教學課程︰設定 Tableau Cloud 來自動佈建使用者
本教學課程描述您必須同時在 Tableau Cloud 和 Microsoft Entra ID 中執行,以設定自動使用者佈建的步驟。 設定後,Microsoft Entra ID 就會使用 Microsoft Entra 佈建服務,佈建及取消佈建使用者和群組至 Tableau Cloud。 如需關於此服務用途、運作方式和常見問題的重要詳細資料,請參閱使用 Microsoft Entra ID 自動佈建及取消佈建使用者至 SaaS 應用程式。
支援的功能
- 在 Tableau Cloud 中建立使用者。
- 當使用者不再需要存取時,將其從 Tableau Cloud 中移除。
- 讓 Microsoft Entra ID 與 Tableau Cloud 之間的使用者屬性保持同步。
- 在 Tableau Cloud 中佈建群組和群組成員資格。
- 單一登入至 Tableau Cloud (建議)。
必要條件
本教學課程中概述的案例假設您已經具有下列必要條件:
- Microsoft Entra 租用戶
- 下列其中一個角色:應用程式系統管理員、雲端應用程式管理員或應用程式擁有者。
- Tableau Cloud 租用戶。
- Tableau Cloud 中具有管理員權限的使用者帳戶
注意
Microsoft Entra 佈建整合依賴 Tableau Cloud REST API。 此 API 可供 Tableau Cloud 開發人員使用。
步驟 1:規劃佈建部署
- 了解佈建服務的運作方式 \(部分機器翻譯\)。
- 判斷誰會在佈建範圍 \(部分機器翻譯\) 內。
- 決定哪些資料要在 Microsoft Entra ID 與 Tableau Cloud 之間對應。
步驟 2:設定 Tableau Cloud 以支援使用 Microsoft Entra ID 進行佈建
使用下列步驟,透過 Microsoft Entra ID 啟用 SCIM 支援:
要使用 SCIM 功能就必須設定網站以支援 SAML 單一登入。 如果您尚未這麼做,請完成使用 Microsoft Entra ID 設定 SAML 中的下列各節:
注意
如果您未設定 SAML 單一登入,則除非您在 Tableau Cloud 中手動將使用者的驗證方法從 SAML 變更為 Tableau 或 Tableau MFA,否則使用者將無法在佈建後登入 Tableau Cloud。
在 Tableau Cloud 中,瀏覽至 [設定] > [驗證] 頁面,然後在 [自動化佈建和群組同步處理 (SCIM)] 底下,選取 [啟用 SCIM] 核取方塊。 這會在 [基底 URL] 和 [祕密] 方塊中填入您在 IdP 的 SCIM 設定中使用的值。
注意
秘密權杖只會在產生後立即顯示。 如果在您可以將祕密套用至 Microsoft Entra ID 之前,就遺失了該祕密,則可以選取 [產生新祕密]。 此外,秘密權杖會繫結至啟用了 SCIM 支援的網站管理員所擁有的 Tableau Cloud 使用者帳戶。 如果該使用者的網站角色有所變更或從網站中移除了該使用者,秘密權杖會變得無效,這時就必須由其他網站管理員產生新的秘密權杖,並將其套用至 Microsoft Entra ID。
步驟 3:從 Microsoft Entra 應用程式資源庫新增 Tableau Cloud
從 Microsoft Entra 應用程式資源庫新增 Tableau Cloud,以開始管理對 Tableau Cloud 的佈建。 如果您先前已針對 SSO 設定 Tableau Cloud,則可使用相同的應用程式。 不過,建議您在一開始測試整合時,建立個別的應用程式。 在此深入了解從資源庫新增應用程式。
步驟 4:定義佈建範圍內的人員
Microsoft Entra 佈建服務可讓您根據對應用程式的指派,和/或根據使用者與群組屬性,界定將要對其進行佈建的人員範圍。 如果選擇根據指派來界定將佈建至應用程式的人員,則可使用下列步驟將使用者和群組指派給應用程式。 如果選擇僅根據使用者或群組屬性來界定將要佈建的人員,即可使用如這裡所述的範圍篩選條件。
從小規模開始。 在推出給所有人之前,先使用一小部分的使用者和群組進行測試。 當佈建範圍設為已指派的使用者和群組時,您可將一或兩個使用者或群組指派給應用程式來控制這點。 當範圍設為所有使用者和群組時,您可指定以屬性為基礎的範圍篩選條件。
