau Online SCIM 密碼權杖。
-
對於 [Base URL] (基本 URL),複製並貼上 Tableau Online SCIM 設定中顯示的基本 URL。
-
啟用群組佈建
Okta 允許您將現有群組推送到 Tableau Online 指派使用者屬性,例如群組或站台角色。推送某個群組後,就可以在 Okta 中管理群組成員身分以自動更新 Tableau Online 中相應的群組。
下列步驟會從您在上一個部分中離開的位置開始,並假設您已登入 Okta 管理員主控台。
-
在「應用程式」索引標籤上,選取 Tableau Online 應用程式。
-
選取「推送群組」索引標籤。
-
按一下「推送群組」,然後從下拉功能表中選取一個選項。
-
按名稱尋找群組:選取此選項可按名稱搜尋群組。
-
按規則尋找群組:選取此選項可建立一個搜尋規則,該規則會推送與該規則相符的任何群組。
您可以按一下「推送狀態」欄中的「啟用」或「停用」立即停用群組推送、取消連結推送的群組或推送群組成員身分。要刪除、停用或啟用多個群組,請按一下「大量編輯」。
有關更多資訊,請參閱 Okta 文件中的啟用群組推送。(連結在新視窗開啟)
Okta SCIM 支援的附註:事項和已知限制
-
在 Okta 使用者指派設定中,[使用者名稱] 和 [主要電子郵件] 的值必須相同。
-
您必須為要使用 SCIM 管理的每個網站新增單獨的 Tableau Online Okta 應用。
-
如果要移轉網站,您將需要為新網站重新設定 SCIM 設定。
-
在設定新使用者時,Okta 中的名字和姓氏屬性與 Tableau Online 不同步。新使用者在首次登入 Tableau Online 時必須設定這些欄位。
-
您可以在使用者或群組層級設定使用者在 Okta 中的網站角色(例如 Creator、Explorer 或 Viewer)。我們建議您在群組層級指派網站角色。如果直接為使用者指派網站角色,則會覆蓋任何群組設定。
-
使用者可以是多個群組的成員。群組可以具有不同的網站角色。如果為使用者指派具有不同網站角色的群組,則使用者將收到 Tableau Online 中權限最高的網站角色。例如,如果您選擇 Viewer 和 Creator,Tableau 將指派 Creator 網站角色。
下面按照從權限最高到權限最低的順序列出網站角色:
-
網站管理員 Creator
-
網站管理員 Explorer
-
Creator
-
Explorer(可發佈)
-
Explorer
-
Viewer
-
-
您可以在 Okta 中更新使用者的網站角色屬性,並將此變更傳播至 Tableau Online。其他屬性(例如使用者名稱和主要電子郵件)無法更新。若要變更這些屬性,請移除使用者,變更屬性,然後再次新增使用者。
-
不支援以登入時授權使用 SCIM,並且可能導致使用者或群組的網站角色設定不正確。
您可以透過 OneLogin 設定使用者管理、佈建群組以及指派 Tableau Online 站台角色。如果您還不熟悉 Tableau 網站角色和每個角色允許的能力,請參閱設定使用者的網站角色。
您完成以下步驟時,還可協助讓您隨時都可瀏覽 OneLogin 文件。首先請閱讀使用者設定簡介(連結在新視窗開啟)。
-
SCIM 功能要求您將網站設定為支援 SAML 單一登入。如果您尚未執行此操作,請完成 [使用 OneLogin 設定 SAML] 一文中的以下部分:
完成這兩個部分中的步驟後,保持已登入 OneLogin 門戶和 Tableau Online 的狀態,並顯示以下頁面:
-
在 Tableau Online 中,顯示 [設定] > [驗證] 頁面。
-
在 OneLogin 門戶中,開啟 [Configuration] (設定)頁面。
-
-
在 Tableau Online 的「驗證」頁面中,在「自動佈建和群組同步 (SCIM)」下,選取「啟用 SCIM」核取方塊。
此操作將使用您將在 IdP 的 SCIM 設定中使用的值填充「基本 URL」和「密碼」方塊。
重要資訊:密碼權杖只會在生成之後即時顯示。如果在將密碼套用於 IdP 之前已丟失密碼,您可以選取「生成新密碼」。此外,該密碼權杖與啟用 SCIM 支援的網站管理員的 Tableau Online 使用者帳戶相關聯。如果該使用者的網站角色發生變更或者將該使用者從網站中移除,則密碼權杖會變為無效,另一位網站管理員必須生成新密碼權杖並將其套用至 IdP。
-
複製密碼權杖值,然後在 OneLogin 入口網站的 [Configuration](設定)頁面中執行以下操作:
-
對於 [API Status] (API 狀態),按一下 [Enable] (啟用)。
-
對於 [SCIM Bearer Token] (SCIM Bearer 權杖),貼上您之前複製的 Tableau Online SCIM 密碼權杖。
-
對於 [SCIM Base URL] (SCIM 基本 URL),複製並貼上 Tableau Online SCIM 設定中顯示的基本 URL。
