外部 ID プロバイダーを介したユーザー プロビジョニングおよびグループ同期の自動化
ID プロバイダー (IdP) を使用して、Tableau Cloud のユーザーの追加または削除を自動化したり、グループのメンバーの追加または削除を自動化したりできます。
Tableau Cloud のユーザー管理はクロスドメイン ID 管理システム (SCIM) 標準を使用しています。これはユーザー ID 情報の交換を自動化するためのオープン標準です。SCIM を使用すると、ID プロバイダー (IdP) は、ユーザーをアプリケーションとグループへ割り当てるなど、ユーザー ID を一元的に管理できます。IdP は SCIM を使用することで、Tableau Cloud のような「ダウンストリーム」のアプリケーションが IdP で設定されたプロビジョニング割り当てと同期された状態を維持できるようになります。この方法でユーザー管理を行うと、セキュリティが向上し、サイト管理者がサイト ユーザーとグループ メンバーシップの管理のために手動で行う必要がある作業量が大幅に低減します。
上の図では、IdP が更新を Tableau Cloud にプッシュし、ユーザーとグループが適切にミラーリングされるように Tableau Cloud の SCIM エンドポイントを呼び出す頻度が制御されます。
IdP 固有の構成
このトピックの後のステップでは、IdP のドキュメントと一緒に使用して Tableau Cloud サイト用に SAML を構成する場合の一般的な情報を提供します。サポートされている次の IdPs に対して IdP 固有の構成ステップを実行できます。
前提条件
Tableau Cloud サイトで SCIM の統合を有効にするには、以下の適切なアクセス レベルが必要です。
Tableau Cloud サイトへのサイト管理者アクセス
Tableau Cloud の IdPs 構成設定を修正する機能
また、SCIM 機能を有効にするには、SAML シングル サインオンをサポートするようにサイトを構成する必要があります (SSO)。これを行っていない場合は、「サイトでの SAML 認証の有効化」を参照してから、IdP のドキュメントに従って、Tableau Cloud をアプリケーションとして追加してください。
IdP で SCIM サポートを有効にする
SCIM サポートを有効にするには、以下のステップを行います。このプロセスを完了するには、IdP が提供するドキュメントも必要です。SAML プロビジョニングのためにサービス プロバイダーを構成または有効にすることに関するトピックを探してください。
注:
SCIM を有効にした後、ユーザーとその属性を IdP を介して管理する必要があります。Tableau Cloud 内で直接変更を行うと、予期しない動作が発生したり、値が上書きされたりする可能性があります。
2024 年 11 月以降 (Tableau 2024.3):
SCIM に関連付ける SAML 認証構成を選択できます。ただし、サイト上で SCIM をサポートできる SAML 認証構成は 1 つだけです。
SCIM 機能はサイト管理者に限定されなくなりました。つまり、すべてのサイト管理者が SCIM を構成および編集することができます。ただし、サイト上で SCIM をサポートできる SAML 認証構成は 1 つだけです。
SCIM を有効にするには
Tableau Cloud サイトにサイト管理者としてサインインし、[設定]、[認証] の順に選択します。
次を実行します。
[認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Cloud ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
シークレット トークンの値をコピーしてから、IdP 設定に移動します。Tableau Cloud SCIM シークレット トークンを適切なフィールドに貼り付けます。
Tableau Cloud SCIM 設定に表示されているベース URL をコピーして、IdP の適切なフィールドに貼り付けます。
SCIM サポートを有効にした後、IdP のドキュメントに従ってユーザーとグループをプロビジョニングします。
SCIM シークレット トークンの置き換え
SCIM (クロスドメイン ID 管理システム) シークレット トークンを置き換える必要がある場合は、次の手順を実行します。
Tableau Cloud で、 [設定] > [認証] に移動します。
[自動プロビジョニングとグループ同期 (SCIM)] で、[Generate New Secret (新しいシークレットの生成)] をクリックします。
新しいシークレット トークンを使用するように SCIM をもう一度構成します。
また、サイト管理者は、Tableau Cloud からユーザーを削除してから、そのユーザーをサイトに追加し直すことによって、他のユーザーに属するシークレット トークンを取り消すことができます。