如需其他角色,可以更新應用程式資訊清單以新增角色。
建議
Tableau Cloud 只會儲存指派至使用者的最高特殊權限角色。 換句話說,如果將使用者指派至兩個群組,則使用者的角色會反映最高特殊權限角色。
若要追蹤角色指派,您可以為角色指派建立兩個有特定用途的群組。 例如,您可以建立 Tableau - Creator 和 Tableau - Explorer 之類的群組。 指派看起來會像這樣:
- Tableau – Creator:Creator
- Tableau – Explorer:Explorer
- 依此類推。
一旦設定了佈建,您就會想要直接在 Microsoft Entra ID 中編輯角色變更。 否則,Tableau Cloud 與 Microsoft Entra ID 之間最後可能會有角色不一致的情況。
有效的 Tableau 網站角色值
在 Azure 入口網站的 [選取角色] 頁面上,有效的 Tableau 網站角色值包括:Creator、SiteAdministratorCreator、Explorer、SiteAdministratorExplorer、ExplorerCanPublish、Viewer 或 Unlicensed。
如果您選取不在上述清單中的角色,例如舊版 (v2018.1 前) 角色,您會遇到錯誤。
步驟 5:為 Tableau Cloud 設定自動使用者佈建
本節會引導您逐步設定 Microsoft Entra 佈建服務,以根據 Microsoft Entra ID 中的使用者和群組指派,在 Tableau Cloud 中建立、更新及停用使用者和群組。
提示
您必須為 Tableau Online 啟用 SAML 型單一登入。 請遵循 Tableau Cloud 單一登入教學課程中的指示。 如果未啟用 SAML,所佈建的使用者將無法登入。
若要在 Microsoft Entra ID 中為 Tableau Cloud 設定自動使用者佈建:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]
在應用程式清單中,選取 [Tableau Cloud]。
選取 [佈建] 索引標籤。
將 [佈建模式] 設定為 [自動]。
![佈建索引標籤 [自動]](common/provisioning-automatic.png)
在 [管理員認證] 區段中,輸入您的 Tableau Cloud 租用戶 URL 和祕密權杖。 按一下 [測試連線],以確定 Microsoft Entra ID 可以連線至 Tableau Cloud。 如果連線失敗,請確定您的 Tableau Cloud 帳戶具有管理員權限,然後再試一次。
注意
您會有 2 個驗證方法選項:持有人驗證和基本驗證。 請務必選取 [持有人驗證]。 基本驗證不適用於 SCIM 2.0 端點。
在 [通知電子郵件] 欄位中,輸入應該收到佈建錯誤通知的個人或群組電子郵件地址,然後選取 [發生失敗時傳送電子郵件通知] 核取方塊。
選取 [儲存]。
在 [對應] 區段中,選取 [將 Microsoft Entra 使用者同步至 Tableau Cloud]。
在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步至 Tableau Cloud 的使用者屬性。 選取為 [比對] 屬性 (Property) 的屬性 (Attribute) 會用來比對 Tableau Cloud 中的使用者帳戶以進行更新作業。 如果您選擇變更比對目標屬性,則需要確保 Tableau Cloud API 支援根據該屬性來篩選使用者。 選取 [儲存] 按鈕以認可所有變更。
屬性 類型 支援篩選 Tableau Cloud 的必要項目 userName String 作用中 布林值 roles String 在 [對應] 區段底下,選取 [將 Microsoft Entra 群組同步至 Tableau Cloud]。
在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步至 Tableau Cloud 的群組屬性。 選取為 [比對] 屬性 (Property) 的屬性 (Attribute) 會用來比對 Tableau Cloud 中的群組以進行更新作業。 選取 [儲存] 按鈕以認可所有變更。
