教程：为 Tableau Cloud 配置自动用户预配

项目
11/03/2023

本教程介绍了在 Tableau Cloud 和 Microsoft Entra ID 中配置自动用户预配时需执行的步骤。配置后，Microsoft Entra ID 会使用 Microsoft Entra 预配服务自动将用户和组预配到 Tableau Cloud 以及取消预配。有关此服务的功能、工作原理以及常见问题的重要详细信息，请参阅使用 Microsoft Entra ID 自动将用户预配到 SaaS 应用程序和取消预配。

支持的功能

在 Tableau Cloud 中创建用户。
在用户不再有访问需求的情况下，在 Tableau Cloud 中删除用户。
使用户属性在 Microsoft Entra ID 和 Tableau Cloud 之间保持同步。
在 Tableau Cloud 中预配组和组成员身份。
单一登录到 Tableau Cloud（推荐）。

先决条件

本教程中概述的方案假定你已具有以下先决条件：

一个 Microsoft Entra 租户
具有配置预配权限的 Microsoft Entra ID 用户帐户（例如应用程序管理员、云应用程序管理员、应用程序所有者或全局管理员）。
Tableau Cloud 租户。
在 Tableau Cloud 中具有管理员权限的用户帐户

注意

Microsoft Entra 预配集成依赖于 Tableau Cloud REST API。此 API 可供 Tableau Cloud 开发人员使用。

步骤 1：规划预配部署

了解预配服务的工作原理。
确定谁在预配范围中。
确定在 Microsoft Entra ID 与 Tableau Cloud 之间映射的数据。

步骤 2：将 Tableau Cloud 配置为支持使用 Microsoft Entra ID 进行预配

使用以下步骤通过 Microsoft Entra ID 启用 SCIM 支持：

SCIM 功能要求将站点配置为支持 SAML 单一登录。如果尚未完成此操作，请在使用 Microsoft Entra ID 配置 SAML 中完成以下部分：
- 步骤 1：打开 Tableau Cloud SAML 设置。
- 步骤 2：将 Tableau Cloud 添加到 Microsoft Entra 应用程序。
注意

如果未设置 SAML 单一登录，则除非在 Tableau Cloud 中手动将用户的身份验证方法从 SAML 更改为 Tableau 或 Tableau MFA，否则在预配用户后，用户将无法登录 Tableau Cloud。
在 Tableau Cloud 中，导航到“设置”>“身份验证”页，然后在“自动预配和组同步(SCIM)”下，选择“启用 SCIM”复选框。这会使用 IdP 的 SCIM 配置中使用的值填充“基 URL”和“机密”框。

注意

机密令牌将在生成后立即显示。如果在将机密令牌应用到 Microsoft Entra ID 之前丢失了机密令牌，可以选择“生成新密钥”。此外，机密令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。如果该用户的站点角色更改或从站点中删除了该用户，则机密令牌将失效，并且另一个站点管理员必须生成新的机密令牌并将其应用于 Microsoft Entra ID。

步骤 3：从 Microsoft Entra 应用程序库中添加 Tableau Cloud

从 Microsoft Entra 应用程序库添加 Holmes Cloud，以开始管理 Tableau Cloud 的预配。如果之前为 Tableau Cloud 设置过 SSO，则可使用同一应用程序。但建议你在最初测试集成时创建一个单独的应用。若要详细了解如何从库中添加应用，可以单击此处。

步骤 4：定义谁在预配范围中

借助 Microsoft Entra 预配服务，可根据对应用程序的分配和/或用户和组的属性来限定谁在预配范围内。如果选择根据分配来限定要将谁预配到应用，可以按照下面的步骤操作，将用户和组分配到应用。如果选择仅根据用户或组的属性来限定要对谁进行预配，可以使用此处所述的范围筛选器。

先小部分测试。在向全员推出之前，请先使用少量的用户和组进行测试。如果预配范围设置为分配的用户和组，则可以先尝试将一两个用户或组分配到应用。当预配范围设置为所有用户和组时，可以指定基于属性的范围筛选器。
如果你需要其他角色，可以更新应用程序清单以添加新角色。

建议

Tableau Cloud 将仅存储分配给用户的最高特权角色。换句话说，如果用户被分配到两个组，则用户的角色将反映最高特权角色。

若要跟踪角色分配，可以为角色分配创建两个专用组。例如，可以创建组 Tableau – Creator 和 Tableau – Explorer 等。然后，分配将如下所示：

Tableau – Creator: Creator
Tableau – Explorer: Explorer
等。

设置预配后，需要直接在 Microsoft Entra ID 中编辑角色更改。否则，最终可能会在 Tableau Cloud 和 Microsoft Entra ID 之间出现角色不一致。

有效的 Tableau 站点角色值

在 Azure 门户中的“选择角色”页上，有效的 Tableau 站点角色值包括：Creator、SiteAdministratorCreator、Explorer、SiteAdministratorExplorer、ExplorerCanPublish、Viewer 或 Unlicensed。

