OneLogin を使用した SCIM の構成


OneLogin を使用してユーザー管理を構成し、グループをプロビジョニングし、Tableau Cloud のサイト ロールを割り当てることができます。Tableau サイト ロールおよび各ロールの機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。

以下のステップを完了するまで、OneLogin のドキュメントが手元にあると便利です。詳しくは、OneLogin ドキュメントの「ユーザー プロビジョニングの概要」(新しいウィンドウでリンクが開く)を参照してください。

ステップ 1: 前提条件を実行する

SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。

  1. 次のOneLogin を使用した SAML の構成(新しいウィンドウでリンクが開く)のセクションを実施してください。

  2. これら 2 つのセクションのステップを完了した後、OneLogin ポータルと Tableau Cloud にサインインしたままで、以下のページが表示されます。

    • Tableau Cloud では [設定][認証] ページ。

    • OneLogin ポータルでは [設定] ページ。

ステップ 2: SCIM サポートを有効にする

OneLogin を使用して SCIM サポートを有効にするには、以下のステップを実行します。以下の「OneLogin を使用した SCIM サポートの注意点と制限事項」セクションも参照してください。

注: 設定を変更した後は、OneLogin ポータルの右上隅にある [保存] をクリックする必要があります。

  1. Tableau Cloud サイトにサイト管理者としてサインインし、[設定][認証] の順に選択します。

  2. 次を実行します。

    1. [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。

      これにより、IdP の SCIM 設定で使用する値が入っている [ベース URL] ボックスが設定されます。

    2. [新しいシークレットを生成] をクリックします。新しく生成されたシークレットが表示され、SCIM 設定にコピーできるようになります。

      重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。

    3. [認証] で、SCIM に関連付ける SAML 認証設定を選択します。

      注: サイト上で SCIM をサポートできる SAML 認証の設定は 1 つだけです。

      ヒント: [認証] で異なる値 (「なし」から設定済み SAML 認証まで含む) を選択した場合はいつでも、SCIM を機能させるためにシークレットをリセットする必要があります。古いシークレットは接続に使用できなくなりますが、[テスト接続] ボタンは古いシークレットでも成功します。この場合は、もう一度 [新しいシークレットを生成する] をクリックし、新しいシークレットを IdP の SCIM 設定にコピーします。

  3. シークレット トークンの値をコピーします。

  4. OneLogin ポータルの [設定] ページで、以下を実行します。

    • [API ステータス] で、[有効] をクリックします。

    • [SCIM ベアラ トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。

    • [SCIM ベース URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。

      OneLogin ポータルの構成ページの画像

  5. [プロビジョニング] ページで、次の手順を実行します。

    • [プロビジョニングの有効化] を選択します。

    • OneLogin でユーザーが削除された場合、またはユーザーのアプリ アクセスが削除された場合、以下のアクションを実行する」の [一時停止] を選択します。

      Tableau Cloud で設定された OneLogin ポータルのプロビジョニング ページの画像

  6. [保存] をクリックします。

  7. (オプション)「パラメーター」ページで [SCIM ユーザー名] を [メール] 属性にマッピングします。SCIM ユーザー名をメール アドレス形式の属性にマッピングしない場合は、プロビジョニング プロセスの一環として、ユーザーごとにこのフィールドに手動で入力する必要があります。

    マッピングされた値にユーザーのメール アドレスが含まれていない場合、ユーザーをプロビジョニングするときにエラーが表示されます。

ユーザーとグループをプロビジョニングするステップを完了したい場合は、OneLogin ポータルにサインインしたまま、次のセクションに進みます。

ステップ 3: ユーザーとグループをプロビジョニングする

OneLogin では、グループやサイト ロールなどのユーザー属性を割り当てる方法が複数あります。Tableau Cloud アプリ レベルで適用したり、マッピング ルールを作成したり、個々のユーザーに手動で適用したりすることができます。

始める前に、OneLogin のグループの概念は、Tableau のグループの概念とは異なる動作になることに注意が必要です。OneLogin では、グループはセキュリティ境界として機能し、特定のセキュリティ ポリシーをユーザーに適用します。このため、ユーザーは一度に 1 つのグループにしか所属できません。

