SCIM
SCIM (System for Cross-domain Identity Management) is een standaardiseringsprotocol voor het automatiseren van de inrichting van gebruikers en groepen voor integratie met cloudgebaseerde identiteitproviders (IdP's), zoals Microsoft Entra ID en Okta.
Tableau Server biedt vanaf versie 2025.3 ondersteuning voor SCIM, zodat IdP's (identiteitsproviders) gebruikersidentiteiten centraal kunnen beheren en tegelijkertijd het proces voor het beheren van gebruikers en groepslidmaatschappen in Tableau Server kunnen stroomlijnen. De IdP gebruikt SCIM om de levenscyclus van een gebruiker in Tableau te beheren, zodat Tableau Server gesynchroniseerd blijft met de inrichtingstoewijzingen in de IdP. Dit type integratie verbetert de beveiliging en verlaagt het aantal handmatige werkzaamheden voor serverbeheerders in Tableau Server.
De SCIM-functionaliteit van Tableau Server is ontworpen om op siteniveau te werken en ondersteunt de volgende verificatie:
Sitespecifieke SAML-verificatie (vanaf Tableau Server 2025.3.0)
Verificatie die in TSM is geconfigureerd tijdens de installatie van Tableau Server (geconfigureerd in TSM) en verificatie die is geconfigureerd met identiteitspools (vanaf Tableau Server 2025.3.1)
SCIM-integratie configureren met Tableau Server
Stap 1: Zorg dat u aan de vereisten voldoet
Voordat u SCIM-integratie met uw Tableau Server kunt inschakelen, dient u aan de volgende vereisten te voldoen:
- Zorg dat u beheerderstoegang hebt tot Tableau Server.
- U moet de SCIM instellingen van uw IdP kunnen wijzigen voor Tableau Server.
- (Optioneel) Als u extern(e) tokengeneratie en -beheer gebruikt, hebt u het volgende:
Een met Tableau verbonden app gemaakt en geactiveerd. Zie Met Tableau verbonden apps gebruiken voor toepassingsintegratie als u dit nog niet hebt gedaan.
Een geldige JWT met de volgende scopes:
tableau:users:*entableau:groups:*
Opmerking: Vanwege de firewall van Tableau Server moet u mogelijk een on-premises connector in uw IdP instellen om de SCIM-functionaliteit te laten werken. In Okta moet u bijvoorbeeld on-premises provisioning (OPP(Link wordt in een nieuw venster geopend)) instellen. In Microsoft Entra ID moet u een provisioning-agent(Link wordt in een nieuw venster geopend) instellen.
Stap 2: SCIM op siteniveau configureren
De procedure die in deze sectie wordt beschreven, wordt uitgevoerd op de site.
U kunt een SCIM-token gebruiken dat door Tableau is gegenereerd. U kunt echter ook het SCIM-token dat door Tableau is gegenereerd omzeilen, en in plaats daarvan een extern gegenereerde JWT (met behulp van een met Tableau verbonden app) gebruiken om SCIM-aanvragen te ondersteunen.
SCIM inschakelen met een token dat door Tableau is gegenereerd
Meld u aan bij Tableau Server als serverbeheerder.
Ga naar de site en klik op Instellingen.
Ga naar de kop System for Cross-domain Identity Management (SCIM) en schakel het selectievakje SCIM inschakelen in. Hiermee worden de Basis-URL, Nieuw geheim-knop en het vervolgkeuzemenu Verificatie ingevuld.
Doe het volgende:
Kopieer de Basis-URL die moet worden gebruikt in de SCIM-instellingen van uw IdP.
Klik op de knop Nieuw geheim.
Kopieer het geheim en sla het op een veilige locatie op, zodat u het kunt toevoegen aan de SCIM-instellingen van uw IdP.
Belangrijk: Het geheim wordt pas direct na het genereren weergegeven. Als u het token kwijtraakt voordat u het kunt toepassen op uw IdP, kunt u nogmaals klikken op Nieuw geheim.
Selecteer in het vervolgkeuzemenu Verificatie het verificatietype die u aan SCIM wilt koppelen.
Klik op de knop Opslaan boven- of onderaan de pagina Instellingen.
SCIM inschakelen met een extern token
Als u een extern token wilt gebruiken, moet u 1) de externe tokenmogelijkheid voor SCIM inschakelen en daarna 2) SCIM inschakelen.
Stap 1: Extern token inschakelen
Voordat u SCIM inschakelt, moet u de externe tokenmogelijkheid inschakelen met behulp van TSM.
Open als serverbeheerder een opdrachtprompt op het eerste knooppunt (waarop TSM is geïnstalleerd) in het cluster.
Voer de volgende opdrachten uit:
tsm configuration set -k features.JWTSupportForSCIM -v truetsm pending-changes applyZie features.JWTSupportForSCIM voor meer informatie.
Stap 2: SCIM inschakelen
Wanneer u SCIM inschakelt, koppelt u een verificatietype dat ingerichte gebruikers zullen gebruiken om zich aan te melden bij Tableau Server. De beschikbare verificatietypen zijn afhankelijk van de verificatie die is geconfigureerd op Tableau Server of de site.
Meld u aan bij Tableau Server als serverbeheerder.
