Okta を使用した SCIM の構成


Okta を介したユーザー管理の構成、グループのプロビジョニング、Tableau Cloud サイト ロールの割り当てを行うことができます。Tableau サイト ロールおよび各ロールの機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。

ステップ 1: 前提条件を実行する

SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。

  1. Okta を使用した SAML の構成の次のセクションを実施します。

  2. これら 2 つのセクションのステップを完了し、Okta の管理者コンソールと Tableau Cloud にサインインしたままの状態で以下のページを表示します。

    • Tableau Cloud では [設定][認証] ページ。

    • Okta 管理者コンソールでは、[アプリケーション][アプリケーション][Tableau Cloud][プロビジョニング]

ステップ 2: SCIM サポートを有効にする

Okta を使用して SCIM サポートを有効にするには、以下のステップを実行します。以下のセクションの「Azure Active Directory を使用した SCIM サポートの注意点と制限事項」も参照してください。

  1. Tableau Cloud サイトにサイト管理者としてサインインし、[設定][認証] の順に選択します。

  2. 次を実行します。

    1. [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。

      これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。

      重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。

  3. シークレット トークンの値をコピーします。

  4. Okta 管理者コンソールで、以下を実行します。

    1. 左側のペインで [アプリケーション][アプリケーション] の順に選択して [Tableau Cloud] アプリケーションをクリックし、[プロビジョニング] タブをクリックします。

    2. [API 統合を有効化] ボタンをクリックします。

    3. [API 統合の有効化] チェックボックスを選択して [保存] をクリックします。

    4. 次を実行します。

      1. [API トークン] には、前のステップでコピーした Tableau CloudSCIM シークレットを貼り付けます。

      2. [Base URL (ベース URL)] には Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。

  5. 「API 認証資格情報のテスト」ボタンをクリックして、構成が正しく行われたことを確認します。正しく設定されると、「Tableau Cloud は正常に検証されました」というメッセージが表示されます。

  6. 完了したら、[保存] をクリックします。

ステップ 3: ユーザーとグループを Tableau に割り当てる

Okta では、ユーザーを Tableau にプロビジョニングできるように、ユーザーとグループを Tableau アプリケーションに割り当てる必要があります。

注: Okta では、割り当て用とプッシュ用に別のグループを作成することを推奨しています。詳細については、Okta ドキュメントの「グループのプッシュについて」(新しいウィンドウでリンクが開く)を参照してください。

  1. 左側のペインで [アプリケーション][アプリケーション] の順に選択して [Tableau Cloud] アプリケーションをクリックし、[割り当て] タブをクリックします。

  2. [割り当て] ドロップダウンをクリックし、[ユーザーに割り当て] または [グループに割り当て] を選択します。

  3. 次を実行します。

    1. 関連するユーザーまたはグループを選択します。

    2. ユーザーを Tableau にプロビジョニングするサイト ロールを選択します。以下のオプションがあります。

      • ライセンスなし

      • Viewer

      • Explorer

      • Explorer (パブリッシュ可能)

      • Creator

      • サイト管理者 Explorer

      • サイト管理者 Creator

  4. 完了したら、[保存して戻る] ボタンをクリックします。

  5. 必要に応じてステップ 3 と 4 を繰り返し、[完了] ボタンをクリックします。

ステップ 4: グループ プロビジョニングの有効化

Okta を使用すると、既存のグループとそのメンバーシップを Tableau Cloud にプッシュできます。グループをプッシュしたら、Tableau Cloud の対応するグループが自動的に更新されるように Okta のグループ メンバーシップを管理できます。これらの手順に従う前に、Okta ドキュメントの「グループ プッシュの前提条件」(新しいウィンドウでリンクが開く)「グループ プッシュについて」(新しいウィンドウでリンクが開く)を確認することをお勧めします。

注: SCIM を有効にすると、ユーザーとその属性は IdP を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。

前のセクションの続きから以下のステップを行います。ここでは Okta 管理者コンソールにサインインしていることを前提にしています。

  1. 左側のペインで、[アプリケーション][アプリケーション] の順に選択して Tableau Cloud アプリケーションをクリックし、[グループのプッシュ] タブをクリックします。

