このトピックでは、サイトまたは Tableau Cloud Manager (TCM) で SAML を有効にして、シングル サインオン (SSO) ユーザーを選択する方法について説明します。また、SAML から既定の Tableau 認証に切り替える手順も提供しています。SAML を有効化する前に、認証タイプの変更による Tableau Bridge への影響を含めTableau Cloud の SAML 要件を見直すことをお勧めします。
このトピックでは、認証および「SAML 認証のしくみ」の情報を理解していることを前提としています。
このトピックの後のセクションのステップでは、IdP のドキュメントと一緒に使用して Tableau Cloud サイトまたは TCM 用に SAML を構成する基本的な手順を提供します。次の IdPs に対して IdP-specific 構成ステップを実行できます。
Tableau Cloud の場合
サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。
[認証] タブで、[新しい設定] ボタンをクリックし、[認証] ドロップダウンから [SAML] を選択して、設定の名前を入力します。
![Tableau Cloud サイトの認証設定ページ - [新しい構成] のスクリーンショット](Img/saml_config_site3.png)
注: 2024 年 11 月 (Tableau 2024.3) より前に作成された構成の名前は変更できません。
TCM の場合
あるいは、TCM で次の操作を行います。
Cloud 管理者として TCM にサインインし、[設定]、[認証] の順に選択します。
[その他の認証方式を有効化する] のチェックボックスを選択し、[認証] のドロップダウンから [SAML] を選択します。
[設定 (必須)] のドロップダウン矢印をクリックします。
このセクションでは、Tableau Cloud または TCM の設定ページの [認証] タブで表示されている設定手順について説明します。
注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。
ステップ 1: IdP からメタデータをエクスポート
IdP にアクセスして IdP アカウントにサインインし、IdP のドキュメントに記載されている手順に従って IdP のメタデータをダウンロードします。IdP のメタデータにより Tableau Cloud または TCM を有効にし、IdP に接続します。
ステップ 1 の IdP のドキュメントでは、メタデータをサービス プロバイダーに提供する方法も示しています。そのドキュメントでは、SAML メタデータ ファイルをダウンロードするように指示しているか、XML コードが表示されています。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。
ステップ2: Tableau にメタデータをアップロード
Tableau Cloud の場合、Tableau Cloud の [新しい設定] ページで、IdP からダウンロードしたか、提供された XML から手動で構成したメタデータ (.xml) ファイルをインポートします。
TCM の場合、TCM の [認証] ページで、IdP からダウンロードしたか、提供された XML から手動で構成したメタデータ (.xml) ファイルをインポートします。
注:
- IdP メタデータをアップロードすると、[IdP エンティティ ID] フィールドと [IdP SSO サービス URL] フィールドはいずれも自動的に入力されます。
- 設定を編集する場合は、Tableau が正しい IdP エンティティ ID と SSO サービス URL を使用できるように、メタデータ ファイルをアップロードする必要があります。
- 新しいメタデータ ファイルをアップロードする必要がある場合は、[IdP メタデータをクリア] ボタンを使用できます。
ステップ3: 属性をマッピング
属性は、認証、認可、およびユーザーに関する他の情報を含みます。
注: Tableau Cloud または TCM では、SAML 応答に NameID 属性を含める必要があります。Tableau でユーザー名をマッピングするときは、他の属性を使用できますが、応答メッセージには NameID 属性を含める必要があります。
ユーザー名: (必須) ユーザーのユーザー名 (メール アドレス) を格納する属性の名称を入力します。
メールアドレス: (オプション) ユーザーがユーザー名とは異なるメール アドレスで通知を受信できるようにするために、認証プロセス中に IdP が使用するメール アドレスを含む属性の名前を入力します。メール アドレス属性は通知目的にのみ使用され、サインインには使用されません。
表示名: (オプションであるが推奨) 名と姓に別の属性を使用している IdP もあれば、フル ネームを 1 つの属性に保存する IdP もあります。
IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。
ステップ4: 埋め込みビューの既定を選択
注: Tableau Cloud にのみ適用されます。
ユーザーが埋め込みビューにサインインする方法を選択します。IdP のサインイン フォームを表示する個別のポップアップ画面を開く、またはインライン フレーム (iframe) を使用するオプションがあります。
重要: iframe はクリックジャック攻撃にぜい弱な場合があるため、すべての IdP で iframe からのサインインがサポートされているわけではありません。クリックジャックでは、攻撃者はユーザーにコンテンツをクリックさせたり、入力させようとします。攻撃者は、無関係のページ上の透明なレイヤーに攻撃するページを表示させ、これを行います。Tableau Cloud では、攻撃者はユーザーの認証資格情報を取得したり認証されたユーザーを取得して設定を変更したりする可能性があります。詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。
IdP が iframe からのサインインをサポートしていない場合、[個別のポップアップ ウィンドウでの認証] を選択します。
ステップ 4: Tableau メタデータを取得する (TCM)
TCM と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。TCM からメタデータを取得するには、次の方法のいずれかを選択します。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。
[メタデータのエクスポート] ボタンを選択して、Tableau Cloud SAML エンティティ ID、Assertion Consumer Service (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。
IdP が必要な情報を別の方法で求めている場合、[証明書のダウンロード] を選択します。たとえば、Tableau Cloud エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。
ステップ 5: Tableau メタデータを取得する (Tableau Cloud)
Tableau Cloud と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Cloud からメタデータを取得するには、次の方法のいずれかを選択します。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。
