OAuth 2.0 信頼を使用して接続済みアプリを構成する
Tableau Cloud サイト管理者は、外部認証サーバー (EAS) を登録し、OAuth 2.0 標準プロトコルを使用して Tableau Cloud サイトと EAS の間に信頼関係を確立できます。信頼関係を確立することにより、次のことができるようになります。
- Tableau Cloud サイト用に構成されている ID プロバイダー (IdP) を介して、外部アプリケーションに埋め込まれた Tableau コンテンツへのシングル サインオン (SSO) エクスペリエンスをユーザーに提供する
- Tableau REST API (および Tableau Cloud 2023 年 10 月以降はメタデータ API) へのアクセスを、ユーザーに代わって JSON Web Token (JWT) を使用してプログラムで承認できる
埋め込まれた Tableau コンテンツが外部アプリケーションに読み込まれるときは、標準の OAuth フローが使用されます。ユーザーは IdP に正常にサインインした後、Tableau Cloud に自動的にサインインします。以下に説明する手順に従って、EAS を Tableau Cloud サイトに登録します。
重要:
- このトピックの一部の手順では、サード パーティーのソフトウェアとサービスを使用して構成する必要があります。Tableau Cloud で EAS 機能を有効にする手順については最善を尽くして検証していますが、サードパーティのソフトウェアとサービスが変更されたり、ユーザーの組織の方針が異なる場合があります。問題が発生した場合、正式な構成の詳細情報とサポートについては、サードパーティーのドキュメントを参照してください。
- セッション トークンを有効にするためには、外部アプリケーションと外部アプリケーションをホストするサーバーの時計が協定世界時 (UTC) に設定されている必要があります。いずれかの時計が異なる規格を使用している場合、接続済みアプリは信頼されません。
ステップ 1: 始める前に
EAS を
| クレーム | 名前 | 説明または必要な値 |
"kid" | キー ID | 必須 (ヘッダー内)アイデンティティ プロバイダーからの一意のキー識別子 |
"iss" | 発行者 | 必須 (ヘッダー内またはクレームとして)信頼できる接続済みアプリとその署名キーを識別する一意の発行元 URI |
"alg" | アルゴリズム | 必須 (ヘッダー内)JWT 署名アルゴリズム。サポートしているアルゴリズム名の一覧は、javadoc.io ドキュメントの「Class JWSAlgorithm」(新しいウィンドウでリンクが開く)ページにあります。 |
"sub" | サブジェクト | 認証された Tableau Cloud ユーザーのユーザー名 |
"aud" | オーディエンス | 値は " |
"exp" | 有効期限 | |
"jti" | JWT ID | JWT ID クレームは、JWT に一意の識別子を提供し、大文字と小文字を区別します。 |
"scp" | スコープ | 埋め込みのワークフローの場合、サポートされる値は次のとおりです。 " 注:
REST API 承認ワークフローの場合は、「JWT 認可をサポートする REST API メソッド」を参照してください。 認証に REST API を使用するメタデータ API ワークフローの場合、サポートしているスコープは |
https://tableau.com/oda | オンデマンド アクセス - クレーム (機能を有効化) | 埋め込みのワークフローのみ。 値は " |
https://tableau.com/groups | オンデマンド アクセス - クレーム (グループ名を指定) | 埋め込みのワークフローのみ。 値は、Tableau Cloud の 1 つまたは複数のグループの名前に一致する必要があります。詳細については、次のセクション「オンデマンド アクセス (埋め込みのワークフローのみ)」を参照してください。 |
| (ユーザー属性) | (ユーザー属性値) | 埋め込みのワークフローのみ。 ユーザー属性を JWT に含めることができます。埋め込みコンテンツでユーザー属性関数が使用されると、Tableau は認証されたユーザーのコンテキストをチェックし、ランタイムに表示できるデータを決定します。 注:
|
注: 上記の JWT クレームは、インターネット技術標準化委員会 (IETF) によって配布されたドキュメントの「Registered Claim Names」(新しいウィンドウでリンクが開く)セクションに文書化されています。
ステップ 2: EAS を Tableau Cloud に登録する
EAS を Tableau Cloud に登録することにより、EAS と
注: 一部の EAS では、アプリケーションが Tableau コンテンツにアクセスするためにユーザーの承認を求める同意ダイアログを表示するオプションがサポートされています。ユーザーに最高のエクスペリエンスを提供するには、ユーザーに代わって外部アプリケーションの要求に自動的に同意するように EAS を構成することをお勧めします。
または
左側のペインから、[設定] > [接続済みアプリ] の順に選択します。
[New Connected App (新しい接続済みアプリ)] ボタンのドロップダウン矢印をクリックして、[OAuth 2.0 Trust (OAuth 2.0 信頼)] を選択します。
- [Create Connected App (接続済みアプリの作成)] ダイアログ ボックスで、次いずれかの手順を実行します。
[名前] テキスト ボックスに、接続済みアプリ名を入力します。
[Issuer URL (発行元 URL)] テキスト ボックスに、EAS の発行元 URL を貼り付けます。
