Tableau Cloud の SAML 要件


Tableau Cloud または Tableau Cloud Manager (TCM) 用に SAML を構成する前に、要件を満たすために必要な内容を取得します。

アイデンティティ プロバイダー (IdP) における Tableau 構成の要件

SAML 向けに Tableau Cloud または TCM を構成するには、次が必要です。

  • Tableau Cloud サイトまたはテナントへの管理者アクセス。SAML を有効にする Tableau Cloud サイトまたはテナントへの管理者アクセスが必要です。

  • Tableau Cloud または TCM へのアクセスに SSO を使用するユーザーのリスト。Tableau へのシングルサインオン (SSO) アクセスを許可する ユーザー名を収集する必要があります。

  • SAML 2.0 をサポートする IdP アカウント。外部アイデンティティ プロバイダーでのアカウントが必要です。いくつかの例として PingFederate、SiteMinder、および Open AM があります。IdP で SAML 2.0 をサポートしている必要があります。そのアカウントへの管理者アクセスが必要です。

  • SHA256 は署名アルゴリズムとして使用されます。2020 年 5 月現在、Tableau は SHA-1 アルゴリズムを使用して署名された IdP アサーションと証明書をブロックします。

  • XML メタデータのインポート/エクスポートをサポートする IdP プロバイダー。手動で作成したメタデータ ファイルでも動作する可能性はありますが、Tableau テクニカル サポートでは、手動でのファイル生成やそれらのトラブルシューティングをサポートできません。

  • トークンの有効期間が 24 日以下 (2073600 秒) を適用する IdP プロバイダー。IdP が Tableau で設定されている最大時間 (2073600 秒) よりも長い最長期間であるトークンを許可すると、Tableau はトークンを有効と認識しません。このシナリオでは、ユーザーはエラー メッセージ (サインインに失敗しました。もう一度やり直してください。) を Tableau Cloud または TCM にログインするときに受信します。

  • MFA を使用した SSO が有効になっています。2022 年 2 月以降、SAML SSO アイデンティティ プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau の要件になります。

    重要: これらの要件に加え、常に TableauID with MFA(新しいウィンドウでリンクが開く) 用に構成されているサイト管理者アカウントを専用として使用することをお勧めします。SAML または IdP に問題が発生した場合は、専用の Tableau with MFA アカウントを使用すると、いつでもサイトにアクセスできます。

SAML 互換性についての注意事項と要件

  • SP または IdP による開始: Tableau では、アイデンティティ プロバイダー (IdP) またはサービス プロバイダー (SP) で開始する SAML 認証のみをサポートしています。

  • シングル ログアウト (SLO): Tableau では、サービス プロバイダー (SP) が開始する SLO と アイデンティティ プロバイダー (IdP) が開始する SLO の両方がサポートされます。

    注: サイトまたはテナントの SLO URL を取得するには、Tableau Cloud サイトまたはテナントが生成するメタデータ XML ファイルをダウンロードして参照します。このファイルは、以下のいずれかの場所に移動すると見つけることができます。

    • Tableau Cloudでは、[設定][認証][新しい構成] または [設定を編集] の順に移動します。

    • TCM では、[設定][認証] の順に移動します。

  • tabcmd および REST API: tabcmd または Tableau REST API(新しいウィンドウでリンクが開く) を使用するには、ユーザーは パーソナル アクセス トークン (PAT) を使用して Tableau Cloud にサインインする必要があります。Tableau Cloud Manager REST API(新しいウィンドウでリンクが開く) を使用するには、ユーザーはパーソナル アクセス トークン (PAT) を使用して TCM にサインインする必要があります。

  • 暗号化されたアサーション: Tableau は、クリアテキストのアサーションも暗号化されたアサーションもサポートします。

  • Tableau Bridge の再構成が必要: Tableau Bridge は SAML 認証をサポートしますが、認証を変更するには Bridge クライアントの再構成が必要です。詳細については、認証タイプの変更による Tableau Bridge への影響を参照してください。

  • 必要な署名アルゴリズム: すべての新しい SAML 証明書に対して、Tableau Cloud または TCM では SHA256 (またはそれ以上) の署名アルゴリズムが必要です。

