SAML
SAML (セキュリティ アサーション マークアップ ランゲージ) は、セキュアな Web ドメインがユーザー認証および認可データを交換できる XML 規格です。Tableau Serverを構成し、外部アイデンティティ プロバイダー (IdP) を使用して SAML 2.0 を介したユーザーの認証を実行できます。ユーザー認証資格情報が Tableau Server と共に保存されることはなく、SAML を使用すると、Tableau を組織のシングル サインオン環境に追加できます。
SAML はサーバー全体で使用するか、個々のサイトで構成できます。これらのオプションの概要を以下に示します。
サーバー全体の SAML 認証。単一の SAML IdP アプリケーションにより、すべての Tableau Server ユーザーの認証が処理されます。この場合、お使いのサーバーにデフォルト サイトしかない場合、サイト固有の SAML を構成する必要がないため、このオプションを使用します。マルチサイト環境ではサーバー全体の SAML を使用することもできますが、ユーザーはすべてのサイトに対して単一の IdP に制限されます。
サーバー全体のローカル認証とサイト固有の SAML 認証。マルチサイト環境において、サイト レベルで SAML 認証に対応していないユーザーがローカル認証を使用してサインインできます。
サーバー全体の SAML 認証とサイト固有の SAML 認証。マルチサイト環境において、サイト レベルで構成された SAML IdP を使用してすべてのユーザーが認証します。複数のサイトに所属するユーザー用に、サーバー全体の既定 SAML IdP を指定します。
サイト固有の SAML を使用するには、個々のサイトを構成する前にサーバー全体の SAML を構成する必要があります。サイト固有の SAML が機能するためにサーバー側 SAML を有効にする必要はありませんが、構成する必要があります。
SAML によるユーザー認証は、データ ソースやワークブックなどの Tableau Server コンテンツに関するパーミッションや認可には適用されません。また、ワークブックやデータ ソースが接続する参照元データへのアクセスがこれによって制御されることはありません。
注:
- Tableau Server ではサービス プロバイダーによって開始された SAML および IdP によって開始された SAML の両方が、ブラウザーと Tableau Mobile アプリでサポートされています。Tableau Desktop からの SAML 接続は、サービス プロバイダーが開始する必要があります。
- アイデンティティ プールは、組織で必要となる追加のユーザー プロビジョニングと認証オプションを補完およびサポートするように設計されたツールで、OpenID Connect (OIDC) 認証のみをサポートします。詳細については、「アイデンティティ プール (ID プール) を使用したユーザーのプロビジョニングと認証」を参照してください。
認証の概要
次のイメージは、一般的なサービス プロバイダーによる開始フローで、ユーザーがシングル サインオンを使用して認証するための手順を示します。
ユーザーは Tableau Server サインイン ページに移動するか、パブリッシュされたワークブックの URL をクリックします。
構成された IdP にクライアントをリダイレクトして、Tableau Server で認証プロセスを開始します。
IdP はユーザーのユーザー名とパスワードを要求します。ユーザーが有効な認証資格情報を送信すると、IdP はユーザーを認証します。
IdP は、SAML 応答の形式で成功した認証をクライアントに返します。クライアントは SAML 応答を Tableau Server に渡します。
Tableau Server は、SAML 応答のユーザー名が、