[接続済みアプリを有効にする] を選択します。セキュリティ上の理由から、接続済みアプリは作成時に既定で無効に設定されています。
完了したら、[作成] ボタンをクリックします。
接続済みアプリを作成したら、接続済みアプリのサイト ID をコピーします。サイト ID は、上記のステップ 1 で説明した JWT の "aud" (オーディエンス) クレームに使用されます。
ステップ 3: 次のステップ
埋め込みのワークフローの場合
EAS を使用するように
Tableau コンテンツの埋め込みの詳細については、次のいずれかまたは両方を参照してください。
- メトリクスの埋め込みについては、Tableau ヘルプの「Web ページへのメトリクスの埋め込み」(新しいウィンドウでリンクが開く)トピックを参照してください。(
- Tableau API v3 の埋め込み(新しいウィンドウでリンクが開く) を使用して、Tableau のビューとメトリクスを埋め込みます。
注: 埋め込みコンテンツにアクセスするユーザーを正常に認証するには、ブラウザーがサードパーティーの Cookie を許可するように設定されている必要があります。
埋め込み用のドメイン許可リストを使用してコンテンツを埋め込むことができる場所を制御する
既定では、埋め込み用のサイト設定 unrestrictedEmbedding は true に設定されており、制限なしで埋め込むことができます。または、この設定を false に設定し、allowList パラメーターを使用して、外部アプリケーションの Tableau コンテンツを埋め込むドメインを指定することができます。
詳細については、次のいずれかまたは両方を参照してください。
- Tableau REST API ヘルプの「サイトの埋め込み設定の更新(新しいウィンドウでリンクが開く)」
- Tableau 埋め込み API v3 ヘルプの「埋め込みに関する Tableau サイトの設定(新しいウィンドウでリンクが開く)」
REST API 認証ワークフローの場合
JWT を構成したら、認証アクセスのために、有効な JWT を REST API サインイン要求に追加する必要があります。詳細については、「接続済みアプリのアクセス スコープ」を参照してください。
メタデータ API ワークフローの場合
JWT を構成したら、有効な JWT を REST API サインイン要求に追加する必要があります。詳細については、「接続済みアプリのアクセス スコープ」を参照してください。
オンデマンド アクセス (埋め込みのワークフローのみ)
2023 年 10 月以降、サイトが埋め込み分析(新しいウィンドウでリンクが開く)の使用量ベースのモデルでライセンス設定されている場合、オンデマンド アクセスを使用して、Tableau の埋め込みコンテンツへのアクセスをさらに多くのユーザーに拡張できます。オンデマンド アクセスを使用すると、Tableau Cloud サイトでユーザーをプロビジョニングすることなく、接続されたアプリを通じて認証された Tableau の埋め込みコンテンツをユーザーが操作できるようになります。オンデマンド アクセスでは、埋め込みコンテンツへのアクセスをサポートするために、Tableau Cloud でユーザーを追加および管理する必要がなくなります。
オンデマンド アクセスの仕組み
オンデマンド アクセスを使用した埋め込み Tableau コンテンツへのアクセスは、コンテンツに継承される (たとえば、プロジェクトレベルで)、またはコンテンツに直接適用されるグループレベルのパーミッションで判断されます。サイト管理者、プロジェクト所有者またはリーダー、コンテンツ所有者などのユーザーは、コンテンツにグループレベルのパーミッションを割り当てることができます。オンデマンド機能を通じて有効化された埋め込みコンテンツにユーザーがアクセスすると、Tableau はコンテンツを表示する前に、JWT に正しいグループ メンバーシップのクレームが含まれていることを検証します。
前提条件
埋め込みコンテンツへのオンデマンド アクセスを有効にするには、次の基準を満たしている必要があります。
- サイトは埋め込み分析(新しいウィンドウでリンクが開く)のライセンスを使用量ベースのモデルで取得している
- グループに対してオンデマンド アクセス機能が有効になっている
- Tableau コンテンツに対してグループ パーミッションが指定されている
- Tableau 接続済みアプリが作成されている
- 接続済みアプリが使用する JWT に
https://tableau.com/odaクレームとhttps://tableau.com/groupsクレームが含まれている - Tableau コンテンツが外部アプリケーションに埋め込まれている
これらの基準が満たされると、ユーザーはオンデマンド アクセス機能を通じて Tableau の埋め込みコンテンツを操作できるようになります。
オンデマンド アクセス機能の有効化
グループのオンデマンド アクセス機能を有効にするには、グループを作成または編集するときに、[Allow on-demand access (オンデマンド アクセスを許可する)] チェックボックスをオンにする必要があります。グループの作成の詳細については、「グループを作成してユーザーを追加する」を参照してください。
この機能は、Tableau REST API を使用して有効にすることもできます。詳細については、Tableau REST API ヘルプの Create Group(新しいウィンドウでリンクが開く) メソッドとUpdate Group(新しいウィンドウでリンクが開く) メソッドを参照してください。
オンデマンド アクセスが有効な場合の機能