  2. [グループのプッシュ] ボタンをクリックし、ドロップダウン メニューから以下のオプションの 1 つを選択します。

    • [Find groups by name (名前でグループを検索)]: 名前でグループを検索するには、このオプションを選択します。

    • [Find groups by rule (ルールでグループを検索)]: ルールに一致するグループをプッシュするには、このオプションを選択して検索ルールを作成します。

    [Push Status (プッシュス テータス)] 列の [Active (アクティブ)] または[Inactive (非アクティブ)] をクリックすると、グループ プッシュを無効にしたり、プッシュされたグループのリンクを解除したり、グループのメンバーシップをすぐにプッシュしたりできます。複数のグループを削除、または非アクティブまたはアクティブにするには、[Bulk Edit (一括編集)] をクリックします。詳細については、Okta ドキュメントの「グループ プッシュを有効にする(新しいウィンドウでリンクが開く)」を参照してください。

  3. (オプション) 複数のグループをプッシュする場合は、[保存して別のグループを追加] ボタンをクリックし、前の手順を繰り返します。

  4. 完了したら、[保存] をクリックします。

Okta を使用した SCIM サポートの注意点

  • Okta ユーザー割り当て設定では、[ユーザー名] および [主要メールアドレス] の値が同一である必要があります。

  • SCIM を使用して管理するサイトそれぞれに、別々の Tableau Cloud Okta アプリを追加する必要があります。

  • サイトを移行する場合は、新しいサイトで SCIM プロビジョニングを再構成する必要があります。

  • 新しいユーザーをプロビジョニングする際、Okta の名と姓の属性は Tableau Cloud に同期されません。新しいユーザーは、Tableau Cloud に初めてサインインするときにこれらのフィールドを設定する必要があります。

  • ユーザーが Okta の Tableau Cloud アプリケーションから割り当てを解除されるか、ユーザーが Okta から完全に認証解除または削除されると、そのユーザーは Tableau Cloud でライセンスなしのサイト ロールに変換されます。ユーザーがコンテンツを所有している場合、Tableau Cloud でそのユーザーを手動で削除する前に、まずそれらのアセットの所有権を再度割り当てる必要があります。

  • Okta でユーザーのサイト ロール (Creator、Explorer、Viewer など) を、ユーザー レベルまたはグループ レベルのどちらかで設定できます。グループ レベルでサイト ロールを割り当てることをお勧めします。ユーザーがサイト ロールを直接割り当てる場合は、グループ設定が上書きされます。

  • 1 人のユーザーが複数のグループのメンバーになることができます。グループには、さまざまなサイト ロールを設定できます。さまざまなサイト ロールが設定されたグループにユーザーが割り当てられる場合、ユーザーには最も制限の少ないサイト ロールが Tableau Cloud で設定されます。たとえば、Viewer と Creator を選択すると、Tableau は Creator サイト ロールを割り当てます。

    サイト ロールを最も制限が少ないものから多いものの順に以下に示します。

    • サイト管理者 Creator

    • サイト管理者 Explorer

    • Creator

    • Explorer (パブリッシュ可能)

    • Explorer

    • Viewer

  • ユーザーのサイト ロールの属性を Okta で更新することができ、この変更が Tableau Cloud に反映されます。[ユーザー名] や [主要メール アドレス] などの他の属性は更新できません。これらの属性を変更するには、ユーザーを削除し、属性を変更してから、再びユーザーを追加します。

  • 2024 年 2 月 (Tableau 2023.3) から、サインイン時にライセンスを付与 (GLSI) SCIM の使用がサポートされます。GLSI には以下が必要です。

    1.グループのオプションを手動で有効にし、Tableau Cloud で直接グループのメンバーであるユーザーの最小サイト ロールを選択します。Okta で GLSI 属性を使用してグループを設定することはできませんが、Tableau Cloud の Okta からプロビジョニングしたグループの属性を設定することはできます。
    2.ユーザーは、IdP からライセンスなしとしてプロビジョニングされる必要があります。

一番上に戻る
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!