OpenID Connect に対応するように Tableau Cloud を構成する
このトピックでは、シングルサインオン (SSO) に OpenID Connect を使用するよう Tableau Cloud を構成する方法を説明します。これは、複数のステップにわたるプロセスの 1 ステップです。次のトピックでは、Tableau Cloud での OIDC の構成および使用に関する情報を提供します。
OpenID Connect の概要
OpenID Connect 用に Tableau Cloud を構成する (現在のセクション)
注:
- ここで説明するステップを実行する前に、OpenID Connect 用にアイデンティティ プロバイダーを構成する で説明されている OpenID アイデンティティ プロバイダー (IdP) を構成する必要があります。
- あるいは、OpenID Connect メソッド(新しいウィンドウでリンクが開く)で、Tableau REST API を使用して Tableau Cloud の OIDC 認証を構成することもできます。
- Tableau REST API および tabcmd では、OIDC シングル サイン (SSO) はサポートされていません。tabcmd または REST API(新しいウィンドウでリンクが開く) を使用するには、ユーザーは TableauID アカウントを使用して Tableau Cloud にサインインする必要があります。
要件
パラメーター
クライアント ID: この値は IdP によって発行され、登録された Tableau Cloud の識別子を指定します。これにより、IdP は認証リクエストの送信元を把握することができます。
クライアント シークレット: これは、Tableau Cloud が IdP からの応答の真偽を検証するために使用するトークンです。この値は安全に保護しておく必要があります。
構成 URL: この値は、ユーザーが認証された後に IdP がリダイレクトする URL を指定します。URL にはホストとプロトコルを含める必要がありますが (例:
https://admin.okta.com/oauth2/default/.well-known/openid-configuration
)、Tableau は URL エンドポイントを提供します。OpenID プロバイダーのメタデータを含むプロバイダー構成検出ドキュメントの場所を指定します。注: IdP が構成 URL を提供しない場合、つまり
.well-known/openid-configuration
で終わる URL の場合は、Tableau REST API のOpenID Connect 認証メソッド(新しいウィンドウでリンクが開く)を使用して OIDC を構成することを検討してください。
オプションのパラメーター
次のオプションのパラメーターは、Tableau REST API の OpenID Connect 認証メソッド(新しいウィンドウでリンクが開く)を使用して構成できます。
プロンプト: ユーザーに再認証と同意を求めるプロンプトを表示します。既定では、ユーザーの同意はオンになっています。
カスタム スコープ: IdP をクエリするためのカスタム範囲のユーザー関連値。
クライアント認証: トークン エンドポイントの認証方式。既定値は
'client_secret_basic'
です。値'client_secret_post'
がサポートされています。必須の ACR 値: 認証に使用される必須の認証コンテキスト クラスの参照値リスト。
任意の ACR 値: 認証に使用される任意の認証コンテキスト クラスの参照値リスト。
クレーム
Tableau Server に正常にサインインするには、指定されたユーザーを OpenID Connect (OIDC) IdP でプロビジョニングした後、Tableau Server のユーザー アカウントにマッピングする必要があります。OIDC は クレームに依存するメソッドを使用して、ユーザー アカウント属性を他のアプリケーションと共有します。Tableau Server は IdP クレームに依存して、IdP のユーザーアカウントを Tableau Cloud でホストされているユーザーアカウントにマッピングします。クレームには、メールや名前など、ユーザー アカウント属性が含まれます。Tableau Cloud が IdP クレームをユーザー アカウントへマッピングするしくみについては、「認証の概要」を参照してください。
注: クレームでは大文字と小文字が区別されます。
ユーザー名: 既定では、Tableau Cloud は IdP がユーザー名クレームを渡すことを期待します。お使いの IdP によっては、別の IdP クレームを使用するように Tableau Cloud を構成しなければならない場合があります。
注: Tableau Cloud のユーザー名は変更不能であるため、更新することはできません。
名前のクレーム: 名前または名/姓を指定して、ユーザーの表示名を取得できます。
ステップ 1: OpenID Connect の構成
サイト管理者として Tableau Cloud にサインインし [設定] > [認証] の順に選択します。