Navigeer naar de site en klik op Instellingen.
Ga naar de kop System for Cross-domain Identity Management (SCIM) en schakel het selectievakje SCIM inschakelen in. Hiermee worden de Basis-URL, Nieuw geheim-knop en het vervolgkeuzemenu Verificatie ingevuld.
Doe het volgende:
Kopieer de Basis-URL die moet worden gebruikt in de SCIM-instellingen van uw IdP.
Negeer de knop Nieuw geheim.
Selecteer in het vervolgkeuzemenu Verificatie het verificatietype die u aan SCIM wilt koppelen.
Klik op de knop Opslaan boven- of onderaan de pagina Instellingen.
Stap 3: SCIM inschakelen met de IdP
Nadat u SCIM in Tableau Server hebt ingeschakeld, gebruikt u de stappen in de documentatie van uw IdP om SCIM-ondersteuning in te schakelen met uw identiteitsprovider (IdP).
Stap 4: Gebruikers en groepen inrichten
Volg de documentatie van uw IdP om gebruikers en groepen in te richten nadat u SCIM-ondersteuning op de site hebt ingeschakeld.
Nadat gebruikers en groepen via SCIM zijn ingericht, mag u de gegevens van een gebruiker, zoals verificatie of siterol, niet rechtstreeks bijwerken via Tableau Server (of de Tableau REST API), met uitzondering van de gevallen die worden vermeld in stap 5 hieronder.
Stap 5: Gebruikers bijwerken voor lokale of wederkerige SSL
Als u SCIM hebt gekoppeld aan verificatie die tijdens de installatie van Tableau Server in TSM is geconfigureerd (ook wel aangeduid als 'Standaardserver (TSM geconfigureerd)' in het verificatiemenu van de SCIM-instelling), volgt u de onderstaande aanvullende stappen om ervoor te zorgen dat gebruikers zich kunnen aanmelden bij Tableau Server.
Bij lokale verificatie: U moet de wachtwoorden van de ingerichte gebruikers in Tableau Server bijwerken voordat deze zich kunnen aanmelden. Zie Wachtwoorden wijzigen voor gebruikers van één site voor meer informatie over het bijwerken van een gebruiker.
Bij wederzijdse SSL: Zorg ervoor dat Tableau Server het clientcertificaat correct toewijst aan gebruikers. Zie Een clientcertificaat toewijzen aan een gebruiker bij wederkerige verificatie voor meer informatie.
Over het wijzigen van de verificatie die is gekoppeld aan SCIM
Als het verificatietype dat aan SCIM is gekoppeld wordt gewijzigd, wordt het geheim onmiddellijk ingetrokken en verwijderd door Tableau Server. Hierdoor mislukt het inrichten en zijn gebruikers en groepen in Tableau Server mogelijk niet meer synchroon met de identiteitsprovider (IdP).
U voorkomt synchronisatieproblemen door ervoor te zorgen dat de volgende stappen in de exacte volgorde worden uitgevoerd: 1) selecteer het nieuwe verificatietype, 2) genereer een nieuw geheim en 3) voeg vervolgens het nieuwe geheim toe aan de SCIM-instellingen van de identiteitsprovider.
Belangrijk: Wanneer het SCIM-verificatietype wordt gewijzigd, wordt het bijgewerkte verificatietype alleen gebruikt door nieuwe gebruikers die na de wijziging zijn ingericht. Bestaande gebruikers kunnen zich blijven verifiëren met de vorige verificatiemethode. Gebruikers die na de verificatiewijziging in SCIM niet meer in de IdP voorkomen, kunnen zich niet meer aanmelden.
Aanvullende overwegingen
Afhankelijk van het verificatietype waaraan SCIM is gekoppeld, zijn er bepaalde gevolgen waarmee rekening moet worden gehouden na het inschakelen van SCIM.
Sitespecifieke SAML-verificatie
Sitespecifieke SAML kan niet worden uitgeschakeld als hier een SCIM-configuratie aan is gekoppeld. Als u sitespecifieke SAML moet uitschakelen, moet u een ander verificatietype aan SCIM koppelen of SCIM uitschakelen.
Verificatie die is geconfigureerd met identiteitspools
Geen aanvullende overwegingen.
Opmerking: Als een identiteitspool wordt uitgeschakeld of verwijderd, moet een ander verificatietype aan SCIM worden gekoppeld. Het eerder gegenereerde geheim is niet langer geldig, zodat het maken van gebruikers en groepen mislukt.
Verificatie die is geconfigureerd in TSM
Als SCIM zo is geconfigureerd dat de verificatie wordt gebruikt die tijdens de installatie van Tableau Server in TSM is ingesteld, kan het wijzigen van de in TSM geconfigureerde verificatie synchronisatieproblemen en mislukte aanmeldingspogingen voor gebruikers veroorzaken.
Als u bijvoorbeeld de TSM-verificatie wijzigt van lokaal in SAML, moeten bestaande gebruikers aan de IdP worden toegevoegd en moet eenmalige aanmelding (SSO) voor Tableau Server worden ingeschakeld. Als de TSM-verificatie wordt gewijzigd van SAML in lokaal, moeten gebruikers worden bijgewerkt zodat hun wachtwoorden worden toegevoegd.