-
-
在 [Provisioning] (設定)頁面上:
-
選中 [Enable Provisioning for Tableau] (啟用 Tableau 設定)核取方塊。
-
為 [When users are deleted in OneLogin, perform this action in Tableau] (如果在 OneLogin 中刪除了使用者,則在 Tableau 中執行此動作)選取 [Suspend] (掛起)。
-
-
按一下 [儲存]。如果要完成設定群組的步驟,請保持登入到 OneLogin 門戶,並繼續執行下一部分。
啟用群組設定並指派 Tableau 網站角色
OneLogin 為您提供了多種方式,您可以透過這些方式來指派諸如群組或網站角色等使用者屬性。您可以在 Tableau Online 應用層級應用這些屬性、建立對應規則或將它們手動應用於單個使用者。
下列步驟會從您在上一個部分中離開的位置開始,並假設您已登入 OneLogin 入口網站和 Tableau Online 應用程式。這些步驟提供一些特定於 Tableau 的資訊,您可以將這些資訊與 OneLogin 文件結合使用,將群組和網站角色對應屬性到使用者。
設定群組
將 Tableau Online 群組匯入 OneLogin,並指定希望在使用者設定對話方塊中預設處於選定狀態的群組。
-
開啟 [Parameters] (參數)頁面,按一下 [Groups] (群組),並選中 [Include in User Provisioning] (包括在使用者設定中)核取方塊。
-
轉到 [Provisioning] (設定)頁面,並在 [Entitlements] (權利)部分中按一下 [Refresh] (重新整理)。
此操作將從 Tableau Online 匯入群組。
-
返回到 [Parameters] (參數)頁面,然後選取要在使用者設定頁面中顯示為選定值的群組。
-
若要變更群組成員身分,請轉到 [Users] (使用者)頁面,選取一個使用者,並在 [Groups] (群組)部分修復可用和選定的值。
您也可以建立根據定義的條件將使用者自動放入群組中的對應。若要開始操作,請參閱 OneLogin 文章對應(連結在新視窗開啟)。
指派 Tableau 網站角色
預設情況下,將為使用者指派 [Viewer] 網站角色,該角色需要 [Viewer] 授權類型。
無論您在 OneLogin 中使用什麼方法來指派網站角色,在某一時刻您都需要在文字方塊中輸入網站角色名稱。有關您可鍵入的允許的值,請參閱這些步驟下面的有效的 Tableau 網站角色值。
您可以透過以下一些方式來指派網站角色:
-
對於單獨的使用者:在 [Users] (使用者)索引標籤上選取使用者,然後在使用者設定中的文字方塊中鍵入網站角色名稱。
-
對於一組使用者:在 [Parameters] (參數)頁面上,按一下 [Site Role] (網站角色),然後為 [Value] (值)選取選項之一來指派網站角色屬性。例如:
-
如果所有使用者具有相同的網站角色,請選取 [Macro] (宏)並輸入網站角色名稱。
-
如果 OneLogin 使用者目錄包含網站角色,請選取對應的屬性。
-
指派完網站角色後,按一下 [Save] (儲存)。
有效的 Tableau 網站角色值
在 OneLogin 門戶中的 [Provisioning] (設定)頁面上,您可以輸入的網站角色值取決於當前授權角色或舊授權角色。
-
當前授權角色包括以下網站角色值:
Creator、Explorer、ExplorerCanPublish、ReadOnly、 ServerAdministrator、SiteAdministratorExplorer、 SiteAdministratorCreator、Unlicensed 或 Viewer(檢視者)。
-
舊授權角色(v2018.1 之前)授權類型附帶以下網站角色:
Interactor、Publisher、ServerAdministrator、 SiteAdministrator、Unlicensed、UnlicensedWithPublish、 Viewer 或 ViewerWithPublish
另請參閱
若要瞭解變更使用者屬性的效果,或瞭解如何重設您手動變更的單獨使用者屬性,請參閱 OneLogin 文章設定屬性:預設值、規則和手動輸入的效果(連結在新視窗開啟)。
取代 SCIM 密碼權杖
當需要取代 SCIM(跨網域身分管理系統)密碼權杖時,可以執行以下動作之一:
- 在 Tableau Online 中的「設定」 > 「授權」頁面上,在「自動佈建和群組同步 (SCIM)」下,按一下「產生新密碼」以產生一個新的密碼權杖來取代舊的權杖。產生新的密碼權杖時,必須重新設定 SCIM 以使用新的密碼權杖。
- 管理員可以透過從 Tableau Online 網站刪除該使用者並將其新增回站點來撤銷屬於另一個使用者的密碼權杖。