相互認証中にクライアント証明書をユーザーにマッピングする

相互 (2 方向) SSL 認証を使用する場合、クライアントは認証プロセスの一環としてTableau Serverに証明書を示します。次に、クライアント証明書内のユーザー情報を既知のユーザー ID にマッピングします。Tableau ServerTableau Server がクライアントのマッピングに使用する方法は、組織のクライアント証明書の内容によって異なります。

このトピックでは、クライアント証明書の情報のユーザー ID へのマッピング方法と、Tableau Server でのマッピング実行方法を変更する方法について説明します。マッピングがどのように発生するか、およびそれに対する変更が必要かどうかを理解するには、組織内でクライアント証明書がどのように構造化されているかを知る必要があります。

ユーザー名マッピングオプション

Tableau Serverは以下のアプローチの一つをクライアント証明書をユーザー IDにマッピングするため使用します。

  • Active Directory。ユーザー認証で Active Directory を使用するように Tableau Server が構成された場合、Tableau Server がクライアント証明書を受け取る際に証明書を Active Directory に渡し、その証明書を Active Directory ID にマッピングします。証明書内の明示的なユーザー名情報は無視されます。

    :この方法では、Active Directory 内のユーザー アカウントに対してパブリッシュされるクライアント証明書が必要です。

  • ユーザー プリンシパル名 (UPN) 。ユーザー名をユーザー プリンシパル名 (UPN) フィールドに保管するようにクライアント証明書を構成できます。Tableau Serverは UPN 値を読み取って、Active Directory 内のユーザーまたはローカル ユーザーへマッピングします。

  • Common name (CN)。ユーザー名を証明書の共通名 (CN) フィールドに保管するようにクライアント証明書を構成できます。Tableau Serverは CN 値を読み取って、Active Directory 内のユーザーまたはローカル ユーザーへマッピングします。

Active Directory認証およびUPNまたはCNユーザー名マッピングをサーバーに構成した場合、ユーザー名を以下の形式の一つで表現してください。

usernamedomain/username、または username@domain

例: jsmithexample.org/jsmithjsmith@example.org

サーバーがローカル認証を使用する場合、UPN または CN フィールドにおける名前の書式はあらかじめ設定されていませんが、フィールド名はサーバーのユーザー名と一致する必要があります。

証明書マッピングの変更

クライアント証明書を Tableau Server のユーザー ID にマッピングするために、tsm authentication mutual-ssl <commands> コマンドを使用します。 

tsm authentication mutual-ssl configure -m <value>

考えられる値は、Active Directory マッピングの場合は ldap、UPN マッピングの場合は upn、CN マッピングの場合は cn です。

Tableau Server を最初にインストールして構成するとき、サーバーは既定のユーザー名マッピングをサーバーの認証タイプに合わせて設定します。

  • サーバーが Active Directory を使用するよう構成されされている場合、ユーザーIDに認証をマッピングするためにも Active Directory を使用します。

  • サーバーがローカル認証を使用するよう構成されている場合、サーバーは証明書内のUPNフィールドからユーザー名の値を取得します。

Tableau Server がユーザー名を ID にマッピングする方法に関する既定の動作がサーバー構成に対して適切でない場合、次のコマンド セットを実行して CN 値を使用するようマッピングを変更します。

tsm authentication mutual-ssl configure -m cn

tsm pending-changes apply

保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

複数ドメイン組織でユーザー名マッピングのあいまいさに対処する

状況によっては、証明書の UPN または CN フィールドのユーザー名があいまいになる可能性があります。このあいまいさにより、ユーザー名をサーバー上のユーザー ID にマッピングしたときに予期しない結果が生じる可能性があります。

例として、Tableau Server がドメインの含まれないユーザー名を取得した場合、サーバーは既定のドメインを使用して、そのユーザー名を ID にマッピングします。これにより、あるユーザーに異なるユーザーのIDとパーミッションを割り当てる可能性があり、不正なユーザー名マッピングを引き起こす可能性があります。

これは、特に次の条件がすべて適用する環境で発生する可能性があります。

  • 組織が複数の Active Directory ドメインをサポートしている。

  • サーバーが Active Directory 認証を使用するように構成されている。

  • サーバーが UPN や CN マッピングを使用するように構成されている。

  • 一部のユーザーが同じユーザー名を使っているが、ドメインは異なっている。例えば、jsmith@example.org および jsmith@example.com

  • 証明書の UPN または CN フィールドにあるユーザー名に、ユーザー名の一部としてドメインが含まれていない (例えば jsmith とだけ表示する)。

間違ったユーザー名マッピングを防ぐために、クライアントの証明書に完全修飾ユーザー名とドメインが、jsmith@example.org または example.org/jsmith 形式で含まれるようにする。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!