Okta を使用した SAML の構成

Okta を SAML アイデンティティ プロバイダー (IdP) に使用している場合、このトピックの情報を使用して Tableau Cloud サイトで SAML 認証を設定できます。Okta ドキュメントの「Tableau Cloud 用に SAML 2.0 を構成する方法」(新しいウィンドウでリンクが開く)のトピックを使用することもできます。

Tableau Cloud の Okta との SAML 統合は、サービス プロバイダー (SP) 開始の SSO、アイデンティティ プロバイダー (IdP) 開始の SSO、およびシングル ログアウト (SLO) をサポートしています。

注: 

  • 注: これらのステップはサード パーティーのアプリケーションを反映しており、通知なしに変更されることがあります。ここで説明する手順が IdP アカウントで表示される画面と一致しない場合、IdP のドキュメントとともにに一般的な SAML の構成手順およびを使用することができます。
  • 2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau Cloud の要件になります。

ステップ 1: Tableau Cloud の SAML 設定を開く

Okta アプリケーションを構成するには、Tableau Cloud SAML 設定の情報を使用する必要があります。

  1. サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。

  2. [認証] タブで [追加の認証方法を有効にする] チェックボックスを選択し、[SAML] を選択して [設定 (必須)] ドロップダウン矢印をクリックします。

    Tableau Cloud サイトの認証設定ページのスクリーンショット

ステップ 2: Tableau Cloud を Okta アプリケーションに追加する

このセクションで説明する手順は、Okta 管理者コンソールで実行します。

  1. 新しいブラウザーを開いて、Okta 管理者コンソールにサインインします。

  2. 左側のペインで、[アプリケーション][アプリケーション] の順に選択し、[アプリ カタログの参照] ボタンをクリックします。

  3. 「Tableau Cloud」を検索してクリックし、[統合の追加] ボタンをクリックします。これにより [全般設定] タブが開きます。

  4. (オプション) Tableau Cloud サイトが複数ある場合は、Tableau Cloud アプリケーションのインスタンスとの違いがわかるように、[アプリケーション ラベル] フィールドでサイト名を編集してください。

ステップ 3: SAML を設定する

このセクションで説明する手順は、Okta 管理者コンソールと Tableau Cloud の SAML 構成設定の両方で実行します。

  1. Okta 管理者コンソールで、[割り当て] タブをクリックしてユーザーまたはグループを追加します。

  2. 終了したら、[完了] をクリックします。

  3. [サインオン] タブをクリックし、[設定] セクションで [編集] をクリックします。

  4. (オプション) シングル ログアウト (SLO) を有効にする場合は、次の手順を実行します。

    1. [シングル ログアウト有効化] チェックボックスを選択します。

    2. Tableau Cloud メタデータ ファイルから「シングル ログアウト URL」の値をコピーします。例: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>詳細については、Tableau ナレッジ ベースの「Okta で SAML を使用してシングル ログアウトを設定する」(新しいウィンドウでリンクが開く)を参照してください。

    3. [詳細なサインオン設定] テキスト ボックスに、ステップ b でコピーした値を入力します。

    4. Tableau CloudSAML 構成設定に戻り、1.Tableau Cloud からメタデータをエクスポートするで、[証明書のダウンロード] ボタンをクリックします。

    5. Okta 管理者コンソールに戻って [署名証明書] の横にある [参照] ボタンをクリックし、ステップ d でダウンロードしたファイルに移動します。

    6. ファイルを選択し、[アップロード] ボタンをクリックします。

    7. 完了したら、[保存] をクリックします。

  5. Tableau Cloud SAML 構成設定に戻り、ステップ 1 の [メソッド 2: メタデータをコピーして、証明書をダウンロードする] で、Tableau Cloud[エンティティ ID] をコピーします。

  6. Okta 管理者コンソールに戻って以下を実行します。

    1. [アプリケーション][アプリケーション] の順に選択して Tableau Cloud アプリケーションをクリックし、 [サインオン] タブを選択します。

    2. [編集] をクリックします。

    3. [詳細なサインオン設定] の [Tableau Cloud エンティティ ID] テキスト ボックスに URL を貼り付けます。

    4. [Tableau Cloud ACSACS URL] でステップ 7 と 8 を繰り返します。

      注: Tableau Cloud SAML の構成設定は、Okta の設定ページとは異なる順序で表示されます。SAML 認証の問題が発生しないように、Tableau Cloud エンティティ ID とTableau Cloud ACS URL が Okta の正しいフィールドに入力されていることを確認します。

