OneLogin を使用した SCIM の構成
OneLogin を使用してユーザー管理を構成し、グループをプロビジョニングし、Tableau Cloud のサイト ロールを割り当てることができます。Tableau サイト ロールおよび各ロールの機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。
以下のステップを完了するまで、OneLogin のドキュメントが手元にあると便利です。「ユーザー プロビジョニングの概要」(新しいウィンドウでリンクが開く)から始めます。
SCIM サポートを有効にする
OneLogin を使用して SCIM サポートを有効にするには、以下のステップを実行します。「OneLogin を使用した SCIM サポートの注意点と制限事項」も参照してください。
注: 設定を変更した後は、OneLogin ポータルの右上隅にある [保存] をクリックする必要があります。
SCIM 機能を有効にするには、SAML シングル サインオンをサポートするようにサイトを構成する必要があります。これを行っていない場合は、[OneLogin を使用した SAML の構成(新しいウィンドウでリンクが開く)] にある次のセクションを完了してください。
これら 2 つのセクションのステップを完了した後、OneLogin ポータルと Tableau Cloud にサインインしたままで、以下のページが表示されます。
Tableau Cloud では、[設定] > [認証] ページ。
OneLogin ポータルでは [設定] ページ。
Tableau Cloud の [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
シークレット トークンの値をコピーし、OneLogin ポータルの [構成] ページで、以下の手順を実施します。
[API ステータス] で、[有効] をクリックします。
[SCIM ベアラ トークン] で、コピーした Tableau Cloud SCIM シークレットを貼り付けます。
[SCIM ベース URL] で、Tableau Cloud SCIM 設定で表示されたベース URL をコピーして貼り付けます。
[プロビジョニング] ページで、
[プロビジョニングの有効化] を選択します。
「OneLogin でユーザーが削除された場合、またはユーザーのアプリ アクセスが削除された場合、以下のアクションを実行する」の [一時停止] を選択します。
[保存] をクリックします。
(オプション)「パラメーター」ページで [SCIM ユーザー名] を [メール] 属性にマッピングします。SCIM ユーザー名をメール アドレス形式の属性にマッピングしない場合は、プロビジョニング プロセスの一環として、ユーザーごとにこのフィールドに手動で入力する必要があります。
マッピングされた値にユーザーのメール アドレスが含まれていない場合、ユーザーをプロビジョニングするときにエラーが表示されます。
ユーザーとグループをプロビジョニングするステップを完了したい場合は、OneLogin ポータルにサインインしたまま、次のセクションに進みます。
ユーザーとグループをプロビジョニングする
OneLogin では、グループやサイト ロールなどのユーザー属性を割り当てる方法が複数あります。Tableau Cloud アプリ レベルで適用したり、マッピング ルールを作成したり、個々のユーザーに手動で適用したりすることができます。
始める前に、OneLogin のグループの概念は、Tableau のグループの概念とは異なる動作になることに注意が必要です。OneLogin では、グループはセキュリティ境界として機能し、特定のセキュリティ ポリシーをユーザーに適用します。このため、ユーザーは一度に 1 つのグループにしか所属できません。
さらに、OneLogin が使用するロールは、さまざまなユーザー コホートがアクセスできるアプリケーションのコンテナとなります。ユーザーにロールを割り当てたら、そのロールに含まれるすべてのアプリケーションへのアクセスがユーザーに許可されます。これは、Tableau のグループの概念に似ています。OneLogin では、ユーザーは複数のロールを持つことができ、Tableau Cloud などのターゲット アプリケーションのグループにマッピングできます。
注: 次の手順では、OneLogin ポータルと Tableau Cloud アプリにサインインしていることを前提としています。これらの手順が提供する Tableau 固有の情報を OneLogin のドキュメントと合わせて使用すると、グループやサイト ロールの属性をユーザーにマッピングすることができます。
ユーザーをプロビジョニングする
次の手順を使用して、OneLogin ポータルを介して個々のユーザーを Tableau Cloud にプロビジョニングします。
[ユーザー] タブに移動して、プロビジョニングするユーザーを選択します。これにより、ユーザー設定ページが開きます。
左側のナビゲーション メニューから、[アプリケーション] を選択します。
[アプリケーション] ページでプラス (+) アイコンをクリックして、ユーザーを Tableau Cloud アプリケーションにプロビジョニングし、[続行] をクリックします。
ユーザーの適切な Tableau Cloud サイト ロールを [サイト ロール] フィールドに入力します。サイト ロールの詳細については、「ユーザーのサイト ロールの設定(新しいウィンドウでリンクが開く)」を参照してください。
[保存] をクリックします。
OneLogin のロールを持つ複数のユーザーをプロビジョニングする
OneLogin でロールを割り当てることにより、複数のユーザーを Tableau Cloud にプロビジョニングできます。ロールへのユーザーの追加は、手動で、またはマッピングを使用して自動で行うことができます。
ロールにユーザーを追加するには、以下の操作を実施します。
[ユーザー] > [ロール] に移動し、既存のロールを選択するか、[新しいロール] を作成します。詳細については、OneLogin の記事「ロール(新しいウィンドウでリンクが開く)」を参照してください。
次の例では、後ほど Tableau Cloud でグループとして使用する「販売」のロールを示しています。
