布朗文·博伊德2022 年 7 月 12 日 – 晚上 9:50
现代身份提供商 (IdP) 允许客户管理其所有云应用程序(包括 Tableau Cloud)的用户访问权限。通过使用外部 IdP,Tableau Cloud 客户可以利用自动用户配置,以便通过集中管理其用户和组来提高安全性并节省时间。
Tableau Cloud 支持使用 SCIM 2.0 为 Okta、OneLogin 和 Azure Active Directory (Azure AD) 等 IdP 自动配置用户。
从 2022.2 开始,您可以从 Microsoft 提供的身份服务 Azure AD 中受益于 SCIM 2.0 支持。它是 Tableau Cloud 客户最常用的 IdP 之一。以下是 SCIM 2.0 使用 Azure AD 在 Tableau Cloud 中简化用户和组管理的三种方式。
1.自动配置用户和组
借助 Azure AD 自动预配,您可以将现有用户和组快速同步到 Tableau Cloud,并简化这些资源的管理。
在 Tableau Cloud 中预配用户时,站点管理员可以将用户的 UPN、身份验证方法、站点角色和组成员身份同步到 Tableau Cloud。通过自动用户预配,客户可以在其 IdP(如 Azure AD)中集中管理其用户和组。然后,Tableau Cloud 将自动与 IdP 保持同步,根据 IdP 中配置的预配分配添加和删除用户和组。这可以提高安全性并显着减少 Tableau Cloud 站点管理员管理站点用户和组成员身份所需的手动工作量。
2. 使用不记名令牌保护供应请求
以前,Tableau Cloud 和 Azure AD 集成支持一种称为基本身份验证的传统身份验证方法。但是,对于基本身份验证,供应请求是通过用户名和密码等凭据进行的,而 SCIM 2.0 行业标准不再推荐使用这些凭据。
借助 Azure AD SCIM 2.0 支持,您现在可以在对请求进行身份验证时利用称为不记名令牌的安全令牌。 OAuth 2.0 持有者令牌是用户尝试登录 Tableau Cloud 站点时 Azure AD 在授权标头中发送的加密字符串。使用不记名令牌的一个主要好处是它们特定于使用它们的应用程序和资源(在本例中为 Tableau Cloud 站点),因此它们不能重复使用。
3.支持多组用户
在 Azure 支持 SCIM 2.0 之前,利用 Azure AD 预配到 Tableau Cloud 的管理员必须注意用户所属的组。当用户具有直接分配或从组继承的多个角色(授权)时,会导致错误。管理员需要确保一个用户只属于一个组,这对于拥有数千个需要配置的用户和组的组织来说非常耗时。
现在,管理员可以将组配置到 Tableau Cloud,而无需交叉检查用户的组成员身份。当一个用户属于多个不同级别的角色分配的组时,系统将默认接受该用户并授予他们最宽松的角色。最宽松的角色将是在 Tableau Cloud 中为用户保存的角色。
构建自定义应用程序以使用 API 自动配置
或者,如果您需要更精细地控制为您的组织执行用户配置的方式,您可以使用 Tableau Cloud REST API 开发自定义应用程序。我们有一个随时可用的开源应用程序TabProvision来演示如何自动将用户从 IdP 预配到 Tableau Cloud。该应用程序从 IdP(例如 Azure AD)读取用户和组信息,并在您的 Tableau Cloud 站点上自动添加、修改或删除它们,以使它们与 IdP 保持同步。
虽然此选项需要更多的前期设置,包括开发应用程序和托管它的环境,但它提供了更大的配置灵活性。
- 定制化应用程序让您可以完全控制执行用户配置的方式和时间。
- 您可以自定义用户配置流程以适应组织中的任何特殊流程。
- 您可以扩展自定义应用程序以从多个 IdP 读取用户和组信息。例如,您可能有来自 Azure AD 的内部用户和使用不同提供程序单独管理的外部用户。
- 它支持登录功能的授权许可(内置于 TabProvision)。
- 同一应用程序还可以将用户预配到版本 2020.3 或更高版本的本地 Tableau Server。
其他资源
要开始使用 Tableau Cloud 和 Azure Active Directory 进行自动预配,请访问Tableau 帮助文档。