    5. 完了したら、[保存] をクリックします。

  7. Tableau Cloud SAML 構成設定に戻り、ステップ 1 の [メソッド 2: メタデータをコピーして、証明書をダウンロードする] で、[証明書のダウンロード] をクリックします。

  8. Okta 管理者コンソールの Tableau Cloud アプリケーションに戻り、[サインオン] タブで [編集] をクリックして次の操作を実行します。

    1. [メタデータの詳細] で、メタデータ URL をコピーします。

    2. URL を新しいブラウザーに貼り付け、デフォルトの metadata.xml を使用して結果をファイルとして保存します。

  9. Tableau Cloud SAML 構成設定に戻り、4. [Tableau Cloud にメタデータをアップロードする] で、[ファイルを選択] ボタンをクリックし、metadata.xml ファイルを選択してファイルをアップロードします。これにより、[IdP エンティティ ID][SSO サービス URL] の値が自動的に入力されます。

  10. [Tableau Cloud User Profile Mappings (Tableau Cloud ユーザー プロフィール マッピング)] ページの属性名 (アサーション) を、Tableau Cloud SAML 構成設定の 5. [属性の照合] で該当した属性名に一致させます。

  11. 7. [構成のテスト] で、[構成のテスト] ボタン ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。 をクリックします。

    注: 接続が失敗した場合は、NameID 属性を Tableau でそのまま使用することを検討してください。

ステップ 4: ユーザーを SAML が有効になっている Tableau サイトに追加する

SCIM を使用して Okta からユーザーをプロビジョニングする場合は、ユーザーを Tableau Cloud に手動で追加しないでください。詳細については、Okta を使用した SCIM の構成を参照してください。SCIM を使用していない場合は、以下の手順に従ってサイトにユーザーを追加します。

このセクションで説明する手順は、Tableau Cloud の [ユーザー] ページで実行します。

  1. ステップ 3: SAML を設定するを完了したら、Tableau Cloud サイトに戻ります。

  2. 左側のペインから [ユーザー] ページに移動します。

  3. サイトへのユーザーの追加トピックで説明されている手順に従います。

ステップ 5: iFrame 埋め込みを有効にする (オプション)

サイトでの SAML を有効化する際には、Web ページに埋め込まれたビューへアクセスするためのユーザーのサインイン方法を指定する必要があります。これらのステップでは、埋め込みビジュアライゼーションでインライン フレーム (iFrame) を使用した認証を許可するように Okta を構成します。インライン フレームを埋め込むことで、埋め込まれたビジュアライゼーションを表示するためにサインインする際に、シームレスなユーザー エクスペリエンスを提供することができます。たとえば、ユーザーがすでに ID プロバイダーで認証済みで、iFrame の埋め込みが有効になっている場合、埋め込まれたビジュアライゼーションを含むページを閲覧するときに Tableau Cloud でシームレスに認証されるようになります。

注意: iFrame はクリックジャック攻撃に対しては脆弱な場合があります。クリックジャックとは、無関係のページ上の透明なレイヤーに攻撃するページを表示することで、攻撃者がユーザーにクリックさせたり、コンテンツを入力させようとする、Web ページに対する攻撃の一種です。Tableau Cloud との関連では、ユーザーの認証資格情報を取得したり、認証されたユーザーを取得して設定を変更したりするためにクリックジャック攻撃を使用する可能性があります。クラックジャック攻撃の詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。

  1. Okta 管理者コンソールにサインインします。

  2. 左側のペインで、[カスタマイズ] > [その他] の順に選択し、[IFrame 埋め込み] セクションに移動します。

  3. [編集] をクリックし、[iFrame 埋め込みを許可する] チェック ボックスを選択して [保存] をクリックします。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!