Konfigurieren von Tableau Cloud für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

In diesem Artikel werden die Schritte beschrieben, die Sie in Tableau Cloud und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Nach Abschluss der Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und/oder Gruppen in Tableau Cloud bereit bzw. hebt die Bereitstellung auf. Wichtige Informationen dazu, was dieser Dienst tut, wie er funktioniert, und häufig gestellte Fragen finden Sie in Automatisieren der Benutzerbereitstellung und -entfernung für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzern in Tableau Cloud.
  • Entfernen Sie Benutzer in Tableau Cloud, wenn sie keinen Zugriff mehr benötigen.
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Tableau Cloud.
  • Bereitstellen von Gruppen und Gruppenmitgliedschaften in Tableau Cloud.
  • Einmaliges Anmelden bei Tableau Cloud (empfohlen).

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Hinweis

Die Microsoft Entra-Bereitstellungsintegration basiert auf der Tableau Cloud REST-API. Diese API steht Tableau Cloud-Entwicklern zur Verfügung.

Schritt 1: Planen des Bereitstellungsprozesses

  1. Erfahren Sie , wie der Bereitstellungsdienst funktioniert.
  2. Definieren Sie den Geltungsbereich für die Bereitstellung.
  3. Bestimmen Sie, welche Daten zwischen Microsoft Entra ID und Tableau Cloud zugeordnet werden sollen.

Schritt 2: Konfigurieren von Tableau Cloud für die Unterstützung der Bereitstellung mit Microsoft Entra ID

Führen Sie die folgenden Schritte aus, um SCIM-Support mit Microsoft Entra ID zu aktivieren:

  1. Die SCIM-Funktionalität erfordert, dass Sie Ihre Website so konfigurieren, dass einmaliges Anmelden mit SAML unterstützt wird. Wenn Sie dies noch nicht getan haben, führen Sie die folgenden Abschnitte in Configure SAML with Microsoft Entra ID aus:

    Hinweis

    Wenn Sie saml single sign-on nicht einrichten, kann sich Ihr Benutzer nach der Bereitstellung nicht bei Tableau Cloud anmelden, es sei denn, Sie ändern die Authentifizierungsmethode des Benutzers manuell von SAML zu Tableau oder Tableau MFA in Tableau Cloud.

  2. Navigieren Sie in Tableau Cloud zur Seite "Einstellungenauthentifizierung>", und aktivieren Sie dann unter "Automatische Bereitstellung und Gruppensynchronisierung (SCIM)" das Kontrollkästchen SCIM aktivieren. Dadurch werden die Felder "Basis-URL " und "Geheimer Schlüssel " mit Werten aufgefüllt, die Sie in der SCIM-Konfiguration Ihres IdP verwenden.

    Hinweis

    Das geheime Token wird erst unmittelbar nach dem Generieren angezeigt. Wenn Sie sie verlieren, bevor Sie sie auf Die Microsoft Entra-ID anwenden können, können Sie " Neuen geheimen Schlüssel generieren" auswählen. Darüber hinaus ist das geheime Token an das Tableau Cloud-Benutzerkonto des Websiteadministrators gebunden, der SCIM-Unterstützung ermöglicht. Wenn sich die Websiterolle dieses Benutzers ändert oder der Benutzer von der Website entfernt wird, wird das geheime Token ungültig, und ein anderer Websiteadministrator muss ein neues geheimes Token generieren und auf Microsoft Entra ID anwenden.

Fügen Sie Tableau Cloud aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung in Tableau Cloud zu beginnen. Wenn Sie Tableau Cloud zuvor für das einmalige Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es ist jedoch empfehlenswert, beim erstmaligen Testen der Integration eine separate App zu erstellen. Weitere Informationen zum Hinzufügen einer Anwendung aus dem Katalog finden Sie hier.

Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie anhand der Zuweisung bestimmen, wer für Ihre App bereitgestellt wird, können Sie die Schritte verwenden, um Benutzer und Gruppen der Anwendung zuzuweisen. Wenn Sie allein anhand der Attribute von Benutzenden oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen Bereichsfilter verwenden.

  • Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilter angeben.

  • Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung in Tableau Cloud

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in Tableau Cloud auf der Grundlage von Benutzer- und Gruppenzuweisungen in Microsoft Entra ID erläutert.

Tipp

Sie können auch SAML-basiertes einmaliges Anmelden für Tableau Cloud aktivieren. Befolgen Sie die Anweisungen im Artikel "Single Sign-On" von Tableau Cloud. Wenn SAML nicht aktiviert ist, kann sich der bereitgestellte Benutzer nicht anmelden.

Konfigurieren der automatischen Benutzerbereitstellung für Tableau Cloud in Microsoft Entra ID

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps

    Screenshot des Enterprise-Anwendungen-Blades.

  3. Wählen Sie in der Anwendungsliste Tableau Cloud aus.

    Screenshot des Tableau Cloud-Links in der Liste

  4. Wählen Sie die Registerkarte "Bereitstellung" aus .

    Screenshot der Optionen zum Verwalten mit aufgerufener Bereitstellungsoption

  5. Wählen Sie + Neue Konfiguration aus.

    Screenshot der Option

  6. Geben Sie im Feld "Mandanten-URL " Ihre Tableau Cloud-Mandanten-URL und das geheime Token ein. Wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Tableau Cloud herstellen kann. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass Ihr Tableau Cloud-Konto über die erforderlichen Administratorberechtigungen verfügt, und versuchen Sie es erneut.

    Screenshot des Dialogfelds

    Hinweis

    Sie haben zwei Optionen für Ihre Authentifizierungsmethode: Bearer-Authentifizierung und Standardauthentifizierung. Stellen Sie sicher, dass Sie Bearerauthentifizierung auswählen. Die Standardauthentifizierung funktioniert für den SCIM 2.0-Endpunkt nicht.

  7. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

  8. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

  9. Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantänebenachrichtigungen zu erhalten. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.

    Screenshot der Seite

  10. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

  11. Überprüfen Sie die Benutzerattribute, die aus Microsoft Entra ID mit Tableau Cloud synchronisiert werden, im Abschnitt Attributzuordnung. Die Attribute, die als Matching-Eigenschaften ausgewählt wurden, werden verwendet, um mit den Benutzerkonten in Tableau Cloud für Aktualisierungsvorgänge abzugleichen. Wenn Sie das übereinstimmende Zielattribute ändern möchten, müssen Sie sicherstellen, dass die Tableau Cloud-API das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.

    Attribut Typ Unterstützung für das Filtern Von Tableau Cloud vorausgesetzt
    Nutzername Schnur
    aktiv Boolean
    Rollen Schnur

  12. Wählen Sie "Gruppen" aus.

  13. Überprüfen Sie die Gruppenattribute, die aus Microsoft Entra ID mit Tableau Cloud synchronisiert werden, im Abschnitt "Attributzuordnung" . Die attribute, die als Übereinstimmende Eigenschaften ausgewählt wurden, werden verwendet, um den Gruppen in Tableau Cloud für Aktualisierungsvorgänge zu entsprechen. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.

    Attribut Typ Unterstützung für das Filtern Von Tableau Cloud vorausgesetzt
    Anzeigename Schnur
    members Verweis

  14. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen im Artikel "Bereichsfilter".

  15. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

  16. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Aktualisieren einer Tableau Cloud-Anwendung zur Verwendung des Tableau Cloud SCIM 2.0-Endpunkts

Im Juni 2022 hat Tableau einen SCIM 2.0-Connector veröffentlicht. Führen Sie die folgenden Schritte aus, um Anwendungen, die für die Verwendung des Tableau-API-Endpunkts konfiguriert sind, für den SCIM 2.0-Endpunkt zu aktualisieren. Mit diesen Schritten werden alle Anpassungen entfernt, die zuvor an der Tableau Cloudanwendung vorgenommen wurden, einschließlich:

  • Authentifizierungsdetails (Anmeldeinformationen, die für die Bereitstellung verwendet werden, nicht die für SSO verwendeten Anmeldeinformationen)
  • Geltungsbereichsfilter
  • Benutzerdefinierte Attributzuordnungen

Hinweis

Notieren Sie sich unbedingt alle Änderungen, die an den oben aufgeführten Einstellungen vorgenommen wurden, bevor Sie die folgenden Schritte ausführen. Falls dies nicht geschieht, gehen angepasste Einstellungen verloren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Tableau Cloud.

