Okta を使用した SAML の構成


Okta を SAML の ID プロバイダー (IdP) に使用している場合、このトピックの情報を使用して Tableau Cloud または Tableau Cloud Manager (TCM) で SAML 認証を設定できます。Okta ドキュメントの「Tableau Cloud 用に SAML 2.0 を構成する方法」(新しいウィンドウでリンクが開く)のトピックを使用することもできます。

Tableau Cloud の Okta との SAML 統合は、サービス プロバイダー (SP) 開始の SSO、アイデンティティ プロバイダー (IdP) 開始の SSO、およびシングル ログアウト (SLO) をサポートしています。

注: 

  • 注: これらのステップはサード パーティーのアプリケーションを反映しており、通知なしに変更されることがあります。ここで説明する手順が IdP アカウントで表示される画面と一致しない場合、IdP のドキュメントとともにに一般的な SAML の構成手順およびを使用することができます。
  • 2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau の要件になります。
  • IdP での設定手順は、Tableau で表示される順序とは異なる場合があります。

ステップ 1: はじめに

Tableau Cloud で、次の操作を行います。

  1. サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。

  2. [認証] タブで、[新しい設定] ボタンをクリックし、[認証] ドロップダウンから [SAML] を選択して、設定の名前を入力します。

    Tableau Cloud サイトの認証設定ページ - [新しい構成] のスクリーンショット

    注: 2024 年 11 月 (Tableau 2024.3) より前に作成された構成の名前は変更できません。

あるいは、TCM で次の操作を行います。

  1. Cloud 管理者として TCM にサインインし、[設定][認証] の順に選択します。

  2. [その他の認証方式を有効化する] のチェックボックスを選択し、[認証] のドロップダウンから [SAML] を選択します。

  3. [設定 (必須)] のドロップダウン矢印をクリックします。

Okta 管理者コンソールで、次の操作を行います。 

注: TCM の場合、IdP の「Tableau Cloud アプリケーション」を使用して TCM 認証を設定します。

  1. 新しいブラウザーのタブまたはウィンドウを開いて、Okta 管理者コンソールにサインインします。

  2. 左側のペインで、[アプリケーション][アプリケーション] の順に選択し、[アプリ カタログの参照] ボタンをクリックします。

  3. 「Tableau Cloud」を検索してクリックし、[統合の追加] ボタンをクリックします。これにより [全般設定] タブが開きます。

  4. (オプション) Tableau Cloud サイトが複数ある場合は、Tableau Cloud アプリケーションのインスタンスとの違いがわかるように、[アプリケーション ラベル] フィールドでサイト名を編集してください。

  5. サインオン タブに移動して [編集] をクリックし、次の操作を実行します。

    1. [メタデータの詳細] で、メタデータ URL をコピーします。

    2. URL を新しいブラウザーに貼り付け、デフォルトの metadata.xml を使用して結果をファイルとして保存します。

ステップ 2: Tableau Cloud または TCM で SAML を設定する

上記のセクションで説明したように、Okta から SAML メタデータ ファイルを保存した後、次の手順を実行します。

Tableau Cloud の場合

  1. Tableau Cloud に戻り、[新しい構成] ページの [2.Tableau にメタデータをアップロードする] で、[ファイルを選択] ボタンをクリックして、Okta から保存したメタデータ ファイルに移動します。これにより、[IdP エンティティ ID] と [SSO サービス URL] の値が自動的に入力されます。

  2. [3.マップ属性] の属性名 (アサーション) を、Okta管理コンソールの [Tableau Cloud ユーザー プロファイルのマッピング] ページの対応する属性名 (アサーション) にマッピングします。

  3. [4.埋め込みビューの既定を選択 (オプション)] で、ユーザーが埋め込みコンテンツにアクセスしたときに有効にするエクスペリエンスを選択します。詳細については、以下の「iFrame の埋め込みの有効化」セクションを参照してください。

  4. [保存して続ける] ボタンをクリックします。

TCM の場合

  1. TCM に戻り、[認証] ページの [2.Tableau にメタデータをアップロードする] で、[ファイルを選択] ボタンをクリックして、Okta から保存したメタデータ ファイルに移動します。これにより、[IdP エンティティ ID] と [SSO サービス URL] の値が自動的に入力されます。

  2. [3.マップ属性] の属性名 (アサーション) を、Okta管理コンソールの [Tableau Cloud ユーザー プロファイルのマッピング] ページの対応する属性名 (アサーション) にマッピングします。

  3. [保存して続ける] ボタンをクリックします。

ステップ 3: IdP で「Tableau Cloud アプリケーション」を設定する

Tableau Cloud の場合、このセクションの手順では、[5.Tableau Cloud メタデータを取得する] の情報を使用します。この情報は、Tableau Cloud の [新しい構成] ページの [方法 2: メタデータをコピーして証明書をダウンロードする] にあります。TCM の場合、このセクションの手順では、[4.Tableau Cloud メタデータを取得する] の情報を使用します。この情報は、TCM の [認証] ページの [方法 2: メタデータをコピーして証明書をダウンロードする] にあります。

