OneLogin を使用した SCIM の構成
OneLogin を使用してユーザー管理を構成し、グループをプロビジョニングし、Tableau Cloud のサイト ロールを割り当てることができます。Tableau サイト ロールおよび各ロールの機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。
以下のステップを完了するまで、OneLogin のドキュメントが手元にあると便利です。詳しくは、OneLogin ドキュメントの「ユーザー プロビジョニングの概要」(新しいウィンドウでリンクが開く)を参照してください。
ステップ 1: 前提条件を実行する
SCIM 機能を有効にするには、SAML シングル サインオン (SSO) をサポートするようにサイトを構成する必要があります。
次のOneLogin を使用した SAML の構成(新しいウィンドウでリンクが開く)のセクションを実施してください。
これら 2 つのセクションのステップを完了した後、OneLogin ポータルと Tableau Cloud にサインインしたままで、以下のページが表示されます。
Tableau Cloud では [設定] の [認証] ページ。
OneLogin ポータルでは [設定] ページ。
OneLogin を使用して SCIM サポートを有効にするには、以下のステップを実行します。以下の「OneLogin を使用した SCIM サポートの注意点と制限事項」セクションも参照してください。
注: 設定を変更した後は、OneLogin ポータルの右上隅にある [保存] をクリックする必要があります。
Tableau Cloud サイトにサイト管理者としてサインインし、[設定]、[認証] の順に選択します。
次を実行します。
[認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、IdP の SCIM 設定で使用する値が入っている [ベース URL] ボックスが設定されます。
[新しいシークレットを生成] をクリックします。新しく生成されたシークレットが表示され、SCIM 設定にコピーできるようになります。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
[認証] で、SCIM に関連付ける SAML 認証設定を選択します。
注: サイト上で SCIM をサポートできる SAML 認証の設定は 1 つだけです。
ヒント: [認証] で異なる値 (「なし」から設定済み SAML 認証まで含む) を選択した場合はいつでも、SCIM を機能させるためにシークレットをリセットする必要があります。古いシークレットは接続に使用できなくなりますが、[テスト接続] ボタンは古いシークレットでも成功します。この場合は、もう一度 [新しいシークレットを生成する] をクリックし、新しいシークレットを IdP の SCIM 設定にコピーします。
シークレット トークンの値をコピーします。
OneLogin ポータルの [設定] ページで、以下を実行します。
[API ステータス] で、[有効] をクリックします。
[SCIM ベアラ トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。
[SCIM ベース URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。
[プロビジョニング] ページで、次の手順を実行します。
[プロビジョニングの有効化] を選択します。
「OneLogin でユーザーが削除された場合、またはユーザーのアプリ アクセスが削除された場合、以下のアクションを実行する」の [一時停止] を選択します。
[保存] をクリックします。
(オプション)「パラメーター」ページで [SCIM ユーザー名] を [メール] 属性にマッピングします。SCIM ユーザー名をメール アドレス形式の属性にマッピングしない場合は、プロビジョニング プロセスの一環として、ユーザーごとにこのフィールドに手動で入力する必要があります。
マッピングされた値にユーザーのメール アドレスが含まれていない場合、ユーザーをプロビジョニングするときにエラーが表示されます。
ユーザーとグループをプロビジョニングするステップを完了したい場合は、OneLogin ポータルにサインインしたまま、次のセクションに進みます。
OneLogin では、グループやサイト ロールなどのユーザー属性を割り当てる方法が複数あります。Tableau Cloud アプリ レベルで適用したり、マッピング ルールを作成したり、個々のユーザーに手動で適用したりすることができます。
始める前に、OneLogin のグループの概念は、Tableau のグループの概念とは異なる動作になることに注意が必要です。OneLogin では、グループはセキュリティ境界として機能し、特定のセキュリティ ポリシーをユーザーに適用します。このため、ユーザーは一度に 1 つのグループにしか所属できません。
さらに、OneLogin が使用するロールは、さまざまなユーザー コホートがアクセスできるアプリケーションのコンテナとなります。ユーザーにロールを割り当てたら、そのロールに含まれるすべてのアプリケーションへのアクセスがユーザーに許可されます。これは、Tableau のグループの概念に似ています。OneLogin では、ユーザーは複数のロールを持つことができ、Tableau Cloud などのターゲット アプリケーションのグループにマッピングできます。
注: 次の手順では、OneLogin ポータルと Tableau Cloud アプリにサインインしていることを前提としています。これらの手順が提供する Tableau 固有の情報を OneLogin のドキュメントと合わせて使用すると、グループやサイト ロールの属性をユーザーにマッピングすることができます。
次の手順を使用して、OneLogin ポータルを介して個々のユーザーを Tableau Cloud にプロビジョニングします。
[ユーザー] タブに移動して、プロビジョニングするユーザーを選択します。これにより、ユーザー設定ページが開きます。
左側のナビゲーション メニューから、[アプリケーション] を選択します。
[アプリケーション] ページでプラス (+) アイコンをクリックして、ユーザーを Tableau Cloud アプリケーションにプロビジョニングし、[続行] をクリックします。
ユーザーの適切な Tableau Cloud サイト ロールを [サイト ロール] フィールドに入力します。サイト ロールの詳細については、「ユーザーのサイト ロールの設定(新しいウィンドウでリンクが開く)」を参照してください。
[保存] をクリックします。
OneLogin でロールを割り当てることにより、複数のユーザーを Tableau Cloud にプロビジョニングできます。ロールへのユーザーの追加は、手動で、またはマッピングを使用して自動で行うことができます。
