Tutorial: Mengonfigurasi Tableau Cloud untuk provisi pengguna otomatis

Tutorial ini menjelaskan langkah-langkah yang perlu Anda lakukan di Tableau Cloud dan ID Microsoft Entra untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna dan grup ke Tableau Cloud menggunakan layanan provisi Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Kemampuan yang didukung

• Membuat pengguna di Tableau Cloud.
• Menghapus pengguna di Tableau Cloud ketika mereka tidak lagi memerlukan akses.
• Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan Tableau Cloud.
• Memprovisikan grup dan keanggotaan grup di Tableau Cloud.
• Akses menyeluruh ke Tableau Cloud (direkomendasikan).

Prasyarat

Skenario yang diuraikan dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Penyewa Microsoft Entra
• Akun pengguna di MICROSOFT Entra ID dengan izin untuk mengonfigurasi provisi (misalnya, Administrator Aplikasi, Administrator Aplikasi Cloud, Pemilik Aplikasi, atau Administrator Global).
• Penyewa Tableau Cloud.
• Akun pengguna di Tableau Cloud dengan izin Admin

Catatan

Integrasi provisi Microsoft Entra bergantung pada Tableau Cloud REST API. API ini tersedia untuk pengembang Tableau Cloud.

Langkah 1: Merencanakan penyebaran provisi Anda

1. Pelajari tentang Cara kerja layanan provisi .
2. Tentukan siapa yang akan berada dalam cakupan untuk provisi.
3. Tentukan data apa yang akan dipetakan antara ID Microsoft Entra dan Tableau Cloud.

Langkah 2: Mengonfigurasi Tableau Cloud untuk mendukung provisi dengan MICROSOFT Entra ID

Gunakan langkah-langkah berikut untuk mengaktifkan dukungan SCIM dengan MICROSOFT Entra ID:

1. Fungsi SCIM mengharuskan Anda mengonfigurasi situs Anda untuk mendukung akses menyeluruh SAML. Jika Anda belum melakukan ini, selesaikan bagian berikut di Mengonfigurasi SAML dengan ID Microsoft Entra:

   • Langkah 1: Buka Pengaturan SAML Tableau Cloud.
   • Langkah 2: Tambahkan Tableau Cloud ke aplikasi Microsoft Entra Anda.

   Catatan

   Jika Anda tidak menyiapkan akses menyeluruh SAML, pengguna tidak akan dapat masuk ke Tableau Cloud setelah disediakan kecuali Anda mengubah metode autentikasi pengguna secara manual dari SAML ke Tableau atau Tableau MFA di Tableau Cloud.

2. Di Tableau Cloud, navigasikan ke halaman Pengaturan > Autentikasi, lalu di bawah Provisi Otomatis dan Sinkronisasi Grup (SCIM), centang kotak Aktifkan SCIM. Ini mengisi kotak URL Dasar dan Rahasia dengan nilai yang akan Anda gunakan dalam konfigurasi SCIM IdP Anda.

   Catatan

   Token rahasia ditampilkan hanya segera setelah dibuat. Jika Anda kehilangan sebelum dapat menerapkannya ke ID Microsoft Entra, Anda dapat memilih Buat Rahasia Baru. Selain itu, token rahasia terkait dengan akun pengguna Tableau Cloud dari administrator situs yang mengaktifkan dukungan SCIM. Jika peran situs pengguna tersebut berubah atau pengguna dihapus dari situs, token rahasia menjadi tidak valid, dan administrator situs lain harus menghasilkan token rahasia baru dan menerapkannya ke ID Microsoft Entra.

Langkah 3: Tambahkan Tableau Cloud dari galeri aplikasi Microsoft Entra

Tambahkan Tableau Cloud dari galeri aplikasi Microsoft Entra untuk mulai mengelola provisi ke Tableau Cloud. Jika Anda sebelumnya telah menyiapkan Tableau Cloud untuk SSO, maka Anda dapat menggunakan aplikasi yang sama. Tetapi, sebaiknya Anda membuat aplikasi terpisah saat menguji integrasi pada awalnya. Pelajari selengkapnya tentang cara menambahkan aplikasi dari galeri di sini.

Langkah 4 : Tentukan siapa yang akan berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang akan disediakan berdasarkan penugasan ke aplikasi dan atau berdasarkan atribut pengguna dan grup. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisi ke aplikasi berdasarkan penugasan, Anda dapat mengikuti langkah-langkah berikut untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisikan hanya berdasarkan pada atribut pengguna atau grup, Anda dapat menggunakan filter cakupan seperti yang dijelaskan di sini.

• Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang telah ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.

• Jika Anda membutuhkan peran tambahan, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran baru.

Rekomendasi

Tableau Cloud hanya akan menyimpan peran istimewa tertinggi yang ditetapkan untuk pengguna. Dengan kata lain, jika pengguna ditetapkan ke dua grup, peran pengguna akan mencerminkan peran istimewa tertinggi.

Untuk melacak penetapan peran, Anda dapat membuat dua grup khusus tujuan untuk penetapan peran. Misalnya, Anda dapat membuat grup seperti Tableau – Creator, dan Tableau – Explorer, dll. Penugasan kemudian akan terlihat seperti:

• Tableau – Creator: Creator
• Tableau – Explorer: Explorer
• Dll.

Setelah provisi disiapkan, Anda ingin mengedit perubahan peran secara langsung di ID Microsoft Entra. Jika tidak, Anda mungkin berakhir dengan inkonsistensi peran antara Tableau Cloud dan ID Microsoft Entra.

Nilai peran situs Tableau yang valid

Pada halaman Pilih Peran di portal Azure Anda, nilai Peran Situs Tableau yang valid meliputi yang berikut ini: Pembuat, SiteAdministratorCreator, Explorer, SiteAdministratorExplorer, ExplorerCanPublish, Penampil, atau Tidak Berlisensi.

Jika Anda memilih peran yang tidak ada dalam daftar di atas, seperti peran warisan (pra-v2018.1), Anda akan mengalami kesalahan.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke Tableau Cloud

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan grup di Tableau Cloud berdasarkan penetapan pengguna dan grup di ID Microsoft Entra.

Tip

Anda harus mengaktifkan akses menyeluruh berbasis SAML untuk Tableau Cloud. Ikuti instruksi dalam tutorial akses menyeluruh Tableau Cloud. Jika SAML tidak diaktifkan, pengguna yang disediakan tidak akan dapat masuk.

Untuk mengonfigurasi provisi pengguna otomatis untuk Tableau Cloud di MICROSOFT Entra ID:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise

   

3. Dalam daftar aplikasi, harap pilih Tableau Cloud.

   

4. Pilih Provisi tab.

   

5. Atur Mode Provisi ke Otomatis.

   

6. Di bagian Mandat Admin, masukkan URL Tableau Cloud Tenant dan Token Rahasia Anda. Klik Uji Koneksi ion untuk memastikan MICROSOFT Entra ID dapat tersambung ke Tableau Cloud. Jika sambungan gagal, pastikan akun Tableau Cloud Anda memiliki izin Admin, dan coba lagi.

   

   Catatan

   Anda akan memiliki 2 opsi untuk Metode Autentikasi Anda: Autentikasi Pembawa dan Autentikasi Dasar. Pastikan Anda memilih Autentikasi Pembawa. Autentikasi dasar tidak akan berfungsi untuk titik akhir SCIM 2.0.

7. Di bidang Surel Pemberitahuan, masukkan alamat surel seseorang atau grup penerima pemberitahuan kesalahan provisi dan pilih kotak centang Kirim pemberitahuan surel ketika kegagalan terjadi.

   

8. Pilih Simpan.

9. Di bagian Pemetaan , pilih Sinkronkan pengguna Microsoft Entra ke Tableau Cloud.

10. Tinjau atribut pengguna yang disinkronkan dari MICROSOFT Entra ID ke Tableau Cloud di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Cocok digunakan untuk mencocokkan akun pengguna di Tableau Cloud untuk operasi pembaruan. Jika Anda memilih untuk mengubah atribut target yang cocok, Anda harus memastikan bahwa Tableau Cloud API mendukung pemfilteran pengguna berdasarkan atribut tersebut. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut	Jenis	Didukung untuk pemfilteran	Diperlukan oleh Tableau Cloud
    userName	String	✓	✓
    active	Boolean
    Peran	String

11. Di bawah bagian Pemetaan , pilih Sinkronkan grup Microsoft Entra ke Tableau Cloud.

12. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Tableau Cloud di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Cocok digunakan untuk mencocokkan grup di Tableau Cloud untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut	Jenis	Didukung untuk pemfilteran	Diperlukan oleh Tableau Cloud
    displayName	String	✓
    anggota	Referensi

13. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam Tutorial filter cakupan.

14. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Tableau Cloud, ubah Status Provisi menjadi Aktif di bagian Pengaturan.

    

15. Tentukan pengguna dan grup yang ingin Anda sediakan untuk Tableau Cloud dengan memilih nilai yang diinginkan di Cakupan di bagian Pengaturan.