[認証] タブで、[OpenID Connect (OIDC)] を選択します。
次のステップに従って、OIDC 認証用に Tableau Cloud を構成します。
ステップ 1 では、クライアント ID、クライアント シークレット、構成 URL などの必要な情報を IdP から入力します。
ステップ 2 では、認証後にユーザーをリダイレクトするために、IdP のポータルに貼り付ける Tableau Cloud リダイレクト URL をコピーします。
ステップ 3 では、ユーザーのユーザー名と表示名が正しくマッピングされていることを確認するためのクレームを入力します。
ステップ 4 では、IdP がサポートしている場合は、必要に応じてシングル ログアウト (SLO) を有効にします。
ステップ 5 では、必要に応じて、埋め込みビューへのアクセス時にユーザーを認証する方法 (別のポップアップ ウィンドウで行う、あるいはインライン iFrame を使用する) を選択します。
注: 埋め込みビューの認証タイプは、[認証] ページ (OIDC 構成ステップの下) の [埋め込みビューの既定の認証タイプ] セクションで選択できます。
完了したら、[変更を保存] ボタンをクリックします。
注: OIDC 構成を編集するとき、クライアント シークレットが非表示になるため、変更を保存する前に再入力する必要があります。
ステップ 2: 構成のテスト
ロックアウトのシナリオを回避するために、構成をテストすることを強くお勧めします。ユーザーの認証タイプを OIDC に変更する前に、構成をテストして OIDC が正しく構成されていることを確認することを強くお勧めします。構成のテストを正常に実行するには、IdP ですでにプロビジョニングされ、OIDC 認証タイプが構成されている Tableau Cloud に追加されているユーザーとしてサインインできるユーザーが少なくとも 1 人いることを確認してください。
注: クレームが何であるかわからない場合は、構成を完了し、構成をテストしてください。構成をテストすると、ユーザー名および表示名のクレームを含むクレーム マッピングの詳細を示す新しいウィンドウが生成されます。IdP によっては、メール アドレスを Tableau ユーザー名にマッピングする場合があります。
OpenID Connect (OIDC) が選択されている状態の [認証] タブのステップ 6 で、[構成のテスト] ボタンをクリックします。新しいウィンドウに構成に関する詳細が表示されます。
完了したら、以下のステップに従ってユーザーをサイトに追加し、OIDC セットアップを完了します。
ステップ 3: OpenID Connect が有効になっている Tableau サイトへのユーザーの追加
このセクションで説明する手順は、Tableau Cloud の [ユーザー] ページで実行します。
上記のステップが完了したら、Tableau Cloud サイトに戻ります。
左側のペインから [ユーザー] ページに移動します。
「サイトへのユーザーの追加」トピックで説明されている手順に従います。
トラブルシューティング
Tableau Cloud での OpenID Connect (OIDC) の問題をトラブルシューティングするには、次のトピックを使用します。
OIDC プロトコルは多くの ID プロバイダーがサポートしています。OIDC プロトコルはオープンかつ柔軟な規格であるため、すべての環境で同じように実装されるわけではありません。OIDC に対応するように Tableau Cloud を構成するときに管理者が直面する問題の多くは、ID プロバイダーによって OIDC の実装方法が異なることが原因で発生しています。Tableau Cloud で OIDC をセットアップする際にエラーが発生した場合は、IdP と連携して問題を解決することをお勧めします。
コマンド ラインからのサインイン
Tableau Cloud が OIDC を使用するように構成されている場合でも、tabcmd、Tableau REST API(新しいウィンドウでリンクが開く)、または Tableau Data Extract コマンド ライン ユーティリティ(新しいウィンドウでリンクが開く) (Tableau Desktop で提供) を使用して Tableau Cloud にサインインすると、OIDC 認証は使用されません。
サインインに失敗しました
場合によっては、Tableau Cloud へのサインインが失敗し、次のメッセージが表示されることがあります。
ログインの失敗: ユーザーの ID プロバイダー認証が失敗しました<username_from_IdP>。Tableau Cloud でユーザーが見つかりませんでした。
このエラーは通常、Tableau Cloud に保存されているユーザー名と IdP が提供したユーザー名が一致しないときに発生します。これを解決するには、ユーザー名の値が一致していることを確認してください。たとえば、山田太郎のユーザー名が、「tyamada@example.com」として IdP に保存されている場合は、Tableau Cloud でも「tyamada@example.com」として保存する必要があります。