AD FS を使用した SAML の構成

Active Directory Federation Services (AD FS) を SAML アイデンティティ プロバイダーとして構成し、サポートされているシングル サインオン アプリケーションに Tableau Cloud を追加できます。AD FS を SAML および Tableau Cloud と統合する場合、ユーザーは標準的なネットワーク認証資格情報を使用して Tableau Cloud にサインインできます。

注: 

  • 注: これらのステップはサード パーティーのアプリケーションを反映しており、通知なしに変更されることがあります。ここで説明する手順が IdP アカウントで表示される画面と一致しない場合、IdP のドキュメントとともにに一般的な SAML の構成手順およびを使用することができます。
  • 2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau Cloud の要件になります。

前提条件

Tableau Cloud および SAML を AD FS で構成する前に、お使いの環境には以下が必要です。

  • AD FS 2.0 (またはそれ以降) および IIS がインストールされた Microsoft Windows Server 2008 R2 (またはそれ以降) を実行するサーバー。

  • AD FS サーバーを保護する (例: リバース プロキシの使用) ことをお勧めします。ファイアウォールの外から AD FS サーバーにアクセス可能な場合、Tableau Cloud は AD FS がホストするサインイン ページにユーザーをリダイレクトできます。

  • TableauID 認証を使用するサイト管理者アカウント。SAML シングル サインオンに失敗しても、サイト管理者として Tableau Cloud にサインインできます。

ステップ 1: Tableau Cloud からメタデータをエクスポート

  1. 管理者として Tableau Cloud にサインインします。

    Tableau Cloud に複数のサイトがある場合は、サイト ドロップダウンで SAML を有効にするサイトを選択します。

  2. [設定] > [認証] を選択します。
  3. [認証] タブで [追加の認証方法を有効にする] チェックボックスをオンにして、[SAML] を選択し、[構成 (必須)] ドロップダウン矢印をクリックします。

    認証設定

  4. ステップ 1 の [メソッド 1: メタデータをエクスポートする] で、[メタデータのエクスポート] ボタンをクリックして Tableau Cloud SAML エンティティ ID、アサーション コンシューマー サービス (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。

ステップ 2: Tableau Cloud からのサインイン要求を承認するための AD FS の設定

Tableau Cloud のサインイン要求を許容するように AD FS を構成することは、複数のステップで構成されるプロセスであり、Tableau Cloud の XML メタデータ ファイルを AD FS にインポートすることから始まります。

  1. 次のいずれかの手順を実行して [Relying Party Trust の追加] ウィザードを開きます。

  2. Windows Server 2008 R2 の場合:

    1. [スタート][管理ツールへ]> [AD FS 2.0] の順に選択します。

    2. [AD FS 2.0][Trust のリレーションシップ][Relying Party Trusts] フォルダーを右クリックし、[Relying Party Trust の追加] をクリックします。

    Windows Server 2012 R2 の場合:

    1. Server Manager を開き、[ツール] メニューで [AD FS の管理] をクリックします。

    2. [AD FS 管理][アクション] メニューで、[依存先との信頼関係の追加] をクリックします。

  3. [依存先との信頼関係の追加] ウィザードで、[スタート] をクリックします。

  4. [データ ソースの選択] ページで [ファイルから Relying Party に関するデータをインポートする] を選択し、[参照] をクリックして Tableau Cloud XML メタデータ ファイルを指定します。既定のファイル名は、samlspmetadata.xml です。

  5. [次へ] をクリックして、[表示名の指定] ページの [表示名] および [メモ] ボックスにRelying Party Trust の名前と説明を入力します。

  6. [次へ] をクリックして [多要素認証を今すぐ設定する] ページにスキップします。

  7. [次へ] をクリックして [発行承認規則の選択] ページにスキップします。

  8. [次へ] をクリックして [Trust の追加準備完了] ページにスキップします。

  9. [完了] ページで [ウィザードを閉じるときに Relying Party Trust に対するクレーム ルールの編集ダイアログを開く] チェック ボックスをオンにし、[閉じる] をクリックします。

