Självstudie: Konfigurera Tableau Cloud för automatisk användaretablering

I den här självstudien beskrivs de steg du behöver göra i både Tableau Cloud och Microsoft Entra ID för att konfigurera automatisk användaretablering. När det konfigureras etablerar och avetablerar Microsoft Entra-ID automatiskt användare och grupper till Tableau Cloud med hjälp av Microsoft Entra-etableringstjänsten. Viktig information om vad den här tjänsten gör, hur den fungerar och vanliga frågor finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID.

Funktioner som stöds

• Skapa användare i Tableau Cloud.
• Ta bort användare i Tableau Cloud när de inte längre behöver åtkomst.
• Behåll användarattribut synkroniserade mellan Microsoft Entra ID och Tableau Cloud.
• Etablera grupper och gruppmedlemskap i Tableau Cloud.
• Enkel inloggning till Tableau Cloud (rekommenderas).

Förutsättningar

Scenariot som beskrivs i den här självstudien förutsätter att du redan har följande förutsättningar:

• En Microsoft Entra-klientorganisation
• En av följande roller: Programadministratör, Molnprogramadministratör eller Programägare.
• En Tableau Cloud-klientorganisation.
• Ett användarkonto i Tableau Cloud med administratörsbehörighet

Kommentar

Microsoft Entra-etableringsintegreringen förlitar sig på Tableau Cloud REST API. Det här API:et är tillgängligt för Tableau Cloud-utvecklare.

Steg 1: Planera etableringsdistributionen

1. Lär dig mer om hur etableringstjänsten fungerar.
2. Ta reda på vem som finns i etableringsomfånget.
3. Ta reda på vilka data som ska mappas mellan Microsoft Entra ID och Tableau Cloud.

Steg 2: Konfigurera Tableau Cloud för att stödja etablering med Microsoft Entra-ID

Använd följande steg för att aktivera SCIM-stöd med Microsoft Entra-ID:

1. SCIM-funktionen kräver att du konfigurerar webbplatsen så att den stöder enkel inloggning med SAML. Om du inte har gjort det ännu slutför du följande avsnitt i Konfigurera SAML med Microsoft Entra-ID:

   • Steg 1: Öppna SAML-inställningarna för Tableau Cloud.
   • Steg 2: Lägg till Tableau Cloud i dina Microsoft Entra-program.

   Kommentar

   Om du inte konfigurerar enkel inloggning med SAML kan användaren inte logga in på Tableau Cloud efter att de har etablerats om du inte manuellt ändrar användarens autentiseringsmetod från SAML till Tableau eller Tableau MFA i Tableau Cloud.

2. I Tableau Cloud går du till sidan Autentisering av inställningar>. Under Automatisk etablering och gruppsynkronisering (SCIM) markerar du kryssrutan Aktivera SCIM. Detta fyller i rutorna Bas-URL och Hemlighet med värden som du använder i SCIM-konfigurationen för din IdP.

   Kommentar

   Den hemliga token visas endast omedelbart efter att den har genererats. Om du förlorar den innan du kan tillämpa den på Microsoft Entra-ID kan du välja Generera ny hemlighet. Dessutom är den hemliga token kopplad till Tableau Cloud-användarkontot för platsadministratören som aktiverar SCIM-stöd. Om användarens webbplatsroll ändras eller om användaren tas bort från webbplatsen blir den hemliga token ogiltig och en annan webbplatsadministratör måste generera en ny hemlig token och tillämpa den på Microsoft Entra-ID.

Steg 3: Lägg till Tableau Cloud från Microsoft Entra-programgalleriet

Lägg till Tableau Cloud från Microsoft Entra-programgalleriet för att börja hantera etablering till Tableau Cloud. Om du tidigare har konfigurerat Tableau Cloud for SSO kan du använda samma program. Vi rekommenderar dock att du skapar en separat app när du testar integreringen från början. Lär dig mer om att lägga till ett program från galleriet här.

Steg 4: Definiera vem som ska finnas i omfånget för etablering

Med Microsoft Entra-etableringstjänsten kan du omfångsbegränsa vem som ska etableras baserat på tilldelning till programmet och eller baserat på attribut för användaren och gruppen. Om du väljer att omfånget som ska etableras till din app ska baseras på tilldelning, kan du använda följande steg för att tilldela användare och grupper till programmet. Om du väljer att omfånget endast ska etableras baserat på attribut för användaren eller gruppen, kan du använda ett omfångsfilter enligt beskrivningen här.

