SCIM


跨域身份管理系统 (SCIM) 是一种协议,它标准化了用户和组预置的自动化流程,以便与基于云的身份提供程序 (IdP) 进行集成,例如 Microsoft Entra ID 和 Okta。

从版本 2025.3 开始,Tableau Server 支持 SCIM,使身份提供程序 (IdP) 能够集中管理用户身份,同时简化在 Tableau Server 中管理用户和组成员身份的流程。IdP 使用 SCIM 管理用户在 Tableau 中的生命周期,并且 Tableau Server 与 IdP 中的预置分配保持同步。这种类型的集成提高了安全性,并减少了 Tableau Server 中服务器管理员的手动工作。

Tableau Server 上的 SCIM 功能设计为在站点级别工作,并支持以下身份验证。

  • 特定于站点的 SAML 身份验证(从 Tableau Server 2025.3.0 开始)

  • 在 Tableau Server 设置期间在 TSM 中配置的身份验证(已配置 TSM)以及通过身份池配置的身份验证(从 Tableau Server 2025.3.1 开始)

配置 SCIM 与 Tableau Server 的集成

步骤 1:执行先决条件

启用 SCIM 与 Tableau Server 的集成之前,您将需要满足以下要求:

  • 具有 Tableau Server 的服务器管理员访问权限。
  • 能够针对 Tableau Server 修改 IdP 的 SCIM 设置。
  • (可选)如果使用外部令牌生成和管理,您可以满足以下要求:

    1. 创建并启用 Tableau 已连接应用。如果您还没有这样做,请参见使用 Tableau 已连接应用进行应用程序集成

    2. 包含以下范围的有效 JWT:tableau:users:*tableau:groups:*

注意:由于 Tableau Server 防火墙的原因,您可能需要在 IdP 中设置本地连接器,SCIM 功能才能工作。例如,在 Okta 中,您将需要设置本地预置 (OPP)(链接在新窗口中打开)。在 Microsoft Entra ID 中,您将需要设置预置代理(链接在新窗口中打开)

步骤 2:配置站点级别 SCIM

本部分中描述的程序是在站点上执行的。

您可以使用 Tableau 生成的 SCIM 令牌。或者,您可以绕过 Tableau 生成的 SCIM 令牌,而是使用外部生成的 JWT(使用 Tableau 已连接应用)来支持 SCIM 请求。

启用 SCIM - 使用 Tableau-生成的令牌

  1. 以服务器管理员身份登录到 Tableau Server。

  2. 转到站点并单击“设置”

  3. “跨域身份管理系统 (SCIM)”标题下,选中“启用 SCIM”复选框。这将填充“基本 URL”“新密文”按钮和“身份验证”下拉列表。

  4. 执行以下操作:

    1. 复制要在 IdP 的 SCIM 设置中使用的“基本 URL”

    2. 单击“新建密文”按钮。

    3. 复制密文并将其存储在安全位置,以便您可以将其添加到 IdP 的 SCIM 设置。

      重要信息:密文只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以再次单击“新建密文”

    4. “身份验证”下拉菜单中,选择要与 SCIM 关联的身份验证类型。

    5. 单击“设置”页面顶部或底部的“保存”按钮。

启用 SCIM - 使用外部令牌

若要使用外部令牌,1) 为 SCIM 启用外部令牌功能,然后 2) 启用 SCIM。

步骤 1:启用外部令牌

在启用 SCIM 之前,请使用 TSM 启用外部令牌功能。

  1. 在群集中的初始节点(安装了 TSM 的节点)上以服务器管理员身份打开命令提示符。

  2. 运行以下命令:

    1. tsm configuration set -k features.JWTSupportForSCIM -v true

    2. tsm pending-changes apply

      有关详细信息,请参见features.JWTSupportForSCIM

步骤 2:启用 SCIM

启用 SCIM 时,关联预置用户登录 Tableau Server 时将使用的身份验证类型。可用的身份验证类型取决于 Tableau Server 或站点上配置的身份验证。

  1. 以服务器管理员身份登录到 Tableau Server。

  2. 导航到站点并单击“设置”

  3. “跨域身份管理系统 (SCIM)”标题下,选中“启用 SCIM”复选框。这将填充“基本 URL”“新密文”按钮和“身份验证”下拉列表。

  4. 执行以下操作:

    1. 复制要在 IdP 的 SCIM 设置中使用的“基本 URL”

    2. 忽略“新建密文”按钮。

    3. “身份验证”下拉菜单中,选择要与 SCIM 关联的身份验证类型。

    4. 单击“设置”页面顶部或底部的“保存”按钮。

步骤 3:使用 IdP 启用 SCIM

在 Tableau Server 中启用 SCIM 后,使用 IdP 文档中的步骤通过身份提供程序 (IdP) 启用 SCIM 支持。

步骤 4:预置用户和组

在站点上启用 SCIM 支持后,按照您的 IdP 文档预置用户和组。

通过 SCIM 预置用户和组后,您不应通过 Tableau Server(或 Tableau REST API)直接更新用户的详细信息,如身份验证或站点角色,下面的步骤 5 中说明的例外情况除外。

步骤 5:为本地或相互 SSL 更新用户

如果已将 SCIM 与 Tableau Server 设置期间在 TSM 中配置的身份验证(在 SCIM 设置的身份验证下拉列表中也称为“服务器默认值(已配置 TSM)”相关联,请采取下面描述的其他步骤来确保用户可以成功登录到 Tableau Server。

  • 对于本地身份验证:您必须使用他们在 Tableau Server 中的密码更新已配置用户,然后他们才能成功登录。若要更新用户,请参见更改单个站点的用户的密码

关于更改与 SCIM 关联的身份验证

如果更改与 SCIM 关联的身份验证类型,Tableau Server 会立即撤销并删除密文。因此,预置将失败,并且 Tableau Server 中的用户和组可能与身份提供程序 (IdP) 不同步。

为了避免任何同步问题,请确保按照确切的顺序执行以下步骤:1) 选择新的身份验证类型,2) 生成新密文,然后 3) 将新密文添加到 IdP 的 SCIM 设置。

重要信息:更改 SCIM 的身份验证类型时,只有更改后预置的新用户才会使用更新的身份验证类型。现有用户将继续能够使用以前的身份验证方法进行身份验证。在 SCIM 中更改身份验证后不再存在于 IdP 中的用户将无法再登录。

其他注意事项

启用 SCIM 后需要注意某些影响,具体取决于 SCIM 与之关联的身份验证类型。

特定于站点的 SAML 身份验证

如果 SCIM 配置与之关联,则无法禁用特定于站点的 SAML。如果需要禁用特定于站点的 SAML,则必须将其他身份验证类型与 SCIM 关联或禁用 SCIM

通过身份池配置的身份验证

没有其他注意事项。

注意:如果禁用或删除身份池,则必须将不同的身份验证类型与 SCIM 关联。以前生成的密文将不再有效,并将导致用户和组预置失败。

TSM 中配置的身份验证

如果在 Tableau Server 设置期间将 SCIM 配置为使用 TSM 中配置的身份验证,则更改 TSM 配置的身份验证可能会导致同步问题和用户登录失败。

举例来说,如果将 TSM 身份验证从本地更改为 SAML,则需要将现有用户添加到 IdP 中,并为 Tableau Server 单点登录 (SSO) 启用。如果将 TSM 身份验证从 SAML 更改为本地,则需要更新用户以包括其密码。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!