Microsoft Entra ID を使用した SCIM の設定
Microsoft Entra ID (旧称 Microsoft Azure Active Directory (Azure AD)) を使用してユーザー管理を設定し、グループのプロビジョニングや Tableau Cloud のサイト ロールの割り当てを行うことができます。
以下の手順を完了するまで、Entra ID のドキュメントが手元にあると便利です。チュートリアルの「ユーザーを自動的にプロビジョニングするための Tableau Cloud の設定(新しいウィンドウでリンクが開く)」を参照してください。
注: アプリケーションのプロビジョニングを既に有効にしていて、Tableau SCIM 2.0 エンドポイントを使用するように更新する場合は、Tableau Cloud アプリケーションの更新(新しいウィンドウでリンクが開く)に関する Microsoft の記事を参照してください。Tableau Cloud アプリケーションの新しいインスタンスのプロビジョニングを設定する場合は、以下の手順に従ってください。
ステップ 1: 前提条件を実行する
SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。
Microsoft Entra ID を使用した SAML の設定の「Tableau Cloud を Microsoft Entra ID アプリケーションに追加する」を実施します。
Azure Marketplace から Tableau Cloud を追加した後、Entra ポータルと Tableau Cloud の両方にサインインしたままにします。以下のページが表示されます。
- Tableau Cloud では [設定] の [認証] ページ。
- Entra ポータルで、Tableau Cloud[アプリケーション] の [プロビジョニング] ページを開きます。
ステップ 2: SCIM サポートを有効にする
Microsoft Entra ID を使用して SCIM サポートを有効にするには、以下の手順を実施します。以下の「Azure Active Directory を使用した SCIM サポートの注意点と制限事項」セクションも参照してください。
注: Entra ポータルの手順では、ギャラリーの Tableau Cloud アプリを使用していることを確認してください。
Tableau Cloud サイトにサイト管理者としてサインインし、[設定]、[認証] の順に選択します。
次を実行します。
[認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
シークレット トークンの値をコピーし、Entra ポータルの [プロビジョニング] ページで、以下の手順を実施します。
[プロビジョニング モード] で、[自動] を選択します。
[認証方法] で、[認証] を選択します。
[テナント URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。
[シークレット トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。
[接続のテスト] ボタンをクリックして認証資格情報が期待どおりに機能していることを確認し、[保存] をクリックします。
[マッピング] セクションで、[Microsoft Entra ID グループのプロビジョニング] と [Microsoft Entra ID ユーザーのプロビジョニング] が有効になっていることを確認します。
[Microsoft Entra ID グループのプロビジョニング] を選択し、[属性のマッピング] ページで、Entra ID から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。
[Microsoft Entra ID ユーザーのプロビジョニング] を選択し、[属性のマッピング] ページで、Entra ID から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。
ステップ 3: Tableau Cloud アプリにグループを割り当てる
以下の手順に従って、Microsoft Entra ID の Tableau Cloud ギャラリー アプリにグループを割り当てます。
アプリケーション ページから、[エンタープライズ アプリ] > [ユーザーとグループ] を選択します。
[ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページでグループを選択し、次のいずれかのサイト ロールを割り当てます。
Creator
SiteAdministratorCreator
Explorer
SiteAdministratorExplorer
ExplorerCanPublish
Viewer
Unlicensed
[割り当て] をクリックします。
注: 上記のリストにないロールを選択すると、エラーになります。サイト ロールの詳細については、「ユーザーのサイト ロールの設定」を参照してください。
サイト ロールのグループを作成する
ユーザーは Entra ID の複数のグループのメンバーになることができますが、Tableau Cloud では最も自由度の高いサイト ロールのみを受け継ぎます。たとえば、ユーザーが Viewer のサイト ロールを持つグループと、Creator のサイト ロールを持つグループのメンバーである場合、Tableau は Creator のサイト ロールを割り当てます。
ロールの割り当てを追跡するには、EntraID で「Tableau-Creator」、「Tableau-Explorer」 などの役割固有のグループを作成することをお勧めします。その後、グループを使用して、Tableau Cloud の正しいロールを新しいユーザーにすばやくプロビジョニングできます。
サイト ロールを最も制限が少ないものから多いものの順に以下に示します。
サイト管理者 Creator
サイト管理者 Explorer
Creator
Explorer (パブリッシュ可能)
Explorer
Viewer
注: ユーザーとその属性は、Entra ID を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。
ステップ 4: グループをプロビジョニングする
SCIM サポートを有効にし、グループを Entra ID の Tableau Cloud アプリケーションに割り当てたら、次は Tableau サイトにユーザーをプロビジョニングします。
[プロビジョニング] ページで [設定] セクションを展開し、Tableau Cloud にプロビジョニングするグループを [スコープ] で定義します。
