Учебник. Настройка Tableau Cloud для автоматической подготовки пользователей

В этом руководстве описаны действия, которые необходимо выполнить как в Tableau Cloud, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп в Tableau Cloud с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

• Создание пользователей в Tableau Cloud.
• Удаление пользователей в Tableau Cloud, когда им больше не нужен доступ.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Tableau Cloud.
• Подготовка групп и членства в группах в Tableau Cloud.
• Единый вход в Tableau Cloud (рекомендуется).

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
• Арендатор Tableau Cloud.
• Учетная запись пользователя Tableau Cloud с разрешениями администратора.

Примечание.

Интеграция подготовки Microsoft Entra зависит от REST API Tableau Cloud. Этот API доступен для разработчиков Tableau Cloud.

Шаг 1. Планирование развертывания подготовки

1. Узнайте, как работает служба подготовки.
2. Определите, кто будет находиться в области подготовки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Tableau Cloud.

Шаг 2. Настройка Tableau Cloud для поддержки подготовки с помощью идентификатора Microsoft Entra

Чтобы включить поддержку SCIM с идентификатором Microsoft Entra, выполните следующие действия.

1. Для работы SCIM необходимо настроить сайт для поддержки единого входа SAML. Если вы еще этого не сделали, выполните следующие разделы в разделе Configure SAML with Microsoft Entra ID:

   • Шаг 1. Откройте параметры SAML в Tableau Cloud.
   • Шаг 2. Добавление Tableau Cloud в приложения Microsoft Entra.

   Примечание.

   Если вы не настроили единый вход SAML, пользователь не сможет войти в Tableau Cloud после подготовки, если вы только не измените метод проверки подлинности пользователя со SAML на Tableau или Tableau MFA в Tableau Cloud.

2. В Tableau Cloud перейдите на страницу Settings > Authentication (Параметры > Аутентификация), затем в разделе Automatic Provisioning and Group Synchronization (SCIM) (Автоматическая подготовка и синхронизация групп (SCIM)) установите флажок Enable SCIM (Включить SCIM). Это заполняет поля "Базовый URL-адрес " и "Секрет " значениями, используемыми в конфигурации SCIM поставщика удостоверений.

   Примечание.

   Секретный маркер отображается только сразу после его создания. Если вы потеряете его, прежде чем применить его к идентификатору Microsoft Entra, можно выбрать команду "Создать новый секрет". Кроме того, секретный токен привязан к учетной записи администратора сайта Tableau Cloud, который включает поддержку SCIM. Если роль сайта этого пользователя изменяется или пользователь удаляется с сайта, маркер секрета становится недействительным, а другой администратор сайта должен создать новый секретный маркер и применить его к идентификатору Microsoft Entra.

Шаг 3. Добавление Tableau Cloud из коллекции приложений Microsoft Entra

Добавьте Tableau Cloud из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Tableau Cloud. Если вы ранее настроили Tableau Cloud для единого входа, можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для первоначальной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто будет находиться в области подготовки

Служба подготовки Microsoft Entra позволяет определить, кто будет подготовлен на основе назначения приложению и на основе атрибутов пользователя и группы. Если вы решили указать, кто именно будет подготовлен к работе в приложении, на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Рекомендации

Tableau Cloud будет хранить только роль с самыми широкими разрешениями, назначенную пользователю. Другими словами, если пользователю назначена две группы, роль пользователя отражает самую привилегированную роль.

Чтобы отслеживать назначения ролей, можно создать две специальных группы для назначений ролей. Например, можно создавать такие группы, как Tableau — Creator, Tableau и Tableau — Explorer и т. д. Затем назначение будет выглядеть следующим образом:

• Tableau – Creator: Creator
• Tableau – Explorer: Explorer
• И т. д.

После настройки подготовки необходимо изменить изменения ролей непосредственно в идентификаторе Microsoft Entra. В противном случае может возникнуть несоответствие ролей между Tableau Cloud и идентификатором Microsoft Entra.

Допустимые значения роли сайта Tableau

На странице выбора роли в портал Azure допустимые значения роли сайта Tableau включают следующие значения: Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer или Unlicensed.

Если вы выбираете роль, которая не указана в приведенном выше списке, например устаревшая роль (предварительная версия 2018.1), возникает ошибка.

Шаг 5. Настройка автоматической подготовки пользователей в Tableau Cloud

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в Tableau Cloud на основе назначений пользователей и групп в идентификаторе Microsoft Entra.

Совет

Для Tableau Cloud также можно включить единый вход на основе SAML. Выполните инструкции из учебника по настройке единого входа в Tableau Cloud. Если SAML не включен, подготовленный пользователь не сможет войти в систему.

