このトピックでは、サイトで SAML を有効にして、シングル サインオン ユーザーを選択する方法について説明します。また、SAML から既定の TableauID 認証に切り替える手順も提供しています。SAML を有効化する前に、認証タイプの変更による Tableau Bridge への影響を含めTableau Cloud の SAML 要件を見直すことをお勧めします。
このトピックでは、認証および「SAML 認証のしくみ」の情報を理解していることを前提としています。
IdP 固有の構成情報
このトピックの後のセクションのステップでは、IdP のドキュメントと一緒に使用して Tableau Cloud サイト用に SAML を構成する基本的な手順を提供します。次の IdPs に対して IdP-specific 構成ステップを実行できます。
SAML の有効化
サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。
[認証] タブで、[追加の認証方法を有効にする]、[SAML]、[接続の編集] の順に選択します。
SAML 構成手順
このセクションでは、Tableau Cloud Web UI の [認証] ページで表示される構成手順について説明しす。セルフホステッド Tableau Server インストールでは、このページは、サイト固有の SAML のサポートがサーバー レベルで有効になっている場合にのみ表示されます。Tableau Cloud では既定で有効に設定されています。
注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。
Tableau Cloud と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Cloud からメタデータを取得するには、次の手順のいずれかを行います。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。
[メタデータのエクスポート] を選択して、Tableau CloudSAML エンティティ ID、Assertion Consumer Service (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。
IdP が異なる方法で必要情報を求めている場合、[サインインおよび暗号化の証明書のダウンロード] を選択します。たとえば、Tableau Cloud エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。
次の図は、これらの設定が Tableau Cloud と Tableau Server で同じであることを表示するため編集しています。
ステップ 2 では、ステップ 1 でエクスポートしたメタデータをインポートするために、IdP アカウントにサインインし、IdP のドキュメンテーションが提供している手順を使って Tableau Cloud メタデータを提出します。
ステップ 3 では、IdP の文書はメタデータをサービス プロバイダーに対して提供する方法も示しています。メタデータ ファイルをダウンロードするように指示するか、XML コードが表示されます。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。
Tableau Cloud の認証ページで、IdP からダウンロードしたか、それが提供する XML から手動で構成したメタデータファイルをインポートします。
属性は、認証、認可、およびユーザーに関する他の情報を含みます。[アイデンティティ プロバイダー (IdP) アサーション名] 列内で、Tableau Cloud が必要とする情報を含む属性を入力します。
注: Tableau Cloud では、SAML 応答に NameID 属性を含める必要があります。Tableau Cloud でユーザー名をマッピングするときは、他の属性を使用できますが、応答メッセージには NameID 属性を含める必要があります。
メール: (必須) ユーザーのメールアドレスを格納する属性の名称を入力します。
表示名: (オプションであるが推奨) 名と姓に別の属性を使用している IdP もあれば、フル ネームを 1 つの属性に保存する IdP もあります。
IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。
ユーザーが埋め込みビューにサインインする方法を選択します。IdP のサインイン フォームを表示する個別のポップアップ画面を開く、またはインライン フレーム (iframe) を使用するオプションがあります。
注意: iframe はクリックジャック攻撃に脆弱な場合があるため、すべての IdP で iframe からのサインインがサポートされているわけではありません。クリックジャックでは、攻撃者はユーザーにコンテンツをクリックさせたり、入力させようとします。攻撃者は、無関係のページ上の透明なレイヤーに攻撃するページを表示させ、これを行います。Tableau Cloud では、攻撃者はユーザーの認証資格情報を取得したり認証されたユーザーを取得して設定を変更したりする可能性があります。詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。
IdP が iframe からのサインインをサポートしていない場合、[個別のポップアップ ウィンドウでの認証] を選択します。
関連項目:埋め込みビュー用の既定の認証タイプ
[認証] ページで提案されているトラブルシューティングの手順を開始します。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。
既存の Tableau Cloud ユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。
ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。
詳細については、サイトへのユーザーの追加またはユーザーのインポートを参照してください。
サイトで SAML を有効化する一環として、ユーザーが Web ページに埋め込まれたビューにアクセスする方法を指定します。
ユーザーに認証タイプの選択を許可する
これを選択すると、ビューが埋め込まれている場所に 2 つのサインイン オプションが表示されます。1 つはシングル サインオン認証を使用するサインイン ボタンで、もう 1 つは代わりに TableauID を使用するリンクです。
ヒント: このオプションでは、ユーザーはどちらの方法を選択するかを知っている必要があります。通知の一部として、シングル サインオン サイトに追加した後でユーザーに送信し、さまざまなサインイン シナリオで使用する認証タイプを知らせます。たとえば、埋め込みビュー、Tableau Desktop、Tableau Bridge、Tableau Mobile などがあります。
Tableau
このオプションは、サイトで SAML が有効化されている場合でも、ユーザーは TableauID を使用してサインインする必要があります。通常この方法は、管理者が埋め込みビューおよび SAML の問題を解決するために使用されます。
SAML
このオプションでは、SAML ユーザーが埋め込みビューにサインインする方法が上記のステップ 6 で選択した設定に決定されます。
TableauID 認証の使用
サイトが SAML 用に構成されている場合は、サイト設定を変更して、一部またはすべてのユーザーに TableauID 認証資格情報を使用してサインインするように要求することができます。
アイデンティティ プロバイダーによってサイトの認証を処理する必要がなくなった場合、またはすべてのユーザーに TableauID 認証資格情報を使用してサインインするように要求する場合は、サイト レベルで認証タイプを変更できます。
一部のユーザーに対して SAML を有効なまま保持し、その他のユーザーには TableauID の使用を要求する場合は、ユーザー レベルで認証タイプを変更できます。
詳細については、ユーザーの認証タイプの設定を参照してください。
サイトの認証タイプの変更
サイト管理者として Tableau Cloud にサインインし、サイトを選択します。
[設定] > [認証] を選択します。
[認証タイプ] で、[TableauID] を選択します。
SAML 構成を非アクティブにした後、メタデータと IdP 情報が保存されます。そのため、再度有効にする場合でも、IdP との SAML 接続を再び設定する必要はありません。