  3. Kopieren Sie im Abschnitt "Eigenschaften" der neuen benutzerdefinierten App die Objekt-ID.

    Screenshot der Tableau Cloud-App.

  4. Gehen Sie in einem neuen Webbrowserfenster zu https://developer.microsoft.com/graph/graph-explorer und melden Sie sich als Administrator*in für den Microsoft Entra-Mandanten an, unter dem Ihre App hinzugefügt wurde.

    Screenshot der Anmeldeseite des Microsoft Graph-Explorers.

  5. Vergewissern Sie sich, dass das verwendete Konto über die richtigen Berechtigungen verfügt. Die Berechtigung Directory.ReadWrite.All ist erforderlich, um diese Änderung vorzunehmen.

    Screenshot der Option

    Screenshot der Microsoft Graph-Berechtigungen.

  6. Führen Sie mit der zuvor in der App ausgewählten ObjectID den folgenden Befehl aus:

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

  7. Verwenden Sie den "ID"-Wert aus dem Antworttext der obigen GET-Anforderung, um den folgenden Befehl auszuführen, und ersetzen Sie „[job-id]“ durch diesen "ID"-Wert aus der GET-Anforderung. Der Wert sollte das Format „Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx“ aufweisen:

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

  8. Führen Sie im Graph-Explorer den folgenden Befehl aus. Ersetzen Sie „[object-id]“ durch die Dienstprinzipal-ID (Objekt-ID), die Sie im dritten Schritt kopiert haben.

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }

    Screenshot der Microsoft Graph-Anforderung.

  9. Wechseln Sie wieder zurück zum ersten Webbrowserfenster, und wählen Sie die Registerkarte „Bereitstellung“ für Ihre Anwendung aus. Ihre Konfiguration wurde zurückgesetzt. Sie können bestätigen, dass das Upgrade durchgeführt wurde, indem Sie bestätigen, dass die Auftrags-ID mit TableauOnlineSCIM beginnt.

  10. Wählen Sie im Abschnitt „Administratoranmeldeinformationen“ als Authentifizierungsmethode „Bearerauthentifizierung“ aus, und geben Sie die Mandanten-URL und das Geheimnistoken der Tableau-Instanz ein, in der Sie bereitstellen möchten. Screenshot der Administratoranmeldeinformationen in Tableau Cloud.

  11. Stellen Sie alle vorherigen Änderungen wieder her, die Sie an der Anwendung vorgenommen haben (Authentifizierungsdetails, Bereichsfilter, benutzerdefinierte Attributzuordnungen), und aktivieren Sie die Bereitstellung wieder.

Hinweis

Wenn die vorherigen Einstellungen nicht wiederhergestellt werden, kann dies dazu führen, dass Attribute (etwa „name.formatted“) in Workplace unerwartet aktualisiert werden. Überprüfen Sie die Konfiguration, bevor Sie die Bereitstellung aktivieren.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

  1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
  2. Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus anzuzeigen und zu sehen, wie nah er an der Fertigstellung ist.
  3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel Anwendungsbereitstellung im Quarantänestatus.

Änderungsprotokoll

  • 30.09.2020: Unterstützung für das Attribut „authSetting“ für Benutzer hinzugefügt.
  • 24.06.2022: Die AP wurde aktualisiert, um SCIM 2.0-konform zu sein.

Weitere Ressourcen

Verwandte Inhalte

  • Last updated on