埋め込み Tableau コンテンツにアクセスするユーザーには、コンテンツに対するビュー機能(新しいウィンドウでリンクが開く)が付与されます。ユーザーは、選択したテンプレートや、グループに設定されたカスタマイズ機能に関係なく、表示機能を持ちます (たとえば、Viewer のロールを持つユーザーは、特定のデータ ソースに関してダウンロードする機能が明示的に付与されている場合でも、その機能を使用できません)。
オンデマンド アクセスの監視
Advanced Management(新しいウィンドウでリンクが開く) で Tableau Cloud を使用している場合、アクティビティ ログを使用してオンデマンド アクセスの使用状況を監視できます。オンデマンド アクセスをキャプチャするアクティビティ ログのイベントには、アクセス ビューとログインが含まれますが、これらに限定されません。これらのイベントの詳細については、「アクティビティ ログ イベント タイプ リファレンス」を参照してください。
制限事項
オンデマンド アクセスのワークフローでは、Tableau の埋め込みコンテンツにアクセスする特定のユーザーを、Tableau Cloud に対して匿名の一時的なユーザーにできるため、オンデマンド アクセス機能を通じて有効化された埋め込みコンテンツにアクセスするユーザーは次の機能を利用できません。
- カスタム ビューを作成する
- コンテンツの [共有] ボタンを使用してコンテンツを共有する
- コンテンツをサブスクライブして情報のスナップショットをメールで受信する
注: 2024 年 2 月 (Tableau 2024.1) 以降、Tableau REST API リクエストはオンデマンド アクセスのユーザーとして行うことができます。
既知の問題 (埋め込みのワークフローのみ)
接続済みアプリの使用にはいくつかの既知の問題がありますが、これらは今後のリリースで対処される予定です。
ツールバー機能: 埋め込みコンテンツにツールバーのパラメーターが定義されている場合、すべてのツールバー機能が動作するとは限りません。この問題を回避するには、次の例のようにツールバーのパラメーターを非表示にすることをお勧めします。
<tableau-viz id='tab-viz' src='https://online.tableau.com/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- パブリッシュされたデータ ソース: データベースの認証資格情報の入力を求める [ユーザーにメッセージを表示] が設定されているパブリッシュされたデータ ソースは表示されません。この問題を回避するには、可能であれば、データ ソースの所有者がデータベースの認証資格情報を埋め込むことをお勧めします。
トラブルシューティング
埋め込まれたコンテンツが外部アプリケーションに表示されない場合、または Tableau REST API 認証に失敗する場合は、ブラウザーのデベロッパー ツールを使用して、
次の表を参照して、エラー コードの説明と可能な解決策を確認してください。
| エラー コード | 概要 | 説明 | 可能な解決策または説明 |
| 5 | SYSTEM_USER_NOT_FOUND | Tableau ユーザーが見つかりませんでした | sub' (サブジェクト) クレーム値が、認証済みの Tableau Cloud ユーザーのユーザー名 (メール アドレス) であることを確認します。この値は大文字と小文字が区別されます。 |
| 16 | LOGIN_FAILED | ログインできませんでした | このエラーは通常、JWT の次のクレームの問題のいずれかが原因で発生します。
|
| 67 | FEATURE_NOT_ENABLED | オンデマンド アクセスがサポートされていません | オンデマンド アクセスは、ライセンス認証されている Tableau Cloud サイトを介してのみ利用できます。 |
| 142 | EXTERNAL_AUTHORIZATION_SERVER_NOT_FOUND | EAS が見つかりません | この問題を解決するには、正しい発行元が呼び出されていることを確認します。 |
| 143 | EXTERNAL_AUTHORIZATION_SERVER_LIMIT_EXCEEDED | EAS 制限を超えました | サイトは、登録済みの外部認証サーバー (EAS) の最大許容数 (1) に達しました。 |
| 144 | INVALID_ISSUER_URL | 発行元の URL が無効です | 発行元の URL が無効であるか、'iss' (発行元) 属性が JWT にありません。 |
| 149 | EAS_INVALID_JWKS_URI | JWKS URI がありません | JWKS URI が IdP メタデータに存在しないか、JWKS URI が Tableau で構成されていません。この問題を解決するには、有効な JWKS URI を構成します。 |
| 150 | EAS_RETRIEVE_JWK_SOURCE_FAILED | キーソースの取得に失敗しました | この問題を解決するには、 JWKS URI が正しく構成されていることを確認します。 |
| 151 | EAS_RETRIEVE_METADATA_FAILED | issuerUrl からメタデータを取得できませんでした | この問題を解決するには、 JWKS URI が正しく構成されていることを確認します。 |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | EAS メタデータ エンドポイントがありません | この問題を解決するには、EAS が正しく構成されており、正しい発行元が呼び出されていることを確認します。 |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | 発行元がありません | この問題を解決するには、正しい発行元が呼び出されていることを確認します。 |