次に、[クレーム ルールの編集] ダイアログで作業して AD FS から送信されるアサーションが Tableau Cloud が期待するアサーションと一致するようにするルールを追加します。最低限、Tableau Cloud ではメール アドレスが必要となります。ただし、メールに加えて姓と名を含めることで、Tableau Cloud に表示されるユーザー名が AD アカウントと同じになります。

  1. [クレーム ルールの編集] ダイアログ ボックスで、[ルールの追加] をクリックします。

  2. [ルール タイプの選択] ページの [クレーム ルール テンプレート] で、[LDAP 属性をクレームとして送信] を選択してから、[次へ] をクリックします。

  3. [クレーム ルールの構成] ページの [クレーム ルール名] ボックスで、わかりやすい任意の名前を入力します。

  4. [属性の保存] では、[Active Directory] を選択し、以下のようにマッピングを行ってから [完了] をクリックします。

  5. マッピングでは大文字と小文字が区別され、スペルが完全に同じになっている必要があります。入力した内容はダブルチェックしてください。次の表に、一般的な属性とクレーム マッピングを示します。特定の Active Directory 構成の属性を確認します。

    注: Tableau Cloud では、SAML 応答に NameID 属性を含める必要があります。Tableau Cloud でユーザー名をマッピングするときは、他の属性を使用できますが、応答メッセージには NameID 属性を含める必要があります。

    LDAP 属性出力するクレーム タイプ

    AD FS のバージョンに応じて、次のようになります。

    User-Principal-Name
    または
    E-Mail-Addresses

     

    email
    または
    E-Mail Address

    Given-NamefirstName
    SurnamelastName

AD FS 2016 以降を実行している場合は、ルールを追加してすべてのクレーム値をパス スルーする必要があります。以前のバージョンの AD FS を実行している場合は、次の手順に進み、AD FS メタデータをエクスポートします。

  1. [Add Rule (ルールの追加)] をクリックします。
  2. [Claim rule template (クレーム ルール テンプレート)] で、[Pass Through or Filter an Incoming Claim (受信クレームのパス スルーまたはフィルター)] を選択します。
  3. [Claim rule name (クレーム ルール名)] に、「Windows」と入力します。
  4. [Edit Rule - Windows (ルールの編集 - Windows)] ポップアップで、以下の操作を実行します。
    • [Incoming claim type (受信するクレーム タイプ)] で、[Windows account name (Windows アカウント名)] を選択します。
    • [Pass through all claim values (すべてのクレーム値をパス スルー)] を選択します。
    • [OK] をクリックします。

後で Tableau Cloud にインポートする予定の AD FS メタデータをエクスポートします。また、Tableau Cloud 向けに適切に構成およびエンコードされていることを確認して、お使いの SAML 構成の他の AD FS 要件を検証します。

  1. AD FS Federation メタデータを XML ファイルにエクスポートしてから、そのファイルを https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml からダウンロードします。

  2. Sublime Text または Notepad++ のようなテキスト エディタでメタデータ ファイルを開き、BOM なしの UTF-8 で適切にエンコーディングされていることを確認します。

    ファイルがその他のエンコーディング タイプを示した場合、テキスト エディタから正しいエンコーディングで保存します。

  3. AD FS がフォームベースの認証を使用していることを検証します。サインインはブラウザー ウィンドウで行われるため、このタイプの認証を既定にするには、AD FS が必要です。

    c:\inetpub\adfs\ls\web.config を編集し、タグを検索してから行を移動すると、リストで最初に表示されます。ファイルを保存して、IIS が自動的に再読み込みできるようにします。

    注: c:\inetpub\adfs\ls\web.config ファイルが表示されない場合は、IIS がインストールされておらず、AD FS サーバーにも設定されていません。

  4. 追加の AD FS Relying Party 識別子を構成します。これにより、システムは SAML ログアウトを使用して AD FS の問題を回避できるようになります。

    次のいずれかを実行します。

    Windows Server 2008 R2 の場合:

    1. AD FS 2.0 で、事前に Tableau Cloud 用に作成した Relying Party を右クリックして [プロパティ] をクリックします。

    2. [識別子] タブの [Relying Party 識別子] ボックスに、https://<tableauservername>/public/sp/metadata と入力してから [追加] をクリックします。

    Windows Server 2012 R2 の場合:

    1. [AD FS 管理][Relying Party Trusts] リストで、事前に Tableau Cloud 用に作成した Relying Party を右クリックして [プロパティ] をクリックします。