さらに、OneLogin が使用するロールは、さまざまなユーザー コホートがアクセスできるアプリケーションのコンテナとなります。ユーザーにロールを割り当てたら、そのロールに含まれるすべてのアプリケーションへのアクセスがユーザーに許可されます。これは、Tableau のグループの概念に似ています。OneLogin では、ユーザーは複数のロールを持つことができ、Tableau Cloud などのターゲット アプリケーションのグループにマッピングできます。

注: 次の手順では、OneLogin ポータルと Tableau Cloud アプリにサインインしていることを前提としています。これらの手順が提供する Tableau 固有の情報を OneLogin のドキュメントと合わせて使用すると、グループやサイト ロールの属性をユーザーにマッピングすることができます。

ユーザーをプロビジョニングする

次の手順を使用して、OneLogin ポータルを介して個々のユーザーを Tableau Cloud にプロビジョニングします。

  1. [ユーザー] タブに移動して、プロビジョニングするユーザーを選択します。これにより、ユーザー設定ページが開きます。

  2. 左側のナビゲーション メニューから、[アプリケーション] を選択します。

  3. [アプリケーション] ページでプラス (+) アイコンをクリックして、ユーザーを Tableau Cloud アプリケーションにプロビジョニングし、[続行] をクリックします。

  4. ユーザーの適切な Tableau Cloud サイト ロールを [サイト ロール] フィールドに入力します。サイト ロールの詳細については、「ユーザーのサイト ロールの設定(新しいウィンドウでリンクが開く)」を参照してください。

  5. [保存] をクリックします。

OneLogin のロールを持つ複数のユーザーをプロビジョニングする

OneLogin でロールを割り当てることにより、複数のユーザーを Tableau Cloud にプロビジョニングできます。ロールへのユーザーの追加は、手動で、またはマッピングを使用して自動で行うことができます。

ロールにユーザーを追加するには、以下の操作を実施します。

  1. [ユーザー] > [ロール] に移動し、既存のロールを選択するか、[新しいロール] を作成します。詳細については、OneLogin の記事「ロール(新しいウィンドウでリンクが開く)」を参照してください。

    次の例では、後ほど Tableau Cloud でグループとして使用する「販売」のロールを示しています。

    ユーザーごとにログイン条件をマッピングします。

  2. [アプリケーション] ページで、Tableau Cloud アプリケーションにアクセスするロールを割り当てます。これにより、関連付けられたユーザーが自動的にアプリケーションにプロビジョニングされます。

  3. [ユーザー] ページでは、ユーザーの苗字と名前を入力して手動でユーザーをロールに追加したり、マッピングを追加して (Active Directory グループなどの特定の属性に基づいて) 自動的にユーザーをロールに追加したりできます。

    役割と部門ごとにログイン条件をマッピングします。

  4. ユーザーをロールに追加した後、OneLogin ロールに基づいて適切な Tableau Cloud サイト ロールを割り当てるために、アプリケーション内にルールを作成することをお勧めします。詳細については、OneLogin の記事「アプリの設定(新しいウィンドウでリンクが開く)」を参照してください。

    以下のスクリーンショットでは、「販売」のロールを持つユーザーは、Tableau Cloud で Creator のサイト ロールが割り当てられています。同様に、「マーケティング」のロールを持つユーザーには、Viewer のサイト ロールが割り当てられています。

    Tableau Cloud の SSO ルールの設定。

既存の Tableau Cloud グループにユーザーを追加する

Tableau Cloud グループを OneLogin にインポートし、ユーザー プロビジョニング ダイアログにデフォルトで選択したいグループを指定します。

  1. [パラメーター] ページで [グループ] をクリックし、[ユーザーのプロビジョニングに含める] チェックボックスを選択します。

  2. [プロビジョニング] ページに移動し、[資格] セクションで [更新] をクリックします。

    これにより、Tableau Cloud からグループをインポートします。

  3. [パラメーター] ページに戻り、ユーザー プロビジョニング ダイアログに選択値として表示したいグループを選択します。

    フィールド グループを編集するためのフォーム。

  4. グループのメンバーシップを変更するには、[ユーザー] ページに移動してユーザーを選択し、[グループ] セクションで、利用可能な選択値を修正します。

定義した条件に基づいて、ユーザーを自動的にグループに含めるマッピングも作成可能です。詳細については、OneLogin の記事「マッピング(新しいウィンドウでリンクが開く)」を参照してください。

