認証
認証とは、Tableau Cloud サイトへのユーザーのサインイン方法のオプション、および初回のサインイン後のユーザーのアクセス方法を指します。認証では、ユーザーの ID を検証します。
Tableau Cloud は、複数の認証タイプをサポートしています。これらは、[認証] ページで設定できます。
このトピックは、サイトへの認証を設定するサイト管理者を対象としています。Cloud 管理者が Tableau Cloud Manager の認証を設定する場合は、Tableau Cloud Manager 認証を参照してください。
サイトに対して構成している認証タイプに関係なく、Tableau Cloud にアクセスするときは、多要素認証 (MFA) が必要です。この契約要件は、2022 年 2 月 1 日に発効されました。詳細については、多要素認証と Tableau Cloud についてを参照してください。
MFA を使用した Tableau: これは、組み込みの既定の認証タイプです。この認証タイプでは、ユーザーのアイデンティティを確認するために、1) Tableau Cloud に保存されたユーザー名とパスワードで構成される Tableau 認証資格情報 (TableauID とも呼ばれる) と 2) オーセンティケーター アプリやセキュリティ キーなどの MFA 検証方法の組み合わせをユーザーが提供する必要があります。詳細については、多要素認証 と Tableau Cloudを参照してください。
- Tableau: MFA を使用した Tableau を使用するようにサイトがまだ更新されていない場合は、この認証タイプを暫定的に引き続き使用することができます。ユーザーは、Tableau Cloud サインイン ページに TableauID 認証資格情報を直接入力します。
Google: Google アプリケーションを使用している場合、Tableau Cloud で Google アカウントを使用することで、OpenID Connect (OIDC) による MFA 付きシングル サインオン (SSO) を有効にできます。Google 認証を有効にすると、ユーザーは Google サインイン ページに転送され、Google に保存されているユーザーの認証資格情報を入力するように求められます。
OIDC: SSO を使用するもう 1 つの方法は、汎用の OpenID Connect (OIDC) を使用することです。これを行うには、MFA を提供するサードーパーティの ID プロバイダー (IdP) を使用し、IdP と信頼できる関係を構築するようサイトを構成します。OIDC を有効にすると、ユーザーは IdP のサインイン ページに直接リダイレクトされ、そこで IdP に既に保存されている SSO 認証資格情報を入力します。
Salesforce: 組織で Salesforce を使用している場合、Tableau Cloud で Salesforce アカウントを使用することで、OpenID Connect (OIDC) による MFA 付きシングル サインオン (SSO) を有効にできます。Salesforce 認証を有効にすると、ユーザーは Salesforce サインイン ページに誘導され、認証資格情報を入力するように求められます。この情報は、Salesforce で保存および管理されています。最小限の構成が必要になる場合があります。詳細については、Salesforce 認証を参照してください。
SAML: SSO を使用するもう 1 つの方法は、Security Assertion Markup Language (SAML) を使用することです。これを行うには、MFA を提供するサードーパーティの ID プロバイダー (IdP) を使用し、IdP と信頼できる関係を構築するようサイトを構成します。SAML を有効にすると、ユーザーは IdP のサインイン ページに直接リダイレクトされ、そこで IdP に既に保存されている SSO 認証資格情報を入力します。
注:
- アクセスや管理のパーミッションは、サイト ロールを通じて実装されます。サイト ロールは、どのユーザーが管理者であり、どのユーザーがサイト上のコンテンツ消費者やパブリッシャーであるかを定義します。管理者、サイト ロール、グループ、ゲスト ユーザー、ユーザー関連の管理タスクの詳細については、「ユーザーとグループの管理」および「ユーザーのサイト ロールの設定」を参照してください。
- 認証という観点では、ユーザーはアカウントを持っているからといって、Tableau Cloud 経由で外部データ ソースへアクセスできる権限があるわけではないことを理解することが重要です。つまり、デフォルトの構成では、Tableau Cloud は外部データ ソースに対するプロキシとしての役割を果たしません。このようなアクセスには、Tableau Cloud でのデータ ソースの追加設定や、ユーザーが Tableau Desktop から接続する際のデータ ソースでの認証が必要です。
多要素認証と Tableau Cloud について
組織に損害を与える可能性のある脅威の増加とその進化に先んじるために、MFA 認証は、2022 年 2 月 1 日以降 Tableau Cloud の必須要件になりました。MFA は、サインイン セキュリティを強化し、セキュリティの脅威から組織とそのデータを保護する効果的なツールです。詳細については、Salesforce ヘルプの「Salesforce 多要素認証に関する FAQ(新しいウィンドウでリンクが開く)」 を参照してください。
アカウントのセキュリティを強化するには、多要素認証 (MFA) を上記の他の認証方式の 1 つと組み合わせて使用する必要があります。MFA は次の 2 つのうち、いずれかの方法で行うことができます。
SSO と MFA (推奨される方式): MFA 要件を満たすため、SSO ID プロバイダー (IdP) を使用した MFA を有効にします。
