Azure Active Directory を使用した SCIM の構成

Active Directory を使用してユーザー管理を構成し、グループをプロビジョニングし、Tableau Cloud のサイト ロールを割り当てることができます。

以下の手順を完了するまで、Microsoft のドキュメントが手元にあると便利です。チュートリアルの「ユーザーを自動的にプロビジョニングするための Tableau Cloud の設定(新しいウィンドウでリンクが開く)」を参照してください。

注: アプリケーションのプロビジョニングを既に有効にしていて、Tableau SCIM 2.0 エンドポイントを使用するように更新する場合は、Tableau Cloud アプリケーションの更新(新しいウィンドウでリンクが開く)に関する Microsoft の記事を参照してください。Tableau Cloud アプリケーションの新しいインスタンスのプロビジョニングを設定する場合は、以下の手順に従ってください。

ステップ 1: 前提条件を実行する

SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。

  1. Azure Active Directory での SAML の構成の「Tableau Cloud を Azure AD アプリケーションに追加する」を実施してください。

  2. Azure Marketplace から Tableau Cloud を追加すると、Azure ポータルと Tableau Cloud の両方にサインインしたままで、以下のページが表示されます。

    • Tableau Cloud では [設定][認証] ページ。
    • Azure ポータルでは、Tableau Cloud[アプリケーション] の [プロビジョニング] ページ。

ステップ 2: SCIM サポートを有効にする

Azure Active Directory で SCIM サポートを有効にするには、以下の手順を実施します。以下の「Azure Active Directory を使用した SCIM サポートの注意点と制限事項」セクションも参照してください。

  1. Tableau Cloud サイトにサイト管理者としてサインインし、[設定][認証] の順に選択します。

  2. 次を実行します。

    1. [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。

      これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。

      重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。

  3. シークレット トークンの値をコピーし、Azure ポータルの [プロビジョニング] ページで、以下の手順を実施します。

    • [プロビジョニング モード] で、[自動] を選択します。

    • [認証方法] で、[認証] を選択します。

    • [シークレット トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。

    • [テナント URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。

  4. [接続のテスト] をクリックして資格情報が期待どおりに機能しているることを確認し、[保存] をクリックします。

  5. [マッピング] セクションで、[Azure Active Directory グループのプロビジョニング] と [Azure Active Directory ユーザーのプロビジョニング] が有効になっていることを確認します。

  6. [Azure Active Directory グループのプロビジョニング] を選択し、[属性のマッピング] ページで、Azure から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。

  7. [Azure Active Directory ユーザーのプロビジョニング] を選択し、[属性のマッピング] ページで、Azure から Tableau Cloud に同期された属性を確認します。変更を保存するには、[保存] をクリックします。

ステップ 3: Tableau Cloud アプリケーションにユーザーとグループを割り当てる

次の手順を使用して、個々のユーザーとグループを Azure の Tableau Cloud アプリケーションに割り当てます。

  1. アプリケーション ページから、[エンタープライズ アプリ] > [ユーザーとグループ] を選択します。

  2. [ユーザー/グループの追加] をクリックします。

  3. [割り当ての追加] ページでユーザーまたはグループを選択し、CreatorSiteAdministratorCreatorExplorerSiteAdministratorExplorerExplorerCanPublishViewerUnlicensed のいずれかのサイト ロールを割り当てます。

    上記のリストにない役割を選択すると、エラーが発生します。サイト ロールの詳細については、「ユーザーのサイト ロールの設定」を参照してください。

  4. [割り当て] をクリックします。

サイト ロールのグループを作成する

ユーザーは Azure の複数のグループのメンバーになることができますが、Tableau Cloud では権限が最も強いサイト ロールのみを受け継ぎます。たとえば、ユーザーが Viewer のサイト ロールを持つグループと、Creator のサイト ロールを持つグループのメンバーである場合、Tableau は Creator のサイト ロールを割り当てます。

ロールの割り当てを追跡するには、Azure で「Tableau-Creator」「Tableau-Explorer」 などの役割固有のグループを作成することをお勧めします。その後、グループを使用して、Tableau Cloud の正しいロールを新しいユーザーにすばやくプロビジョニングできます。

サイト ロールを最も制限が少ないものから多いものの順に以下に示します。

  • サイト管理者 Creator

  • サイト管理者 Explorer

  • Creator

  • Explorer (パブリッシュ可能)

  • Explorer

  • Viewer

注: ユーザーとその属性は、Azure を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。

ステップ 4: ユーザーとグループをプロビジョニングする

SCIM サポートを有効にし、ユーザーとグループを Azure の Tableau Cloud アプリケーションに割り当てたら、次はご利用の Tableau サイトにユーザーをプロビジョニングします。

  1. [プロビジョニング] ページで [設定] セクションを展開し、Tableau Cloud にプロビジョニングするユーザーまたはグループを [スコープ] で定義します。

    注: Azure AD 設定の [すべてのユーザーとグループを同期する] は Tableau Cloud.でサポートされていません。

  2. [プロビジョニング ステータス] を [オン] に切り替えます。

  3. [保存] をクリックします。

保存すると、[スコープ] で定義されたユーザーまたはグループの初期同期が始まります。Azure AD のプロビジョニング サービスが稼動している限り、同期は約 40 分ごとに行われます。スケジュールとは別に手動でユーザーをプロビジョニングするには、[オンデマンドでプロビジョニング] を選択します。オンデマンドでのプロビジョニングの詳細については、Microsoft の記事「Azure Active Directory でのオンデマンド プロビジョニング(新しいウィンドウでリンクが開く)」を参照してください。

プロビジョニングが完了すると、Azure AD のユーザーまたはグループが Tableau Cloud の [サイト ユーザー] ページに表示されます。

Tableau Cloud でユーザー認証を変更する

プロビジョニングされたユーザーには、デフォルトで SAML 認証タイプが割り当てられます。ユーザーの認証タイプを変更するには、以下の手順を使用します。

  1. Tableau Cloud で、[ユーザー] を選択します。

  2. [サイト ユーザー] ページで、認証タイプを割り当てるユーザーの隣にあるチェック ボックスを選択します。

  3. [アクション] メニューで、[認証] を選択します。

  4. [認証] ダイアログで、ユーザーに優先する認証タイプを選択します。

Tableau Cloud の様々な認証タイプの詳細については、[認証] を参照してください。

Azure Active Directory を使用した SCIM サポートの注意点

  • SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。

  • Azure AD の Tableau Cloud アプリケーションでユーザーをデプロビジョニングする場合、またはユーザーが Azure AD から完全に削除される場合、そのユーザーは Tableau Cloud でライセンスなしのサイト ロールに変換されます。ユーザーがコンテンツを所有している場合、Tableau Cloud でそのユーザーを手動で削除する前に、まずそれらのアセットの所有権を再度割り当てる必要があります。

  • 2024 年 2 月 (Tableau 2023.3) から、サインイン時にライセンスを付与 (GLSI) SCIM の使用がサポートされます。GLSI では、グループのオプションを手動で有効にし、Tableau Cloud のグループのメンバーであるユーザーに対して最小限のサイト ロールを選択する必要があります。Azure AD で GLSI 属性を使用してグループを設定することはできませんが、Tableau Cloud の Azure AD からプロビジョニングしたグループの属性を設定することはできます。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!