    2. [識別子] タブの [Relying Party 識別子] ボックスに、https://<tableauservername>/public/sp/metadata と入力してから [追加] をクリックします。

    : AD FS は、同じインスタンスに対して単一の Relying Party を使用する Tableau Server で使用できます。AD FS では同じインスタンスに複数の Relying Party (複数サイトの SAML サイトやサーバー全体、およびサイトの SAML 構成など) を使用することはできません。

ステップ 3: AD FS メタデータを Tableau Cloud にインポート

  1. Tableau Cloud で、[設定] > [認証] の順にクリックして戻ります。

  2. ステップ 4[Tableau にメタデータをアップロードする] で、IdP メタデータ ファイル ボックスで、AD FS からエクスポートしたファイル (FederationMetadata.xml) の名前を指定します。

  3. ステップ 5 属性の照合」をスキップします。

    属性名を Tableau Cloud が期待するものと一致させるため、AD FS で既にクレーム ルールを作成しています。

  4. [変更を保存] ボタンをクリックします。

  5. 以下のいずれかを実行して、ユーザーを管理します。

    • まだサイトにユーザーを追加していない場合は、左側のペインから [ユーザー] ページに移動して、[ユーザーの追加] をクリックします。次に、フォームを使用して手動でユーザーを追加するか、ユーザー情報を含む CSV ファイルをインポートすることができます。詳細については、「サイトへのユーザーの追加」または「ユーザーのインポート」を参照してください。

    • すでにサイトにユーザーを追加している場合は、左側のペインから [ユーザー] ページに移動し、特定のユーザーの横にある [アクション] をクリックして、[認証] をクリックします。認証方法を SAML に変更し、[更新] ボタンをクリックします。

  6. (オプション) [認証] ページに戻り、7 で SAML サインインをテストします。[構成のテスト] ボタンをクリックして、構成をテストします。

    ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。

Tableau Cloud サイトは、ユーザーが AD FS および SAML を使用してサインインする準備が整いました。移動先はまだ https://online.tableau.com ですが、 ユーザー名を入力すると、ページが AD FS サインイン ページにリダイレクトされ (上記ステップのオプションのテスト参照)、ユーザーに AD 認証資格情報を求めるプロンプトが表示されます。

注: SAML サインインのテストでエラーが発生する場合、Tableau Cloud SAML 構成ステップの構成をテストして、[ログのダウンロード] をクリックし、その情報を使用してエラーをトラブルシューティングします。

その他の要件とヒント

  • AD FS と Tableau Cloud の SAML 統合を設定したら、Tableau Cloud を更新し、Active Directory で加えたユーザーに関する特定の変更を反映する必要があります。ユーザーの追加や削除などです。

    ユーザーは自動でまたは手動で追加することができます。

    • ユーザーを自動で追加するには: スクリプトを作成 (PowerShell、Python、バッチ ファイルを使用) し、AD の変更を Tableau Cloud にプッシュします。スクリプトは tabcmd または REST API を使用して Tableau Cloud を操作します。

    • ユーザーを手動で追加するには: Tableau Cloud Web UI にサインインして [ユーザー] ページに移動し、[ユーザーの追加] をクリックしてから、ユーザーの ユーザー名を入力するか、その情報が含まれている CSV ファイルをアップロードします。

    注: ユーザーは削除するが、所有するコンテンツ資産は保持する必要がある場合、ユーザーの削除前にコンテンツの所有者を変更します。ユーザーを削除すると、そのユーザーが所有していたコンテンツも削除されます。

  • Tableau Cloud では、ユーザーの ユーザー名が一意の識別子となります。Tableau Cloud からのサインイン要求を承認するように AD FS を構成するステップで説明されているように、ユーザーの Tableau Cloud ユーザー名は、AD に保存されている ユーザー名 と一致する必要があります。

  • ステップ 2: Tableau Cloud からのサインイン要求を承認するための AD FS の設定で、AD FS と Tableau Cloud との間で名、姓、 ユーザー名の属性が一致するように AD FS にクレーム ルールを追加しました。または、「ステップ 5.属性の照合」Tableau Cloud で使用すると、同じことを実行できます。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!