注: TCM の場合、IdP の「Tableau Cloud アプリケーション」を使用して TCM 認証を設定します。

  1. Okta 管理者コンソールで、[割り当て] タブをクリックしてユーザーまたはグループを追加します。

  2. 終了したら、[完了] をクリックします。

  3. [サインオン] タブをクリックし、[設定] セクションで [編集] をクリックします。

  4. (オプション) シングル ログアウト (SLO) を有効にする場合は、次の手順を実行します。

    1. [シングル ログアウト有効化] チェックボックスを選択します。

    2. Tableau Cloud メタデータ ファイルから「シングル ログアウト URL」の値をコピーします。例: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>詳細については、Tableau ナレッジ ベースの「Okta で SAML を使用してシングル ログアウトを設定する」(新しいウィンドウでリンクが開く)を参照してください。

    3. [詳細なサインオン設定] テキスト ボックスに、ステップ b でコピーした値を入力します。

    4. [署名証明書] の隣にある [ブラウズ] ボタンをクリックし、上記のセクションでダウンロードした証明書ファイルに移動します。

    5. ファイルを選択し、[アップロード] ボタンをクリックします。

    6. 完了したら、[保存] をクリックします。

  5. [アプリケーション][アプリケーション] の順に選択して Tableau Cloud アプリケーションをクリックし、[サインオン] タブを選択して以下を実行します。

    1. [編集] をクリックします。

    2. [サインオンの詳細設定] で、Okta 管理者コンソールの [Tableau Cloud エンティティ ID] テキストボックスに、Tableau Cloud または TCM[Tableau Cloud エンティティ ID] の値を貼り付けます。

    3. Okta 管理者コンソールの [Tableau Cloud ACS URL] テキストボックスに、Tableau Cloud または TCM[Tableau Cloud ACS URL] の値を貼り付けます。

    注: Tableau Cloud および TCM の SAML の構成設定は、Okta の設定ページとは異なる順序で表示されます。SAML 認証の問題が発生しないように、Tableau Cloud エンティティ ID とTableau Cloud ACS URL が Okta の正しいフィールドに入力されていることを確認します。

  6. 完了したら、[保存] をクリックします。

ステップ 4: SAML 構成をテストする

Okta で以下を行います。

  • サンプル ユーザーを Okta に追加し、「Tableau Cloud アプリケーション」に割り当てます。

Tableau Cloud または TCM で、次の操作を行います。

  1. その Okta ユーザーを Tableau Cloud に追加して、SAML 設定をテストします。

  2. 次のいずれかを実行します。

    • Tableau Cloud では、[新しい構成] ページの [7.構成のテスト] で、[構成のテスト] ボタンをクリックします。

    • TCM では、[認証] ページの [6.構成のテスト] で、[構成のテスト] ボタンをクリックします。

ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud または TCM に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。

注: 接続が失敗した場合は、NameID 属性を Tableau でそのまま使用することを検討してください。

ステップ 5: SAML が有効になっている Tableau Cloud サイトまたは TCM にユーザーを追加する

SCIM を使用して Okta からユーザーをプロビジョニングする場合は、ユーザーを Tableau Cloud に手動で追加しないでください。詳細については、Okta を使用した SCIM の構成を参照してください。SCIM を使用していない場合は、以下の手順に従ってサイトにユーザーを追加します。注: SCIM プロビジョニングは TCM では使用できません。

このセクションの手順は、Tableau Cloud[ユーザー] ページで実行します。

  1. 上記の手順を完了したら、左側のペインから [ユーザー] ページに移動します。

  2. 以下の手順に従ってください。

iFrame の埋め込みの有効化

注: Tableau Cloud にのみ適用されます。

サイトでの SAML を有効化する際には、Web ページに埋め込まれたビューへアクセスするためのユーザーのサインイン方法を指定する必要があります。これらのステップでは、埋め込みビジュアライゼーションでインライン フレーム (iFrame) を使用した認証を許可するように Okta を構成します。インライン フレームを埋め込むことで、埋め込まれたビジュアライゼーションを表示するためにサインインする際に、シームレスなユーザー エクスペリエンスを提供することができます。たとえば、ユーザーがすでに ID プロバイダーで認証済みで、iFrame の埋め込みが有効になっている場合、埋め込まれたビジュアライゼーションを含むページを閲覧するときに Tableau Cloud でシームレスに認証されるようになります。

注意: iFrame はクリックジャック攻撃に対しては脆弱な場合があります。クリックジャックとは、無関係のページ上の透明なレイヤーに攻撃するページを表示することで、攻撃者がユーザーにクリックさせたり、コンテンツを入力させようとする、Web ページに対する攻撃の一種です。Tableau Cloud との関連では、攻撃者がクリックジャック攻撃を使用して、ユーザーの認証資格情報を取得したり、認証されたユーザーになりすまして設定を変更したりする可能性があります。クラックジャック攻撃の詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。

  1. Okta 管理者コンソールにサインインします。

  2. 左側のペインで、[カスタマイズ] > [その他] の順に選択し、[IFrame 埋め込み] セクションに移動します。

  3. [編集] をクリックし、[iFrame 埋め込みを許可する] チェック ボックスを選択して [保存] をクリックします。

一番上に戻る