SCIM
跨域身份管理系统 (SCIM) 是一种协议,它标准化了用户和组预置的自动化流程,以便与基于云的身份提供程序 (IdP) 进行集成,例如 Microsoft Entra ID 和 Okta。
从版本 2025.3 开始,Tableau Server 支持 SCIM,使身份提供程序 (IdP) 能够集中管理用户身份,同时简化在 Tableau Server 中管理用户和组成员身份的流程。IdP 使用 SCIM 管理用户在 Tableau 中的生命周期,并且 Tableau Server 与 IdP 中的预置分配保持同步。这种类型的集成提高了安全性,并减少了 Tableau Server 中服务器管理员的手动工作。
Tableau Server 上的 SCIM 功能设计为在站点级别工作,并支持特定于站点的 SAML 身份验证。配置特定于站点的 SAML 身份验证后,通过 SCIM 预置到站点的用户将设置为使用特定于站点的 SAML 身份验证。
配置 SCIM 与 Tableau Server 的集成
步骤 1:执行先决条件
启用 SCIM 与 Tableau Server 的集成之前,您将需要满足以下要求:
- 具有 Tableau Server 的服务器管理员访问权限。
- 能够针对 Tableau Server 修改 IdP 的 SCIM 设置。
- 为站点启用和配置了 SAML 身份验证。有关详细信息,请参见配置特定于站点的 SAML。
- (可选)如果使用外部令牌生成和管理,您已创建并启用 Tableau 已连接应用。如果您还没有这样做,请参见使用 Tableau 已连接应用进行应用程序集成。
注意:由于 Tableau Server 防火墙的原因,您可能需要在身份提供程序 (IdP) 中设置本地连接器,SCIM 功能才能工作。例如,在 Okta 中,您将需要设置本地预置 (OPP)(链接在新窗口中打开)。在 Microsoft Entra ID 中,您将需要设置预置代理(链接在新窗口中打开)。
步骤 2:配置站点级别 SCIM
本部分中描述的过程要求配置特定于站点的 SAML 身份验证。
您可以选择使用 Tableau 生成的 SCIM 令牌。或者,您可以绕过 Tableau 生成的 SCIM 令牌,而是使用外部生成的 JWT(使用 Tableau 已连接应用)来支持 SCIM 请求。
启用 SCIM - 使用 Tableau-生成的令牌
以服务器管理员身份登录到 Tableau Server。
导航到站点并单击“设置”。
在“跨域身份管理系统 (SCIM)”标题下,选中“启用 SCIM”复选框。这将填充“基本 URL”和“新建密文”按钮。
执行以下操作:
复制要在 IdP 的 SCIM 设置中使用的“基本 URL”。
单击“新建密文”按钮。
复制密文并将其存储在安全位置,以便您可以在 IdP 的 SCIM 设置中使用。
重要信息:密文令牌只会在生成之后即时显示。如果在将密文应用于 IdP 之前已丢失密文,您可以再次单击“新建密文”。
单击“设置”页面顶部或底部的“保存”按钮。
在 Tableau Server 中启用 SCIM 后,使用 IdP 文档中的步骤通过身份提供程序 (IdP) 启用 SCIM 支持。
启用 SCIM - 使用外部令牌
若要使用外部令牌,您必须 1) 为 SCIM 启用外部令牌功能,以及 2) 启用 SCIM。
步骤 1:启用外部令牌
在群集中的初始节点(安装了 TSM 的节点)上以服务器管理员身份打开命令提示符。
运行以下命令:
tsm configuration set -k features.JWTSupportForSCIM -v truetsm pending-changes apply有关详细信息,请参见features.JWTSupportForSCIM。
步骤 2:启用 SCIM
以服务器管理员身份登录到 Tableau Server。
导航到站点并单击“设置”。
在“跨域身份管理系统 (SCIM)”标题下,选中“启用 SCIM”复选框。这将填充“基本 URL”和“新建密文”按钮。
执行以下操作:
复制要在 IdP 的 SCIM 设置中使用的“基本 URL”。
忽略“新建密文”按钮。
单击“设置”页面顶部或底部的“保存”按钮。
在 Tableau Server 中启用 SCIM 后,使用 IdP 文档中的步骤通过身份提供程序 (IdP) 启用 SCIM 支持。
步骤 3:预置用户和组
在站点上启用 SCIM 支持后,按照您的 IdP 文档预置用户和组。