Чтобы настроить автоматическую подготовку пользователей для Tableau Cloud в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Обзор корпоративных приложений>удостоверений>

   

3. В списке приложений выберите Tableau Cloud.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора укажите URL-адрес арендатора и секретный токен для Tableau Cloud. Нажмите кнопку "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Tableau Cloud. Если установить подключение не удалось, убедитесь, что у учетной записи Tableau Cloud есть разрешения администратора, и повторите попытку.

   

   Примечание.

   У вас будет 2 варианта для метода проверки подлинности: проверка подлинности носителя и обычная проверка подлинности. Убедитесь, что выбрана проверка подлинности носителя. Обычная проверка подлинности не будет работать для конечной точки SCIM 2.0.

7. В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Tableau Cloud.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra в Tableau Cloud, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как совпадающие свойства, используются для сопоставления учетных записей пользователей в Tableau Cloud для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Tableau Cloud поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется Tableau Cloud
    userName	Строка	✓	✓
    active	Логический
    роли	Строка

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Tableau Cloud.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra в Tableau Cloud, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как совпадающие свойства, используются для сопоставления групп в Tableau Cloud при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется Tableau Cloud
    displayName	Строка	✓
    members	Справочные материалы

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

14. Чтобы включить службу подготовки Microsoft Entra для Tableau Cloud, измените состояние подготовки на On в разделе "Параметры ".

    

15. Укажите пользователей и группы для подготовки в Tableau Cloud, выбрав нужные значения в поле Область в разделе Параметры.

    

16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем следующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

Обновление приложения Tableau Cloud для использования конечной точки Tableau Cloud SCIM 2.0

В июне 2022 г. компания Tableau выпустила соединитель SCIM 2.0. Выполните описанные ниже действия, чтобы перевести приложения, настроенные для использования конечной точки Tableau API, на использование конечной точки SCIM 2.0. Эти действия удаляют все настройки, внесенные ранее в приложение Tableau Cloud, в том числе:

• Сведения о проверке подлинности (учетные данные, используемые для подготовки, НЕ учетные данные, используемые для выполнения единого входа)
• Фильтры области
• сопоставления настраиваемых атрибутов.

Примечание.

Перед выполнением указанных ниже действий обязательное запишите все изменения, внесенные в приведенные выше параметры. Если не сделать этого, настроенные параметры будут утеряны.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Identity>Applications>Enterprise Tableau Cloud.

3. В разделе "Свойства" нового пользовательского приложения скопируйте идентификатор объекта.

   

4. В новом окне веб-браузера перейдите https://developer.microsoft.com/graph/graph-explorer и войдите в качестве администратора клиента Microsoft Entra, где добавляется ваше приложение.

   

5. Убедитесь, что учетная запись, используемая для правильных разрешений. Для внесения этого изменения требуется разрешение Directory.ReadWrite.All.

   

   

6. Используя идентификатор ObjectID, выбранный в приложении ранее, выполните следующую команду:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

7. Используя значение id из текста ответа на запрос GET выше, выполните приведенную ниже команду, заменив "[job-id]" значением id из запроса GET. Значение должно иметь формат Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx:

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

8. В песочнице Graph выполните приведенную ниже команду. Замените [object-id] на идентификатор субъекта-службы (идентификатор объекта), скопированный на третьем шаге.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }

   

9. Вернитесь в первое окно веб-браузера и откройте вкладку "Подготовка" для приложения. Конфигурация будет сброшена. Чтобы убедиться в том, что обновление выполнено, проверьте, начинается ли идентификатор задания с TableauOnlineSCIM.

10. В разделе "Учетные данные администратора" выберите Bearer Authentication (Проверка подлинности носителя) в качестве способа проверки подлинности и введите URL-адрес клиента и секретный маркер экземпляра Tableau, для которого требуется подготовиться.

11. Восстановите все предыдущие изменения, внесенные в приложение (сведения о проверке подлинности, фильтры области, сопоставления настраиваемых атрибутов) и повторно включите подготовку.

Примечание.

Сбой восстановления предыдущих параметров может привести к непредвиденному обновлению атрибутов (например, name.formatted) в Workplace. Обязательно проверьте конфигурацию перед включением подготовки.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.

• Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения.
• Если конфигурация подготовки находится в неработоспособном состоянии, приложение перейдет в режим карантина. Дополнительные сведения о режимах карантина см. здесь.

Журнал изменений

• 30.09.2020 — добавлена поддержка атрибута "authSetting" для пользователей.
• 06.24.2022 — обновлено приложение, которое должно соответствовать SCIM 2.0.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке