openIDSettings エンティティ
OpenID 認証を構成する前にOpenID Connect の使用要件を見直してください。
下記の構成ファイル テンプレートを使用して json ファイルを作成してください。オプションに適切な値を指定したら、次のコマンドを実行して json ファイルを渡し、設定を適用します。
tsm settings import -f path-to-file.json
tsm pending-changes apply
保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
構成テンプレート
このテンプレートを使用して OpenID 設定を構成します。
重要: エンティティ オプションは、すべて大文字と小文字を区別します。
構成ファイル、エンティティ、およびキーの詳細については、構成ファイルの例を参照してください。
OIDC の初期構成が終了したら、tsm authentication open-id <commands> サブカテゴリを使用して追加の値を設定します。
{
"configEntities": {
"openIDSettings": {
"_type": "openIDSettingsType",
"enabled": true,
"clientId": "required",
"clientSecret": "required",
"configURL": "required if staticFile value is not set",
"staticFile": "required if configURL value is not set",
"externalURL": "required"
}
}
} 構成ファイル リファレンス
"openIDSettings" エンティティ セットに含めることができるすべてのオプションは次のとおりです。
- _type
必須。
変更しないでください。
- enabled
必須。
trueに設定します。
- clientId
必須。
IdP がアプリケーションに割り当てているプロバイダー クライアント ID を指定します。たとえば、
“laakjwdlnaoiloadjkwha"。
- clientSecret
必須。
プロバイダー クライアント シークレットを指定します。これは、Tableau が IdP からの応答の真偽を検証するために使用するトークンです。この値は秘密で、保護しておく必要があります。
たとえば、
“fwahfkjaw72123="。
- configURL
必須。
プロバイダーの構成 URL を指定します。構成 URL を指定しない場合は、このオプションを削除して
staticFileのパスとファイル名を代わりに指定してください。
- staticFile
必須。
静的な OIDC ディスカバリ JSON ドキュメントへのローカル パスを指定します。静的ファイルを指定しない場合は、このオプションを削除して
configURLの URL を代わりに指定してください。
- externalURL
必須。
サーバーの URL です。一般的には、サーバーのパブリック名 (
http://example.tableau.comなど) になります。
- connectionTimeout
オプション。
接続のタイムアウト間隔を秒数で指定します。既定は
10です。
- readTimeout
オプション。
読み取りのタイムアウト間隔を秒数で指定します。既定は
30です。
- ignoreDomain
以下に当てはまる場合は、これを
trueに設定します。- Tableau Server で電子メール アドレスをユーザー名として使用している
- IdP のユーザーを複数のドメイン名を使用してプロビジョニングしました
- IdP からの
email要求のドメイン名部分を無視する場合があります
先に進む前に、このオプションを
trueに設定した結果として使用されるユーザー名を見直します。ユーザー名の競合が発生する場合があります。ユーザー名が競合したとき、情報開示のリスクは高くなります。OpenID Connect の使用要件を参照してください。
- ignoreJWK
お使いの IdP が JWK 検証をサポートしていない場合は、これを
trueに設定します。この場合、相互 TLS または別のネットワーク レイヤー セキュリティ プロトコルを使用して IdP との通信を認証することをお勧めします。既定はfalseです。
- customScope
IdP のクエリに使用できるカスタム範囲のユーザー関連値を指定します。OpenID Connect の使用要件を参照してください。
- idClaim
お使いの IdP が ID トークンのユーザーを一意に識別するときに
subクレームを使用しない場合は、この値を変更します。指定する IdP クレームには、単一かつ一意の文字列を含める必要があります。
- usernameClaim
この値を、組織が Tableau Server に保存されているユーザー名の照合に使用する IdP クレームに変更します。
- clientAuthentication
OpenID Connect のカスタム クライアント認証手法を指定します。
Salesforce IdP を使用するように Tableau Server を設定するには、この値を
client_secret_postに設定します。
- iFramedIDPEnabled
IdP の iFrame への表示を許可するには
trueに設定します。iFrame での表示を許可する場合は、IdP でクリックジャック保護を無効にする必要があります。