• Starta i liten skala. Testa med en liten uppsättning användare och grupper innan du distribuerar till alla. När etableringsomfånget har angetts till tilldelade användare och grupper, kan du kontrollera detta genom att tilldela en eller två användare eller grupper till appen. När omfånget är inställt på alla användare och grupper, kan du ange ett attributbaserat omfångsfilter.

• Om du behöver fler roller kan du uppdatera programmanifestet för att lägga till nya roller.

Rekommendationer

Tableau Cloud lagrar endast den högsta privilegierade roll som tilldelas en användare. Om en användare med andra ord tilldelas till två grupper återspeglar användarens roll den högsta privilegierade rollen.

Om du vill hålla reda på rolltilldelningar kan du skapa två syftesspecifika grupper för rolltilldelningar. Du kan till exempel skapa grupper som Tableau – Creator och Tableau – Explorer och så vidare. Tilldelningen skulle då se ut så här:

• Tableau – Skapare: Skapare
• Tableau – Explorer: Explorer
• Och så vidare.

När etableringen har konfigurerats vill du redigera rolländringar direkt i Microsoft Entra-ID. Annars kan du få rollinkonsekvenser mellan Tableau Cloud och Microsoft Entra ID.

Giltiga värden för Tableau-webbplatsrollen

På sidan Välj en roll i din Azure Portal innehåller värdena för Tableau-platsrollen följande: Creator, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Viewer eller Unlicensed.

Om du väljer en roll som inte finns i listan ovan, till exempel en äldre roll (före v2018.1), får du ett fel.

Steg 5: Konfigurera automatisk användaretablering till Tableau Cloud

Det här avsnittet vägleder dig genom stegen för att konfigurera Microsoft Entra-etableringstjänsten för att skapa, uppdatera och inaktivera användare och grupper i Tableau Cloud baserat på användar- och grupptilldelningar i Microsoft Entra-ID.

Dricks

Du måste aktivera SAML-baserad enkel inloggning för Tableau Cloud. Följ anvisningarna i självstudien för enkel inloggning i Tableau Cloud. Om SAML inte är aktiverat kan användaren som är etablerad inte logga in.

Så här konfigurerar du automatisk användaretablering för Tableau Cloud i Microsoft Entra-ID:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>

   

3. I programlistan väljer du Tableau Cloud.

   

4. Välj fliken Etablering.

   

5. Ange Etableringsläge som Automatiskt.

   

6. I avsnittet Administratörsautentiseringsuppgifter anger du url:en för Tableau Cloud-klientorganisationen och den hemliga token. Klicka på Testa anslutning för att se till att Microsoft Entra ID kan ansluta till Tableau Cloud. Om anslutningen misslyckas kontrollerar du att ditt Tableau Cloud-konto har administratörsbehörighet och försöker igen.

   

   Kommentar

   Du har två alternativ för din autentiseringsmetod: Ägarautentisering och grundläggande autentisering. Se till att du väljer Ägarautentisering. Grundläggande autentisering fungerar inte för SCIM 2.0-slutpunkten.

7. I fältet E-postavisering anger du e-postadressen till den person eller grupp som ska ta emot meddelanden om etableringsfel. Markera sedan kryssrutan Skicka ett e-postmeddelande när ett fel uppstår.

   

8. Välj Spara.

9. I avsnittet Mappningar väljer du Synkronisera Microsoft Entra-användare till Tableau Cloud.

10. Granska de användarattribut som synkroniseras från Microsoft Entra-ID till Tableau Cloud i avsnittet Attributmappning . De attribut som valts som Matchande egenskaper används för att matcha användarkontona i Tableau Cloud för uppdateringsåtgärder. Om du väljer att ändra det matchande målattributet måste du se till att Tableau Cloud API stöder filtrering av användare baserat på det attributet. Välj knappen Spara för att checka in eventuella ändringar.

    Attribut	Typ	Stöds för filtrering	Krävs av Tableau Cloud
    userName	String	✓	✓
    aktiv	Booleskt
    roller	String

11. Under avsnittet Mappningar väljer du Synkronisera Microsoft Entra-grupper till Tableau Cloud.

12. Granska de gruppattribut som synkroniseras från Microsoft Entra-ID till Tableau Cloud i avsnittet Attributmappning . Attributen som valts som Matchande egenskaper används för att matcha grupperna i Tableau Cloud för uppdateringsåtgärder. Välj knappen Spara för att checka in eventuella ändringar.

