サイトでの SAML 認証の有効化

このトピックでは、サイトで SAML を有効にして、シングル サインオン ユーザーを選択する方法について説明します。また、SAML から既定の Tableau 認証 (TableauID とも呼ばれます) に切り替えるステップについても説明します。SAML を有効化する前に、認証タイプの変更による Tableau Bridge への影響を含めTableau Cloud の SAML 要件を見直すことをお勧めします。

このトピックでは、認証および「SAML 認証のしくみ」の情報を理解していることを前提としています。

IdP 固有の構成情報

このトピックの後のセクションのステップでは、IdP のドキュメントと一緒に使用して Tableau Cloud サイト用に SAML を構成する基本的な手順を提供します。次の IdPs に対して IdP-specific 構成ステップを実行できます。

SAML の有効化

  1. サイト管理者として Tableau Cloud サイトにサインインし、[サイト] > [認証] を選択します。

  2. [認証] タブで [追加の認証方法を有効にする] チェックボックスを選択し、[SAML] を選択して [設定 (必須)] ドロップダウン矢印をクリックします。

    Tableau Cloud サイトの認証設定ページのスクリーンショット

SAML 構成手順

このセクションでは、Tableau Cloud 設定ページの [認証] タブで表示されている設定手順について説明します。

注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。

ステップ 1: Tableau からメタデータをエクスポート

Tableau Cloud と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Cloud からメタデータを取得するには、次の方法のいずれかを選択します。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。

  • [メタデータのエクスポート] ボタンを選択し、Tableau Cloud SAML エンティティ ID、アサーション カスタマー サービス (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。

  • IdP が異なる方法で必要情報を求めている場合、[証明書のダウンロード] を選択します。たとえば、Tableau Cloud エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。

    次の図は、これらの設定が Tableau Cloud と Tableau Server で同じであることを表示するため編集しています。

ステップ 2 と ステップ3: 外部ステップ

ステップ 2 では、ステップ 1 でエクスポートしたメタデータをインポートするために、IdP アカウントにサインインし、IdP のドキュメンテーションが提供している手順を使って Tableau Cloud メタデータを提出します。

ステップ 3 では、IdP の文書はメタデータをサービス プロバイダーに対して提供する方法も示しています。メタデータ ファイルをダウンロードするように指示するか、XML コードが表示されます。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。

ステップ 4: Tableau サイトへの IdP メタデータのインポート

Tableau Cloud認証ページで、IdP からダウンロードしたか、それが提供する XML から手動で構成したメタデータファイルをインポートします。

注: 構成を編集する場合は、Tableau が正しい IdP エンティティ ID と SSO サービス URL を使用できるようにメタデータ ファイルをアップロードする必要があります。

ステップ 5: 属性の照合

属性は、認証、認可、およびユーザーに関する他の情報を含みます。

注: Tableau Cloud では、SAML 応答に NameID 属性を含める必要があります。Tableau Cloud でユーザー名をマッピングするときは、他の属性を使用できますが、応答メッセージには NameID 属性を含める必要があります。

  • ユーザー名: (必須) ユーザーのユーザー名 (メール アドレス) を格納する属性の名称を入力します。

  • 表示名: (オプションであるが推奨) 名と姓に別の属性を使用している IdP もあれば、フル ネームを 1 つの属性に保存する IdP もあります。

    IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。

    Tableau Cloud のサイト SAML を構成するためのステップ 5 のスクリーンショット - 一致する属性

ステップ 6: 埋め込みオプション

ユーザーが埋め込みビューにサインインする方法を選択します。IdP のサインイン フォームを表示する個別のポップアップ画面を開く、またはインライン フレーム (iframe) を使用するオプションがあります。

注意: iframe はクリックジャック攻撃に脆弱な場合があるため、すべての IdP で iframe からのサインインがサポートされているわけではありません。クリックジャックでは、攻撃者はユーザーにコンテンツをクリックさせたり、入力させようとします。攻撃者は、無関係のページ上の透明なレイヤーに攻撃するページを表示させ、これを行います。Tableau Cloud では、攻撃者はユーザーの認証資格情報を取得したり認証されたユーザーを取得して設定を変更したりする可能性があります。詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」(新しいウィンドウでリンクが開く)を参照してください。

