SCIM
Le système de gestion des identités interdomaines (SCIM) est un protocole qui normalise l’automatisation de la mise en service des utilisateurs et des groupes pour leur intégration avec des fournisseurs d’identité (IdP) basés sur le nuage comme Microsoft Entra ID et Okta.
Depuis la version 2025.3, Tableau Server prend en charge SCIM, permettant aux fournisseurs d’identité (IdP) de gérer les identités des utilisateurs de manière centralisée tout en simplifiant le processus de gestion des utilisateurs et des membres des groupes dans Tableau Server. L’IdP utilise SCIM pour gérer le cycle de vie d’un utilisateur dans Tableau et que Tableau Serveur est synchronisé avec les affectations de mise en service dans l’IdP. Ce type d’intégration améliore la sécurité et réduit la charge de travail manuelle des administrateurs de serveur dans Tableau Server.
La fonctionnalité SCIM de Tableau Server est conçue pour fonctionner au niveau du site et prendre en charge l’authentification suivante :
Authentification SAML spécifique au site (à partir de Tableau Server 2025.3.0)
Authentification configurée dans TSM lors de la configuration de Tableau Server (configurée par TSM) et authentification configurée par le biais des pools d’identités (à partir de Tableau Server 2025.3.1)
Configurer l’intégration SCIM avec Tableau Server
Étape 1 : Remplir les conditions préalables
Avant d’activer l’intégration de SCIM avec Tableau Server, vous devez remplir les conditions suivantes :
- Disposer d’un accès d’administrateur de serveur à Tableau Server.
- Pouvoir modifier les paramètres SCIM de votre fournisseur d’identité pour Tableau Server.
- Si vous utilisez la génération et la gestion de jetons externes, vous avez éventuellement :
Création et activation d’une application Tableau connectée. Si vous ne l’avez pas fait, consultez Utiliser les applications connectées Tableau pour l’intégration d’applications.
Un JWT valide qui contient les étendues suivantes :
tableau:users:*ettableau:groups:*
Remarque : En raison du pare-feu de Tableau Server, vous devrez peut-être configurer un connecteur sur site dans votre fournisseur d’identité pour que la fonctionnalité SCIM fonctionne. Par exemple, dans Okta, vous devrez mettre en place un provisionnement sur site (OPP(Le lien s’ouvre dans une nouvelle fenêtre)). Dans Microsoft Entra ID, vous devrez configurer un agent de mise en service(Le lien s’ouvre dans une nouvelle fenêtre).
Étape 2 : Configurer SCIM au niveau du site
La procédure décrite dans cette section s’effectue sur le site.
Vous pouvez utiliser un jeton SCIM généré par Tableau. Vous pouvez aussi ignorer le jeton SCIM généré par Tableau et utiliser plutôt un JWT généré à l’externe (à l’aide d’une application connectée à Tableau) pour prendre en charge les requêtes SCIM.
Activer SCIM : utiliser un jeton généré par Tableau
Connectez-vous à Tableau Server en tant qu’administrateur de serveur.
Accédez au site et cliquez sur Paramètres.
Sous l’en-tête Système de gestion des identités interdomaines (SCIM), cochez la case Activer SCIM. L’URL de base, le bouton Nouveau secret et la liste déroulante Authentification sont alors renseignés.
Procédez comme suit :
Copiez l’URL de base à utiliser dans les paramètres SCIM de votre fournisseur d’identité.
Cliquez sur le bouton Nouveau secret.
Copiez le secret et gardez-le dans un endroit sûr afin de pouvoir l’ajouter aux paramètres SCIM de votre IdP.
Important : Le secret s’affiche uniquement immédiatement après avoir été généré. Si vous le perdez avant de pouvoir l’appliquer à votre IdP, cliquez sur Générer un nouveau secret.
Dans le menu déroulant Authentification, sélectionnez le type d’authentification à associer au SCIM.
Cliquez sur le bouton Enregistrer situé dans le haut ou le bas de la page « Paramètres ».
Activer SCIM : utiliser un jeton externe
Pour utiliser un jeton externe, vous devez 1) activer la fonctionnalité de jeton externe pour SCIM, puis 2) activer SCIM.
Étape 1 : Activer le jeton externe
Avant d’activer SCIM, activez la fonctionnalité de jeton externe à l’aide de TSM.
Ouvrez une invite de commande sur le nœud initial (le nœud sur lequel TSM est installé) du groupement, en tant qu’administrateur de serveur.
Exécutez les commandes suivantes :
tsm configuration set -k features.JWTSupportForSCIM -v truetsm pending-changes applyPour plus d’informations, consultez features.JWTSupportForSCIM.
Étape 2 : Activer SCIM
Lors de l’activation du SCIM, associez un type d’authentification que les utilisateurs mis en service utiliseront pour se connecter à Tableau Server. Les types d’authentification disponibles dépendent de l’authentification configurée sur Tableau Server ou sur le site.
