Samouczek: konfigurowanie chmury Tableau na potrzeby automatycznej aprowizacji użytkowników
W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze Tableau Cloud, jak i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu usługa Microsoft Entra ID automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze Tableau Cloud przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane funkcje
- Tworzenie użytkowników w usłudze Tableau Cloud.
- Usuń użytkowników w usłudze Tableau Cloud, gdy nie będą już wymagać dostępu.
- Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą Tableau Cloud.
- Aprowizuj grupy i członkostwa w grupach w usłudze Tableau Cloud.
- Logowanie jednokrotne do usługi Tableau Cloud (zalecane).
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa firmy Microsoft Entra
- Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
- Dzierżawa usługi Tableau Cloud.
- Konto użytkownika w usłudze Tableau Cloud z uprawnieniami administratora
Uwaga
Integracja aprowizacji firmy Microsoft opiera się na interfejsie API REST usługi Tableau Cloud. Ten interfejs API jest dostępny dla deweloperów usługi Tableau Cloud.
Krok 1. Planowanie wdrożenia aprowizacji
- Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
- Określ, kto znajdzie się w zakresie aprowizacji.
- Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i usługą Tableau Cloud.
Krok 2. Konfigurowanie chmury Tableau w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft
Wykonaj następujące kroki, aby włączyć obsługę protokołu SCIM za pomocą identyfikatora Entra firmy Microsoft:
Funkcja SCIM wymaga skonfigurowania witryny do obsługi logowania jednokrotnego SAML. Jeśli jeszcze tego nie zrobiono, wykonaj następujące sekcje w temacie Konfigurowanie protokołu SAML z identyfikatorem Microsoft Entra ID:
- Krok 1. Otwórz ustawienia SAML chmury Tableau.
- Krok 2. Dodawanie chmury Tableau do aplikacji Firmy Microsoft Entra.
Uwaga
Jeśli nie skonfigurujesz logowania jednokrotnego SAML, użytkownik nie będzie mógł zalogować się do usługi Tableau Cloud po ich aprowizacji, chyba że ręcznie zmienisz metodę uwierzytelniania użytkownika z języka SAML na Tableau lub Tableau MFA w usłudze Tableau Cloud.
W usłudze Tableau Cloud przejdź do strony Uwierzytelnianie ustawień>, a następnie w obszarze Automatyczna aprowizacja i synchronizacja grup (SCIM) zaznacz pole wyboru Włącz SCIM. Spowoduje to wypełnienie pól Podstawowy adres URL i wpis tajny wartościami używanymi w konfiguracji SCIM dostawcy tożsamości.
Uwaga
Token tajny jest wyświetlany tylko natychmiast po jego wygenerowaniu. Jeśli utracisz go przed zastosowaniem go do identyfikatora Entra firmy Microsoft, możesz wybrać pozycję Generuj nowy wpis tajny. Ponadto token tajny jest powiązany z kontem użytkownika usługi Tableau Cloud administratora witryny, który umożliwia obsługę protokołu SCIM. Jeśli rola witryny tego użytkownika ulegnie zmianie lub użytkownik zostanie usunięty z witryny, token tajny stanie się nieprawidłowy, a inny administrator witryny musi wygenerować nowy token tajny i zastosować go do identyfikatora Entra firmy Microsoft.
Krok 3. Dodawanie usługi Tableau Cloud z galerii aplikacji Microsoft Entra
Dodaj usługę Tableau Cloud z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Tableau Cloud. Jeśli wcześniej skonfigurowano usługę Tableau Cloud for SSO, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.
Krok 4. Definiowanie, kto będzie w zakresie aprowizacji
Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika i grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.
Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.
Jeśli potrzebujesz więcej ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.
Zalecenia
Usługa Tableau Cloud będzie przechowywać tylko najwyższą rolę uprzywilejowaną przypisaną do użytkownika. Innymi słowy, jeśli użytkownik jest przypisany do dwóch grup, rola użytkownika odzwierciedla najwyższą rolę uprzywilejowaną.
Aby śledzić przypisania ról, można utworzyć dwie grupy specyficzne dla celu dla przypisań ról. Można na przykład tworzyć grupy, takie jak Tableau — Creator i Tableau — Explorer itd. Następnie przypisanie będzie wyglądać następująco:
- Tableau — twórca: twórca
- Tableau — Eksplorator: Eksplorator
- I tak dalej.
Po skonfigurowaniu aprowizacji chcesz edytować zmiany roli bezpośrednio w identyfikatorze Entra firmy Microsoft. W przeciwnym razie możesz napotkać niespójności ról między usługą Tableau Cloud i identyfikatorem Entra firmy Microsoft.
Prawidłowe wartości roli witryny Tableau
Na stronie Wybieranie roli w witrynie Azure Portal wartości roli witryny Tableau, które są prawidłowe, obejmują następujące wartości: Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer lub Unlicensed.
Jeśli wybierzesz rolę, która nie znajduje się na powyższej liście, na przykład starsza rola (pre-v2018.1), wystąpi błąd.
Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Tableau Cloud
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Tableau Cloud na podstawie przypisań użytkowników i grup w usłudze Microsoft Entra ID.