注: Entra ID 設定の [すべてのユーザーとグループを同期する] は Tableau Cloud でサポートされていません。
[プロビジョニング ステータス] を [オン] に切り替えます。
[保存] をクリックします。
保存すると、[スコープ] で定義されたグループの初期同期が始まります。Entra ID のプロビジョニング サービスが稼動している限り、同期は約 40 分ごとに行われます。スケジュールとは別に手動でユーザーをプロビジョニングするには、[オンデマンドでプロビジョニング] を選択します。オンデマンドでのプロビジョニングの詳細については、Microsoft の記事「Microsoft Entra ID でのオンデマンド プロビジョニング(新しいウィンドウでリンクが開く)」を参照してください。
プロビジョニングが完了すると、Entra ID のグループが Tableau Cloud の [サイト ユーザー] ページに表示されます。
Tableau Cloud でユーザー認証を変更する
プロビジョニングされたユーザーには、デフォルトで SAML 認証タイプが割り当てられます。ユーザーの認証タイプを変更するには、以下の手順を使用します。
Tableau Cloud で、[ユーザー] を選択します。
[サイト ユーザー] ページで、認証タイプを割り当てるユーザーの隣にあるチェック ボックスを選択します。
[アクション] メニューで、[認証] を選択します。
[認証] ダイアログで、ユーザーに優先する認証タイプを選択します。
Tableau Cloud の様々な認証タイプの詳細については、[認証] を参照してください。
SCIM とサインイン時のライセンス付与
2024 年 2 月 (Tableau 2023.3) 以降、Microsoft Entra ID を使用して サインイン時にライセンスを付与 (GLSI) 機能を SCIM で使用できます。
Entra ID の GLSI で SCIM を使用するには、以下が必要です。
Entra ID で、Tableau Cloud アプリのグループにユーザーを追加します。
Tableau Cloud では、グループの GLSI オプションを有効にし、グループのメンバーであるユーザーに対して最小限のサイト ロールを選択します。
注: Entra ID では GLSI 属性を持つグループを設定することはできません。
Entra ID で [ライセンスなし] としてプロビジョニングされるユーザー。
GLSI の有効化
Tableau Cloud で GLSI を有効にするには、サインイン時にライセンスを付与を参照してください。
GLSI が有効化された SCIM ユーザーの削除
Microsoft Entra ID から SCIM ユーザーを削除する前に、Microsoft Entra ID で GLSI が有効化されたグループから SCIM ユーザーを削除する必要があります。GLSI が有効化されたすべてのグループから SCIM ユーザーが削除されると、そのユーザーは Tableau Cloud で [ライセンスなし] のロールに変換されます。
Entra ID で、GLSI が有効化されたグループから Tableau Cloud アプリのユーザーのプロビジョニングを解除します。Entra ID でユーザーのプロビジョニングを解除すると、Tableau Cloud でユーザーが [ライセンスなし] に変換されるだけで、ユーザーは削除されません。
注:
ユーザーが Entra ID 内のその他の Tableau Cloud アプリ グループのメンバーではなくなった場合、またはユーザーが Tableau Cloud アプリに個別に割り当てられている場合、そのユーザーは Tableau Cloud で [ライセンスなし] に変換されます。
Tableau Cloud で SCIM ユーザーを削除する場合 (以下のSCIM ユーザーの削除を参照)、Tableau Cloud からユーザーを手動で削除します。
GLSI を有効にしたグループからユーザーを削除します。
SCIM ユーザーをサイトから削除します。
問題が発生した場合は、ナレッジ記事「SCIM 経由でユーザーのプロビジョニングを解除しようとした時に発生する「ユーザー ロールがライセンスなしに更新されませんでした (errorCode=10079) 」というエラー」(新しいウィンドウでリンクが開く)を参照してください。
Tableau Cloud の「すべてのユーザー」グループについて
既定の「すべてのユーザー」グループで GLSI を有効にした場合、Entra ID でユーザーのプロビジョニングを解除できないため、GLSI を有効にしたグループに属するユーザーのライセンスを Tableau Cloud で解除することはできません。GLSI を有効にした「すべてのユーザー」グループから SCIM ユーザーを削除するには、Tableau Cloud からユーザーを手動で削除する必要があります。
注: ユーザーにコンテンツが関連付けられている場合は、ユーザーを削除する前に、コンテンツの所有権を他のユーザーに割り当て直す必要があります。
SCIM ユーザーの削除
Entra ID で SCIM ユーザーを削除すると、そのユーザーは「ライセンスなし」ロールに変換されるだけで、Tableau Cloud では削除されません。ユーザーを削除するには、Tableau Cloud でユーザーを手動で削除する必要があります。
ユーザーの削除の詳細については、ユーザーの表示、管理、削除トピックの「サイトからユーザーを削除する」を参照してください。
注: ユーザーにコンテンツが関連付けられている場合は、ユーザーを削除する前に、コンテンツの所有権を他のユーザーに割り当て直す必要があります。
Microsoft Entra ID での SCIM サポートに関する注意事項
SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。
Azure AD の Tableau Cloud アプリケーションでユーザーをデプロビジョニングする場合、またはユーザーが Azure AD から完全に削除される場合、そのユーザーは Tableau Cloud でライセンスなしのサイト ロールに変換されます。ユーザーがコンテンツを所有している場合、Tableau Cloud でそのユーザーを手動で削除する前に、まずそれらのアセットの所有権を再度割り当てる必要があります。
2024 年 2 月 (Tableau 2023.3) から、サインイン時にライセンスを付与 (GLSI) SCIM の使用がサポートされます。詳細については、上記のSCIM とサインイン時のライセンス付与を参照してください。