    

16. Ketika Anda siap untuk memprovisi, klik Simpan.

    

Operasi ini memulai siklus sinkronisasi awal semua pengguna dan grup yang ditentukan dalam Cakupan di bagian Pengaturan. Siklus awal membutuhkan waktu lebih lama untuk diselesaikan daripada siklus berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan.

Memperbarui aplikasi Tableau Cloud untuk menggunakan titik akhir Tableau Cloud SCIM 2.0

Pada Juni 2022, Tableau merilis konektor SCIM 2.0. Menyelesaikan langkah-langkah di bawah ini akan memperbarui aplikasi yang dikonfigurasi untuk menggunakan titik akhir Tableau API agar menggunakan titik akhir SCIM 2.0. Langkah-langkah ini akan menghapus kustomisasi sebelumnya yang dibuat pada aplikasi Tableau Cloud, termasuk:

• Detail autentikasi (informasi masuk yang digunakan untuk provisi, BUKAN informasi masuk yang digunakan untuk SSO)
• Filter cakupan
• Pemetaan atribut kustom

Catatan

Pastikan Anda mencatat perubahan yang dibuat pada daftar pengaturan di atas sebelum menyelesaikan langkah-langkah di bawah. Jika gagal dilakukan, pengaturan yang telah disesuaikan akan hilang.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi >Identity>Applications>Enterprise Tableau Cloud.

3. Di bagian Properti aplikasi khusus baru Anda, salin ID Objek.

   

4. Di jendela browser web baru, navigasikan ke https://developer.microsoft.com/graph/graph-explorer dan masuk sebagai administrator untuk penyewa Microsoft Entra tempat aplikasi Anda ditambahkan.

   

5. Periksa dan pastikan bahwa akun yang digunakan memiliki izin yang benar. Izin Directory.ReadWrite.All diperlukan untuk membuat perubahan ini.

   

   

6. Jalankan perintah berikut menggunakan ObjectID yang sebelumnya dipilih dari aplikasi:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

7. Ambil nilai “id” dari isi respons pada permintaan GET di atas, ganti "[job-id]" dengan nilai id dari permintaan GET, kemudian jalankan perintah di bawah. Nilai tersebut harus berupa format "Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx":

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

8. Di Penjelajah Graph, jalankan perintah di bawah. Ganti "[object-id]" dengan ID perwakilan layanan (ID objek) yang disalin dari langkah ketiga.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }

   

9. Kembali ke jendela browser web pertama dan pilih tab Provisi untuk aplikasi Anda. Konfigurasi Anda akan terlihat sudah diatur ulang. Anda dapat mengonfirmasi bahwa peningkatan telah dilakukan dengan mengonfirmasi ID Pekerjaan yang diawali dengan TableauOnlineSCIM.

10. Pada bagian Mandat Admin, pilih "Autentikasi Pembawa" sebagai metode autentikasi dan masukkan URL Penyewa dan Token Rahasia instans Tableau yang ingin Anda provisikan.

11. Pulihkan perubahan sebelumnya yang Anda buat di aplikasi (Detail autentikasi, Filter cakupan, Pemetaan atribut kustom) dan aktifkan ulang provisi.

Catatan

Kegagalan untuk memulihkan pengaturan sebelumnya dapat mengakibatkan atribut (name.formatted misalnya) memperbarui di Workplace secara tak terduga. Pastikan untuk memeriksa konfigurasi sebelum mengaktifkan provisi

Langkah 6: Memantau penyebaran Anda

Setelah Anda mengonfigurasi provisi, gunakan sumber daya berikut untuk memantau penyebaran Anda:

• Gunakan log provisi untuk menentukan pengguna mana yang telah berhasil atau gagal diprovisi
• Periksa bilah progres untuk melihat status siklus provisi dan seberapa lama penyelesaiannya
• Jika konfigurasi provisi tampaknya dalam keadaan buruk, aplikasi akan masuk ke karantina. Pelajari selengkapnya status karantina di sini.

Log Perubahan 

• 09/30/2020 - Menambahkan dukungan untuk atribut "authSetting" untuk Pengguna.
• 24/06/2022 - Memperbarui ap agar sesuai dengan SCIM 2.0.

Sumber daya lainnya

• Mengelola provisi akun pengguna untuk Aplikasi Perusahaan
• Apa itu akses aplikasi dan akses menyeluruh dengan MICROSOFT Entra ID?

Langkah berikutnya

• Mempelajari cara mengulas log dan mendapatkan laporan tentang aktivitas provisi