Tableau Cloud の SAML 要件

Tableau Cloud 用に SAML を構成する前に、要件を満たすために必要な内容を取得します。

アイデンティティ プロバイダー (IdP) における Tableau 構成の要件

SAML 向けに Tableau Cloud を構成するには、次が必要です。

  • Tableau Cloud サイトへの管理者アクセス。SAML を有効にする Tableau Cloud サイトへの管理者アクセスが必要です。

  • Tableau Cloud へのアクセスに SSO を使用するユーザーのリスト。Tableau Cloud へのシングルサインオン (SSO) アクセスを許可する ユーザー名を収集する必要があります。

  • SAML 2.0 をサポートする IdP アカウント。外部アイデンティティ プロバイダーでのアカウントが必要です。いくつかの例として PingFederate、SiteMinder、および Open AM があります。IdP で SAML 2.0 をサポートしている必要があります。そのアカウントへの管理者アクセスが必要です。

  • SHA256 は署名アルゴリズムとして使用されます。2020 年 5 月現在、Tableau Cloud は SHA-1 アルゴリズムを使用して署名された IdP アサーションと証明書をブロックします。

  • XML メタデータのインポート/エクスポートをサポートする IdP プロバイダー。手動で作成したメタデータ ファイルでも動作する可能性はありますが、Tableau テクニカル サポートでは、手動でのファイル生成やそれらのトラブルシューティングをサポートできません。

  • トークンの有効期間が 24 日以下 (2073600 秒) を適用する IdP プロバイダー。IdP が Tableau Cloud で設定されている最大時間 (2073600 秒) よりも長い最長期間であるトークンを許可すると、Tableau Cloud はトークンを有効と認識しません。このシナリオでは、Tableau Cloud にログインするときに、ユーザーはエラー メッセージ (サインインに失敗しました。もう一度やり直してください。) を受信します。

  • MFA を使用した SSO が有効になっています。2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau Cloud の要件になります。

    重要: これらの要件に加え、常に TableauID with MFA(新しいウィンドウでリンクが開く) 用に構成されているサイト管理者アカウントを専用として使用することをお勧めします。SAML または IdP に問題が発生した場合は、専用の Tableau with MFA アカウントを使用すると、いつでもサイトにアクセスできます。

     

SAML 互換性についての注意事項と要件

  • SP または IdP による開始: Tableau Cloud では、アイデンティティ プロバイダー (IdP) またはサービス プロバイダー (SP) で開始する SAML 認証のみをサポートしています。

  • シングル ログアウト (SLO): Tableau Cloud では、サービス プロバイダー (SP) が開始する SLO と アイデンティティ プロバイダー (IdP) が開始する SLO の両方がサポートされます。

    注: サイトの SLO URL を取得するには、Tableau Cloud サイトが生成するメタデータ XML ファイルをダウンロードして参照します。このファイルは、[設定] > [認証] ページに移動すると見つけることができます。[SAML] 認証タイプで、[構成 (必須)] ドロップダウン矢印をクリックし、ステップ 1 のメソッド 1 で [メタデータのエクスポート] をクリックします。

  • tabcmd および REST API: tabcmd または REST API(新しいウィンドウでリンクが開く) を使用するには、ユーザーは TableauID アカウントを使用して Tableau Cloud にサインインする必要があります。

  • 暗号化されたアサーション: Tableau Cloud は、クリアテキストまたは暗号化されたアサーションをサポートします。

  • Tableau Bridge の再構成が必要: Tableau Bridge は SAML 認証をサポートしますが、認証を変更するには Bridge クライアントの再構成が必要です。詳細については、認証タイプの変更による Tableau Bridge への影響を参照してください。

  • 必要な署名アルゴリズム: すべての新しい SAML 証明書に対して、Tableau Cloud では SHA256 (またはそれ以上) の署名アルゴリズムが必要です。

