Tableau Online の SAML 要件

Tableau Online 用に SAML を構成する前に、要件を満たすために必要な内容を取得します。

アイデンティティ プロバイダー (IdP) における Tableau 構成の要件

SAML 互換性についての注意事項と要件

Tableau クライアント アプリケーションでの SAML SSO の使用

認証タイプの変更による Tableau Bridge への影響

XML データの要件

アイデンティティ プロバイダー (IdP) における Tableau 構成の要件

SAML 向けに Tableau Online を構成するには、次が必要です。

  • Tableau Online サイトへの管理者アクセス。SAML を有効にする Tableau Online サイトへの管理者アクセスが必要です。

  • Tableau Online へのアクセスに SSO を使用するユーザーのリスト。 Tableau Online へのシングルサインオン アクセスを許可するユーザーの電子メール アドレスを収集する必要があります。

  • SAML 2.0 をサポートする IdP アカウント。外部アイデンティティ プロバイダーでのアカウントが必要です。いくつかの例として PingFederate、SiteMinder、および Open AM があります。IdP で SAML 2.0 をサポートしている必要があります。そのアカウントへの管理者アクセスが必要です。

  • SHA256 は署名アルゴリズムとして使用されます。2020 年 5 月現在、Tableau Online は SHA-1 アルゴリズムを使用して署名された IdP アサーションと証明書をブロックします。

  • XML メタデータのインポート/エクスポートをサポートする IdP プロバイダー。手動で作成したメタデータ ファイルでも動作する可能性はありますが、Tableau テクニカル サポートでは、手動でのファイル生成やそれらのトラブルシューティングをサポートできません。

  • トークンの有効期間が 24 日以下 (2073600 秒) を適用する IdP プロバイダー。IdP が Tableau Online で設定されている最大時間 (2073600 秒) よりも長い最長期間であるトークンを許可すると、Tableau Online はトークンを有効と認識しません。このシナリオでは、Tableau Online にログインするときに、ユーザーはエラー メッセージ (サインインに失敗しました。もう一度やり直してください。) を受信します。

重要: これらの要件に加え、常に TableauID 認証用に構成されているサイト管理者アカウントを専用として使用することをお勧めします。SAML または IdP に問題が発生した場合、専用 TableauID アカウントを使用するといつでも自分のサイトにアクセスできます。

SAML 互換性についての注意事項と要件

  • SP または IdP による開始: Tableau Online では、アイデンティティ プロバイダー (IdP) またはサービス プロバイダー (SP) で開始する SAML 認証のみをサポートしています。

  • シングル ログ アウト (SLO): Tableau Online では、SP によって開始される SLO のみがサポートされます。IdP によって開始される SLO はサポートされていません。

  • tabcmd および REST API: tabcmd または REST API(新しいウィンドウでリンクが開く) を使用するには、ユーザーは TableauID アカウントを使用して Tableau Online にサインインする必要があります。

  • クリアテキスト アサーション: Tableau Online は暗号化されたアサーションをサポートしていません。

  • Tableau Bridge の再構成が必要: Tableau Bridge は SAML 認証をサポートしますが、認証を変更するには Bridge クライアントの再構成が必要です。詳細については、認証タイプの変更による Tableau Bridge への影響を参照してください。

  • 必要な署名アルゴリズム: すべての新しい SAML 証明書に対して、Tableau Online では SHA256 (またはそれ以上) の署名アルゴリズムが必要です。

  • NameID 属性: Tableau Onlineでは、SAML 応答で NameID 属性が必要です。

Tableau クライアント アプリケーションでの SAML SSO の使用

Tableau Online ユーザーが SAML 認証資格情報を持っている場合、Tableau Desktop または Tableau Mobile アプリからサイトにサインインすることもできます。最良の互換性を実現するため、Tableau クライアント アプリケーションのバージョンと一致するバージョンの Tableau Online の使用をお勧めします。

Tableau Desktop または Tableau Mobile から Tableau Online への接続には、サービス プロバイダーによって開始された接続が使用されます。

認証されたユーザーを Tableau クライアントに再びリダイレクトする

ユーザーが Tableau Online にサインインすると、Tableau Online は SAML 要求 (AuthnRequest) を IdP に送信します。これには Tableau アプリケーションの RelayState 値が含まれます。Tableau Desktop や Tableau Mobile などの Tableau クライアントから Tableau Online にサインインした場合には、IdP の SAML 要求内の RelayState 値を Tableau に返すことが重要です。

このシナリオで RelayState 値が適切に返されない場合、サインイン元のアプリケーションにリダイレクトするのではなく、ユーザーは Web ブラウザーの Tableau Online ホームページに移動します。

アイデンティティ プロバイダーおよび社内 IT チームと協力し、この値が IdP の SAML 要求の一部として含まれることを確認してください。

認証タイプの変更による Tableau Bridge への影響

サイトの認証タイプを変更すると、スケジュールされた抽出更新で Tableau Bridge を使用するパブリッシャーは、Bridge クライアントのリンクを解除し、新しい方法で再認証する必要があります。 

Bridge クライアントのリンクを解除するとすべてのデータ ソースが削除されるため、ユーザーもすべての更新スケジュールを再び設定する必要があります。認証タイプを変更しても、Tableau Online サイトで直接実行する Bridge のライブのクエリや更新 (クラウドの基本データに実行する場合など) には影響しません。

サイトの認証タイプを変更する前に、Bridge ユーザーにサイト認証の変更に関するアラートで通知することをお勧めします。そうしないと、ユーザーは Bridge クライアントが認証エラーになったり、空白のソース データがクライアントに表示されて初めて認証の変更に気付くことになります。

XML データの要件

Tableau Online および IdP によって生成された XML メタデータ ドキュメントを使用して SAML を構成します。認証プロセスの間、IdP および Tableau Online はこれらの XML ドキュメントを使用して認証情報を交換します。XML が要件を満たしていない場合、SAML の構成時またはサインインの試行時にエラーが発生する可能性があります。

Tableau Online は、SAML 通信の HTTP POST 要求のみをサポートします。HTTP リダイレクトはサポートされません。IdP によってエクスポートされた SAML メタデータ XML ドキュメントでは、Binding 属性が HTTP-POST に設定されている必要があります。

ありがとうございます!