ID プロバイダ (IdP) を使用して、Tableau Online のユーザーの追加または削除を自動化したり、グループのメンバーの追加または削除を自動化したりできます。Tableau Online IdP ユーザー管理はクロスドメイン ID 管理システム (SCIM) 標準を使用しています。これはユーザー ID 情報の交換を自動化するためのオープン標準です。現在、以下の IdP の SCIM をサポートしています。
- Okta
- OneLogin
機能が発展するにつれて、別の IdP もサポートする予定です。将来の計画について質問がある場合は、当社の SCIM プレリリース チームに電子メールをお送りください。
注: Microsoft Azure Active Directory を使用している場合は、次の Microsoft の記事「Tableau Online を構成し、自動ユーザー プロビジョニングに対応させる(新しいウィンドウでリンクが開く)」に記載されているステップに従って、ユーザーとグループを自動的にプロビジョニングできます。
SCIM は、Tableau Online などのクラウド アプリケーションでユーザーをプロビジョニングするのに使用されます。クラウド IdP では、アプリケーションとグループへのユーザーの割り当てを含め、ユーザー ID の一元的な管理が行われます。IdP は SCIM 標準を使用することで、「ダウンストリーム」のアプリケーションが IdP でセットアップされたプロビジョニング割り当てと同期されるようにします。この方法でユーザー管理を行うと、セキュリティが向上し、Tableau Online のサイト管理者がサイト ユーザーとグループ メンバーシップの管理のために手動で行う必要がある作業量が大幅に低減します。
前提条件
Tableau Online サイトで SCIM の統合を有効にするには、以下の適切なアクセス レベルが必要です。
-
Tableau Online サイトへのサイト管理者アクセス。
-
Tableau Online の IdPs 設定を修正する機能
お使いの IdP で SCIM サポートを有効にする手順
以下のセクションでは、Tableau Online サイトで SCIM サポートを有効にする IdP 別の手順を説明しています。
注: これらのステップのいくつかはサードパーティー IdP インターフェースを反映しています。これらの IdP 設定は当社の知識がなくても変更可能です。
SCIM サポートを有効にするには、以下のステップを行います。Okta を使用した SCIM サポートの注意事項と既知の制限 も参照してください。
-
SCIM 機能では、サイトで SAML シングル サインオンをサポートするように構成する必要があります。これを行っていない場合は、Okta を使用した SAML の構成 記事にある次のセクションを完了します。
これら 2 つのセクションのステップを完了し、Okta コンソールと Tableau Online にサインインしたままの状態で以下のページを表示します。
-
Tableau Online では、[設定] > [認証] ページ。
-
Okta 開発者コンソールでは、[Applications (アプリケーション)] > [Tableau Online] > [Provisioning (プロビジョニング)]。
-
-
Tableau Online の [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Online ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
-
シークレット トークンの値をコピーし、Okta 管理者コンソールの [プロビジョニング] ページで [設定] 列の [API 統合] を選択します。
-
[Edit (編集)] を選択し、以下を行います。
-
[Enable API integration (API 統合の有効化)] チェックボックスをオンにします。
-
[API トークン] には、前のステップでコピーした Tableau OnlineSCIM シークレットを貼り付けます。
-
[Base URL (ベース URL)] には Tableau Online SCIM 設定で表示されたベース URL をコピーして貼り付けます。
-
グループ プロビジョニングの有効化
Okta を使用すると、既存のグループを Tableau Online にプッシュして、グループやサイト ロールなどのユーザー属性を割り当てることができます。グループをプッシュしたら、Tableau Online の対応するグループが自動的に更新されるように Okta のグループ メンバーシップを管理できます。
前のセクションで中断したところから以下のステップを続行します。ここでは、Okta 管理者コンソールにサインインしていると仮定します。
-
[アプリケーション] タブで、Tableau Online アプリケーションを選択します。
-
[Push Groups (プッシュ グループ)] タブを選択します。
-
[Push Groups (プッシュ グループ)] をクリックし、ドロップダウン メニューからオプションを 1 つ選択します。
-
[Find groups by name (名前でグループを検索)]: 名前でグループを検索するには、このオプションを選択します。
-
[Find groups by rule (ルールでグループを検索)]: ルールに一致するグループをプッシュするには、このオプションを選択して検索ルールを作成します。
