サイトでの SAML 認証の有効化

このトピックでは、サイトで SAML を有効にして、シングル サインオン ユーザーを選択する方法について説明します。また、SAML から既定の TableauID 認証に切り替える手順も提供しています。SAML を有効化する前に、認証タイプの変更による Tableau Bridge への影響を含めTableau Online の SAML 要件を見直すことをお勧めします。

このトピックでは、認証および「SAML 認証のしくみ」の情報を理解していることを前提としています。

IdP 固有の構成情報

このトピックの後のセクションのステップでは、IdP のドキュメントと一緒に使用して Tableau Online サイト用に SAML を構成する基本的な手順を提供します。次の IdPs に対して IdP-specific 構成ステップを実行できます。

SAML の有効化

  1. サイト管理者として Tableau Online サイトにサインインし、[サイト] > [認証] を選択します。

  2. [認証] タブで、[追加の認証方法を有効にする][SAML][接続の編集] の順に選択します。

    Screen shot of Tableau Online site authentication settings page

SAML 構成手順

このセクションでは、Tableau Online Web UI の [認証] ページで表示される構成手順について説明しす。セルフホステッド Tableau Server インストールでは、このページは、サイト固有の SAML のサポートがサーバー レベルで有効になっている場合にのみ表示されます。Tableau Online では既定で有効に設定されています。

注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。

ステップ 1: Tableau からメタデータをエクスポート

Tableau Online と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Online からメタデータを取得するには、次の手順のいずれかを行います。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。

  • [メタデータのエクスポート] を選択して、Tableau OnlineSAML エンティティ ID、Assertion Consumer Service (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。

  • IdP が異なる方法で必要情報を求めている場合、[サインインおよび暗号化の証明書のダウンロード] を選択します。たとえば、Tableau Online エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。

    次の図は、これらの設定が Tableau Online と Tableau Server で同じであることを表示するため編集しています。

ステップ 2 と 3: 外部ステップ

ステップ 2 では、ステップ 1 でエクスポートしたメタデータをインポートするために、IdP アカウントにサインインし、IdP のドキュメンテーションが提供している手順を使って Tableau Online メタデータを提出します。

ステップ 3 では、IdP の文書はメタデータをサービス プロバイダーに対して提供する方法も示しています。メタデータ ファイルをダウンロードするように指示するか、XML コードが表示されます。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。

ステップ 4: Tableau サイトへの IdP メタデータのインポート

Tableau Online認証ページで、IdP からダウンロードしたか、それが提供する XML から手動で構成したメタデータファイルをインポートします。

ステップ 5: 属性の照合

属性は、認証、認可、およびユーザーに関する他の情報を含みます。[アイデンティティ プロバイダー (IdP) アサーション名] 列内で、Tableau Online が必要とする情報を含む属性を入力します。

  • メール: (必須) ユーザーのメールアドレスを格納する属性の名称を入力します。

  • 表示名: (オプションであるが推奨) 名と姓に別の属性を使用している IdP もあれば、フル ネームを 1 つの属性に保存する IdP もあります。

    IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。

    Screen shot of step 5 for configuring site SAML for Tableau Online -- matching attributes

ステップ 6: 埋め込みオプション

ユーザーが埋め込みビューにサインインする方法を選択します。IdP のサインイン フォームを表示する個別のポップアップ画面を開く、またはインライン フレーム (iframe) を使用するオプションがあります。

注意: iframe はクリックジャック攻撃に脆弱な場合があるため、すべての IdP で iframe からのサインインがサポートされているわけではありません。クリックジャックでは、攻撃者はユーザーにコンテンツをクリックさせたり、入力させようとします。攻撃者は、無関係のページ上の透明なレイヤーに攻撃するページを表示させ、これを行います。Tableau Online では、攻撃者はユーザーの認証資格情報を取得したり認証されたユーザーを取得して設定を変更したりする可能性があります。詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(Link opens in a new window)を参照してください。

IdP が iframe からのサインインをサポートしていない場合、[個別のポップアップ ウィンドウでの認証] を選択します。

関連項目:埋め込みビュー用の既定の認証タイプ

ステップ 7: トラブルシューティング

[認証] ページで提案されているトラブルシューティングの手順を開始します。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。

ユーザーの管理

既存の Tableau Online ユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。

ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。

詳細については、サイトへのユーザーの追加またはユーザーのインポートを参照してください。

埋め込みビュー用の既定の認証タイプ

サイトで SAML を有効化する一環として、ユーザーが Web ページに埋め込まれたビューにアクセスする方法を指定します。

  • ユーザーに認証タイプの選択を許可する

    これを選択すると、ビューが埋め込まれている場所に 2 つのサインイン オプションが表示されます。1 つはシングル サインオン認証を使用するサインイン ボタンで、もう 1 つは代わりに TableauID を使用するリンクです。

    ヒント: このオプションでは、ユーザーはどちらの方法を選択するかを知っている必要があります。通知の一部として、シングル サインオン サイトに追加した後でユーザーに送信し、さまざまなサインイン シナリオで使用する認証タイプを知らせます。たとえば、埋め込みビュー、Tableau Desktop、Tableau Bridge、Tableau Mobile などがあります。

  • Tableau

    このオプションは、サイトで SAML が有効化されている場合でも、ユーザーは TableauID を使用してサインインする必要があります。通常この方法は、管理者が埋め込みビューおよび SAML の問題を解決するために使用されます。

  • SAML

    このオプションでは、SAML ユーザーが埋め込みビューにサインインする方法が上記のステップ 6 で選択した設定に決定されます。

TableauID 認証の使用

サイトが SAML 用に構成されている場合は、サイト設定を変更して、一部またはすべてのユーザーに TableauID 認証資格情報を使用してサインインするように要求することができます。

  • アイデンティティ プロバイダーによってサイトの認証を処理する必要がなくなった場合、またはすべてのユーザーに TableauID 認証資格情報を使用してサインインするように要求する場合は、サイト レベルで認証タイプを変更できます。

  • 一部のユーザーに対して SAML を有効なまま保持し、その他のユーザーには TableauID の使用を要求する場合は、ユーザー レベルで認証タイプを変更できます。

    詳細については、ユーザーの認証タイプの設定を参照してください。

サイトの認証タイプの変更

  1. サイト管理者として Tableau Online にサインインし、サイトを選択します。

  2. [設定] > [認証] を選択します。

  3. [認証タイプ] で、[TableauID] を選択します。

SAML 構成を非アクティブにした後、メタデータと IdP 情報が保存されます。そのため、再度有効にする場合でも、IdP との SAML 接続を再び設定する必要はありません。

関連項目

接続されているクライアントからサイトにアクセス

ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください