使用 Microsoft Entra ID 为 Tableau Cloud 配置自动用户预配

本文介绍在 Tableau Cloud 和 Microsoft Entra ID 中配置自动用户预配所需的步骤。 配置后，Microsoft Entra ID 使用 Microsoft Entra 预配服务自动将用户和组预配到 Tableau Cloud 并取消预配。 有关此服务的重要详细信息，包括其功能、工作原理和常见问题，请参阅 使用 Microsoft Entra ID 自动预配和取消预配 SaaS 应用程序。

支持的功能

• 在 Tableau Cloud 中创建用户。
• 不再需要访问权限时，请删除 Tableau Cloud 中的用户。
• 使用户属性在 Microsoft Entra ID 和 Tableau Cloud 之间保持同步。
• 在 Tableau Cloud 中预配组和组成员身份。
• 单一登录 Tableau Cloud（建议）。

先决条件

本文中概述的方案假定你已具备以下先决条件：

• Microsoft Entra 租户
• 以下角色之一： 应用程序管理员、 云应用程序管理员或 应用程序所有者。
• Tableau Cloud 租户。
• 在 Tableau Cloud 中具有管理员权限的用户帐户

注意

Microsoft Entra 预配集成依赖于 Tableau Cloud REST API。 此 API 可供 Tableau Cloud 开发人员使用。

步骤 1：规划预配部署

1. 了解 预配服务的工作原理。
2. 确定哪些人在预配范围之内。
3. 确定哪些数据要在 Microsoft Entra ID 与 Tableau Cloud 之间进行映射。

步骤 2：将 Tableau Cloud 配置为支持使用 Microsoft Entra ID 进行预配

使用以下步骤通过 Microsoft Entra ID 启用 SCIM 支持：

1. SCIM 功能要求将站点配置为支持 SAML 单一登录。 如果尚未完成此作，请在 配置 SAML 中使用 Microsoft Entra ID 完成以下部分：

   • 步骤 1： 打开 Tableau Cloud SAML 设置。
   • 步骤 2： 将 Tableau Cloud 添加到 Microsoft Entra 应用程序。

   注意

   如果未设置 SAML 单一登录，则除非在 Tableau Cloud 中手动将用户的身份验证方法从 SAML 更改为 Tableau 或 Tableau MFA，否则用户在预配 Tableau Cloud 后将无法登录到 Tableau Cloud。

2. 在 Tableau Cloud 中，导航到>“设置”“身份验证”页，然后在“自动预配和组同步 (SCIM)”下，选择“启用 SCIM”复选框。 这会使用 IdP 的 SCIM 配置中使用的值填充“基 URL”和“机密”框。

   注意

   仅在生成机密令牌后立即显示。 如果在将它应用到 Microsoft Entra ID 之前丢失，可以选择“ 生成新机密”。 此外，机密令牌与启用 SCIM 支持的站点管理员的 Tableau Cloud 用户帐户相关联。 如果该用户的站点角色更改或从站点中删除了该用户，则机密令牌将失效，并且另一个站点管理员必须生成新的机密令牌并将其应用于 Microsoft Entra ID。

步骤 3：从 Microsoft Entra 应用程序库中添加 Tableau Cloud

从 Microsoft Entra 应用程序库添加 Holmes Cloud，以开始管理 Tableau Cloud 的预配。 如果之前为 Tableau Cloud 设置过 SSO，则可使用同一应用程序。 但建议你在最初测试集成时创建一个单独的应用。 在此处详细了解如何 从库中添加应用程序。

步骤 4：定义谁在预配范围内

通过Microsoft Entra 预配服务，你可以根据应用程序分配或用户或组的属性来限定预配的人员的范围。 如果您选择根据分配来决定谁配置到应用程序，可以使用 步骤将用户和组分配到该应用程序。 如果选择仅根据用户或组的属性来限定预配的人员，则可以 使用范围筛选器。

• 先小部分测试。 在向全员推出之前，请先使用少量的用户和组进行测试。 如果预配范围设置为分配的用户和组，则可以先尝试将一两个用户或组分配到应用。 将范围设置为所有用户和组时，可以指定 基于属性的范围筛选器。

• 如果需要额外的角色，可以 更新应用程序清单 以添加新角色。

步骤 5：配置 Tableau Cloud 的自动用户预配

本部分逐步介绍了如何配置 Microsoft Entra 预配服务，以根据 Microsoft Entra ID 中的用户和组分配在 Tableau Cloud 应用中创建、更新和禁用用户和组。

提示

必须为 Tableau Cloud 启用基于 SAML 的单一登录。 按照 Tableau Cloud 单点登录文章中的说明进行操作。 如果未启用 SAML，则预配的用户无法登录。

若要在 Microsoft Entra ID 中为 Tableau Cloud 配置自动用户预配，请执行以下操作：

1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>Enterprise 应用

   

3. 在应用程序列表中，选择“Tableau Cloud”。

   

4. 选择“预配”选项卡。

   

5. 将“预配模式”设置为“自动”。

   

6. 在“管理员凭据”部分下，输入 Tableau Cloud 的“租户 URL”和“机密令牌”。 选择 “测试连接 ”以确保Microsoft Entra ID 可以连接到 Tableau Cloud。 如果连接失败，请确保 Tableau Cloud 帐户具有管理员权限，然后重试。

