Microsoft Entra ID を使用した SCIM の設定


Microsoft Entra ID (旧称 Microsoft Azure Active Directory (Azure AD)) を使用してユーザー管理を設定し、グループのプロビジョニングや Tableau Cloud のサイト ロールの割り当てを行うことができます。

以下の手順を完了するまで、Entra ID のドキュメントが手元にあると便利です。チュートリアルの「ユーザーを自動的にプロビジョニングするための Tableau Cloud の設定(新しいウィンドウでリンクが開く)」を参照してください。

注: アプリケーションのプロビジョニングを既に有効にしていて、Tableau SCIM 2.0 エンドポイントを使用するように更新する場合は、Tableau Cloud アプリケーションの更新(新しいウィンドウでリンクが開く)に関する Microsoft の記事を参照してください。Tableau Cloud アプリケーションの新しいインスタンスのプロビジョニングを設定する場合は、以下の手順に従ってください。

ステップ 1: 前提条件を実行する

SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。

  1. Microsoft Entra ID を使用した SAML の設定の「Tableau Cloud を Microsoft Entra ID アプリケーションに追加する」を実施します。

  2. Azure Marketplace から Tableau Cloud を追加した後、Entra ポータルと Tableau Cloud の両方にサインインしたままにします。以下のページが表示されます。

    • Tableau Cloud では [設定][認証] ページ。
    • Entra ポータルで、Tableau Cloud[アプリケーション] の [プロビジョニング] ページを開きます。

ステップ 2: SCIM サポートを有効にする

Microsoft Entra ID を使用して SCIM サポートを有効にするには、以下の手順を実施します。以下の「Azure Active Directory を使用した SCIM サポートの注意点と制限事項」セクションも参照してください。

注: Entra ポータルの手順では、ギャラリーの Tableau Cloud アプリを使用していることを確認してください。

  1. Tableau Cloud サイトにサイト管理者としてサインインし、[設定][認証] の順に選択します。

  2. 次を実行します。

    1. [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。

      これにより、IdP の SCIM 設定で使用する値が入っている [ベース URL] ボックスが設定されます。

    2. [新しいシークレットを生成] をクリックします。新しく生成されたシークレットが表示され、SCIM 設定にコピーできるようになります。

      重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。

    3. [認証] で、SCIM に関連付ける SAML 認証設定を選択します。

      注: サイト上で SCIM をサポートできる SAML 認証の設定は 1 つだけです。

      ヒント: [認証] で異なる値 (「なし」から設定済み SAML 認証まで含む) を選択した場合はいつでも、SCIM を機能させるためにシークレットをリセットする必要があります。古いシークレットは接続に使用できなくなりますが、[テスト接続] ボタンは古いシークレットでも成功します。この場合は、もう一度 [新しいシークレットを生成する] をクリックし、新しいシークレットを IdP の SCIM 設定にコピーします。

  3. ご利用の Entra ポータルの [プロビジョニング] ページで、次の手順を実行します。

    • [プロビジョニング モード] で、[自動] を選択します。

    • [認証方法] で、[認証] を選択します。

    • [テナント URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。

    • [シークレット トークン] で、生成された Tableau Cloud SCIM シークレットをコピーして貼り付けます。

    Tableau Cloud をプロビジョニングするための設定を含む設定画面。

  4. [接続のテスト] ボタンをクリックして認証資格情報が期待どおりに機能していることを確認し、[保存] をクリックします。

  5. [マッピング] セクションで、[Microsoft Entra ID グループのプロビジョニング] と [Microsoft Entra ID ユーザーのプロビジョニング] が有効になっていることを確認します。

    Microsoft Entra ID と Tableau Cloud SCIM 間でデータがどのように流れるかを定義する設定ページ。

  6. [Microsoft Entra ID グループのプロビジョニング] を選択し、[属性のマッピング] ページで、Entra ID から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。

    Tableau Cloud SCIM 属性から Microsoft Entra ID 属性へのマッピング。

  7. [Microsoft Entra ID ユーザーのプロビジョニング] を選択し、[属性のマッピング] ページで、Entra ID から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。