Connectez-vous à Tableau Server en tant qu’administrateur de serveur.
Accédez au site et cliquez sur Paramètres.
Sous l’en-tête Système de gestion des identités interdomaines (SCIM), cochez la case Activer SCIM. L’URL de base, le bouton Nouveau secret et la liste déroulante Authentification sont alors renseignés.
Procédez comme suit :
Copiez l’URL de base à utiliser dans les paramètres SCIM de votre fournisseur d’identité.
Ignorez le bouton Nouveau secret.
Dans le menu déroulant Authentification, sélectionnez le type d’authentification à associer au SCIM.
Cliquez sur le bouton Enregistrer situé dans le haut ou le bas de la page « Paramètres ».
Étape 3 : Activer SCIM avec l’IdP
Après avoir activé SCIM dans Tableau Serveur, suivez les étapes décrites dans la documentation de votre fournisseur d’identité IdP pour activer la prise en charge de SCIM par votre fournisseur d’identité (IdP).
Étape 4 : Mise en service des utilisateurs et des groupes
Suivez la documentation de votre fournisseur d’identité pour provisionner les utilisateurs et les groupes après avoir activé la prise en charge de SCIM sur le site.
Une fois que les utilisateurs et les groupes ont été mis en service via SCIM, sauf dans le cas des exceptions mentionnées à l’étape 5 ci-dessous, vous ne devez pas mettre à jour directement les détails d’un utilisateur, comme l’authentification ou le rôle sur le site, via Tableau Server (ou l’API REST de Tableau).
Étape 5 : Mettre à jour les utilisateurs pour SSL local ou mutuel
Si vous avez associé SCIM à une authentification configurée dans TSM lors de l’installation de Tableau Server, également appelée « Valeur par défaut du serveur (configurée par TSM) » dans le menu déroulant « Authentification » des paramètres SCIM, prenez les mesures supplémentaires décrites ci-dessous pour vous assurer que les utilisateurs peuvent se connecter avec succès à Tableau Server.
Pour l’authentification locale : Vous devez mettre à jour les utilisateurs mis en service avec leurs mots de passe dans Tableau Server pour qu’ils puissent se connecter avec succès. Pour mettre à jour un utilisateur, consultez Modifier les mots de passe pour les utilisateurs d’un seul site.
Pour SSL mutuel : Assurez-vous que Tableau Server mappe correctement le certificat client aux utilisateurs. Pour plus d’informations, consultez Association d’un certificat client à un utilisateur pendant l’authentification mutuelle.
À propos de la modification de l’authentification associée à SCIM
Si le type d’authentification associé à SCIM est modifié, Tableau Server révoque immédiatement le secret et le supprime. En conséquence, la mise en service échouera et les utilisateurs et les groupes de Tableau Server ne seront pas synchronisés avec ceux du fournisseur d’identité (IdP).
Pour éviter tout problème de synchronisation, assurez-vous que les étapes suivantes sont appliquées dans l’ordre exact : 1) sélectionnez le nouveau type d’authentification, 2) générez un nouveau secret, puis 3) ajoutez le nouveau secret aux paramètres SCIM de l’IdP.
À noter : Lorsque le type d’authentification de SCIM est modifié, seuls les nouveaux utilisateurs mis en service après la modification utiliseront le nouveau type d’authentification. Les utilisateurs existants pourront toujours s’authentifier avec la méthode d’authentification précédente. Les utilisateurs qui n’existent plus dans l’IdP après le changement d’authentification dans SCIM ne pourront plus se connecter.
Considérations supplémentaires
Certaines implications doivent être prises en compte après l’activation de SCIM en fonction du type d’authentification auquel SCIM est associé.
Authentification SAML spécifique à un site
L'authentification SAML spécifique à un site ne peut pas être désactivée si une configuration SCIM lui est associée. Si vous devez désactiver l'authentification SAML spécifique à un site, vous devez associer un autre type d’authentification à SCIM, ou désactiver SCIM
Authentification configurée par le biais de pools d’identités
Aucune considération particulière.
Remarque : Si un pool d’identités est désactivé ou supprimé, un autre type d’authentification doit être associé à SCIM. Le secret précédemment généré ne sera plus valide et entraînera l’échec de la mise en service des utilisateurs et des groupes.
Authentification configurée dans TSM
Si SCIM est configuré pour utiliser l’authentification configurée dans TSM lors de la configuration de Tableau Server, la modification de l’authentification configurée par TSM peut entraîner des problèmes de synchronisation et des échecs de connexion pour les utilisateurs.
Par exemple, si vous remplacez l’authentification TSM locale par SAML, les utilisateurs existants devront être ajoutés à l’IdP et être activés pour l’authentification unique (SSO) de Tableau Server. Si vous remplacez l’authentification TSM SAML par une authentification locale, les utilisateurs devront être mis à jour pour inclure leurs mots de passe.