屬性 類型 支援篩選 Tableau Cloud 的必要項目 displayName String 成員 參考 若要設定範圍篩選,請參閱範圍篩選教學課程中提供的下列指示。
若要為 Tableau Cloud 啟用 Microsoft Entra 佈建服務,請在 [設定] 區段中,將 [佈建狀態] 變更為 [開啟]。
藉由在 [設定] 區段的 [範圍] 中選擇所需的值,定義要佈建至 Tableau Cloud 的使用者和群組。
當您準備好要佈建時,按一下 [儲存]。
此作業會對在 [設定] 區段的 [範圍] 中所定義所有使用者和群組啟動首次同步處理週期。 只要 Microsoft Entra 佈建服務在執行中,初始週期完成所需的時間就會比後續週期的時間長,這大約每 40 分鐘進行一次。
更新 Tableau Cloud 應用程式以使用 Tableau Cloud SCIM 2.0 端點
在 2022 年 6 月,Tableau 發行了 SCIM 2.0 連接器。 當您完成下列步驟會將設定為使用 Tableau API 端點的應用程式更新為使用 SCIM 2.0 端點。 這些步驟將會移除先前對 Tableau Cloud 應用程式所進行的任何自訂,包括:
- 驗證詳細資料 (用於佈建的認證,而非用於 SSO 的認證)
- 範圍篩選
- 自訂屬性對應
注意
在完成下列步驟之前,請務必記下您對於上列設定所做的任何變更。 若未記下變更,將會導致自訂設定遺失。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Tableau Cloud]。
在新自訂應用程式的 [屬性] 區段中,複製 [物件識別碼]。
在新的網頁瀏覽器視窗中,瀏覽至
https://developer.microsoft.com/graph/graph-explorer並以應用程式新增所在 Microsoft Entra 租用戶的管理員身分登入。
請檢查確認使用的帳戶持有正確的權限。 必須具有 Directory.ReadWrite.All 權限,才能執行這項變更。
使用先前從應用程式選取的 ObjectID,執行下列命令:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/從上述 GET 要求的回應主體取得 "id" 值,執行下列命令,並以 GET 要求中的識別碼值取代 "[job-id]"。 值的格式應為 "Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx":
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]在 Graph Explorer 中,執行下列命令。 將 "[object-id]" 取代為您從第三個步驟複製的服務主體識別碼 (物件識別碼)。
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }
返回第一個網頁瀏覽器視窗,然後針對您的應用程式選取 [佈建] 索引標籤。 系統將重設您的設定。 您可以透過確認作業識別碼開頭是否為 TableauOnlineSCIM,來確認已進行升級。
在 [管理員認證] 區段下,選取 [持有人驗證] 作為驗證方法,然後輸入您要佈建的 Tableau 執行個體的 [租用戶 URL] 和 [祕密權杖]。
還原先前您對應用程式所進行的任何變更 (驗證詳細資料、範圍篩選條件、自訂屬性對應) 並重新啟用佈建。
注意
若未能還原先前的設定,可能會導致 Workplace 非預期地更新屬性 (以 name.formatted 為例)。 啟用佈建之前,請務必檢查設定
步驟 6:監視您的部署
設定佈建後,請使用下列資源來監視部署:
- 使用佈建記錄來判斷哪些使用者已佈建成功或失敗
- 檢查進度列來查看佈建週期的狀態,以及其接近完成的程度
- 如果佈建設定似乎處於狀況不良的狀態,則應用程式將會進入隔離狀態。 在此 \(部分機器翻譯\) 深入了解隔離狀態。
變更記錄檔
- 2020 年 9 月 30 日 - 已為使用者新增屬性 "authSetting" 的支援。
- 2022 年 6 月 24 日 - 已將 APP 更新為符合 SCIM 2.0 規範。