  • RSA キーと ECDSA 曲線のサイズ: IdP 証明書には、強度が 2048 の RSA キー、またはサイズが 256 の ECDSA 曲線が設定されている必要があります。

  • NameID 属性: Tableau では、SAML 応答で NameID 属性が必要です。

Tableau クライアント アプリケーションでの SAML SSO の使用

注: Tableau Cloud にのみ適用されます。

Tableau Cloud ユーザーが SAML 認証資格情報を持っている場合、Tableau Desktop または Tableau Mobile アプリからサイトにサインインすることもできます。最良の互換性を実現するため、Tableau クライアント アプリケーションのバージョンと一致するバージョンの Tableau Cloud の使用をお勧めします。

Tableau Desktop または Tableau Mobile から Tableau Cloud への接続には、サービス プロバイダーによって開始された接続が使用されます。

認証されたユーザーを Tableau クライアントに再びリダイレクトする

ユーザーが Tableau Cloud にサインインすると、Tableau Cloud は SAML 要求 (AuthnRequest) を IdP に送信します。これには Tableau アプリケーションの RelayState 値が含まれます。Tableau Desktop や Tableau Mobile などの Tableau クライアントから Tableau Cloud にサインインした場合には、IdP の SAML 要求内の RelayState 値を Tableau に返すことが重要です。

このシナリオで RelayState 値が適切に返されない場合、サインイン元のアプリケーションにリダイレクトするのではなく、ユーザーは Web ブラウザーの Tableau Cloud ホームページに移動します。

アイデンティティ プロバイダーおよび社内 IT チームと協力し、この値が IdP の SAML 要求の一部として含まれることを確認してください。

認証タイプの変更による Tableau Bridge への影響

サイトの認証方式を変更したり、IdP を変更したりすると、スケジュールされた抽出更新で Tableau Bridge を使用するパブリッシャーは、クライアントのリンクを解除して再リンクし、新しい方式または IdP 設定を使用して再認証する必要があります。

レガシー スケジュールの場合、Bridge クライアントのリンクを解除するとすべてのデータ ソースが削除されるため、更新スケジュールをもう一度設定する必要があります。オンライン スケジュールの場合、クライアントを再リンクした後、Bridge クライアント プールを再設定する必要があります。

認証方式を変更しても、Tableau Cloud サイトで直接実行する (クラウドにある参照元データなどに対する) Bridge のライブのクエリや更新には影響しません。

サイトの認証タイプを変更する前に、Bridge ユーザーにサイト認証の変更に関するアラートで通知することをお勧めします。そうしないと、ユーザーは Bridge クライアントが認証エラーになったり、空白のソース データがクライアントに表示されて初めて認証の変更に気付くことになります。

XML データの要件

Tableau Cloud または TCM、および IdP によって生成された XML メタデータ ドキュメントを使用して SAML を構成します。認証プロセスの間、IdP および Tableau はこれらの XML ドキュメントを使用して認証情報を交換します。XML が要件を満たしていない場合、SAML の構成時またはサインインの試行時にエラーが発生する可能性があります。

HTTP POST および HTTP REDIRECT: Tableau Cloud または TCM は、SAML 通信の HTTP POST および HTTP REDIRECT の要求をサポートしています。IdP によってエクスポートされた SAML メタデータ XML ドキュメントでは、Binding 属性を以下に設定できます。

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Tableau Cloud での SAML アサーションを使用した動的グループ メンバーシップ:

注: Tableau Cloud にのみ適用されます。

2024 年 6 月 (Tableau 2024.2) 以降、SAML を設定して機能が 有効になっている場合、ID プロバイダー (IdP) から送信される SAML XML 応答に含まれるカスタム クレームによって、グループ メンバーシップを動的に制御できます。

設定すると、ユーザー認証の際、IdP は、ユーザーをアサートするグループ (https://tableau.com/groups) とグループ名 (「Group1」と「Group2」など) という、2 つのカスタム グループ メンバーシップ クレームを含む SAML アサーションを送信します。Tableau はアサーションを検証し、グループと、そのグループにパーミッションが依存するコンテンツへのアクセスを有効にします。

詳細については、アサーションを使用した動的グループ メンバーシップを参照してください。

SAML XML 応答の例

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
一番上に戻る