SCIM


SCIM (クロスドメイン アイデンティティ管理) は、ユーザーやグループのプロビジョニングの自動化を標準化するプロトコルであり、Microsoft Entra ID や Okta などのクラウドベースの ID プロバイダーと統合するために使用されます。

バージョン 2025.3 以降、Tableau Server は SCIM をサポートし、ID プロバイダー (IdP) が Tableau Server でユーザーとグループのメンバーシップの管理プロセスを合理化しながら、ユーザー アイデンティティを一元的に管理できるようにします。IdP は SCIM を使用して Tableau でユーザーのライフサイクルを管理し、Tableau Server は IdP のプロビジョニング割り当てと同期し続けます。このタイプの統合により、セキュリティが向上し、Tableau Server のサーバー管理者による手動作業が軽減されます。

Tableau Server の SCIM 機能はサイトレベルで動作し、次の認証をサポートするように設計されています。

  • サイト固有の SAML 認証 (Tableau Server 2025.3.0 以降)

  • Tableau Server のセットアップ時に TSM で構成された認証 (TSM 構成済み) と、アイデンティティ プールを介して構成された認証 (Tableau Server 2025.3.1 以降)

Tableau Server との SCIM 統合の構成

ステップ 1: 前提条件を実行する

Tableau Server との SCIM 統合を有効にする前に、以下の要件を満たす必要があります。

  • サーバー管理者が Tableau Server にアクセスできる。
  • Tableau Server で IdP の SCIM 設定を修正できる。
  • オプションで、外部トークンの生成と管理を使用する場合は、次の条件を満たす必要があります。

    1. Tableau 接続済みアプリを作成して有効にしている。これを行っていない場合は、「Tableau 接続済みアプリを使用してアプリケーションを統合する」を参照してください。

    2. 有効な JWT に次のスコープが含まれている。tableau:users:*tableau:groups:*

注: Tableau Server のファイアウォールが原因で、SCIM 機能を動作させるために、IdP にオンプレミス コネクタを設定しなければならない場合があります。たとえば、Okta では、オンプレミス プロビジョニング (OPP)(新しいウィンドウでリンクが開く) を設定する必要があります。Microsoft Entra ID では、プロビジョニング エージェント(新しいウィンドウでリンクが開く)を設定する必要があります。

ステップ 2: サイトレベルの SCIM を構成する

このセクションで説明する手順は、サイトで実行する手順です。

Tableau で生成された SCIM トークンを使用することができます。または、Tableau が生成する SCIM トークンをバイパスし、代わりに外部で生成された JWT を使用 (Tableau 接続済みアプリを使用) すると、SCIM 要求をサポートすることができます。

Tableau で生成されたトークンを使用して SCIM を有効にする

  1. Tableau Server にサーバー管理者としてサインインします。

  2. サイトに移動し、[設定] をクリックします。

  3. 見出し [SCIM (クロスドメイン アイデンティティ管理)] で、[SCIM の有効化] チェックボックスをオンにします。これにより、[ベース URL][新しいシークレット] ボタン、[認証] ドロップダウンが設定されます。

  4. 次を実行します。

    1. [ベース URL] をコピーして、IdP の SCIM 設定で使用します。

    2. [新しいシークレット] ボタンをクリックします。

    3. シークレットをコピーして安全な場所に保管し、IdP の SCIM 設定に追加できるようにします。

      重要: シークレットは生成直後しか表示されません。IdP に適用する前に見失ってしまった場合は、[新しいシークレット] を再度クリックできます。

    4. [認証] ドロップダウン メニューで、SCIM に関連付ける認証タイプを選択します。

    5. [設定] ページの上部または下部にある [保存] ボタンをクリックします。

外部トークンを使用して SCIM を有効にする

外部トークンを使用するには、1) SCIM の外部トークン機能を有効にし、2) SCIM を有効にします。

ステップ 1: 外部トークンを有効にする

SCIM を有効にする前に、TSM を使用して外部トークン機能を有効にします。

  1. クラスターの初期ノード (TSM がインストールされているノード) で、サーバー管理者としてコマンド プロンプトを開きます。

  2. 次のコマンドを実行します。

    1. tsm configuration set -k features.JWTSupportForSCIM -v true

    2. tsm pending-changes apply

      詳細については、「features.JWTSupportForSCIM」を参照してください。

ステップ 2: SCIM を有効にする

SCIM を有効にする場合は、プロビジョニングされたユーザーが Tableau Server にサインインするために使用する認証タイプを関連付けます。使用可能な認証タイプは、Tableau Server またはサイトで構成されている認証によって異なります。

  1. Tableau Server にサーバー管理者としてサインインします。

  2. サイトに移動し、[設定] をクリックします。

  3. 見出し [SCIM (クロスドメイン アイデンティティ管理)] で、[SCIM の有効化] チェックボックスをオンにします。これにより、[ベース URL][新しいシークレット] ボタン、[認証] ドロップダウンが設定されます。

  4. 次を実行します。

    1. [ベース URL] をコピーして、IdP の SCIM 設定で使用します。

    2. [新しいシークレット] ボタンは無視します。

    3. [認証] ドロップダウン メニューで、SCIM に関連付ける認証タイプを選択します。

    4. [設定] ページの上部または下部にある [保存] ボタンをクリックします。

ステップ 3: IdP で SCIM を有効にする

Tableau Server で SCIM を有効にしたら、IdP のドキュメントの手順に従って、ID プロバイダー (IdP) を使用した SCIM サポートを有効にします。

ステップ 4: ユーザーとグループをプロビジョニングする

サイトで SCIM サポートを有効にした後、IdP のドキュメントに従って、ユーザーとグループをプロビジョニングします。

SCIM を介してユーザーやグループをプロビジョニングした後は、以下のステップ 5 に示す例外を除き、Tableau Server (または Tableau REST API) を介して認証やサイト ロールなどのユーザーの詳細を直接更新しないでください。

ステップ 5: ローカル SSL または相互 SSL 向けにユーザーを更新する

Tableau Server のセットアップ時に TSM で構成された認証 (SCIM 設定の認証ドロップダウンでは [サーバーの既定 (TSM 構成済み)] とも呼ばれる) に SCIM を関連付けた場合は、以下に説明する追加手順を実行して、ユーザーが Tableau Server に正常にサインインできるようにします。

  • ローカル認証の場合: プロビジョニングされたユーザーが正常にサインインするには、Tableau Server のパスワードでユーザーを事前に更新する必要があります。ユーザーを更新するには、「シングル サイトでのユーザーのパスワードの変更」を参照してください。

SCIM に関連付けられた認証の変更について

SCIM に関連付けられた認証タイプが変更されると、Tableau Server は直ちにシークレットを取り消して削除します。その結果、プロビジョニングに失敗し、Tableau Server のユーザーおよびグループが ID プロバイダー (IdP) と同期しなくなる可能性があります。

同期に関する問題を回避するには、次の手順を正確な順序で実行してください。1) 新しい認証タイプを選択して、2) 新しいシークレットを生成し、3) 新しいシークレットを IdP の SCIM 設定に追加します。

重要 SCIM の認証タイプが変更されると、変更後にプロビジョニングされた新しいユーザーのみが更新済みの認証タイプを使用します。既存のユーザーは、以前の認証方法で引き続き認証できます。SCIM での認証の変更後に IdP に存在しなくなったユーザーは、サインインできなくなります。

その他の考慮事項

SCIM が関連付けられている認証タイプによっては、SCIM の有効後に注意する必要がある特定の影響が生じます。

サイト固有の SAML 認証

SCIM 構成が関連付けられている場合、サイト固有の SAML を無効にすることはできません。サイト固有の SAML を無効にする必要がある場合は、別の認証タイプを SCIM に関連付けるか、SCIM を無効にする必要があります

アイデンティティ プールを介して構成された認証

追加の考慮事項はありません。

注: アイデンティティ プールが無効化または削除されている場合は、別の認証タイプを SCIM に関連付ける必要があります。以前に生成されたシークレットは無効になるため、ユーザーとグループのプロビジョニングが失敗します。

TSM で構成された認証

Tableau Server のセットアップ中に TSM で構成された認証を使用するように SCIM が構成されている場合、TSM で構成された認証を変更すると、同期の問題やユーザーのサインイン エラーが発生する可能性があります。

たとえば、TSM 認証をローカルから SAML に変更する場合、既存のユーザーを IdP に追加し、Tableau Server シングル サインオン (SSO) に対して有効にする必要があります。TSM 認証を SAML からローカルに変更する場合は、ユーザーを更新してそのパスワードを含める必要があります。

一番上に戻る
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!