如果选择的角色不在上述列表中，例如旧版 (pre-v2018.1) 角色，则会遇到错误。

步骤 5：配置 Tableau Cloud 的自动用户预配

本部分逐步介绍了如何配置 Microsoft Entra 预配服务，以根据 Microsoft Entra ID 中的用户和组分配在 Tableau Cloud 应用中创建、更新和禁用用户和组。

提示

必须为 Tableau Cloud 启用基于 SAML 的单一登录。请按照 Tableau Cloud 单一登录教程中的说明进行操作。如果未启用 SAML，则预配的用户将无法登录。

若要在 Microsoft Entra ID 中为 Tableau Cloud 配置自动用户预配，请执行以下操作：

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”
在应用程序列表中，选择“Tableau Cloud”。
选择“预配” 选项卡。
将“预配模式” 设置为“自动” 。
在“管理员凭据”部分下，输入 Tableau Cloud 的“租户 URL”和“机密令牌”。单击“测试连接”，确保 Microsoft Entra ID 可以连接到 Tableau Cloud。如果连接失败，请确保 Tableau Cloud 帐户具有管理员权限，然后重试。

注意

可在 2 个身份验证方法选项中进行选择：“持有者身份验证”和“基本身份验证”。请确保选择“持有者身份验证”。基本身份验证不适用于 SCIM 2.0 终结点。
在“通知电子邮件”字段中，输入应接收预配错误通知的个人或组的电子邮件地址，并选中“发生故障时发送电子邮件通知”复选框。
选择“保存”。
在“映射”部分，选择“将 Microsoft Entra 用户同步到 Tableau Cloud”。
在“属性映射”部分，查看从 Microsoft Entra ID 同步到 Tableau Cloud 的用户属性。选为“匹配”属性的特性用于匹配 Tableau Cloud 中的用户帐户以执行更新操作。如果选择更改匹配目标属性，则需要确保 Tableau Cloud API 支持基于该特性筛选用户。选择“保存”按钮以提交任何更改。

Attribute 类型支持筛选 Tableau Cloud 需要

userName 字符串 ✓ ✓

活动 Boolean

角色字符串
在“映射”部分下，选择“将 Microsoft Entra 组同步到 Tableau Cloud”。
在“属性映射”部分，查看从 Microsoft Entra ID 同步到 Tableau Cloud 的组属性。选为“匹配”属性的特性用于匹配 Tableau Cloud 中的组以执行更新操作。选择“保存”按钮以提交任何更改。

Attribute 类型支持筛选 Tableau Cloud 需要

displayName 字符串 ✓

members 参考
若要配置范围筛选器，请参阅范围筛选器教程中提供的以下说明。
若要为 Tableau Cloud 启用 Microsoft Entra 预配服务，请在“设置”部分将“预配状态”更改为“开”。
通过在“设置”部分的“范围”中选择所需的值，定义要预配到 Tableau Cloud 的用户和组。
在已准备好预配时，请单击“保存”。

Attribute	类型	支持筛选	Tableau Cloud 需要
userName	字符串	✓	✓
活动	Boolean
角色	字符串

Attribute	类型	支持筛选	Tableau Cloud 需要
displayName	字符串	✓
members	参考

此操作会对“设置”部分的“范围”中定义的所有用户和组启动初始同步周期。初始周期完成的时间比后续周期长，只要 Microsoft Entra 预配服务正在运行，后续周期大约每隔 40 分钟就会进行一次。

更新 Tableau Cloud 应用程序以使用 Tableau Cloud SCIM 2.0 终结点

2022 年 6 月，Tableau 发布了 SCIM 2.0 连接器。完成以下步骤会将配置为使用 Tableau API 终结点的应用程序更新为使用 SCIM 2.0 终结点。这些步骤将删除以前对 Tableau Cloud 应用程序进行的任何自定义，包括：

身份验证详细信息（用于预配的凭据，而不是用于 SSO 的凭据）
范围筛选器
自定义属性映射

注意

在完成以下步骤之前，请务必记下对上面列出的设置所做的任何更改。否则会导致自定义设置丢失。

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“Tableau Cloud”。
在新的自定义应用的“属性”部分，复制“对象 ID”。
在新的 Web 浏览器窗口中，导航到 https://developer.microsoft.com/graph/graph-explorer 并以要向其中添加应用的 Microsoft Entra 租户的管理员身份登录。
检查以确保所使用的帐户具有正确的权限。进行此更改需要“Directory.ReadWrite.All”权限。
使用之前从应用中选择的 ObjectID，运行以下命令：

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
从上述 GET 请求的响应正文获取 ID 值，运行以下命令，将 [job-id] 替换为 GET 请求中的 ID 值。值的格式应为“Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx”：

DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
在 Graph 浏览器中，运行以下命令。将“[object-id]”替换为从第三步复制的服务主体 ID（对象 ID）。

POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }
返回到第一个 Web 浏览器窗口，选择应用程序的“预配”选项卡。配置已重置。可通过确认作业 ID 以“TableauOnlineSCIM”开头来确认升级已进行。
在“管理员凭据”部分下，选择“持有者身份验证”作为身份验证方法，并输入要预配到的 Tableau 实例的租户 URL 和机密令牌。
还原你之前对应用程序所做的任何更改（身份验证详细信息、范围筛选器、自定义属性映射）并重新启用预配。