[メタデータのエクスポート] ボタンを選択して、Tableau Cloud SAML エンティティ ID、Assertion Consumer Service (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。
IdP が必要な情報を別の方法で求めている場合、[証明書のダウンロード] を選択します。たとえば、Tableau Cloud エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。
ステップ 5: IdP を設定する (TCM)
ステップ 5 では、IdP のドキュメントに記載されている指示に従って、TCM メタデータを送信します。
ステップ 6: IdP を設定する (Tableau Cloud)
ステップ 6 では、IdP のドキュメントに記載されている指示に従って、Tableau Cloud メタデータを送信します。
ステップ 6: 設定のテストと SAML のトラブルシューティング (TCM)
ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud または TCM に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。
TCM に正常にサインインできない場合は、[認証] ページで提案されているトラブルシューティング手順から始めてください。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。
ステップ 7: 設定のテストと SAML のトラブルシューティング (Tableau)
ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud または TCM に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。
Tableau Cloud に正常にサインインできない場合は、[新しい設定] ページで提案されているトラブルシューティング手順から始めてください。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。
ユーザーの管理
既存の Tableau Cloud または TCM のユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。
ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。
詳細については、次のいずれかを参照してください。
埋め込みビュー用の既定の認証タイプ
注: Tableau Cloud にのみ適用されます。
ユーザーが認証タイプを選択する
このオプションを選択すると、ポップアップ ウィンドウのみがサポートされます。このポップアップ ウィンドウでは、ビューが埋め込まれている場所に 2 つのサインイン オプションが表示されます。1 つはシングル サインオン (SSO) 認証を使用するサインイン ボタンで、もう 1 つは代わりに Tableau の認証資格情報を使用するリンクです。
ヒント: このオプションでは、ユーザーはどちらの方法を選択するかを知っている必要があります。通知の一部として、シングル サインオン サイトに追加した後でユーザーに送信し、さまざまなサインイン シナリオで使用する認証タイプを知らせます。たとえば、埋め込みビュー、Tableau Desktop、Tableau Bridge、Tableau Mobile などがあります。
Tableau で MFA を使用
このオプションでは、サイトで SAML が有効になっている場合でも、ユーザーは多要素認証 (MFA) で Tableau 認証資格情報を使用してサインインする必要があります。MFA を使用して Tableau にサインインするには、Tableau Cloud にサインインするたびに ID を確認するための検証方法をユーザーが設定する必要があります。詳細については、多要素認証 と Tableau Cloudを参照してください。
認証設定のリスト
特定の設定オプションを選択した際、ユーザーが埋め込みビューにサインインする方法は、上記のステップ 6 で指定した設定に対して行った設定によって決定されます。
サイトまたはテナントが SAML 用に構成されている場合は、設定を変更して、一部またはすべてのユーザーに対して Tableau 認証資格情報を使用してサインインするように要求することができます。
アイデンティティ プロバイダーによるの認証処理が必要なくなった場合、またはすべてのユーザーに対して Tableau 認証資格情報を使用してサインインするように要求する場合は、サイトまたはテナントのレベルで認証タイプを変更できます。以下のサイトの認証タイプの変更 セクションを参照してください。
一部のユーザーに対しては SAML を有効にしたままにし、その他のユーザーに対しては Tableau の使用を要求する場合は、ユーザー レベルで認証タイプを変更できます。詳細については、ユーザーの認証タイプの設定を参照してください。
Tableau Cloud の場合
2024 年 11 月 (Tableau 2024.3) 以降、サイトで複数の認証タイプと認証方法を有効にできるようになりました。サイトで利用可能な認証を変更するには、認証構成を有効または無効にします。
Tableau Cloud サイトにサイト管理者としてサインインします。
[設定] > [認証] を選択します。
サイトの認証設定を無効または有効にするには、[アクション] メニューをクリックして [無効にする] または [有効にする] を選択します。
SAML 設定を無効にしてもメタデータと IdP 情報は保存されるため、もう一度有効にする場合でも、IdP との SAML 接続を設定し直す必要はありません。
TCM の場合
Cloud 管理者として TCM にサインインします。
[設定]、[認証] の順に選択します。
[追加の認証方法を有効にする] チェック ボックスの選択を外します。
Tableau サイトのメタデータに使用する証明書は Tableau から提供され、構成を変更できません。の SAML 証明書を更新するには、IdP に新しい証明書をアップロードし、メタデータを Tableau Cloud と交換し直す必要があります。
Tableau Cloud の場合
サイト管理者としてサイトにサインインし、[設定]、[認証] の順に選択します。
[認証の種類] で、更新したい SAML 設定に移動し、[アクション] メニューをクリックして [編集] を選択します。
新しいタブまたは新しいウィンドウを開き、IdP アカウントにサインインします。
IdP のドキュメントに記載されている手順に従って、新しい SAML 証明書をアップロードします。
新しい XML メタデータ ファイルをダウンロードして、Tableau Cloud に提供します。
Tableau Cloud の [設定の編集] ページに戻り、ステップ 2 で、IdP からダウンロードしたメタデータ ファイルをアップロードします。
ページを下にスクロールして、[保存して続行] ボタンをクリックします。
TCM の場合
Cloud 管理者として TCM にサインインし、[設定]、[認証] の順に選択します。
[認証] ドロップダウンから、[SAML]、[構成 (必須)] の順に選択します。
新しいタブまたは新しいウィンドウを開き、IdP アカウントにサインインします。
IdP のドキュメントに記載されている手順に従って、新しい SAML 証明書をアップロードします。
新しい XML メタデータ ファイルをダウンロードして、TCM に提供します。
TCM の [認証] ページに戻り、ステップ 2 で、IdP からダウンロードしたメタデータ ファイルをアップロードします。
ページを下にスクロールして、[保存して続行] ボタンをクリックします。
接続されているクライアントからサイトにアクセス
