サーバー全体の SAML の構成
サーバー全体の SAML の構成は、Tableau Server のすべてのシングル サインオン (SSO) ユーザーに対し、単一の SAML アイデンティティ プロバイダー (IdP) を使用して認証するように設定する場合、またはマルチサイト環境でサイト固有の SAML を構成する最初のステップとして実行します。
サーバー全体の SAML を構成しており、サイトを構成する準備が整っている場合は、サイト固有の SAML の構成を参照してください。
SAML 構成手順では次を前提にしています。
SAMLトピックで説明されているとおり、Tableau Server で SAML 認証を構成する際のオプションを熟知している。
お使いの環境が SAML 要件を満たすことを確認し、それらの要件で説明されている SAML 証明書ファイルを取得してある。
はじめる前に
災害復旧計画の一環として、証明書と IdP ファイルのバックアップを Tableau Server 外部の安全な場所に保管することをお勧めします。Tableau Server にアップロードする SAML アセット ファイルは、クライアント ファイル サービスによって他のノードに格納および配布されます。ただし、これらのファイルは復元可能な形式では格納されません。Tableau Server クライアント ファイル サービスを参照してください。
注: SSL に同じ 証明書ファイルを使用する場合は、代わりに既存の証明書の場所を使用して SAML を構成することも、ファイルをダウンロードして後でこの手順を実行する場合に IdP メタデータ ファイルをディレクトリに追加しておくこともできます。詳細については、SAML 要件のSAML での SSL 証明書およびキー ファイルの使用を参照してください。
クラスタ内で Tableau Server を実行している場合は、SAML の有効化時に、SAML 証明書、キー、およびメタデータ ファイルがノードに自動的に配布されます。
この手順では、SAML 証明書を TSM にアップロードして、証明書がサーバー構成で適切に保存および配布されるようにする必要があります。SAML ファイルは、この手順で TSM Web インターフェイスを実行しているローカル コンピューター上のブラウザーで使用できる必要があります。
前のセクションで推奨されているように SAML ファイルを収集して Tableau Server に保存した場合は、ファイルをコピーした Tableau Server コンピューターから TSM Web インターフェイスを実行します。
別のコンピューターから TSM Web インターフェイスを実行している場合は、続行する前にすべての SAML ファイルをローカルにコピーする必要があります。以下の手順に従ってローカル コンピューター上のファイルを参照し、TSM にアップロードします。
ブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850詳細については、Tableau サービス マネージャーの Web UI へのサインインを参照してください。
[構成] タブで [ユーザー ID とアクセス] を選択してから [認証方法] タブを選択します。
[認証方法] で、[SAML] を選択します。
SAML セクションが表示されるので、以下の設定を入力して GUI のステップ 1 を完了します (まだチェック ボックスをオンにしてサーバーで SAML を有効にしないでください)。
Tableau Server リターン URL - Tableau Server のユーザーがアクセスされる http://tableau_server などの URL です。
https://localhost または末尾にスラッシュがある URL (http://tableau_server/ など) の使用はサポートされていません。
SAML エンティティ ID — Tableau Server のインストールを IdP に対して一意に識別するエンティティ ID。
ここで Tableau Server URL を再度入力できます。サイト固有の SAML を後ほど有効にする場合、この URL は各サイトの固有の ID のベースとしても役立ちます。
SAML 証明書とキー ファイル — [ファイルの選択] をクリックして、各ファイルをアップロードします。
PKCS#8 パスフレーズで保護されたキー ファイルを使用している場合、TSM CLI を使用してパスフレーズを入力する必要があります。
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
GUI のステップ 1 で必要な情報を入力後、GUI のステップ 2 の [XML メタデータ ファイルのダウンロード] ボタンが使用できるようになります。
GUI のステップ 1 の上にある [サーバーの SAML 認証を有効化] チェック ボックスをオンにします。
残りの SAML 設定を完了します。
GUI のステップ 2 および 3 では、メタデータを Tableau Server と IdP の間で交換します(IdP のドキュメントをチェックする必要がある場合があります)。
[XML メタデータ ファイルをダウンロード] を選択して、ファイルの場所を指定します。
SAML を AD FS で構成している場合は、「Tableau Server での AD FS を使用した SAML の構成」のステップ 3: Tableau Server からのサインイン要求を承認するための AD FS の設定に戻ります。
その他の IdP の場合は、IdP アカウントに進み Tableau Server をそのアプリケーションに追加し (サービス プロバイダーとして)、適宜 Tableau メタデータを入力します。
IdP の Web サイトまたはドキュメントに記載の指示に従って IdP のメタデータをダウンロードします。.xml ファイルを、SAML 証明書およびキー ファイルと同じ場所に保存します。例:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
TSM Web UI に戻ります。GUI のステップ 4 では、IdP メタデータ ファイルへのパスを入力し、次に [ファイルの選択] をクリックします。
GUI のステップ 5: Tableau Server 構成でアサーション値を変更し、IdP により渡されるアサーション名と一致させる必要がある場合があります。
アサーション名は、IdP の SAML 構成で確認できます。異なるアサーション名が IdP から渡される場合は、同じアサーション値を使用するように Tableau Server を更新する必要があります。
ヒント: “アサーション” は主要な SAML コンポーネントであり、アサーション マッピングのコンセプトは最初は扱いにくい場合があります。これを表データ コンテキストにすると便利な場合があります。そこでは、アサーション (属性) 名を表の列ヘッダーと同じにします。その列に表示される値の例ではなく、“ヘッダー” 名を入力します。
GUI のステップ 6 では、ユーザーがシングル サインオンできる Tableau アプリケーションを選択します。
注: Tableau Mobile アプリのバージョン 19.225.1731 以上を実行するデバイスでは、モバイル アクセスを無効化するオプションは無視されます。当該バージョンを実行するデバイスで SAML を無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にする必要があります。
SAML サインアウト リダイレクト用に、IdP がシングル ログアウト (SLO) に対応している場合は、サインアウト後にユーザーをリダイレクトするページを、Tableau Server リターン URL に入力したパスからの相対パスとして入力します。
(オプション) GUI のステップ 7 で、以下を実行します。
AuthNContextClassRef
属性にコンマ区切りの値を追加します。この属性の使用方法の詳細については、SAML 互換性についての注意事項と要件を参照してください。ユーザー名の一部として定義域を送信しない場合は、定義域属性を指定します (例:
domain\username
)。詳細については、「複数のドメインを実行している場合」を参照してください。
構成情報を入力したら、[保留中の変更を保存] をクリックします。
ページ上部の [変更を保留中] をクリックします。
[変更を適用して再起動] をクリックします。
Web ブラウザーで新しいページまたはタブを開き、Tableau Server の URL を入力します。
ブラウザーによって IdP のサインイン フォームにリダイレクトされます。
シングル サインオンのユーザー名とパスワードを入力します。
IdP で認証資格情報が検証され、リダイレクトされて Tableau Server のスタート ページに戻ります。