[Push Status (プッシュス テータス)] 列の [Active (アクティブ)] または[Inactive (非アクティブ)] をクリックすると、グループ プッシュを無効にしたり、プッシュされたグループのリンクを解除したり、グループのメンバーシップをすぐにプッシュしたりできます。複数のグループを削除、または非アクティブまたはアクティブにするには、[Bulk Edit (一括編集)] をクリックします。
詳細については、Okta ドキュメントの「グループ プッシュを有効にする(新しいウィンドウでリンクが開く)」を参照してください。
Okta を使用した SCIM サポートの注意事項と既知の制限
-
Okta ユーザー割り当て設定では、[ユーザー名] および [主要メールアドレス] の値が同一である必要があります。
-
SCIM を使用して管理するサイトそれぞれに、別々の Tableau Online Okta アプリを追加する必要があります。
-
サイトを移行する場合は、新しいサイトで SCIM プロビジョニングを再構成する必要があります。
-
新しいユーザーをプロビジョニングする際、Okta の名と姓の属性は Tableau Online に同期されません。新しいユーザーは、Tableau Online に初めてサインインするときにこれらのフィールドを設定する必要があります。
-
Okta でユーザーのサイト ロール (Creator、Explorer、Viewer (ビューアー) など) を、ユーザー レベルまたはグループ レベルのどちらかで設定できます。グループ レベルでサイト ロールを割り当てることをお勧めします。ユーザーがサイト ロールを直接割り当てる場合は、グループ設定が上書きされます。
-
1 人のユーザーが複数のグループのメンバーになることができます。グループには、さまざまなサイト ロールを設定できます。さまざまなサイト ロールが設定されたグループにユーザーが割り当てられる場合、ユーザーには最も制限の少ないサイト ロールが Tableau Online で設定されます。たとえば、Viewer (ビューアー) と Creator を選択すると、Tableau は Creator サイト ロールを割り当てます。
サイト ロールを最も制限が少ないものから多いものの順に以下に示します。
-
サイト管理者 Creator
-
サイト管理者 Explorer
-
Creator
-
Explorer (パブリッシュ可能)
-
Explorer
-
Viewer (ビューアー)
-
-
ユーザーのサイト ロールの属性を Okta で更新することができ、この変更が Tableau Online に反映されます。[ユーザー名] や [主要メール アドレス] などの他の属性は更新できません。これらの属性を変更するには、ユーザーを削除し、属性を変更してから、再びユーザーを追加します。
-
サインイン時にライセンスを付与 SCIM の使用はサポートされていないため、ユーザーまたはグループのサイトロールが誤ってプロビジョニングされる可能性があります。
ユーザー管理を OneLogin、プロビジョニング グループから構成することができ、Tableau Online サイト ロールを割り当てることができます。Tableau サイト ロールと、それぞれが可能な機能についての詳細は、「ユーザーのサイト ロールの設定」を参照してください。
以下のステップを完了する際には、OneLogin ドキュメンテーションがお手元にあると便利です。「ユーザー プロビジョニング」(新しいウィンドウでリンクが開く)から始めます。
-
SCIM 機能では、サイトで SAML シングル サインオンをサポートするように構成する必要があります。これをまだ行っていない場合は、[OneLogin を使用した SAML の構成]記事にある次のセクションを完了します。
これら 2 つのセクションのステップを完了し、OneLogin ポータルと Tableau Online にサインインしたままの状態で以下のページを表示します。
-
Tableau Online では、[設定] > [認証] ページ。
-
OneLogin ポータルの [設定] ページ。
-
-
Tableau Online の [認証] ページで、[自動プロビジョニングとグループ同期 (SCIM)] にある [SCIM の有効化] チェック ボックスを選択します。
これにより、ベース URL と IdP の SCIM 構成でで使用する値が入っているシークレット ボックスが設定されます。
重要: シークレット トークンは、生成された直後にのみ表示されます。IdP に適用する前に見失ってしまった場合には、[新しいシークレットを生成] を選択します。また、シークレット トークンは、SCIM サポートを有効にするサイト管理者の Tableau Online ユーザー アカウントに関連付けられています。そのユーザーのサイト ロールが変更されるか、そのユーザーがサイトから削除されると、シークレット トークンは無効になり、別のサイト管理者が新しいシークレット トークンを生成して IdP に適用する必要があります。
-
シークレット トークンの値をコピーし、OneLogin ポータルの [構成] ページで、次の手順を行います。
-
[API ステータス]には、[有効]をクリック。
-
[SCIM Bearer Token] には、コピーした Tableau Online SCIM シークレットを貼り付けます。
-
[SCIM Base URL] には Tableau Online SCIM 設定で表示されたベース URL をコピーして貼り付けます。
-
-
プロビジョニング ページで、
-
[Tableau のプロビジョニングの有効化] チェックボックスを選択します。
-
