Okta を使用した SCIM の構成

Okta を介したユーザー管理の構成、グループのプロビジョニング、Tableau Cloud サイト ロールの割り当てを行うことができます。Tableau サイト ロールおよび各ロールの機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。

以下のステップを完了する際には、Okta のドキュメントを手元に置いておくと便利です。

SCIM サポートの有効化

Okta を使用して SCIM サポートを有効にするには、以下のステップを実行します。「Okta を使用した SCIM サポートの注意点と制限事項」も参照してください。

  1. SCIM 機能を有効にするには、SAML シングル サインオンをサポートするようにサイトを構成する必要があります。これを行っていない場合は、Okta を使用した SAML の構成 記事にある次のセクションを完了します。

    これら 2 つのセクションのステップを完了し、Okta コンソールと Tableau Cloud にサインインしたままの状態で以下のページを表示します。

    • Tableau Cloud では、[設定] > [認証] ページ。

    • Okta 開発者コンソールでは、[Applications (アプリケーション)][Tableau Cloud] > [Provisioning (プロビジョニング)]

  2. Tableau Cloud[認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。

    これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。

    重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。

  3. シークレット トークンの値をコピーし、Okta 管理者コンソールの [プロビジョニング] ページで [設定] 列の [API 統合] を選択します。

  4. [Edit (編集)] を選択し、以下を行います。

    • [Enable API integration (API 統合の有効化)] チェックボックスをオンにします。

    • [API トークン] には、前のステップでコピーした Tableau CloudSCIM シークレットを貼り付けます。

    • [Base URL (ベース URL)] には Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。

グループ プロビジョニングの有効化

Okta を使用すると、既存のグループを Tableau Cloud にプッシュして、グループやサイト ロールなどのユーザー属性を割り当てることができます。グループをプッシュしたら、Tableau Cloud の対応するグループが自動的に更新されるように Okta のグループ メンバーシップを管理できます。

注: SCIM を有効にした後、IdP を介してユーザーとその属性を管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。

前のセクションの続きから以下のステップを行います。ここでは Okta 管理者コンソールにサインインしていることを前提にしています。

  1. [アプリケーション] タブで、Tableau Cloud アプリケーションを選択します。

  2. [Push Groups (プッシュ グループ)] タブを選択します。

  3. [Push Groups (プッシュ グループ)] をクリックし、ドロップダウン メニューからオプションを 1 つ選択します。

    • [Find groups by name (名前でグループを検索)]: 名前でグループを検索するには、このオプションを選択します。

    • [Find groups by rule (ルールでグループを検索)]: ルールに一致するグループをプッシュするには、このオプションを選択して検索ルールを作成します。

[Push Status (プッシュス テータス)] 列の [Active (アクティブ)] または[Inactive (非アクティブ)] をクリックすると、グループ プッシュを無効にしたり、プッシュされたグループのリンクを解除したり、グループのメンバーシップをすぐにプッシュしたりできます。複数のグループを削除、または非アクティブまたはアクティブにするには、[Bulk Edit (一括編集)] をクリックします。

詳細については、Okta ドキュメントの「グループ プッシュを有効にする(新しいウィンドウでリンクが開く)」を参照してください。

Okta を使用した SCIM サポートの注意点と制限事項

  • Okta ユーザー割り当て設定では、[ユーザー名] および [主要メールアドレス] の値が同一である必要があります。

  • SCIM を使用して管理するサイトそれぞれに、別々の Tableau Cloud Okta アプリを追加する必要があります。

  • サイトを移行する場合は、新しいサイトで SCIM プロビジョニングを再構成する必要があります。

  • 新しいユーザーをプロビジョニングする際、Okta の名と姓の属性は Tableau Cloud に同期されません。新しいユーザーは、Tableau Cloud に初めてサインインするときにこれらのフィールドを設定する必要があります。

  • Okta でユーザーのサイト ロール (Creator、Explorer、Viewer など) を、ユーザー レベルまたはグループ レベルのどちらかで設定できます。グループ レベルでサイト ロールを割り当てることをお勧めします。ユーザーがサイト ロールを直接割り当てる場合は、グループ設定が上書きされます。

  • 1 人のユーザーが複数のグループのメンバーになることができます。グループには、さまざまなサイト ロールを設定できます。さまざまなサイト ロールが設定されたグループにユーザーが割り当てられる場合、ユーザーには最も制限の少ないサイト ロールが Tableau Cloud で設定されます。たとえば、Viewer と Creator を選択すると、Tableau は Creator サイト ロールを割り当てます。

    サイト ロールを最も制限が少ないものから多いものの順に以下に示します。

    • サイト管理者 Creator

    • サイト管理者 Explorer

    • Creator

    • Explorer (パブリッシュ可能)

    • Explorer

    • Viewer

  • ユーザーのサイト ロールの属性を Okta で更新することができ、この変更が Tableau Cloud に反映されます。[ユーザー名] や [主要メール アドレス] などの他の属性は更新できません。これらの属性を変更するには、ユーザーを削除し、属性を変更してから、再びユーザーを追加します。

  • サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイト ロールが誤ってプロビジョニングされる可能性があります。

ありがとうございます!