  • RSA キーと ECDSA 曲線のサイズ: IdP 証明書には、強度が 2048 の RSA キー、またはサイズが 256 の ECDSA 曲線が設定されている必要があります。
  • NameID 属性: Tableau Cloud では、SAML 応答で NameID 属性が必要です。

Tableau クライアント アプリケーションでの SAML SSO の使用

Tableau Cloud ユーザーが SAML 認証資格情報を持っている場合、Tableau Desktop または Tableau Mobile アプリからサイトにサインインすることもできます。最良の互換性を実現するため、Tableau クライアント アプリケーションのバージョンと一致するバージョンの Tableau Cloud の使用をお勧めします。

Tableau Desktop または Tableau Mobile から Tableau Cloud への接続には、サービス プロバイダーによって開始された接続が使用されます。

認証されたユーザーを Tableau クライアントに再びリダイレクトする

ユーザーが Tableau Cloud にサインインすると、Tableau Cloud は SAML 要求 (AuthnRequest) を IdP に送信します。これには Tableau アプリケーションの RelayState 値が含まれます。Tableau Desktop や Tableau Mobile などの Tableau クライアントから Tableau Cloud にサインインした場合には、IdP の SAML 要求内の RelayState 値を Tableau に返すことが重要です。

このシナリオで RelayState 値が適切に返されない場合、サインイン元のアプリケーションにリダイレクトするのではなく、ユーザーは Web ブラウザーの Tableau Cloud ホームページに移動します。

アイデンティティ プロバイダーおよび社内 IT チームと協力し、この値が IdP の SAML 要求の一部として含まれることを確認してください。

認証タイプの変更による Tableau Bridge への影響

サイトの認証方式を変更したり、IdP を変更したりすると、スケジュールされた抽出更新で Tableau Bridge を使用するパブリッシャーは、クライアントのリンクを解除して再リンクし、新しい方式または IdP 設定を使用して再認証する必要があります。

レガシー スケジュールの場合、Bridge クライアントのリンクを解除するとすべてのデータ ソースが削除されるため、更新スケジュールをもう一度設定する必要があります。オンライン スケジュールの場合、クライアントを再リンクした後、Bridge クライアント プールを再設定する必要があります。

認証方式を変更しても、Tableau Cloud サイトで直接実行する (クラウドにある参照元データなどに対する) Bridge のライブのクエリや更新には影響しません。

サイトの認証タイプを変更する前に、Bridge ユーザーにサイト認証の変更に関するアラートで通知することをお勧めします。そうしないと、ユーザーは Bridge クライアントが認証エラーになったり、空白のソース データがクライアントに表示されて初めて認証の変更に気付くことになります。

XML データの要件

Tableau Cloud および IdP によって生成された XML メタデータ ドキュメントを使用して SAML を構成します。認証プロセスの間、IdP および Tableau Cloud はこれらの XML ドキュメントを使用して認証情報を交換します。XML が要件を満たしていない場合、SAML の構成時またはサインインの試行時にエラーが発生する可能性があります。

HTTP POST および HTTP REDIRECT: Tableau Cloud は、SAML 通信の HTTP POST および HTTP REDIRECT の要求をサポートしています。IdP によってエクスポートされた SAML メタデータ XML ドキュメントでは、Binding 属性を以下に設定できます。

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

SAML アサーションを使用した動的グループ メンバーシップ:

2024 年 6 月 (Tableau 2024.2) 以降、SAML を設定して機能が 有効になっている場合、ID プロバイダー (IdP) から送信される SAML XML 応答に含まれるカスタム クレームによって、グループ メンバーシップを動的に制御できます。

設定すると、ユーザー認証の際、IdP は、ユーザーをアサートするグループ (https://tableau.com/groups) とグループ名 (「Group1」と「Group2」など) という、2 つのカスタム グループ メンバーシップ クレームを含む SAML アサーションを送信します。Tableau はアサーションを検証し、グループと、そのグループにパーミッションが依存するコンテンツへのアクセスを有効にします。

詳細については、アサーションを使用した動的グループ メンバーシップを参照してください。

SAML XML 応答の例

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!