ロールにユーザーを追加するには、以下の操作を実施します。
[ユーザー] > [ロール] に移動し、既存のロールを選択するか、[新しいロール] を作成します。詳細については、OneLogin の記事「ロール(新しいウィンドウでリンクが開く)」を参照してください。
次の例では、後ほど Tableau Cloud でグループとして使用する「販売」のロールを示しています。
[アプリケーション] ページで、Tableau Cloud アプリケーションにアクセスするロールを割り当てます。これにより、関連付けられたユーザーが自動的にアプリケーションにプロビジョニングされます。
[ユーザー] ページでは、ユーザーの苗字と名前を入力して手動でユーザーをロールに追加したり、マッピングを追加して (Active Directory グループなどの特定の属性に基づいて) 自動的にユーザーをロールに追加したりできます。
ユーザーをロールに追加した後、OneLogin ロールに基づいて適切な Tableau Cloud サイト ロールを割り当てるために、アプリケーション内にルールを作成することをお勧めします。詳細については、OneLogin の記事「アプリの設定(新しいウィンドウでリンクが開く)」を参照してください。
以下のスクリーンショットでは、「販売」のロールを持つユーザーは、Tableau Cloud で Creator のサイト ロールが割り当てられています。同様に、「マーケティング」のロールを持つユーザーには、Viewer のサイト ロールが割り当てられています。
Tableau Cloud グループを OneLogin にインポートし、ユーザー プロビジョニング ダイアログにデフォルトで選択したいグループを指定します。
[パラメーター] ページで [グループ] をクリックし、[ユーザーのプロビジョニングに含める] チェックボックスを選択します。
[プロビジョニング] ページに移動し、[資格] セクションで [更新] をクリックします。
これにより、Tableau Cloud からグループをインポートします。
[パラメーター] ページに戻り、ユーザー プロビジョニング ダイアログに選択値として表示したいグループを選択します。
グループのメンバーシップを変更するには、[ユーザー] ページに移動してユーザーを選択し、[グループ] セクションで、利用可能な選択値を修正します。
定義した条件に基づいて、ユーザーを自動的にグループに含めるマッピングも作成可能です。詳細については、OneLogin の記事「マッピング(新しいウィンドウでリンクが開く)」を参照してください。
次の手順を使用して、OneLogin マッピングの属性に基づいて Tableau Cloud グループを作成します。たとえば、ユーザーのロールに基づいて Tableau Cloud でグループを作成します。
[アプリケーション] に移動して Tableau Cloud アプリケーションを選択し、[ルール] を選択します。
[ルール] ページで [ルールの追加] をクリックして、マッピングの編集ウィンドウを開きます。
[アクション] でドロップダウンメニューから [グループの設定] を選択し、[OneLogin からマッピング] を選択します。
[次と一致する値を持つ] 条件フィールドでは、正規表現を使用します。OneLogin のロール名と一致するグループを Tableau Cloud に作成する場合は、テキストフィールドに「
.*
」と入力します。
デフォルトでは、ユーザーには Viewer のサイト ロールが割り当てられていて、これは Viewer のライセンス タイプを占有します。
OneLogin でサイトロールを割り当てるために使用するメソッドが何であれ、ある時点で、サイト ロール名をテキスト ボックスに入力する必要があります。入力可能な値については、下にある「有効な Tableau サイト ロール値」を参照してください。
サイト ロールの割り当て方法を次に示します。
個々のユーザーの場合:
[ユーザー] ページでユーザーを選択し、[アプリケーション] タブに移動します。対応する Tableau Cloud アプリケーションを選択します。
ユーザー設定で、サイト ロールの名前を [サイト ロール] テキスト ボックスに入力します。
複数のユーザーの場合:
[パラメーター] ページで [サイト ロール] をクリックし、次に [値] で、サイトロール属性を割り当てるオプションの一つを選択します。
例:
全ユーザーに同じサイト ロールがある場合、[マクロ] を選択してサイト ロール名を入力します。
OneLogin ユーザー ディレクトリに異なるサイト ロールが含まれている場合、対応する属性を選択します。
- [ルール] ページで、ロールを Tableau Cloud の特定のロールにマッピングするルールを作成します。
サイト ロールの割当が完了したら、[保存] をクリックします。
OneLogin ポータルの [プロビジョニング] ページで入力可能なサイト ロール値は、現在またはレガシーライセンス ロールに基づいています。
現在のライセンス ロールには以下のサイト ロールの値が含まれています。
Creator、Explorer、ExplorerCanPublish、ReadOnly、ServerAdministrator、SiteAdministratorExplorer、SiteAdministratorCreator、Unlicensed、または Viewer。
レガシー (v2018.1 より前) ライセンス タイプには以下のサイト ロールが付属しています。
Interactor、Publisher、ServerAdministrator、SiteAdministrator、Unlicensed、UnlicensedWithPublish、Viewer、または ViewerWithPublish。
ユーザー属性変更の影響、または手動で変更した個々のユーザー属性をリセットする方法については、OneLogin 記事「プロビジョニング属性: 既定、ルール、および手動入力の影響(新しいウィンドウでリンクが開く)」を参照してください。
SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。
OneLogin で Tableau Cloud アプリケーションから既存のユーザーをプロビジョニング解除または削除すると、ユーザーがコンテンツ アセットを所有している場合、そのユーザーは Tableau Cloud のライセンスなしサイト ロールに変換されます。ユーザーがコンテンツを所有している場合は、Tableau Cloud でユーザーを削除する前に、まずそれらのコンテンツ アセットの所有権をもう一度割り当てる必要があります。
サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイト ロールが誤ってプロビジョニングされる可能性があります。