Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schritte beschrieben, die Sie in Tableau Cloud und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt die Microsoft Entra-ID Benutzer und Gruppen automatisch bereit und entfernt sie wieder aus Tableau Cloud mithilfe des Microsoft Entra-Bereitstellungsdienstes. Wichtige Informationen dazu, was dieser Dienst tut, wie er funktioniert, und häufig gestellte Fragen finden Sie in Automatisieren der Benutzerbereitstellung und -entfernung für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in Tableau Cloud.
- Entfernen Sie Benutzer in Tableau Cloud, wenn sie keinen Zugriff mehr benötigen.
- Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Tableau Cloud.
- Bereitstellen von Gruppen und Gruppenmitgliedschaften in Tableau Cloud.
- Einmaliges Anmelden bei Tableau Cloud (empfohlen).
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Mandant
- Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
- Ein Tableau Cloud-Mandant.
- Ein Benutzerkonto in Tableau Cloud mit Administratorberechtigung.
Hinweis
Die Microsoft Entra-Bereitstellungsintegration basiert auf der Tableau Cloud REST-API. Diese API steht Tableau Cloud-Entwicklern zur Verfügung.
Schritt 1: Planen der Bereitstellung
- Erfahren Sie , wie der Bereitstellungsdienst funktioniert.
- Identifizieren Sie, wer im Umfang der Bereitstellung enthalten ist.
- Bestimmen Sie, welche Daten zwischen Microsoft Entra ID und Tableau Cloud zugeordnet werden sollen.
Schritt 2: Konfigurieren von Tableau Cloud für die Unterstützung der Bereitstellung mit Microsoft Entra ID
Führen Sie die folgenden Schritte aus, um SCIM-Support mit Microsoft Entra ID zu aktivieren:
Die SCIM-Funktionalität erfordert, dass Sie Ihre Website so konfigurieren, dass einmaliges Anmelden mit SAML unterstützt wird. Wenn Sie dies noch nicht getan haben, führen Sie die folgenden Abschnitte in Configure SAML with Microsoft Entra ID aus:
- Schritt 1: Öffnen Sie die Tableau Cloud SAML-Einstellungen.
- Schritt 2: Hinzufügen von Tableau Cloud zu Ihren Microsoft Entra-Anwendungen.
Hinweis
Wenn Sie saml single sign-on nicht einrichten, kann sich Ihr Benutzer nach der Bereitstellung nicht bei Tableau Cloud anmelden, es sei denn, Sie ändern die Authentifizierungsmethode des Benutzers manuell von SAML zu Tableau oder Tableau MFA in Tableau Cloud.
Navigieren Sie in Tableau Cloud zur Seite "Einstellungenauthentifizierung>", und aktivieren Sie dann unter "Automatische Bereitstellung und Gruppensynchronisierung (SCIM)" das Kontrollkästchen SCIM aktivieren. Dadurch werden die Felder "Basis-URL " und "Geheimer Schlüssel " mit Werten aufgefüllt, die Sie in der SCIM-Konfiguration Ihres IdP verwenden.
Hinweis
Das geheime Token wird erst unmittelbar nach dem Generieren angezeigt. Wenn Sie sie verlieren, bevor Sie sie auf Die Microsoft Entra-ID anwenden können, können Sie " Neuen geheimen Schlüssel generieren" auswählen. Darüber hinaus ist das geheime Token an das Tableau Cloud-Benutzerkonto des Websiteadministrators gebunden, der SCIM-Unterstützung ermöglicht. Wenn sich die Websiterolle dieses Benutzers ändert oder der Benutzer von der Website entfernt wird, wird das geheime Token ungültig, und ein anderer Websiteadministrator muss ein neues geheimes Token generieren und auf Microsoft Entra ID anwenden.
Schritt 3: Hinzufügen von Tableau Cloud aus dem Microsoft Entra-Anwendungskatalog
Fügen Sie Tableau Cloud aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung in Tableau Cloud zu beginnen. Wenn Sie Tableau Cloud zuvor für das einmalige Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es ist jedoch empfehlenswert, beim erstmaligen Testen der Integration eine separate App zu erstellen. Weitere Informationen zum Hinzufügen einer Anwendung aus dem Katalog finden Sie hier.
Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll
Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie anhand der Zuweisung bestimmen, wer für Ihre App bereitgestellt wird, können Sie die Schritte verwenden, um Benutzer und Gruppen der Anwendung zuzuweisen. Wenn Sie festlegen, wer allein basierend auf den Attributen des Benutzers oder der Gruppe bereitgestellt wird, können Sie einen Bereichsfilter verwenden.
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilter angeben.
Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.
Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung in Tableau Cloud
In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in Tableau Cloud auf der Grundlage von Benutzer- und Gruppenzuweisungen in Microsoft Entra ID erläutert.
Tipp
Sie können auch SAML-basiertes einmaliges Anmelden für Tableau Cloud aktivieren. Befolgen Sie die Anweisungen im Artikel "Single Sign-On" von Tableau Cloud. Wenn SAML nicht aktiviert ist, kann sich der bereitgestellte Benutzer nicht anmelden.
So konfigurieren Sie die automatische Benutzerbereitstellung für Tableau Cloud in Microsoft Entra ID:
Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Enterprise-Apps
Wählen Sie in der Anwendungsliste Tableau Cloud aus.
Wählen Sie die Registerkarte "Bereitstellung" aus .
Legen Sie den Bereitstellungsmodus auf "Automatisch" fest.
Geben Sie im Abschnitt "Administratoranmeldeinformationen " Ihre Tableau Cloud-Mandanten-URL und das geheime Token ein. Wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Tableau Cloud herstellen kann. Wenn die Verbindung nicht möglich ist, sollten Sie sicherstellen, dass Ihr Tableau Cloud-Konto über Administratorberechtigungen verfügt, und den Vorgang wiederholen.
Hinweis
Sie haben zwei Optionen für Ihre Authentifizierungsmethode: Bearer-Authentifizierung und Standardauthentifizierung. Stellen Sie sicher, dass Sie Bearerauthentifizierung auswählen. Die Standardauthentifizierung funktioniert für den SCIM 2.0-Endpunkt nicht.
Geben Sie im Feld " Benachrichtigungs-E-Mail " die E-Mail-Adresse einer Person oder Gruppe ein, die die Bereitstellungsfehlerbenachrichtigungen erhalten soll, und aktivieren Sie das Kontrollkästchen " E-Mail-Benachrichtigung senden", wenn ein Fehler auftritt .
Wählen Sie "Speichern" aus.
Wählen Sie im Abschnitt "Zuordnungen " die Option "Microsoft Entra-Benutzer mit Tableau Cloud synchronisieren" aus.
Überprüfen Sie die Benutzerattribute, die aus Microsoft Entra ID mit Tableau Cloud synchronisiert werden, im Abschnitt Attributzuordnung. Die Attribute, die als Matching-Eigenschaften ausgewählt wurden, werden verwendet, um mit den Benutzerkonten in Tableau Cloud für Aktualisierungsvorgänge abzugleichen. Wenn Sie das übereinstimmende Zielattribute ändern möchten, müssen Sie sicherstellen, dass die Tableau Cloud-API das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.
Attribut type Unterstützung für das Filtern Von Tableau Cloud vorausgesetzt Nutzername Schnur ✓ ✓ aktiv Boolescher Typ (Boolean) Rollen Schnur Wählen Sie im Abschnitt "Zuordnungen " die Option "Microsoft Entra-Gruppen mit Tableau Cloud synchronisieren" aus.
Überprüfen Sie die Gruppenattribute, die aus Microsoft Entra ID mit Tableau Cloud synchronisiert werden, im Abschnitt "Attributzuordnung" . Die attribute, die als Übereinstimmende Eigenschaften ausgewählt wurden, werden verwendet, um den Gruppen in Tableau Cloud für Aktualisierungsvorgänge zu entsprechen. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.
Attribut type Unterstützung für das Filtern Von Tableau Cloud vorausgesetzt Anzeigename Schnur ✓ Mitglieder Verweis Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.
Um den Microsoft Entra-Bereitstellungsdienst für Tableau Cloud zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt "Einstellungen" in "Ein".
Definieren Sie die Benutzer und Gruppen, die Sie für Tableau Cloud bereitstellen möchten, indem Sie die gewünschten Werte im Bereich im Abschnitt "Einstellungen" auswählen.
Wenn Sie bereit für den Bereitstellungsvorgang sind, wählen Sie Speichern.
