SAML のトラブルシューティング
このトピックでは、SAML 認証を設定する際に発生する可能性のある問題の解決に関する情報を示します。
SAML、および自動ログインの有効化
SAML を使用していて、Tableau Server がユーザー管理に Active Directory を使用するよう構成されている場合、[自動ログインを有効にする] を選択しないでください。[自動ログインを有効にする] と SAML の両方を同じサーバー インストールで使用することはできません。
SAML の構成時に "HTTP Status 500" エラーが発生する
環境によっては、HTTP ステータス 500 エラーが発生し、SAML を有効にしてブラウザーで Tableau Server URL へ移動した後に、次のエラーが表示される場合があります。
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
このエラーを解決するには、次の内容を確認してください。
SAML タブで指定した SSO プロファイルの IdP URL が正しい。
IdP のサービス プロバイダーを作成中に入力した SSO プロファイルの IdP URL が正しい。
IdP は
HTTP-POST要求を使用するよう構成されます。(リダイレクトおよび SOAP はサポートされません。)
これらの設定のいずれかが間違っている場合、適切な更新を行ってからもう一度 SAML 構成ステップを実行します (Tableau Server から XML メタデータ ドキュメントを生成し、エクスポートするところから始める)。
これらの設定が正しいにもかかわらずエラーが表示される場合は、SAML 要件に記載されているとおり、メタデータ XML が Tableau Server および IdP によって作成されていることを確認します。
コマンド ラインからのサインイン
Tableau Server で SAML を使用するよう構成されていても、tabcmd や Tableau データ抽出コマンド ライン ユーティリティ(新しいウィンドウでリンクが開く) (Tableau Desktop に付属) を使用して Tableau Server にサインインした場合、SAML は認証に使用されません。これらのツールは、Tableau Server が最初にインストールされたときに (ローカル認証または AD のいずれかで) 認証を構成しておく必要があります。
ログインの失敗: ユーザーが見つかりませんでした
次のメッセージが表示されてログインに失敗します。
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
このエラーは一般的に Tableau Server に保存されているユーザー名と IdP が提供したユーザー名が一致しないことを意味します。これを修正するには、これらのユーザー名が一致していることを確認してください。たとえば、山田太郎のユーザー名が tyamada として IdP に保存されている場合、Tableau Server でも tyamada として保存する必要があります。
ログインの失敗: SSL オフロード
次のメッセージが表示されてログインに失敗します。
Unable to Sign In - Invalid username or password.
さらに、vizportal ログ (debug モードに設定) に次のメッセージが含まれています。
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
注: SAML 関連のイベントを記録するには、vizportal.log.level を debug に設定する必要があります。詳細については、ロギング レベルの変更を参照してください。
このメッセージの組み合わせは、Tableau Server への接続用に SSL をオフロードする外部プロキシ サーバーの構成ミスを示しています。この問題を解決するには、「サーバー全体の SAML の構成」を参照してください。
SAML エラー ログ
SAML 認証は Tableau Server の外で行われるため、認証問題のトラブルシューティングは難しい場合があります。ただし、ログインの試みは Tableau Server によって記録されます。ログ ファイルのスナップショットを作成して、問題のトラブルシューティングに使用できます。詳細については、ログ ファイルのスナップショット (ログのアーカイブ)を参照してください。
注: SAML 関連のイベントを記録するには、vizportal.log.level を debug に設定する必要があります。詳細については、ロギング レベルの変更を参照してください。
解凍されたログ ファイル スナップショットにある次のファイルで、SAML エラーを確認します。
\vizportal\vizportal-<n>.logアプリケーション プロセス (vizportal.exe) が認証を処理するため、SAML 応答はそのプロセスによってログに記録されます。
末尾のスラッシュ
[SAML] タブで、Tableau Server リターン URL が末尾のスラッシュで終わっていないことを確認します。
正解: http://tableau_server
間違い: http://tableau_server/
接続を確認
構成している Tableau Server にルーティング可能な IP アドレスまたは NAT のいずれかがファイアウォールにあり、サーバーとの直接的な双方向トラフィックを許可していることを確認します。
テルネットを Tableau Server で実行して、SAML IdP への接続を試みることによって、接続をテストすることができます。例: C:\telnet 12.360.325.10 80
上のテストでは、IdP の HTTP ポート (80) に接続され、HTTP ヘッダーを受け取ります。
複数の定義域
[SAML] タブで、定義域を空白にして、Tableau Server 定義域属性が、その定義域を SAML アサーションの domain\username 形式で検出することを確認します。
正: <empty>
誤: yourdomain.com
