Azure Active Directory を使用した SCIM の構成
Active Directory を使用してユーザー管理を構成し、グループをプロビジョニングし、Tableau Cloud のサイト ロールを割り当てることができます。
以下の手順を完了するまで、Microsoft のドキュメントが手元にあると便利です。チュートリアルの「ユーザーを自動的にプロビジョニングするための Tableau Cloud の設定(新しいウィンドウでリンクが開く)」を参照してください。
注: アプリケーションのプロビジョニングを既に有効にしていて、Tableau SCIM 2.0 エンドポイントを使用するように更新する場合は、Tableau Cloud アプリケーションの更新(新しいウィンドウでリンクが開く)に関する Microsoft の記事を参照してください。Tableau Cloud アプリケーションの新しいインスタンスのプロビジョニングを設定する場合は、以下の手順に従ってください。
SCIM サポートを有効にする
Azure Active Directory で SCIM サポートを有効にするには、以下の手順を実施します。「Azure Active Directory を使用した SCIM サポートの注意点と制限事項」も参照してください。
SCIM 機能を有効にするには、SAML シングル サインオンをサポートするようにサイトを構成する必要があります。これを行っていない場合は、「Azure Active Directory での SAML の構成」の「Tableau Cloud を Azure AD アプリケーションに追加する」を完了してください。
Azure Marketplace から Tableau Cloud を追加した後、Azure ポータルと Tableau Cloud の両方にサインインしたままで、以下のページが表示されます。
- Tableau Cloud では、[設定] > [認証] ページ。
- Azure ポータルでは、[Tableau Cloud アプリケーション] > [プロビジョニング] ページ。
Tableau Cloud の [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
シークレット トークンの値をコピーし、Azure ポータルの [プロビジョニング] ページで、以下の手順を実施します。
[プロビジョニング モード] で、[自動] を選択します。
[認証方法] で、[認証] を選択します。
[シークレット トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。
[テナント URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。
[接続のテスト] をクリックして資格情報が期待どおりに機能しているることを確認し、[保存] をクリックします。
[マッピング] セクションで、[Azure Active Directory グループのプロビジョニング] と [Azure Active Directory ユーザーのプロビジョニング] が有効になっていることを確認します。
[Azure Active Directory グループのプロビジョニング] を選択し、[属性のマッピング] ページで、Azure から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。
[Azure Active Directory ユーザーのプロビジョニング] を選択し、[属性のマッピング] ページで、Azure から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。
Tableau Cloud アプリケーションにユーザーとグループをに割り当てる
次の手順を使用して、個々のユーザーとグループを Azure の Tableau Cloud アプリケーションに割り当てます。
アプリケーション ページから、[エンタープライズ アプリ] > [ユーザーとグループ] を選択します。
[ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページでユーザーまたはグループを選択し、Creator、SiteAdministratorCreator、Explorer、SiteAdministratorExplorer、ExplorerCanPublish、Viewer、Unlicensed のいずれかのサイト ロールを割り当てます。
上記のリストにない役割を選択すると、エラーが発生します。サイト ロールの詳細については、「ユーザーのサイト ロールの設定」を参照してください。
[割り当て] をクリックします。
サイト ロールのグループを作成する
ユーザーは Azure の複数のグループのメンバーになることができますが、Tableau Cloud では権限が最も強いサイト ロールのみを受け継ぎます。たとえば、ユーザーが Viewer のサイト ロールを持つグループと、Creator のサイト ロールを持つグループのメンバーである場合、Tableau は Creator のサイト ロールを割り当てます。
ロールの割り当てを追跡するには、Azure で「Tableau-Creator」、「Tableau-Explorer」 などの役割固有のグループを作成することをお勧めします。その後、グループを使用して、Tableau Cloud の正しいロールを新しいユーザーにすばやくプロビジョニングできます。
サイト ロールを最も制限が少ないものから多いものの順に以下に示します。
サイト管理者 Creator
サイト管理者 Explorer
Creator
Explorer (パブリッシュ可能)
Explorer
Viewer
注: ユーザーとその属性は、Azure を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。
ユーザーとグループをプロビジョニングする
SCIM サポートを有効にし、ユーザーとグループを Azure の Tableau Cloud アプリケーションに割り当てたら、次はご利用の Tableau サイトにユーザーをプロビジョニングします。
[プロビジョニング] ページで [設定] セクションを展開し、Tableau Cloud にプロビジョニングするユーザーまたはグループを [スコープ] で定義します。
注: Azure AD 設定の [すべてのユーザーとグループを同期する] は Tableau Cloud.でサポートされていません。
[プロビジョニング ステータス] を [オン] に切り替えます。
[保存] をクリックします。
保存すると、[スコープ] で定義されたユーザーまたはグループの初期同期が始まります。Azure AD のプロビジョニング サービスが稼動している限り、同期は約 40 分ごとに行われます。スケジュールとは別に手動でユーザーをプロビジョニングするには、[オンデマンドでプロビジョニング] を選択します。オンデマンドでのプロビジョニングの詳細については、Microsoft の記事「Azure Active Directory でのオンデマンド プロビジョニング(新しいウィンドウでリンクが開く)」を参照してください。
プロビジョニングが完了すると、Azure AD のユーザーまたはグループが Tableau Cloud の [サイト ユーザー] ページに表示されます。
Tableau Cloud でユーザー認証を変更する
プロビジョニングされたユーザーには、デフォルトで SAML 認証タイプが割り当てられます。ユーザーの認証タイプを変更するには、以下の手順を使用します。
Tableau Cloud で、[ユーザー] を選択します。
[サイト ユーザー] ページで、認証タイプを割り当てるユーザーの隣にあるチェック ボックスを選択します。
[アクション] メニューで、[認証] を選択します。
[認証] ダイアログで、ユーザーに優先する認証タイプを選択します。
Tableau Cloud の様々な認証タイプの詳細については、[認証] を参照してください。
Azure Active Directory を使用した SCIM サポートの注意点と制限事項
SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。
サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイト ロールが誤ってプロビジョニングされる可能性があります。