OpenID Connect


OpenID Connect (OIDC) を使用してシングル サインオン (SSO) を提供するように Tableau Cloud または Tableau Cloud Manager (TCM) を構成できます。OIDC は、ユーザーが Google や Salesforce などの ID プロバイダー (IdP) にサインインできるようにする標準認証プロトコルです。ユーザーが IdP に正常にサインインすると、自動的に Tableau Cloud または TCM.にサインインされます。

OIDC の構成には、いくつかのステップがあります。このセクションのトピックでは、OIDC での Tableau Cloud または TCM の使用に関する一般的な情報を提供し、Tableau Cloud または TCM を構成するためのシーケンスについて説明します。

Tableau REST API を使用して OIDC を構成するには、Tableau REST API ヘルプの「OpenID Connect の認証メソッド(新しいウィンドウでリンクが開く)」を参照してください。注: Tableau Cloud にのみ適用されます。

認証の概要

このセクションでは、Tableau Cloud または TCM での OpenID Connect (OIDC) 認証プロセスについて説明します。

1.ユーザーがクライアント コンピューターから Tableau Cloud または TCM にログインを試みます。

2.Tableau Cloud が認証の要求を IdP ゲートウェイにリダイレクトします。

3.ユーザーに認証資格情報を求めるメッセージが表示され、IdP への認証が正常に完了します。IdP が応答し、Tableau Cloud または TCM に戻るリダイレクト URL を返します。リダイレクト URL には、ユーザーの認可コードが含まれます。

4.クライアントが Tableau Cloud または TCM にリダイレクトされ、認可コードを提示します。

5. Tableau Cloudまたは TCM がクライアントの認可コードを独自のクライアント認証資格情報と一緒に IdP に提示します。Tableau Cloudと TCM も IdP のクライアントです。この手順は、スプーフィングまたは中間者攻撃を防ぐことを目的としています。

6.IdP は Tableau Cloud または TCM にアクセス トークンと ID トークンを返します。

  • JSON Web Token (JWT) 検証: 既定では、Tableau では IdP JWT の検証が実行されます。検出時には、IdP 構成検出ドキュメントで jwks_uri によって指定されている公開キーが取得されます。ID トークンの有効期限が検証された後、JSON Web 署名 (JWS)、発行者 (IdP)、およびクライアント ID が検証されます。JWT プロセスの詳細については、OIDC ドキュメントの 10 を参照してください。署名と暗号化 (英語)」(新しいウィンドウでリンクが開く)および IETF から提案された標準である JSON Web Token(新しいウィンドウでリンクが開く) を参照してください。お使いの LDP でサポートされていない場合を除き、JWT 検証を有効のままにすることをお勧めします。

  • ID トークンは、ユーザー用の属性キー ペアのセットです。キー ペアはクレームと呼ばれます。ユーザー用の IdP クレームの例:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloudまたは TCM は IdP クレームからユーザーを識別し、ステップ 1 からの認証要求を完了します。Tableau Cloud をこのプロセスで別のクレームを使用するように構成することができます。「」「要件」を参照してください。

8. Tableau Cloud または TCM がユーザーを承認します。

OpenID Connect で Tableau が機能する仕組み

OpenID Connect (OIDC) は、サービス プロバイダー (ここでは Tableau Cloud または TCM) と IdP との間で交換される情報の多くのオプションをサポートする柔軟なプロトコルです。次のリストは、OIDC の Tableau Cloud および TCM 実装の詳細をまとめたものです。これらの詳細は、Tableau Cloud または TCM がどのような種類の情報を送信し、期待するか、および IdP をどのように構成するかを理解するのに役立ちます。

  • Tableau Cloud と TCM は、OpenID Connect ドキュメントの「OpenID Connect の最終仕様(新しいウィンドウでリンクが開く)」(英語) に記載されているように、OpenID 認可コードのフローのみをサポートします。

  • Tableau Cloud と TCM は、検出またはプロバイダー URL の使用に依存して IdP メタデータを取得します。

  • Tableau Cloud と TCM は、client_secret_basic (既定)client_secret_post クライアント認証、および OpenID Connect 仕様で指定されているその他のパラメーターをサポートします。これらは、Tableau REST API を使用して構成できます。

OIDC アサーションを使用した動的グループ メンバーシップ

注: Tableau Cloud にのみ適用されます。

2024 年 6 月以降、OIDC 認証が設定されて機能の設定が有効になっている場合、ID プロバイダー (IdP) によって送信される JSON Web トークン (JWT) に含まれるカスタム クレームを通じて、グループ メンバーシップを動的に制御できます。

設定すると、ユーザー認証中に、IdP は 2 つのカスタム グループ メンバーシップの要求を含む OIDC アサーションを送信します。2 つのカスタム クレームは、ユーザーをアサートするためのグループ(https://tableau.com/groups ) とグループ名 (たとえば、「Group1」と「Group2」) です。Tableau はアサーションを検証し、グループと、そのグループにパーミッションが依存するコンテンツへのアクセスを有効にします。

詳細については、「アサーションを使用した動的グループ メンバーシップ」を参照してください。

JWK の例

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
一番上に戻る