SCIM configureren met Microsoft Entra ID


U kunt gebruikersbeheer configureren via Microsoft Entra ID (ook bekend als Azure Active Directory (AD)), groepen inrichten en Tableau Cloud-siterollen toewijzen.

Bij het uitvoeren van de volgende stappen is het handig om de Entra ID-documentatie bij de hand te hebben. Zie de tutorial, Tableau Cloud configureren voor het automatisch inrichten van gebruikers(Link wordt in een nieuw venster geopend).

Opmerking: als u het inrichten al voor uw toepassing hebt ingeschakeld en wilt updaten naar het gebruik van het Tableau SCIM 2.0-eindpunt, verwijzen wij u naar het Microsoft-artikel Een Tableau Cloud-toepassing bijwerken(Link wordt in een nieuw venster geopend). Volg de onderstaande stappen als u de inrichting voor een nieuwe instantie van de Tableau Cloud-toepassing instelt.

Stap 1: Voldoe aan de vereisten

Voor SCIM-functionaliteit is het vereist dat u uw site zodanig configureert dat SAML single sign-on (SSO) wordt ondersteund.

  1. Voltooi de stappen in het gedeelte 'Tableau Cloud toevoegen aan uw Microsoft Entra ID-toepassingen' in SAML configureren met Microsoft Entra ID.

  2. Blijf aangemeld bij zowel de Entra-portal als Tableau Cloud nadat u Tableau Cloud vanuit Azure Marketplace hebt toegevoegd, en zorg dat de volgende pagina's worden weergegeven:

    • In Tableau Cloud: Instellingen > de pagina Verificatie.
    • In de Entra-portal: de Tableau Cloud-toepassing > de pagina Inrichting.

Stap 2: Schakel SCIM-ondersteuning in

Volg de volgende stappen om SCIM-ondersteuning met Microsoft Entra ID in te schakelen. Zie ook het gedeelte Opmerkingen en beperkingen voor SCIM-ondersteuning met Azure Active Directory hieronder.

Opmerking: voor de stappen in de Entra-portal moet u ervoor zorgen dat u de Tableau Cloud-app uit de galerij gebruikt.

  1. Meld u als sitebeheerder aan bij uw Tableau Cloud-site en selecteer Instellingen > Verificatie.

  2. Doe het volgende:

    1. Schakel op de pagina Verificatie onder Automatische inrichting en groepssynchronisatie (SCIM) het selectievakje SCIM inschakelen in.

      Het vak Basis-URL en het vak Geheim worden ingevuld met waarden die u gebruikt in de SCIM-configuratie van de IdP.

      Belangrijk: het geheime token wordt pas direct na het genereren weergegeven. Als u het token kwijtraakt voordat u het kunt toepassen op uw IdP, kunt u het volgende selecteren: Nieuw geheim genereren. Bovendien is het geheime token gekoppeld aan het Tableau Cloud-gebruikersaccount van de sitebeheerder die SCIM-ondersteuning inschakelt. Als de siterol van die gebruiker verandert of als de gebruiker van de site wordt verwijderd, wordt het geheime token ongeldig en moet een andere sitebeheerder een nieuw geheim token genereren en dit toepassen op uw IdP.

    2. Onder Verificatie voor SCIM selecteert u de SAML-verificatieconfiguratie die u aan SCIM wilt koppelen.

      Opmerking: Er kan slechts één SAML-verificatieconfiguratie SCIM op een site ondersteunen.

  3. Kopieer de geheime tokenwaarde en ga op de pagina Inrichting in uw Entra-portal als volgt te werk:

    • Selecteer voor de Inrichtingsmodus de optie Automatisch.

    • Selecteer voor de Verificatiemethode de optie Dragerverificatie.

    • Kopieer en plak de Basis-URL bij Tenant-URL. U vindt de basis-URL bij de SCIM-instellingen van Tableau Cloud.

    • Bij Geheim token plakt u het geheime SCIM-token van Tableau Cloud dat u eerder hebt gekopieerd.

    Een configuratiescherm met instellingen voor het inrichten van Tableau Cloud.

  4. Klik op de knop Verbinding testen om te verifiëren of de referenties werken zoals dat wordt verwacht en klik vervolgens op Opslaan.

  5. Controleer in het gedeelte Toewijzingen of Microsoft Entra ID-groepen inrichten en Microsoft Entra ID-gebruikers inrichten zijn ingeschakeld.

    Een instellingenpagina om te definiëren hoe data tussen Microsoft Entra ID en Tableau Cloud SCIM moeten stromen.

  6. Selecteer Microsoft Entra ID-groepen inrichten en controleer op de pagina Kenmerktoewijzingen de van Entra ID naar Tableau Cloud gesynchroniseerde kenmerken. Om eventuele wijzigingen op te slaan, klikt u op Opslaan.

    Tableau Cloud SCIM-kenmerktoewijzingen aan Microsoft Entra ID-kenmerk.

  7. Selecteer Microsoft Entra ID-gebruikers inrichten en controleer op de pagina Kenmerktoewijzingen de van Entra ID naar Tableau Cloud gesynchroniseerde kenmerken. Om eventuele wijzigingen op te slaan, klikt u op Opslaan.

    Een tabel met de kenmerktoewijzingen die synchronisatie definiëren.

Stap 3: Wijs groepen toe aan de Tableau Cloud-toepassing

Volg de volgende stappen om groepen toe te wijzen aan de app uit de Tableau Cloud-galerij in Microsoft Entra ID.