[アプリケーション] ページで、Tableau Cloud アプリケーションにアクセスするロールを割り当てます。これにより、関連付けられたユーザーが自動的にアプリケーションにプロビジョニングされます。
[ユーザー] ページでは、ユーザーの苗字と名前を入力して手動でユーザーをロールに追加したり、マッピングを追加して (Active Directory グループなどの特定の属性に基づいて) 自動的にユーザーをロールに追加したりできます。
ユーザーをロールに追加した後、OneLogin ロールに基づいて適切な Tableau Cloud サイト ロールを割り当てるために、アプリケーション内にルールを作成することをお勧めします。詳細については、OneLogin の記事「アプリの設定(新しいウィンドウでリンクが開く)」を参照してください。
以下のスクリーンショットでは、「販売」のロールを持つユーザーは、Tableau Cloud で Creator のサイト ロールが割り当てられています。同様に、「マーケティング」のロールを持つユーザーには、Viewer のサイト ロールが割り当てられています。
既存の Tableau Cloud グループにユーザーを追加する
Tableau Cloud グループを OneLogin にインポートし、ユーザー プロビジョニング ダイアログにデフォルトで選択したいグループを指定します。
[パラメーター] ページで [グループ] をクリックし、[ユーザーのプロビジョニングに含める] チェックボックスを選択します。
[プロビジョニング] ページに移動し、[資格] セクションで [更新] をクリックします。
これにより、Tableau Cloud からグループをインポートします。
[パラメーター] ページに戻り、ユーザー プロビジョニング ダイアログに選択値として表示したいグループを選択します。
グループのメンバーシップを変更するには、[ユーザー] ページに移動してユーザーを選択し、[グループ] セクションで、利用可能な選択値を修正します。
定義した条件に基づいて、ユーザーを自動的にグループに含めるマッピングも作成可能です。詳細については、OneLogin の記事「マッピング(新しいウィンドウでリンクが開く)」を参照してください。
Tableau Cloud のグループを OneLogin から作成する
次の手順を使用して、OneLogin マッピングの属性に基づいて Tableau Cloud グループを作成します。たとえば、ユーザーのロールに基づいて Tableau Cloud でグループを作成します。
[アプリケーション] に移動して Tableau Cloud アプリケーションを選択し、[ルール] を選択します。
[ルール] ページで [ルールの追加] をクリックして、マッピングの編集ウィンドウを開きます。
[アクション] でドロップダウンメニューから [グループの設定] を選択し、[OneLogin からマッピング] を選択します。
[次と一致する値を持つ] 条件フィールドでは、正規表現を使用します。OneLogin のロール名と一致するグループを Tableau Cloud に作成する場合は、テキストフィールドに「
.*」と入力します。
Tableau サイト ロールを割当てる
デフォルトでは、ユーザーには Viewer のサイト ロールが割り当てられていて、これは Viewer のライセンス タイプを占有します。
OneLogin でサイトロールを割り当てるために使用するメソッドが何であれ、ある時点で、サイト ロール名をテキスト ボックスに入力する必要があります。入力可能な値については、下にある「有効な Tableau サイト ロール値」を参照してください。
サイト ロールの割り当て方法を次に示します。
個々のユーザーの場合:
[ユーザー] ページでユーザーを選択し、[アプリケーション] タブに移動します。対応する Tableau Cloud アプリケーションを選択します。
ユーザー設定で、サイト ロールの名前を [サイト ロール] テキスト ボックスに入力します。
複数のユーザーの場合:
[パラメーター] ページで [サイト ロール] をクリックし、次に [値] で、サイトロール属性を割り当てるオプションの一つを選択します。
例:
全ユーザーに同じサイト ロールがある場合、[マクロ] を選択してサイト ロール名を入力します。
OneLogin ユーザー ディレクトリに異なるサイト ロールが含まれている場合、対応する属性を選択します。
- [ルール] ページで、ロールを Tableau Cloud の特定のロールにマッピングするルールを作成します。
サイト ロールの割当が完了したら、[保存] をクリックします。
有効な Tableau サイト ロール値
OneLogin ポータルの [プロビジョニング] ページで入力可能なサイト ロール値は、現在またはレガシーライセンス ロールに基づいています。
現在のライセンス ロールには以下のサイト ロールの値が含まれています。
Creator、Explorer、ExplorerCanPublish、ReadOnly、ServerAdministrator、SiteAdministratorExplorer、SiteAdministratorCreator、Unlicensed、または Viewer。
レガシー (v2018.1 より前) ライセンス タイプには以下のサイト ロールが付属しています。
Interactor、Publisher、ServerAdministrator、SiteAdministrator、Unlicensed、UnlicensedWithPublish、Viewer、または ViewerWithPublish。
ユーザー属性変更の影響、または手動で変更した個々のユーザー属性をリセットする方法については、OneLogin 記事「プロビジョニング属性: 既定、ルール、および手動入力の影響(新しいウィンドウでリンクが開く)」を参照してください。
OneLogin を使用した SCIM サポートの注意点と制限事項
SCIM を使用して管理するサイトごとに、Tableau Cloud アプリを個別に追加する必要があります。
サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイト ロールが誤ってプロビジョニングされる可能性があります。