    Attribut	Typ	Stöds för filtrering	Krävs av Tableau Cloud
    displayName	String	✓
    medlemmar	Referens

13. Information om hur du konfigurerar omfångsfilter finns i följande instruktioner i självstudien för omfångsfilter.

14. Om du vill aktivera Microsoft Entra-etableringstjänsten för Tableau Cloud ändrar du etableringsstatusen till På i avsnittet Inställningar.

    

15. Definiera de användare och grupper som du vill etablera till Tableau Cloud genom att välja önskade värden i Omfång i avsnittet Inställningar .

    

16. När du är redo att etablera klickar du på Spara.

    

Åtgärden startar den initiala synkroniseringscykeln för alla användare och grupper som har definierats i Omfång i avsnittet Inställningar. Den inledande cykeln tar längre tid att slutföra än nästa cykler, vilket sker ungefär var 40:e minut så länge Microsoft Entra-etableringstjänsten körs.

Uppdatera ett Tableau Cloud-program för att använda Tableau Cloud SCIM 2.0-slutpunkten

I juni 2022 släppte Tableau en SCIM 2.0-anslutning. Om du slutför stegen nedan uppdateras program som konfigurerats för att använda Tableau API-slutpunkten till att använda SCIM 2.0-slutpunkten. De här stegen tar bort eventuella anpassningar som tidigare gjorts i Tableau Cloud-programmet, inklusive:

• Autentiseringsinformation (autentiseringsuppgifter som används för etablering, INTE de autentiseringsuppgifter som används för enkel inloggning)
• Omfångsfilter
• Anpassade attributmappningar

Kommentar

Observera alla ändringar som har gjorts i inställningarna ovan innan du slutför stegen nedan. Om du inte gör det går anpassade inställningar förlorade.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Tableau Cloud.

3. I avsnittet Egenskaper i din nya anpassade app kopierar du objekt-ID :t.

   

4. I ett nytt webbläsarfönster navigerar du till och loggar in som administratör för Microsoft Entra-klientorganisationen där appen läggs till https://developer.microsoft.com/graph/graph-explorer .

   

5. Kontrollera att kontot används till rätt behörigheter. Behörigheten Directory.ReadWrite.All krävs för att göra den här ändringen.

   

   

6. Kör följande kommando med hjälp av ObjectID som valts från appen tidigare:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

7. Om du tar värdet "id" från svarstexten i GET-begäran ovan kör du kommandot nedan och ersätter "[job-id]" med ID-värdet från GET-begäran. Värdet ska ha formatet "Tableau.xxxxxxxxxxxxxxxxx.xxxxxxxxxxxxxxxxxxx":

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

8. Kör kommandot nedan i Graph Explorer. Ersätt "[object-id]" med tjänstens huvudnamns-ID (objekt-ID) som kopierades från det tredje steget.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }

   

9. Gå tillbaka till det första webbläsarfönstret och välj fliken Etablering för ditt program. Konfigurationen har återställts. Du kan bekräfta att uppgraderingen har ägt rum genom att bekräfta att jobb-ID:t börjar med TableauOnlineSCIM.

10. Under avsnittet Administratörsautentiseringsuppgifter väljer du "Ägarautentisering" som autentiseringsmetod och anger klient-URL:en och den hemliga token för Tableau-instansen som du vill etablera till.

11. Återställ alla tidigare ändringar som du har gjort i programmet (autentiseringsinformation, omfångsfilter, anpassade attributmappningar) och återaktivera etablering.

Kommentar

Om du inte återställer de tidigare inställningarna kan det resultera i att attribut (name.formatted till exempel) uppdateras oväntat i Workplace. Kontrollera konfigurationen innan du aktiverar etablering

Steg 6: Övervaka distributionen

När du har konfigurerat etableringen använder du följande resurser till att övervaka distributionen:

• Använd etableringsloggarna för att se vilka användare som har etablerats och vilka som har misslyckats
• Kontrollera förloppsindikatorn för att se status för etableringscykeln och hur nära den är att slutföras
• Om etableringskonfigurationen verkar vara i ett feltillstånd hamnar programmet i karantän. Läs mer om karantänstatus här.

Ändringslogg

• 09/30/2020 – Stöd för attributet "authSetting" har lagts till för användare.
• 2022-06-24 – Appen har uppdaterats till SCIM 2.0-kompatibel.

Fler resurser

• Hantera användarkontoetablering för Enterprise-appar
• Vad är programåtkomst och enkel inloggning med Microsoft Entra-ID?

Nästa steg

• Lär dig att granska loggar och hämta rapporter om etableringsaktivitet