Tableau Cloud のグループを OneLogin から作成する

次の手順を使用して、OneLogin マッピングの属性に基づいて Tableau Cloud グループを作成します。たとえば、ユーザーのロールに基づいて Tableau Cloud でグループを作成します。

  1. [アプリケーション] に移動して Tableau Cloud アプリケーションを選択し、[ルール] を選択します。

  2. [ルール] ページで [ルールの追加] をクリックして、マッピングの編集ウィンドウを開きます。

  3. [アクション] でドロップダウンメニューから [グループの設定] を選択し、[OneLogin からマッピング] を選択します。

    [次と一致する値を持つ] 条件フィールドでは、正規表現を使用します。OneLogin のロール名と一致するグループを Tableau Cloud に作成する場合は、テキストフィールドに「.*」と入力します。

    アプリケーションのマッピングを編集するためのフォーム。

Tableau サイト ロールを割当てる

デフォルトでは、ユーザーには Viewer のサイト ロールが割り当てられていて、これは Viewer のライセンス タイプを占有します。

OneLogin でサイトロールを割り当てるために使用するメソッドが何であれ、ある時点で、サイト ロール名をテキスト ボックスに入力する必要があります。入力可能な値については、下にある「有効な Tableau サイト ロール値」を参照してください。

サイト ロールの割り当て方法を次に示します。

個々のユーザーの場合:

  1. [ユーザー] ページでユーザーを選択し、[アプリケーション] タブに移動します。対応する Tableau Cloud アプリケーションを選択します。

  2. ユーザー設定で、サイト ロールの名前を [サイト ロール] テキスト ボックスに入力します。

複数のユーザーの場合:

  1. [パラメーター] ページで [サイト ロール] をクリックし、次に [] で、サイトロール属性を割り当てるオプションの一つを選択します。

    例:

    • 全ユーザーに同じサイト ロールがある場合、[マクロ] を選択してサイト ロール名を入力します。

    • OneLogin ユーザー ディレクトリに異なるサイト ロールが含まれている場合、対応する属性を選択します。

  2. [ルール] ページで、ロールを Tableau Cloud の特定のロールにマッピングするルールを作成します。

サイト ロールの割当が完了したら、[保存] をクリックします。

有効な Tableau サイト ロール値

OneLogin ポータルの [プロビジョニング] ページで入力可能なサイト ロール値は、現在またはレガシーライセンス ロールに基づいています。

  • 現在のライセンス ロールには以下のサイト ロールの値が含まれています。

    Creator、Explorer、ExplorerCanPublish、ReadOnly、ServerAdministrator、SiteAdministratorExplorer、SiteAdministratorCreator、Unlicensed、または Viewer。

  • レガシー (v2018.1 より前) ライセンス タイプには以下のサイト ロールが付属しています。

    Interactor、Publisher、ServerAdministrator、SiteAdministrator、Unlicensed、UnlicensedWithPublish、Viewer、または ViewerWithPublish。

ユーザー属性変更の影響、または手動で変更した個々のユーザー属性をリセットする方法については、OneLogin 記事「プロビジョニング属性: 既定、ルール、および手動入力の影響(新しいウィンドウでリンクが開く)」を参照してください。

OneLogin を使用した SCIM サポートの注意点と制限事項

  • SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。

  • OneLogin で Tableau Cloud アプリケーションから既存のユーザーをプロビジョニング解除または削除すると、ユーザーがコンテンツ アセットを所有している場合、そのユーザーは Tableau Cloud のライセンスなしサイト ロールに変換されます。ユーザーがコンテンツを所有している場合は、Tableau Cloud でユーザーを削除する前に、まずそれらのコンテンツ アセットの所有権をもう一度割り当てる必要があります。

  • サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイト ロールが誤ってプロビジョニングされる可能性があります。

一番上に戻る