Napiwek
Musisz włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Tableau Cloud. Postępuj zgodnie z instrukcjami w samouczku dotyczącym logowania jednokrotnego w usłudze Tableau Cloud. Jeśli protokół SAML nie jest włączony, użytkownik, który jest aprowizowany, nie będzie mógł się zalogować.
Aby skonfigurować automatyczną aprowizację użytkowników dla chmury Tableau w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>
Na liście aplikacji wybierz pozycję Tableau Cloud.
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Poświadczenia administratora wprowadź adres URL dzierżawy usługi Tableau Cloud i token tajny. Kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Tableau Cloud. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Tableau Cloud ma uprawnienia administratora i spróbuj ponownie.
Uwaga
Dostępne są 2 opcje metody uwierzytelniania: uwierzytelnianie elementu nośnego i uwierzytelnianie podstawowe. Upewnij się, że wybrano pozycję Uwierzytelnianie elementu nośnego. Uwierzytelnianie podstawowe nie będzie działać dla punktu końcowego SCIM 2.0.
W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Tableau Cloud.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do chmury Tableau w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Tableau Cloud na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API chmury Tableau obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę Tableau Cloud userName String ✓ ✓ aktywne Wartość logiczna roles String W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft Entra z usługą Tableau Cloud.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do chmury Tableau w sekcji Mapowanie atrybutów. Atrybuty wybrane jako właściwości dopasowywania są używane do dopasowania grup w usłudze Tableau Cloud na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę Tableau Cloud displayName String ✓ członkowie Odwołanie Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla chmury Tableau, zmień stan aprowizacji na Wł . w sekcji Ustawienia .
Zdefiniuj użytkowników i grupy, które chcesz aprowizować w usłudze Tableau Cloud, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.
Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Aktualizowanie aplikacji tableau Cloud do korzystania z punktu końcowego SCIM 2.0 usługi Tableau Cloud
W czerwcu 2022 r. usługa Tableau wydała łącznik SCIM 2.0. Wykonanie poniższych kroków spowoduje zaktualizowanie aplikacji skonfigurowanych do używania punktu końcowego interfejsu API tableau do korzystania z punktu końcowego SCIM 2.0. Te kroki usuwają wszelkie dostosowania wprowadzone wcześniej w aplikacji Tableau Cloud, w tym:
- Szczegóły uwierzytelniania (poświadczenia używane do aprowizacji, a nie poświadczenia używane do logowania jednokrotnego)
- Filtry określania zakresu
- Mapowania atrybutów niestandardowych
Uwaga
Pamiętaj, aby pamiętać o wszelkich zmianach wprowadzonych w ustawieniach wymienionych powyżej przed wykonaniem poniższych kroków. Niepowodzenie w tym celu spowoduje utratę dostosowanych ustawień.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise applications Tableau Cloud (Aplikacje dla przedsiębiorstw w usłudze>Identity>Applications>Tableau Cloud).
W sekcji Właściwości nowej aplikacji niestandardowej skopiuj identyfikator obiektu.
W nowym oknie przeglądarki internetowej przejdź do
https://developer.microsoft.com/graph/graph-explorer
witryny i zaloguj się jako administrator dzierżawy firmy Microsoft Entra, w której jest dodawana aplikacja.Upewnij się, że konto jest używane do odpowiednich uprawnień. Aby wprowadzić tę zmianę, wymagane jest uprawnienie Directory.ReadWrite.All .
Za pomocą identyfikatora ObjectID wybranego wcześniej z aplikacji uruchom następujące polecenie:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
Biorąc wartość "id" z treści odpowiedzi żądania GET z powyższego, uruchom poniższe polecenie, zastępując ciąg "[job-id]" wartością id z żądania GET. Wartość powinna mieć format "Tableau.xxxxxxx.xxxxxxx":
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
W Eksploratorze programu Graph uruchom poniższe polecenie. Zastąp ciąg "[object-id]" identyfikatorem jednostki usługi (identyfikatorem obiektu) skopiowanym z trzeciego kroku.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }
Wróć do pierwszego okna przeglądarki internetowej i wybierz kartę Aprowizacja aplikacji. Konfiguracja zostanie zresetowana. Możesz potwierdzić, że uaktualnienie zostało wykonane, potwierdzając, że identyfikator zadania rozpoczyna się od tableauOnlineSCIM.
W sekcji Poświadczenia administratora wybierz pozycję "Uwierzytelnianie elementu nośnego" jako metodę uwierzytelniania, a następnie wprowadź adres URL dzierżawy i token tajny wystąpienia tableau, do którego chcesz aprowizować.
Przywróć poprzednie zmiany wprowadzone w aplikacji (szczegóły uwierzytelniania, filtry określania zakresu, mapowania atrybutów niestandardowych) i ponownie włącz aprowizację.
Uwaga
Nie można przywrócić poprzednich ustawień może spowodować nieoczekiwane zaktualizowanie atrybutów (name.formatted) w miejscu pracy. Przed włączeniem aprowizacji upewnij się, że konfiguracja jest sprawdzana
Krok 6. Monitorowanie wdrożenia
Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:
- Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
- Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
- Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.
Dziennik zmian
- 30.09.2020 — Dodano obsługę atrybutu "authSetting" dla użytkowników.
- 24.06.2022 — Zaktualizowano aplikację tak, aby została zgodna ze standardem SCIM 2.0.
Więcej zasobów
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?