  1. Ga naar de pagina met toepassingen en selecteer Zakelijke apps > Gebruikers en groepen.

  2. Klik op Gebruiker/groep toevoegen.

  3. Selecteer op de pagina Toewijzing toevoegen een groep en wijs een van de volgende siterollen toe:

    • Creator

    • Sitebeheerder Creator

    • Explorer

    • Sitebeheerder Explorer

    • Explorer kan publiceren

    • Viewer

    • Zonder licentie

    Opmerking: er wordt een foutmelding weergegeven als u een rol selecteert die niet in de bovenstaande lijst staat. Zie Siterollen voor gebruikers instellen voor meer informatie over siterollen.

  4. Klik op Toewijzen.

Groepen maken voor siterollen

Een gebruiker kan lid zijn van meerdere groepen in Entra ID, maar krijgt alleen de siterol met de meeste rechten in Tableau Cloud. Als een gebruiker bijvoorbeeld lid is van twee groepen met de siterol Viewer en de siterol Creator, wijst Tableau de siterol Creator toe.

Om de roltoewijzingen bij te houden, raden we aan om rolspecifieke groepen in Entra ID te maken, zoals “Tableau - Creator”, “Tableau - Explorer”, enz. U kunt de groepen vervolgens gebruiken om snel nieuwe gebruikers in te richten voor de juiste rol in Tableau Cloud.

Hieronder staan de siterollen, in volgorde van de meeste rechten naar de minste rechten:

  • Sitebeheerder Creator

  • Sitebeheerder Explorer

  • Creator

  • Explorer (kan publiceren)

  • Explorer

  • Viewer

Opmerking: gebruikers en hun kenmerken moeten worden beheerd via Entra ID. Wijzigingen die worden aangebracht in Tableau Cloud kunnen direct leiden tot onverwacht gedrag en genegeerde waarden.

Stap 4: Groepen inrichten

Nadat u SCIM-ondersteuning hebt ingeschakeld en groepen aan de Tableau Cloud-toepassing in Entra ID hebt toegewezen, is de volgende stap het inrichten van gebruikers voor uw Tableau Cloud-site.

  1. Vouw op de pagina Inrichting het gedeelte Instellingen uit en definieer bij Bereik de groepen die u wilt inrichten in Tableau Cloud.

    Een instellingenmenu waarmee u zich kunt aanmelden voor e-mailmeldingen bij fouten en waarmee u de parameters voor het synchroniseren van gebruikers en groepen kunt instellen.

    Opmerking: de Entra ID-instelling waarmee alle gebruikers en groepen worden gesynchroniseerd, wordt niet ondersteund met Tableau Cloud.

  2. Zet de schakelaar Inrichtingsstatus op Aan.

  3. Klik op Opslaan.

Met het opslaan wordt de eerste synchronisatie van de groepen gestart die zijn gedefinieerd in Bereik. Synchronisatie vindt ongeveer elke 40 minuten plaats, zolang de Entra ID-inrichtingsservice actief is. Als u gebruikers handmatig buiten de planning om wilt in te richten, selecteert u Inrichting on demand. Zie het Microsoft-artikel Inrichting op aanvraag in Microsoft Entra ID(Link wordt in een nieuw venster geopend) voor meer informatie over on-demand inrichting.

Nadat de inrichting is voltooid, ziet u de groepen van Entra ID op de pagina Sitegebruikers in Tableau Cloud.

Gebruikersverificatie wijzigen in Tableau Cloud

Aan ingerichte gebruikers wordt standaard het type SAML-verificatie toegewezen. Volg de onderstaande stappen als u het verificatietype voor gebruikers wilt wijzigen.

  1. Selecteer Gebruikers in Tableau Cloud.

  2. Schakel op de pagina Sitegebruikers de selectievakjes naast de gebruikers in aan wie u een verificatietype wilt toewijzen.

  3. Selecteer Verificatie in het menu Acties.

  4. Selecteer in het dialoogvenster Verificatie het gewenste verificatietype voor de gebruiker.

Zie Verificatie voor meer informatie over de verschillende verificatietypen in Tableau Cloud.

Opmerkingen voor SCIM-ondersteuning met Azure Active Directory

  • U moet voor elke site die u met SCIM wilt beheren een aparte Tableau Cloud-app toevoegen.

  • Wanneer u de inrichting van een gebruiker in de Tableau Cloud-toepassing in Azure AD verwijdert of als een gebruiker volledig uit Azure AD wordt verwijderd, krijgt de gebruiker de siterol Zonder licentie in Tableau Cloud. Als de gebruiker eigenaar is van inhoud, moet u eerst het eigendom van die inhoud opnieuw toewijzen voordat u de gebruiker handmatig uit Tableau Cloud kunt verwijderen.

  • Vanaf februari 2024 (Tableau 2023.3) wordt het gebruik van SCIM met Licentie verlenen bij aanmelding (GLSI) ondersteund. GLSI vereist het volgende:

    1. De optie voor een groep handmatig inschakelen en de minimale siterol selecteren voor gebruikers die lid zijn van de groep, rechtstreeks in Tableau. Het is niet mogelijk om een groep met het GLSI-kenmerk in Azure AD in te stellen, maar u kunt het kenmerk voor de groep die u vanuit Azure AD hebt ingericht, wel instellen in Tableau Cloud.
    2. De gebruiker moet worden ingericht als Zonder licentie van de IdP.

Terug naar boven