Dieser Vorgang startet den anfänglichen Synchronisierungszyklus aller Benutzer und Gruppen, die im Abschnitt Einstellungen im Bereich Scope definiert sind. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Aktualisieren einer Tableau Cloud-Anwendung zur Verwendung des Tableau Cloud SCIM 2.0-Endpunkts
Im Juni 2022 hat Tableau einen SCIM 2.0-Connector veröffentlicht. Führen Sie die folgenden Schritte aus, um Anwendungen, die für die Verwendung des Tableau-API-Endpunkts konfiguriert sind, für den SCIM 2.0-Endpunkt zu aktualisieren. Mit diesen Schritten werden alle Anpassungen entfernt, die zuvor an der Tableau Cloudanwendung vorgenommen wurden, einschließlich:
- Authentifizierungsdetails (Anmeldeinformationen zur Bereitstellung, NICHT die für SSO verwendeten Anmeldeinformationen)
- Bereichsfilter
- Benutzerdefinierte Attributzuordnungen
Hinweis
Notieren Sie sich unbedingt alle Änderungen, die an den oben aufgeführten Einstellungen vorgenommen wurden, bevor Sie die folgenden Schritte ausführen. Falls dies nicht geschieht, gehen angepasste Einstellungen verloren.
Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Enterprise-Apps>Tableau Cloud.
Kopieren Sie im Abschnitt "Eigenschaften" der neuen benutzerdefinierten App die Objekt-ID.
Gehen Sie in einem neuen Webbrowserfenster zu
https://developer.microsoft.com/graph/graph-explorer
und melden Sie sich als Administrator*in für den Microsoft Entra-Mandanten an, unter dem Ihre App hinzugefügt wurde.Vergewissern Sie sich, dass das verwendete Konto über die richtigen Berechtigungen verfügt. Die Berechtigung Directory.ReadWrite.All ist erforderlich, um diese Änderung vorzunehmen.
Führen Sie mit der zuvor in der App ausgewählten ObjectID den folgenden Befehl aus:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
Führen Sie unter Verwendung des id-Werts im Antworttext der obigen GET-Anforderung den folgenden Befehl aus, und ersetzen Sie „[job-id]“ durch den id-Wert der GET-Anforderung. Der Wert sollte das Format „Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx“ aufweisen:
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
Führen Sie im Graph-Explorer den folgenden Befehl aus. Ersetzen Sie „[object-id]“ durch die Dienstprinzipal-ID (Objekt-ID), die Sie im dritten Schritt kopiert haben.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }
Wechseln Sie wieder zurück zum ersten Webbrowserfenster, und wählen Sie die Registerkarte „Bereitstellung“ für Ihre Anwendung aus. Ihre Konfiguration wurde zurückgesetzt. Sie können bestätigen, dass das Upgrade durchgeführt wurde, indem Sie bestätigen, dass die Auftrags-ID mit TableauOnlineSCIM beginnt.
Wählen Sie im Abschnitt „Administratoranmeldeinformationen“ als Authentifizierungsmethode „Bearerauthentifizierung“ aus, und geben Sie die Mandanten-URL und das Geheimnistoken der Tableau-Instanz ein, in der Sie bereitstellen möchten.
Stellen Sie alle vorherigen Änderungen wieder her, die Sie an der Anwendung vorgenommen haben (Authentifizierungsdetails, Bereichsfilter, benutzerdefinierte Attributzuordnungen), und aktivieren Sie die Bereitstellung wieder.
Hinweis
Wenn die vorherigen Einstellungen nicht wiederhergestellt werden, kann dies dazu führen, dass Attribute (etwa „name.formatted“) in Workplace unerwartet aktualisiert werden. Überprüfen Sie die Konfiguration, bevor Sie die Bereitstellung aktivieren.
Schritt 6: Überwachen der Bereitstellung
Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:
- Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
- Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus anzuzeigen und zu sehen, wie nah er an der Fertigstellung ist.
- Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu Quarantänezuständen finden Sie im Artikel zur Anwendungsbereitstellungsquarantänestatus .
Änderungsprotokoll
- 30.09.2020: Unterstützung für das Attribut „authSetting“ für Benutzer hinzugefügt.
- 24.06.2022: Die AP wurde aktualisiert, um SCIM 2.0-konform zu sein.
Weitere Ressourcen
- Verwalten der Bereitstellung von Benutzerkonten für Enterprise-Apps
- Was ist Anwendungszugriff und Single Sign-On mit Microsoft Entra ID?