| 10083 | BAD_JWT | JWT ヘッダーに問題が含まれています | 'kid' (シークレット ID) または 'clientId' (発行元) のクレームが JWT ヘッダーにありません。この問題を解決するには、この情報が含まれていることを確認します。 |
| 10084 | JWT_PARSE_ERROR | JWT に問題が含まれています | この問題を解決するには、次を確認します。
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT がキーを見つけることができませんでした | シークレットを見つけることができませんでした。 この問題を解決するには、正しい発行元が呼び出されていることを確認します。 |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | JWT 署名アルゴリズムの問題 | この問題を解決するには、署名アルゴリズムを削除します。 |
| 10088 | RSA_KEY_SIZE_INVALID | JWT 署名要件の問題 | この問題を解決するには、EAS または IdP を使用して、JWT が 2048 ビットの RSA キー サイズで署名されていることを確認します。 |
| 10091 | JTI_ALREADY_USED | 一意の JWT が必要です | JWT はすでに認証プロセスで使用されています。この問題を解決するには、EAS または IdP が新しい JWT を生成する必要があります。 |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | 埋め込みコンテンツのドメインが指定されていません | この問題を解決するには、設定 unrestrictedEmbedding が true に設定されていること、または domainAllowlist パラメーターに、Tableau REST API の「サイトの埋め込み設定の更新(新しいウィンドウでリンクが開く)」メソッドを使用して Tableau コンテンツを埋め込むドメインが含まれていることを確認してください。 |
| 10094 | MISSING_REQUIRED_JTI | JWT ID がありません | この問題を解決するには、'jti' (JWT ID) が JWT に含まれていることを確認します。 |
| 10095 | EXTERNAL_AUTHZ_SERVER_DISABLED | EAS が無効です | サイトに登録されている EAS の接続済みアプリが無効になっています。 |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp' (有効期限) が既定の最大有効期間を超えています。この問題を解決するには、有効な JWT に必要な登録済みのクレーム(新しいウィンドウでリンクが開く)を確認し、正しい値が 10 分を超えないようにします。 | |
| 10097 | SCOPES_MALFORMED | スコープ クレームに関する問題 | このエラーは、'scp' (スコープ) クレームが JWT にないか、リスト型として渡されていない場合に発生する可能性があります。この問題を解決するには、'scp' が JWT に含まれ、リスト型として渡されていることを確認します。JWT に関するトラブルシューティングのヘルプについては、auth0 サイトの「デバッガー(新しいウィンドウでリンクが開く)」を参照してください。 |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | JWT が署名されていないか、暗号化されています | Tableau は、署名されていない JWT または暗号化された JWT をサポートしていません。 |
| 10099 | SCOPES_MISSING_IN_JWT | スコープのクレームがありません | JWT に必要な 'scp' (スコープ) クレームがありません。この問題を解決するには、'scp' が JWT に含まれていることを確認します。JWT に関するトラブルシューティングのヘルプについては、auth0 サイトの「デバッガー(新しいウィンドウでリンクが開く)」を参照してください。 |
| 10100 | JTI_PERSISTENCE_FAILED | 予期しない JWT ID エラー | 'jti' (JWT ID) で予期しないエラーが発生しました。この問題を解決するには、新しい 'jti' で新しい JWT を生成する必要があります。 |
| 10101 | EPHEMERAL_USER_LOGIN_FAILED_SITE_NOT_UBP_ENABLED | オンデマンド アクセスがサポートされていません | このサイトには、オンデマンド アクセスを有効にするために必要な埋め込み分析の使用ベースのライセンスが設定されていません。詳細については、「ライセンス モデルを理解する」を参照してください。 |
| 10102 | EPHEMERAL_USER_NOT_SUPPORTED | iframe-auth 属性が有効になっている場合、オンデマンド アクセスはサポートされません | iframe-auth 属性が有効になっている場合、このエラーが発生する可能性があります。この問題を解決するには、Tableau 埋め込み API バージョン 3.6 以降が使用されていることを確認してください。 |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT が最大サイズを超えています | JWT サイズが 8000 バイトを超えている場合、このエラーが発生する可能性があります。この問題を解決するには、必要なクレームのみが Tableau Cloud に渡されていることを確認してください。 |