[ユーザーが OneLogin で削除されたら、このアクションを Tableau で実行] に [保留]を選択します。
-
-
[保存] をクリックします。プロビジョニング グループのステップを完了したい場合は、OneLogin ポータルにサインインした状態で、次のセクションに進みます。
グループ プロビジョニングを有効にし Tableau サイトロールを割り当てる
OneLogin はグループまたはサイトロールなどのユーザー属性を割り当て可能な複数の方法を提供します。これらを Tableau Online アプリ レベルで適用し、マッピング ルールを作成するか、それらを手動で個別ユーザーに適用します。
以下のステップは、前のセクションの残りに続き、OneLogin ポータルおよび Tableau Online アプリにサインインしていると仮定します。これらのステップは、グループおよびサイトロール属性をユーザーにマッピングするための OneLogin ドキュメンテーションと合わせて使用できる Tableau 固有の情報を提供します。
グループのプロビジョニング
Tableau Online グループを OneLogin にインポートしユーザー プロビジョニング ダイアログボックスに既定により選択したいグループを指定します。
-
[パラメーター] ページで、[グループ]をクリックし、[ユーザーのプロビジョニングを含む] チェックボックスを選択します。
-
[プロビジョニング] ページに進み、[資格の付与] セクションで、[更新]をクリックします。
これにより Tableau Online からグループをインポートします。
-
[パラメーター] ページに戻り、選択された値としてユーザー プロビジョニング ページに表示したいグループを選択します。
-
グループ メンバーシップを変更するには、[ユーザー] ページに進み、ユーザーを選択し、[グループ] セクションで、選択された利用可能な値を修正します。
定義した条件に基づいて、ユーザーを自動的にグループに含めるマッピングも作成可能です。開始するには、OneLogin の記事「マッピング(新しいウィンドウでリンクが開く)」を参照してください。
Tableau サイトロールの割当
既定により、ユーザーは Viewer (ビューアー) サイトロールが割り当てられていて、これは Viewer (ビューアー) のライセンス タイプを使用します。
OneLogin でサイトロールを割り当てるために使用するメソッドが何であれ、ある時点で、サイトロール名をテキストボックスに入力する必要があります。入力可能な値については、ステップの下にある「有効な Tableau サイトロール値」を参照してください。
サイトロールを割り当てられるいくつかの方法です。
-
個々のユーザー向け: [ユーザー] タブで、ユーザーを選択し、次に[ユーザー設定]で、サイトロール名をテキストボックスに入力します。
-
一連のユーザー向け: [パラメーター] ページで、[サイトロール]をクリックし、次に、[値]で、サイトロール属性を割り当てるオプションの一つを選択します。例:
-
全ユーザーに同じサイトロールがある場合、[マクロ] を選択してサイトロール名を入力します。
-
OneLogin ユーザー ディレクトリに異なるサイトロールが含まれている場合、対応する属性を選択します。
-
サイトロールの割当が完了したら、[保存]をクリックします。
有効な Tableau サイトロール値
お使いの OneLogin ポータルの [プロビジョニング] ページで入力可能なサイトロール値は、現在またはレガシーライセンス ロールに基づいています。
-
現在のライセンス ロール には以下のサイトロールの値が含まれています。
Creator、Explorer、ExplorerCanPublish、ReadOnly、ServerAdministrator、SiteAdministratorExplorer、SiteAdministratorCreator、Unlicensed、Viewer.
-
レガシー (v2018.1 前) ライセンス タイプ には以下のサイトロールが付属しています。
Interactor、Publisher、ServerAdministrator、SiteAdministrator、Unlicensed、UnlicensedWithPublish、Viewer、または ViewerWithPublish
関連項目
ユーザー属性変更の影響、または手動で変更した個々のユーザー属性をリセットする方法については、OneLogin 記事 「プロビジョニング属性: 既定、ルール、および手動入力の影響」(新しいウィンドウでリンクが開く)。
SCIM シークレット トークンの置き換え
SCIM (クロスドメイン ID 管理システム) シークレット トークンを置き換える必要がある場合は、次のいずれかの操作を行うことができます。
- Tableau Online の [設定] > [承認] ページの [Automatic Provisioning and Group Synchronization (SCIM) (自動プロビジョニングとグループ同期 (SCIM))]で、[Generate New Secret (新しいシークレットの生成)] をクリックして、新しいシークレット トークンを生成し古いシークレット トークンと置き換えます。新しいシークレット トークンを生成する場合は、新しいシークレット トークンを使用するよう SCIM を再構成する必要があります。
- 管理者が別のユーザーに属するシークレット トークンを取り消すには、Tableau Onlineサイトからそのユーザーを削除してから、サイトにそのユーザーを追加し直します。