IdP が iframe からのサインインをサポートしていない場合、[個別のポップアップ ウィンドウでの認証] を選択します。

関連項目: 埋め込みビュー用の既定の認証タイプ

ステップ 7: 設定のテストとトラブルシューティング

ロックアウトされないように、SAML 設定をテストすることをお勧めします。設定をテストすると、ユーザーの認証タイプを SAML に変更する前に、SAML が正しく設定されていることを確認できます。設定を正常にテストするには、すでに IdP でプロビジョニングされ、SAML 認証タイプが設定済みの Tableau Cloud に追加されている、サインインできるユーザーが少なくとも 1 人いることを確認してください。

Tableau Cloud に正常にサインインできない場合は、[認証] ページで提案されているトラブルシューティング手順から始めてください。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。

ユーザーの管理

既存の Tableau Cloud ユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。

ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。

詳細については、サイトへのユーザーの追加またはユーザーのインポートを参照してください。

埋め込みビュー用の既定の認証タイプ

サイトで SAML を有効化する一環として、ユーザーが Web ページに埋め込まれたビューにアクセスする方法を指定します。

  • ユーザーが認証タイプを選択する

    これを選択すると、ビューが埋め込まれている場所に 2 つのサインイン オプションが表示されます。1 つはシングル サインオン認証を使用するサインイン ボタンで、もう 1 つは代わりに TableauID を使用するリンクです。

    ヒント: このオプションでは、ユーザーはどちらの方法を選択するかを知っている必要があります。通知の一部として、シングル サインオン サイトに追加した後でユーザーに送信し、さまざまなサインイン シナリオで使用する認証タイプを知らせます。たとえば、埋め込みビュー、Tableau Desktop、Tableau Bridge、Tableau Mobile などがあります。

  • Tableau で MFA を使用

    このオプションでは、サイトで SAML が有効になっている場合でも、ユーザーは多要素認証 (MFA) で Tableau 認証資格情報を使用してサインインする必要があります。MFA を使用して Tableau にサインインするには、Tableau Cloud にサインインするたびに ID を確認するための検証方法をユーザーが設定する必要があります。詳細については、多要素認証 と Tableau Cloudを参照してください。

  • SAML

    このオプションでは、SAML ユーザーが埋め込みビューにサインインする方法が上記のステップ 6 で選択した設定に決定されます。

Tableau 認証の使用

サイトが SAML 用に構成されている場合は、サイト設定を変更して、一部またはすべてのユーザーに対して Tableau 認証資格情報を使用してサインインするように要求することができます。

  • アイデンティティ プロバイダーによるサイトの認証処理が必要なくなった場合、またはすべてのユーザーに対して Tableau 認証資格情報を使用してサインインするように要求する場合は、サイト レベルで認証タイプを変更できます。

  • 一部のユーザーに対しては SAML を有効にしたままにし、その他のユーザーに対しては Tableau の使用を要求する場合は、ユーザー レベルで認証タイプを変更できます。

    詳細については、ユーザーの認証タイプの設定を参照してください。

サイトの認証タイプの変更

  1. サイト管理者として Tableau Cloud にサインインし、サイトを選択します。

  2. [設定] > [認証] を選択します。

  3. [追加の認証方法を有効にする] チェック ボックスを削除します。

SAML 構成を非アクティブにした後、メタデータと IdP 情報が保存されます。そのため、再度有効にする場合でも、IdP との SAML 接続を再び設定する必要はありません。

SAML 証明書の更新

Tableau サイトのメタデータに使用する証明書は Tableau から提供され、構成を変更できません。の SAML 証明書を更新するには、IdP に新しい証明書をアップロードし、メタデータを Tableau Cloud と交換し直す必要があります。

  1. サイトの管理者としてサイトにサインインし、[設定][認証] の順に選択します。

  2. [認証タイプ] で、して UI を展開し、[設定 (必須)] ドロップダウン矢印 をクリックします。

  3. 新しいタブまたは新しいウィンドウを開き、IdP アカウントにサインインします。

  4. IdP のドキュメントに記載されている手順に従って、新しい SAML 証明書をアップロードします。

  5. 新しい XML メタデータ ファイルをダウンロードして、Tableau Cloud に提供します。

  6. Tableau Cloud[認証] ページに戻り、 ステップ 4、アップロードで、IdP からダウンロードしたメタデータ ファイルをインポートします。

  7. [変更を保存] ボタンをクリックします。

関連項目

接続されているクライアントからサイトにアクセス

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!