OneLogin を使用した SAML の構成


OneLogin を SAML の ID プロバイダー (IdP) に使用している場合、このトピックの情報を使用して Tableau Cloud または Tableau Cloud Manager (TCM) で SAML 認証を設定できます。

これらのステップでは、ユーザーが組織の OneLogin ポータルを修正するパーミッションを持ち、XML を読み取り、値を属性に貼り付けることに抵抗がないと想定されています。

注: 

  • 注: これらのステップはサード パーティーのアプリケーションを反映しており、通知なしに変更されることがあります。ここで説明する手順が IdP アカウントで表示される画面と一致しない場合、IdP のドキュメントとともにに一般的な SAML の構成手順およびを使用することができます。
  • 2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau の要件になります。
  • IdP での設定手順は、Tableau で表示される順序とは異なる場合があります。

ステップ 1: はじめに

Tableau Cloud で、次の操作を行います。

  1. サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。

  2. [認証] タブで、[新しい設定] ボタンをクリックし、[認証] ドロップダウンから [SAML] を選択して、設定の名前を入力します。

    Tableau Cloud サイトの認証設定ページ - [新しい構成] のスクリーンショット

    注: 2024 年 11 月 (Tableau 2024.3) より前に作成された構成の名前は変更できません。

あるいは、TCM で次の操作を行います。

  1. Cloud 管理者として TCM にサインインし、[設定][認証] の順に選択します。

  2. [その他の認証方式を有効化する] のチェックボックスを選択し、[認証] のドロップダウンから [SAML] を選択します。

  3. [設定 (必須)] のドロップダウン矢印をクリックします。

OneLogin で、次の操作を行います。

  1. 新しいブラウザー タブまたはウィンドウを開き、OneLogin 管理者ポータルにサインインし、次の手順を実行します。

  2. [アプリケーション] ページで、[アプリの追加] を選択します。Tableau を検索し、結果から [Tableau Cloud SSO] を選択します。このエリアで SAML 接続を構成します。

    注: OneLogin の Tableau Cloud SSO オプションは、Tableau Server では機能しません。

  3. [情報] ページで、ポータル設定を行います。Tableau Cloud サイトが複数ある場合は、ユーザーがサイトを選択しやすくなるように、[表示名] フィールドにサイト名を含めることを検討してください。

  4. [SSO] ページで、[SLO エンドポイント (HTTP)] フィールドに表示されている URI を選択してコピーします。

    注: ラベルには HTTP と表示されますが、SLO (シングル ログアウト) エンドポイントは SSL/TLS 暗号化を使用するため、URI は https アドレスとして提供されます。

  5. 同じページで [その他のアクション][SAML メタデータ] を選択してから、OneLogin メタデータ ファイルをお使いのコンピューターに保存します。

ステップ 2: Tableau Cloud または TCM で SAML を設定する

上記のセクションで説明したように、OneLogin から SAML メタデータ ファイルをダウンロードした後、次の手順を実行します。

Tableau Cloud の場合

  1. Tableau Cloud に戻り、[新しい構成] ページの [2.[Tableau にメタデータをアップロードする] で、[ファイルを選択] ボタンをクリックして、OneLogin からダウンロードした SAML メタデータ ファイルに移動します。

    重要: OneLogin メタデータ ファイルのアップロードで問題が発生した場合は、OneLogin で既定以外の証明書を使用することを検討してください。新しい証明書を作成するには、OneLogin 管理者ポータルから [セキュリティ] > [証明書] を選択します。新しい証明書を作成する場合は、OneLogin の Tableau Cloud アプリケーションがこの新しい証明書を使用する必要があります。

  2. [3.マップ属性] に進み、次のように値を設定します。

    1. [ユーザー名] には、メール アドレスを入力します。これは、ユーザーが Tableau Cloud にサインインするために使用するメール アドレスです。

    2. [メール アドレス] には、IdP のドキュメントに従ってオプションの属性値を入力します。この属性は、メール アドレスがユーザー名と異なる場合に、ユーザーが通知を受信するメール アドレスです。これは通知のためだけに使用されます。

    3. [表示名] には、[名と姓] ラジオ ボタンを選択します。

      1. [名] には、FirstName を入力します。

      2. [姓] には、LastName を入力します。

    SAML 構成ページ - ステップ [3.マップ属性] のスクリーンショット

  3. [4.埋め込みビューの既定を選択 (オプション)] で、ユーザーが埋め込みコンテンツにアクセスしたときに有効にするエクスペリエンスを選択します。詳細については、以下の「iFrame の埋め込みの有効化」セクションを参照してください。

  4. [保存して続ける] ボタンをクリックします。

TCM の場合

  1. TCM に戻り、[認証] ページの [2.[Tableau にメタデータをアップロードする] で、[ファイルを選択] ボタンをクリックして、OneLogin からダウンロードした SAML メタデータ ファイルに移動します。

    重要: OneLogin メタデータ ファイルのアップロードで問題が発生した場合は、OneLogin で既定以外の証明書を使用することを検討してください。新しい証明書を作成するには、OneLogin 管理者ポータルから [セキュリティ] > [証明書] を選択します。新しい証明書を作成する場合は、OneLogin の TCM アプリケーションがこの新しい証明書を使用する必要があります。

