この記事では、Microsoft Entra（旧 Azure AD）を用いてTableau Serverでシングルサインオン連携する設定手順を紹介します。
Tableau Serverにシングルサインオンを設定することでアカウント管理が大変楽になるので、利用するアカウントが多くて大変だという人は是非ご検討いただければと思います。

シングルサインオンとは？

日々の生活や業務を行うにあたって、特定のサービスを利用するためにアカウント作成、サインインする機会は数多くあると思います。
このアカウントの数が多くなるほどアカウントの管理が大変になりますし、パスワードを覚えることが大変になって簡単なパスワードを登録する人が出るといったセキュリティリスクも発生します。

シングルサインオンは、1つのアカウントで複数のサービスにサインインできる仕組みのことです。
IdP（ユーザー情報の管理、認証を行うサービス）にアカウント情報を登録しておき、サービスのアカウントを作成する際には、IdPのアカウント情報で作成します。

サインインする際には、IdPに対してユーザー認証を依頼することで認証を行います。
これにより、ユーザー認証をIdPに集中させることでアカウントの数を少なくできます。

準備事項

Tableau Serverにシングルサインオンを導入するために、下記の準備が必要になります。

Tableau Serverのシングルサインオン設定手順

今回、Microsoft Entra（旧 Azure AD）を用いてTableau Serverにシングルサインオンを設定しました。これにより、M365アカウントでTableau Serverにサインインできるようになります。

• TSMの画面にサインインします。

• CONFIGURATIONをクリックして、User identity & AccessのAuthentication Method画面に移動します

• Authentication Method を SAMLに変更します

• Enable SAML authentication for the serverをチェック入れます。これにより、Tableau Serverの認証にAzure ADが必須になります。

• Step1 の設定を行います。
  Tableau Server return URL ： Tableau Serverにアクセスする際に入力するURL
  SAML entity ID：任意の文章。添付画像ではtableau_ssl_testだが何でもOK
  SAML certificate file：証明書ファイル(CRTファイル)をSelect Fileから選択
  SAML key file：証明書ファイル(KEYファイル)をSelect Fileから選択

• Download XML Metadata Fileをクリックして、XMLファイルをダウンロードします

• ブラウザでMicrosoft Entra 管理センターを開きます

• アプリケーションからエンタープライズアプリケーションをクリックして、新しいアプリケーションをクリックします

• アプリケーションを検索からTableau Serverで検索して、検索に出てきたTableau Serverをクリックします

• 名前を入力して、作成をクリックします

• 作成後に表示される画面でシングルサインオンをクリックします

• クリック後の画面でSAMLをクリックします

• メタデータファイルをアップロードするをクリックして、6でダウンロードしたXMLファイルを選択、追加をクリックします

• アップロード後に表示される画面のサインオンURLにTableau Serverにアクセスする際のURLを設定し、保存をクリックします

• 属性とクレームの編集をクリックします

• 下記のクレーム名を変更します。
  一意のユーザー識別子(名前ID)：user.userprincipalnameに設定
  username：user.userprincipalnameに設定

• SAMLベースのサインオンページに戻り、フェデレーションメタデータ XMLのダウンロードを選択し、ファイルをダウンロードします

• ユーザーとグループからユーザーの追加をクリックして、Tableau Serverを利用するユーザーを登録します

• TSMの画面に戻り、17でダウンロードしたXMLファイルをアップロードします

• TSM画面一番下のSave Pending Changesをクリックします

• 右上に表示されたPending Changesをクリックして、Apply Changes and RestartをクリックしてTableau Serverを再起動します
  これにより、これまでTSMに設定した内容は反映して、シングルサインオンを利用できるようになります

シングルサインオンのサインイン画面

シングルサインオン設定後にTableau ServerのURLをアクセスした時、M365のサインイン画面が表示されます。
ブラウザでM365のサインインが完了済の場合、直接Tableau Serverの画面が表示されます。M365のサービスをブラウザで頻繁に利用する場合は、サインインの手間を省くことが可能です。

終わりに

Tableau Serverでシングルサインオンの設定手順を説明しました。
アカウントを減らすだけでなく、一度M365にサインインしていればTableau Serverのサインインが不要になるなど、利便性が大きく向上しました。
また、M365のセキュリティ設定をTableau Serverのサインイン時にも適用することができるため、Tableau Serverの標準的なセキュリティに不足を感じている場合は補うことも可能になります。

Tableau Serverにシングルサインオンを設定してみたい、シングルサインオンの設定で困っていることがある人はお気軽にお問い合わせください。

この記事の著者：新倉 和也

データサイエンティスト
会社で一番Tableau歴が長い。 Tableau CloudとTableau Serverの管理に精通している。