   

   注意

   可在 2 个身份验证方法选项中进行选择：“持有者身份验证”和“基本身份验证”。 请确保选择“持有者身份验证”。 基本身份验证不适用于 SCIM 2.0 终结点。

7. 在“通知电子邮件”字段中，输入应接收预配错误通知的个人或组的电子邮件地址，并选中“发生故障时发送电子邮件通知”复选框 。

   

8. 选择“保存”。

9. 在“ 映射 ”部分中，选择“ 将Microsoft Entra 用户同步到 Tableau Cloud”。

10. 在“ 属性映射 ”部分中查看从 Microsoft Entra ID 同步到 Tableau Cloud 的用户属性。 选为“匹配”属性的特性用于匹配 Tableau Cloud 中的用户帐户以执行更新操作。 如果选择更改 匹配的目标属性，则需要确保 Tableau Cloud API 支持基于该属性筛选用户。 选择“保存”按钮以提交任何更改。

    特征	类型	支持筛选	Tableau Cloud 需要
    用户名	字符串	✓	✓
    活动	布尔型
    角色	字符串

11. 在“ 映射 ”部分下，选择“ 将Microsoft Entra 组同步到 Tableau Cloud”。

12. 在“ 属性映射 ”部分中查看从 Microsoft Entra ID 同步到 Tableau Cloud 的组属性。 选为“匹配”属性的特性用于匹配 Tableau Cloud 中的组以执行更新操作。 选择“保存”按钮以提交任何更改。

    特征	类型	支持筛选	Tableau Cloud 需要
    显示名称	字符串	✓
    成员	参考

13. 若要配置范围筛选器，请参阅 范围筛选器文章中提供的以下说明。

14. 若要为 Tableau Cloud 启用Microsoft Entra 预配服务，请将“设置”部分中的“预配状态”更改为“打开”。

    

15. 通过在“设置”部分的“范围”中选择所需的值，定义要预配到 Tableau Cloud 的用户和组。

    

16. 准备好预配时，选择“保存”。

    

此操作会对“设置”部分的“范围”中定义的所有用户和组启动初始同步周期 。 初始周期完成的时间比后续周期长，只要 Microsoft Entra 预配服务正在运行，后续周期大约每隔 40 分钟就会进行一次。

更新 Tableau Cloud 应用程序以使用 Tableau Cloud SCIM 2.0 终结点

2022 年 6 月，Tableau 发布了 SCIM 2.0 连接器。 完成以下步骤会将配置为使用 Tableau API 终结点的应用程序更新为使用 SCIM 2.0 终结点。 这些步骤将删除以前对 Tableau Cloud 应用程序进行的任何自定义，包括：

• 身份验证详细信息（用于预配的凭据，而不是用于 SSO 的凭据）
• 范围筛选器
• 自定义属性映射

注意

在完成以下步骤之前，请务必记下对上面列出的设置所做的任何更改。 否则会导致自定义设置丢失。

1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>企业应用程序>Tableau Cloud。

3. 在新的自定义应用的“属性”部分，复制“对象 ID”。

   

4. 在新的 Web 浏览器窗口中，导航到 https://developer.microsoft.com/graph/graph-explorer 并以要向其中添加应用的 Microsoft Entra 租户的管理员身份登录。

   

5. 检查以确保所使用的帐户具有正确的权限。 进行此更改需要权限 Directory.ReadWrite.All 。

   

   

6. 使用之前从应用中选择的 ObjectID，运行以下命令：

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

7. 从上述 GET 请求的响应正文获取 ID 值，运行以下命令，将 [job-id] 替换为 GET 请求中的 ID 值。 值的格式应为“Tableau.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx”：

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

8. 在 Graph 浏览器中，运行以下命令。 将“[object-id]”替换为从第三步复制的服务主体 ID（对象 ID）。

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "TableauOnlineSCIM" }

   

9. 返回到第一个 Web 浏览器窗口，选择应用程序的“预配”选项卡。 配置已重置。 可通过确认作业 ID 以“TableauOnlineSCIM”开头来确认升级已进行。

10. 在“管理员凭据”部分下，选择“持有者身份验证”作为身份验证方法，并输入要预配到的 Tableau 实例的租户 URL 和机密令牌。

11. 还原你之前对应用程序所做的任何更改（身份验证详细信息、范围筛选器、自定义属性映射）并重新启用预配。

注意

未能还原之前的设置可能会导致 Workplace 中的属性（例如 name.formatted）意外更新。 在启用预配之前，请务必检查配置

步骤 6：监视部署

配置预配后，请使用以下资源来监视部署：

1. 使用 预配日志 确定哪些用户已成功或未成功预配
2. 检查 进度栏 以查看预配周期的状态及其完成程度
3. 如果怀疑预配配置处于非正常状态，则应用程序将进入隔离状态。 您可以通过查看 应用程序预配隔离状态 文章，了解更多关于隔离状态的信息。

更改日志

• 2020/09/30 - 为用户添加了对属性“authSetting”的支持。
• 2022/06/24 - 已将应用更新为 SCIM 2.0 兼容。

更多资源

• 管理企业应用的用户帐户预配
• Microsoft Entra ID 的应用程序访问和单一登录是什么？

相关内容

• 了解如何查看日志并获取有关预配活动的报告