Tableau Viz Lightning Web コンポーネントの SAML の構成
Tableau には、Salesforce Lightning ページ内に Tableau ビジュアライゼーションを埋め込むための Lightning Web コンポーネント (LWC) があります。
このトピックでは、Salesforce Lightning ページで Tableau の埋め込みビジュアライゼーションの SSO エクスペリエンスを有効にする方法を説明します。Tableau Viz LWC シナリオの SSO には SAML 構成が必要です。Tableau 認証に使用する SAML IdP は、Salesforce インスタンスで使用する Salesforce IdP または同じ IdP のいずれかである必要があります。
このシナリオでは、Salesforce 管理者が Tableau Viz LWC を Lightning ページにドラッグ & ドロップして、ビジュアライゼーションを埋め込むことができます。埋め込みビューへの URL を入力すると、管理者が
SSO が構成されていない場合、
要件
- Tableau 認証に使用する SAML IdP は、Salesforce インスタンスで使用する Salesforce IdP または同じ IdP のいずれかである必要があります。Tableau Server で Salesforce IdP を使用した SAML を構成するを参照してください。
- SAML が Tableau Server 上で構成されている必要があります。サーバー全体の SAML の構成またははサイト固有の SAML の構成を参照してください。
- SAML を Salesforce 用に構成する必要があります。
- Tableau Viz Lightning Web コンポーネントをインストールします。「Tableau ビューを Salesforce に埋め込む(新しいウィンドウでリンクが開く)」を参照してください。
認証ワークフローの構成
Tableau の埋め込みビューを使用して Lightning にアクセスするユーザーのサインイン エクスペリエンスを最適化するには、追加の構成が必要になる場合があります。
シームレスな認証を行うことができるユーザー エクスペリエンスを重要視する場合は、いくつかの追加の構成を行う必要があります。このコンテキストでは、“シームレス” とは、Tableau Viz LWC SSO が有効になっている Salesforce Lightning ページにアクセスするユーザーが、Tableau の埋め込みビューを表示するためのアクションを実行する必要がないことを意味します。シームレスなシナリオでは、ユーザーが Salesforce にログインすると、Tableau の埋め込みビューは追加のユーザー アクションなしで表示されます。このシナリオは、フレーム内認証によって有効になります。
シームレスなユーザー エクスペリエンスを実現するには、
一方、Lightning ページを操作するユーザーが、Tableau の埋め込みビューを表示するために [サインイン] ボタンをクリックしなければならないシナリオがあります。このシナリオでは、ユーザーが Tableau の埋め込みビューを表示するためにアクションをもう 1 つ実行する必要があり、「ポップアップ認証」と呼ばれます。
フレーム内認証を有効にしていない場合、ポップアップ認証が既定のユーザー エクスペリエンスになります。
Tableau Server でフレーム内認証を有効にする
Tableau Server でフレーム内認証を有効にする前に、Tableau Server で SAML を構成し、有効にしておく必要があります。
次の TSM コマンドを実行してフレーム内認証を有効にします。
tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true
tsm pending-changes apply
注: Tableau Server では、クリックジャック攻撃防止機能が既定で有効になっています。フレーム内認証を有効にすると、フレーム内認証のセッションでクリックジャック攻撃防止機能が一時的に無効になります。クリックジャック攻撃防止機能を無効にするリスクを評価する必要があります。「クリックジャック保護」を参照してください。
Tableau Server のバージョン
最高のユーザー エクスペリエンスを実現するために、Tableau Server の最新のメンテナンス リリースを実行してください。
最新のメンテナンス リリースを実行していないときに、ユーザーが Chrome ブラウザーを実行して Salesforce Lightning にアクセスしている場合は、Tableau の KB 記事「Chrome を 80 以降に更新すると、埋め込みビューの読み込みに失敗する」(新しいウィンドウでリンクが開く)を参照してください。
SAML IdP を使用してフレーム内認証を有効にする
前述のように、Salesforce Mobile で認証をシームレスに行うためのユーザ エクスペリエンスには、IdP でフレーム内認証がサポートされている必要があります。この機能は、IdP では “iframe 埋め込み” または “iframe 保護“ とも呼ばれています。
Salesforce の承認リストのドメイン
場合によっては、IdP ではドメイン別のフレーム内認証のみを有効にできます。このような場合は、フレーム内認証を有効にするときに、次の Salesforce ワイルドカードのドメインを設定します。
*.force
*.visualforce
Salesforce IdP
Salesforce IdP では既定でフレーム内認証がサポートされています。Salesforce 構成でフレーム内認証を有効にしたり、構成したりする必要はありません。
Okta IdP
Okta ヘルプ センターのトピック一般的なカスタマイズのオプション(新しいウィンドウでリンクが開く)で「Okta を iframe に埋め込む」を参照してください。
Ping IdP
Ping サポートのトピックPing Federate で "X-Frame-Options=SAMEORIGIN" ヘッダーを無効にする方法(新しいウィンドウでリンクが開く)を参照してください。
OneLogin IdP
One Login ナレッジ ベース記事アカウント所有者のアカウント設定(新しいウィンドウでリンクが開く)の「フレーム保護」を参照してください。
ADFS と Azure AD IdP
Microsoft では、すべてのフレーム内認証がブロックされており、有効にすることはできません。代わりに、Microsoft では 2 番目のウィンドウでのポップアップ認証のみがサポートされます。その結果、いくつかのブラウザーでポップアップ動作がブロックされることがあり、その場合はユーザーが force.com および visualforce.com サイトのポップアップを受け入れる必要があります。
Salesforce Mobile アプリ
ユーザーが主に Salesforce Mobile アプリで Lightning を操作する場合は、次のシナリオに注意する必要があります。
- Salesforce Mobile アプリでは、Tableau の埋め込みビューが表示されるように SSO/SAML を構成する必要があります。
- Salesforce Mobile アプリにはフレーム内認証が必要です。ポップアップ認証は機能しません。代わりに、Salesforce Mobile アプリのユーザーには Tableau のサインイン ボタンが表示されますが、Tableau にサインインすることはできません。
- ADFS および Azure AD IdP は Mobile アプリに対応していません。
- Mobile アプリでは、OAuth トークンを使用して SSO を有効にします。OAuth トークンによりユーザーが更新およびログアウトされるため、ユーザーは再度ログインしなければならないことがあります。詳細については、Tableau の KB 記事「Salesforce Mobile アプリ上の Tableau Viz Lightning Web コンポーネントによりサインインが求められる」(新しいウィンドウでリンクが開く)を参照してください。
- SSO の動作は、Salesforce Mobile アプリ (iOS 対 Android) のバージョンと IdP によって異なります。
IdP Mobile OS SSO の動作 Salesforce IdP Android SSO は最初は機能しますが、ユーザーはしばらくしてからサインインする必要があります。 iOS 外部 IdP Android SSO が機能しません。ユーザーは手動でサインインする必要があります。(ユーザーが Tableau の埋め込みビューにアクセスできるように SSO を構成する必要があります)。 iOS SSO は最初は機能しますが、ユーザーはしばらくしてからサインインする必要があります。