OpenID Connect

OpenID Connect を使用してシングル サインオン (SSO) を提供するように Tableau Cloud を構成できます。OIDC は、ユーザーが Google や Salesforce などの ID プロバイダー (IdP) にサインインできるようにする標準認証プロトコルです。ユーザーが IdP に正常にサインインすると、自動的に Tableau Cloud にサインインされます。

OIDC の構成には、いくつかのステップがあります。このセクションのトピックでは、OIDC での Tableau Cloud の使用に関する一般的な情報を提供し、IdP および Tableau Cloud を構成するためのシーケンスについて説明します。

Tableau REST API を使用して OIDC を構成するには、Tableau REST API ヘルプの「OpenID Connect の認証メソッド(新しいウィンドウでリンクが開く)」を参照してください。

認証の概要

このセクションでは、Tableau Cloud での OpenID Connect (OIDC) 認証プロセスについて説明します。

1.ユーザーがクライアント コンピューターから Tableau Cloud にログインを試みます。

2.Tableau Cloud が認証の要求を IdP ゲートウェイにリダイレクトします。

3.ユーザーに認証資格情報を求めるメッセージが表示され、IdP への認証が正常に完了します。IdP が応答し、Tableau Cloud に戻るリダイレクト URL を返します。リダイレクト URL には、ユーザーの認可コードが含まれます。

4.クライアントが Tableau Cloud にリダイレクトされ、認可コードを提示します。

5.Tableau Cloud がクライアントの認可コードを独自のクライアント認証資格情報と一緒に IdP に提示します。Tableau Cloud も IdP のクライアントです。この手順は、スプーフィングまたは中間者攻撃を防ぐことを目的としています。

6.IdP は Tableau Cloud にアクセス トークンと ID トークンを返します。

  • JSON Web Token (JWT) 検証: 既定では、Tableau Cloud が IdP JWT の検証を実行します。検出中に、Tableau Cloud は IdP 構成検出ドキュメントの jwks_uri によって指定されたパブリック キーを取得します。Tableau Cloud は ID トークンの有効期限を検証し、次に JSON Web 署名 (JWS)、発行者 (IdP)、およびクライアント ID を検証します。JWT プロセスの詳細については、OIDC ドキュメントの 10 を参照してください。署名と暗号化 (英語)」(新しいウィンドウでリンクが開く)および IETF から提案された標準である JSON Web Token(新しいウィンドウでリンクが開く) を参照してください。お使いの LDP でサポートされていない場合を除き、JWT 検証を有効のままにすることをお勧めします。

  • ID トークンは、ユーザー用の属性キー ペアのセットです。キー ペアはクレームと呼ばれます。ユーザー用の IdP クレームの例:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7.Tableau Cloud は IdP クレームからユーザーを識別し、ステップ 1 からの認証要求を完了します。Tableau Cloud をこのプロセスで別のクレームを使用するように構成することができます。「」「要件」を参照してください。

8.Tableau Cloud がユーザーを承認します。

Tableau Cloud と OpenID Connect の連携

OpenID Connect (OIDC) は、サービス プロバイダー (ここでは Tableau Cloud) と IdP との間で交換される情報の多くのオプションをサポートする柔軟なプロトコルです。次のリストは、OIDC の Tableau Cloud 実装の詳細をまとめたものです。これらの詳細は、Tableau Cloud がどのような種類の情報を送信し、期待するか、および IdP をどのように構成するかを理解するのに役立ちます。

  • Tableau Cloud は、OpenID Connect ドキュメントの「OpenID Connect の最終仕様(新しいウィンドウでリンクが開く)」(英語) に記載されているように、OpenID 認可コードのフローのみをサポートします。

  • Tableau Cloud は、検出またはプロバイダー URL の使用に依存して IdP メタデータを取得します。

  • Tableau Cloud は、client_secret_basic (既定)client_secret_post クライアント認証、および OpenID Connect 仕様で指定されているその他のパラメーターをサポートします。これらは、Tableau REST API を使用して構成できます。

OIDC アサーションを使用した動的グループ メンバーシップ

2024 年 6 月以降、OIDC 認証が設定されて機能の設定が有効になっている場合、ID プロバイダー (IdP) によって送信される JSON Web トークン (JWT) に含まれるカスタム クレームを通じて、グループ メンバーシップを動的に制御できます。

設定すると、ユーザー認証中に、IdP は 2 つのカスタム グループ メンバーシップの要求を含む OIDC アサーションを送信します。2 つのカスタム クレームは、ユーザーをアサートするためのグループ(https://tableau.com/groups ) とグループ名 (たとえば、「Group1」と「Group2」) です。Tableau はアサーションを検証し、グループと、そのグループにパーミッションが依存するコンテンツへのアクセスを有効にします。

詳細については、「アサーションを使用した動的グループ メンバーシップ」を参照してください。

JWK の例

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!