MFA を使用した Tableau (代替の方式): SSO IdP と直接連携していない場合は、管理者自身とユーザーがサイトにアクセスする前に、1) Tableau Cloud に保存された TableauID 認証資格情報と 2) 追加の認証方式の組み合わせを有効にすることができます。また、緊急時限定のバックアップ検証方式として、リカバリ コードを設定しておくことをお勧めします。詳細については、多要素認証 と Tableau Cloudを参照してください。
Google、OIDC、Salesforce、SAML の設定
サイトで Google、OIDC、Salesforce、SAML 認証を有効にすると、外部の認証資格情報を使用してサインインするユーザーと Tableau の認証資格情報を使用してサインインするユーザーを選択できます (Tableau ID)。サイトでは Tableau と外部のプロバイダーを許可できますが、各ユーザーがいずれかのタイプを使用するよう設定する必要があります。ユーザー認証のオプションは [ユーザー] ページで設定できます。
重要: 上記の認証要件に加えて、MFA を使用した Tableau の認証用に構成されている専用のサイト管理者アカウントを使用することをお勧めします。SAML または IdP に問題が発生した場合でも、MFA を使用した Tableau の専用アカウントがあれば、いつでも自分のサイトにアクセスできます。
追加の認証方法の構成に関する注意事項
2024 年 11 月 (Tableau 2024.3) 以降、サイトに対して 1 つ以上の認証方法を構成できます。
各認証構成には名前を付ける必要があります。2024 年 11 月より前に作成された既存の構成には、自動的に名前が付けられます。たとえば、2024 年 11 月より前にサイトに SAML が構成されていた場合、構成名は「初期 SAML」になります。既存の構成の名前は変更できません。
サイトが持つことができる構成の最大数は、サイトが作成された時期と、構成されているのが SAML または OIDC であるかによって異なります。
2024 年 11 月のアップグレード前に作成されたサイトの場合:
2024 年 11 月のアップグレード前に SAML のみまたは OIDC のみを構成した場合は、最大 19 個の構成を作成できます。
2024 年 11 月のアップグレード前に SAML を構成してから OIDC を構成した場合、または OIDC を構成してから SAML を構成した場合は、最大 18 個の構成を作成できます。
2024 年 11 月のアップグレード後に作成されたサイトでは、最大 20 個の構成を作成できます。
注: 構成は有効化、無効化、削除することができます。ただし、SCIM 機能をオフにするまで、SCIM に関連付けられた SAML 構成を無効にしたり削除したりすることはできません。詳細についてはTableau についてSCIM、「外部 ID プロバイダーを介したユーザー プロビジョニングおよびグループ同期の自動化」を参照してください。
Tableau が接続されているクライアントからの直接アクセスを許可する
既定では、ユーザーがサイトにサインインするために認証資格情報を提供した後、接続されている Tableau クライアントから直接Tableau Cloudサイトに続けてアクセスできます。詳細については、接続されているクライアントからサイトにアクセスを参照してください。
注: Tableau 認証を使用する MFA がサイトで有効になっていて、クライアントが他の必要なサービスにアクセスできないようにしているプロキシを環境で使用している場合は、必要に応じて *.salesforce.com を追加する必要があります。
その他の認証シナリオ: 埋め込みと統合
カスタムの Web ポータル、アプリケーション、顧客向け製品に Tableau を統合して埋め込むことで、分析をユーザーのワークフローに直接組み込むことができます。外部アプリケーションと Tableau Cloud の統合や、Tableau Cloud コンテンツの埋め込みについては、意図したワークフローに応じて、Tableau にアクセスするユーザーを認証するしくみがさらにあります。
Tableau 接続済みアプリとの埋め込み:
直接信頼 - Tableau 接続済みアプリを使用すると、Tableau Cloud サイトと Tableau コンテンツが埋め込まれている外部アプリケーションとの間に明示的な信頼関係を構築できるため、シームレスで安全な認証エクスペリエンスを実現できます。この信頼関係により、ID プロバイダーと統合しなくても、シングル サインオン (SSO) のエクスペリエンスをユーザーに提供できます。接続済みアプリを使用すると、JSON Web トークン (JWT) を使用して Tableau REST API へのアクセスをプログラムで承認することもできます。詳細については、「直接信頼を使用して接続済みアプリを設定する」を参照してください。
OAuth 2.0 信頼 - Tableau Cloud に外部認証サーバー (EAS) を登録すると、OAuth 2.0 標準プロトコルを使用して、サイトと EAS の間に信頼関係を構築できます。この信頼関係により、IdP を介して、埋め込み Tableau コンテンツへのシングル サインオン (SSO) のエクスペリエンスをユーザーに提供できます。EAS を登録すると、JSON Web トークン (JWT) を使用して Tableau REST API へのアクセスをプログラムで承認することもできます。詳細については、「OAuth 2.0 信頼を使用して接続済みアプリを設定する」を参照してください。
Salesforce 統合: Einstein Discovery を使用した機械学習モデルと包括的な統計分析により、データ分析を強化します。詳細については、「Einstein Discovery 統合の構成」を参照してください。
Slack 統合: ライセンスを取得した Tableau ユーザーが Slack ワークスペースで Tableau 通知を利用できるようにします。詳細については、「Tableau と Slack ワークスペースの統合」を参照してください。