  2. [3.マップ属性] に進み、次のように値を設定します。

    1. [ユーザー名] には、メール アドレスを入力します。これは、ユーザーが TCM にサインインするために使用するメール アドレスです。

    2. [メール アドレス] には、IdP のドキュメントに従ってオプションの属性値を入力します。この属性は、メール アドレスがユーザー名と異なる場合に、ユーザーが通知を受信するメール アドレスです。これは通知のためだけに使用されます。

    3. [表示名] には、[名と姓] ラジオ ボタンを選択します。

      1. [名] には、FirstName を入力します。

      2. [姓] には、LastName を入力します。

    SAML 構成ページ - ステップ [3.マップ属性] のスクリーンショット

  3. [保存して続ける] ボタンをクリックします。

ステップ 3: IdP で「Tableau Cloud アプリケーション」を設定する

Tableau Cloud の場合、このセクションの手順では、[5.Tableau Cloud メタデータを取得する] の情報を使用します。この情報は、Tableau Cloud の [新しい構成] ページの [方法 2: メタデータをコピーして証明書をダウンロードする] にあります。

TCM の場合、このセクションの手順では、[4.Tableau Cloud メタデータを取得する] の情報を使用します。この情報は、TCM の [認証] ページの [方法 2: メタデータをコピーして証明書をダウンロードする] にあります。

  1. OneLogin ポータルに戻り、[構成] ページの Tableau Cloud または TCM のアプリケーションで、次の操作を行います。

    1. OneLogin ポータルの [コンシューマー URL] には、Tableau Cloud または TCM[Tableau Cloud ACSACS URL] 値を貼り付けます。

    2. OneLogin ポータルの [オーディエンス] には、Tableau Cloud または TCM[Tableau Cloud エンティティ ID] 値を貼り付けます。

    Tableau Cloud SAML の [新しい構成] ページ - ステップ [5.Tableau Cloud からメタデータをエクスポートする] のスクリーンショット

  2. [SSO] ページに移動し、[SAML 署名アルゴリズム][SHA-256] を選択します。

  3. [パラメーター] ページに移動し、値が次のように表示されることを確認します。

    Tableau Cloud または TCM のフィールド
    ユーザー名メール

ステップ 4: SAML 構成をテストする

OneLogin で、次の操作を行います。

  • サンプル ユーザーを OneLogin に追加し、「Tableau Cloud アプリケーション」に割り当てます。

Tableau Cloud または TCM で、次の操作を行います。

  1. その OneLogin ユーザーを Tableau に追加して、SAML 構成をテストします。

  2. 次のいずれか 1 つを実行します。

    • Tableau Cloud では、[新しい構成] ページの [7.構成のテスト] で、[構成のテスト] ボタンをクリックします。

    • TCM では、[認証] ページの [6.構成のテスト] で、[構成のテスト] ボタンをクリックします。

ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud または TCM に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。

ステップ 5: SAML が有効になっている Tableau Cloud サイトまたは TCM にユーザーを追加する

サイトにユーザーを追加するには、次の手順に従います。このセクションの手順は、Tableau Cloud または TCM[ユーザー] ページで実行します。

  1. 上記の手順を完了したら、左側のペインから [ユーザー] ページに移動します。

  2. 以下の手順に従ってください。

iFrame の埋め込みの有効化

注: Tableau Cloud にのみ適用されます。

サイトでの SAML を有効化する際には、Web ページに埋め込まれたビューへアクセスするためのユーザーのサインイン方法を指定する必要があります。これらの手順により、OneLogin ダッシュボードを別のサイトでインライン フレーム (iFrame) に埋め込めるように、OneLogin を構成します。インライン フレームを埋め込むことで、埋め込まれた要素を表示するためにサインインするユーザーに、シームレスなユーザー エクスペリエンスを提供することができます。たとえば、ユーザーがすでに ID プロバイダーで認証済みで、iFrame の埋め込みが有効になっている場合は、ユーザーが埋め込みビジュアライゼーションを含むページを閲覧するときに Tableau Cloud でシームレスに認証されるようになります。

注意: インライン フレームはクリックジャック攻撃に対しては脆弱な場合があります。クリックジャックとは、無関係のページ上の透明なレイヤーに攻撃するページを表示することで、攻撃者がユーザーにクリックさせたり、コンテンツを入力させようとする、Web ページに対する攻撃の一種です。Tableau Cloud との関連では、攻撃者がクリックジャック攻撃を使用して、ユーザーの認証資格情報を取得したり、認証されたユーザーになりすまして設定を変更したりする可能性があります。クラックジャック攻撃の詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。

  1. 新しいブラウザー タブまたはウィンドウを開き、OneLogin 管理者ポータルにサインインします。

  2. [設定] メニューで [アカウント設定] をクリックします。

  3. [基本] ページの [フレーム保護] で、[フレーム保護を無効にする (X-Frame-Options)] チェック ボックスをオンにします。

一番上に戻る