    同期を定義する属性マッピングを示す表。

ステップ 3: Tableau Cloud アプリにグループを割り当てる

以下の手順に従って、Microsoft Entra ID の Tableau Cloud ギャラリー アプリにグループを割り当てます。

  1. アプリケーション ページから、[エンタープライズ アプリ] > [ユーザーとグループ] を選択します。

  2. [ユーザー/グループの追加] をクリックします。

  3. [割り当ての追加] ページでグループを選択し、次のいずれかのサイト ロールを割り当てます。

    • Creator

    • SiteAdministratorCreator

    • Explorer

    • SiteAdministratorExplorer

    • ExplorerCanPublish

    • Viewer

    • Unlicensed

    注: 上記のリストにないロールを選択すると、エラーになります。サイト ロールの詳細については、「ユーザーのサイト ロールの設定」を参照してください。

  4. [割り当て] をクリックします。

サイト ロールのグループを作成する

ユーザーは Entra ID の複数のグループのメンバーになることができますが、Tableau Cloud では最も自由度の高いサイト ロールのみを受け継ぎます。たとえば、ユーザーが Viewer のサイト ロールを持つグループと、Creator のサイト ロールを持つグループのメンバーである場合、Tableau は Creator のサイト ロールを割り当てます。

ロールの割り当てを追跡するには、EntraID で「Tableau-Creator」「Tableau-Explorer」 などの役割固有のグループを作成することをお勧めします。その後、グループを使用して、Tableau Cloud の正しいロールを新しいユーザーにすばやくプロビジョニングできます。

サイト ロールを最も制限が少ないものから多いものの順に以下に示します。

  • サイト管理者 Creator

  • サイト管理者 Explorer

  • Creator

  • Explorer (パブリッシュ可能)

  • Explorer

  • Viewer

注: ユーザーとその属性は、Entra ID を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。

ステップ 4: グループをプロビジョニングする

SCIM サポートを有効にし、グループを Entra ID の Tableau Cloud アプリケーションに割り当てたら、次は Tableau サイトにユーザーをプロビジョニングします。

  1. [プロビジョニング] ページで [設定] セクションを展開し、Tableau Cloud にプロビジョニングするグループを [スコープ] で定義します。

    失敗時にメール通知を有効にし、ユーザーとグループを同期するためのパラメーターを設定するための設定メニュー。

    注: Entra ID 設定の [すべてのユーザーとグループを同期する] は Tableau Cloud でサポートされていません。

  2. [プロビジョニング ステータス] を [オン] に切り替えます。

  3. [保存] をクリックします。

保存すると、[スコープ] で定義されたグループの初期同期が始まります。Entra ID のプロビジョニング サービスが稼動している限り、同期は約 40 分ごとに行われます。スケジュールとは別に手動でユーザーをプロビジョニングするには、[オンデマンドでプロビジョニング] を選択します。オンデマンドでのプロビジョニングの詳細については、Microsoft の記事「Microsoft Entra ID でのオンデマンド プロビジョニング(新しいウィンドウでリンクが開く)」を参照してください。

プロビジョニングが完了すると、Entra ID のグループが Tableau Cloud[サイト ユーザー] ページに表示されます。

Tableau Cloud でユーザー認証を変更する

プロビジョニングされたユーザーには、デフォルトで SAML 認証タイプが割り当てられます。ユーザーの認証タイプを変更するには、以下の手順を使用します。

  1. Tableau Cloud で、[ユーザー] を選択します。

  2. [サイト ユーザー] ページで、認証タイプを割り当てるユーザーの隣にあるチェック ボックスを選択します。

  3. [アクション] メニューで、[認証] を選択します。

  4. [認証] ダイアログで、ユーザーに優先する認証タイプを選択します。

Tableau Cloud の様々な認証タイプの詳細については、[認証] を参照してください。

Azure Active Directory を使用した SCIM サポートの注意点

  • SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。

  • Azure AD の Tableau Cloud アプリケーションでユーザーをデプロビジョニングする場合、またはユーザーが Azure AD から完全に削除される場合、そのユーザーは Tableau Cloud でライセンスなしのサイト ロールに変換されます。ユーザーがコンテンツを所有している場合、Tableau Cloud でそのユーザーを手動で削除する前に、まずそれらのアセットの所有権を再度割り当てる必要があります。

  • 2024 年 2 月 (Tableau 2023.3) から、サインイン時にライセンスを付与 (GLSI) SCIM の使用がサポートされます。GLSI には以下が必要です。

    1.グループのオプションを手動で有効にし、Tableau Cloud でグループのメンバーであるユーザーの最小サイト ロールを直接選択します。Azure AD で GLSI 属性を使用してグループを設定することはできませんが、Tableau Cloud の Azure AD からプロビジョニングしたグループの属性を設定することはできます。
    2.ユーザーは、IdP からライセンスなしとしてプロビジョニングされる必要があります。

一番上に戻る