サーバー全体の SAML の構成

サーバー全体の SAML の構成は、Tableau Server のすべてのシングル サインオン (SSO) ユーザーに対し、単一の SAML アイデンティティ プロバイダー (IdP) を使用して認証するように設定する場合、またはマルチサイト環境でサイト固有の SAML を構成する最初のステップとして実行します。

サーバー全体の SAML を構成しており、サイトを構成する準備が整っている場合は、サイト固有の SAML の構成を参照してください。

SAML 構成手順では次を前提にしています。

  • SAMLトピックで説明されているとおり、Tableau Server で SAML 認証を構成する際のオプションを熟知している。

  • お使いの環境が SAML 要件を満たすことを確認し、それらの要件で説明されている SAML 証明書ファイルを取得してある。

はじめる前に

災害復旧計画の一環として、証明書と IdP ファイルのバックアップを Tableau Server 外部の安全な場所に保管することをお勧めします。Tableau Server にアップロードする SAML アセット ファイルは、クライアント ファイル サービスによって他のノードに格納および配布されます。ただし、これらのファイルは復元可能な形式では格納されません。Tableau Server クライアント ファイル サービスを参照してください。

注: SSL に同じ 証明書ファイルを使用する場合は、代わりに既存の証明書の場所を使用して SAML を構成することも、ファイルをダウンロードして後でこの手順を実行する場合に IdP メタデータ ファイルをディレクトリに追加しておくこともできます。詳細については、SAML 要件のSAML での SSL 証明書およびキー ファイルの使用を参照してください。

クラスタ内で Tableau Server を実行している場合は、SAML の有効化時に、SAML 証明書、キー、およびメタデータ ファイルがノードに自動的に配布されます。

この手順では、SAML 証明書を TSM にアップロードして、証明書がサーバー構成で適切に保存および配布されるようにする必要があります。SAML ファイルは、この手順で TSM Web インターフェイスを実行しているローカル コンピューター上のブラウザーで使用できる必要があります。

前のセクションで推奨されているように SAML ファイルを収集して Tableau Server に保存した場合は、ファイルをコピーした Tableau Server コンピューターから TSM Web インターフェイスを実行します。

別のコンピューターから TSM Web インターフェイスを実行している場合は、続行する前にすべての SAML ファイルをローカルにコピーする必要があります。以下の手順に従ってローカル コンピューター上のファイルを参照し、TSM にアップロードします。

  1. ブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、Tableau サービス マネージャーの Web UI へのサインインを参照してください。

  2. [構成] タブで [ユーザー ID とアクセス] を選択してから [認証方法] タブを選択します。

    Tableau サービス マネージャーのユーザー認証設定

  3. [認証方法] で、[SAML] を選択します。

  4. SAML セクションが表示されるので、以下の設定を入力して GUI のステップ 1 を完了します (まだチェック ボックスをオンにしてサーバーで SAML を有効にしないでください)。

    • Tableau Server リターン URL - Tableau Server のユーザーがアクセスされる http://tableau_server などの URL です。

      https://localhost または末尾にスラッシュがある URL (http://tableau_server/ など) の使用はサポートされていません。

    • SAML エンティティ IDTableau Server のインストールを IdP に対して一意に識別するエンティティ ID。

      ここで Tableau Server URL を再度入力できます。サイト固有の SAML を後ほど有効にする場合、この URL は各サイトの固有の ID のベースとしても役立ちます。

    • SAML 証明書とキー ファイル[ファイルの選択] をクリックして、各ファイルをアップロードします。

      PKCS#8 パスフレーズで保護されたキー ファイルを使用している場合、TSM CLI を使用してパスフレーズを入力する必要があります。

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      GUI のステップ 1 で必要な情報を入力後、GUI のステップ 2 の [XML メタデータ ファイルのダウンロード] ボタンが使用できるようになります。

  5. GUI のステップ 1 の上にある [サーバーの SAML 認証を有効化] チェック ボックスをオンにします。

  6. 残りの SAML 設定を完了します。

    1. GUI のステップ 2 および 3 では、メタデータを Tableau Server と IdP の間で交換します(IdP のドキュメントをチェックする必要がある場合があります)。

      [XML メタデータ ファイルをダウンロード] を選択して、ファイルの場所を指定します。

      SAML を AD FS で構成している場合は、「Tableau Server での AD FS を使用した SAML の構成」のステップ 3: Tableau Server からのサインイン要求を承認するための AD FS の設定に戻ります。

      その他の IdP の場合は、IdP アカウントに進み Tableau Server をそのアプリケーションに追加し (サービス プロバイダーとして)、適宜 Tableau メタデータを入力します。

      IdP の Web サイトまたはドキュメントに記載の指示に従って IdP のメタデータをダウンロードします。.xml ファイルを、SAML 証明書およびキー ファイルと同じ場所に保存します。例:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. TSM Web UI に戻ります。GUI のステップ 4 では、IdP メタデータ ファイルへのパスを入力し、次に [ファイルの選択] をクリックします。

      SAML IDP メタデータをアップロードする TSM UI のエリアをハイライトしているスクリーンショット

    3. GUI のステップ 5: Tableau Server 構成でアサーション値を変更し、IdP により渡されるアサーション名と一致させる必要がある場合があります。

      アサーション名は、IdP の SAML 構成で確認できます。異なるアサーション名が IdP から渡される場合は、同じアサーション値を使用するように Tableau Server を更新する必要があります。

      ヒント: “アサーション” は主要な SAML コンポーネントであり、アサーション マッピングのコンセプトは最初は扱いにくい場合があります。これを表データ コンテキストにすると便利な場合があります。そこでは、アサーション (属性) 名を表の列ヘッダーと同じにします。その列に表示される値の例ではなく、“ヘッダー” 名を入力します。

    4. GUI のステップ 6 では、ユーザーがシングル サインオンできる Tableau アプリケーションを選択します。

      : Tableau Mobile アプリのバージョン 19.225.1731 以上を実行するデバイスでは、モバイル アクセスを無効化するオプションは無視されます。当該バージョンを実行するデバイスで SAML を無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にする必要があります。

    5. SAML サインアウト リダイレクト用に、IdP がシングル ログアウト (SLO) に対応している場合は、サインアウト後にユーザーをリダイレクトするページを、Tableau Server リターン URL に入力したパスからの相対パスとして入力します。

    6. (オプション) GUI のステップ 7 で、以下を実行します。

  7. 構成情報を入力したら、[保留中の変更を保存] をクリックします。

  8. ページ上部の [変更を保留中] をクリックします。

  9. [変更を適用して再起動] をクリックします。

構成のテスト

  1. Web ブラウザーで新しいページまたはタブを開き、Tableau Server の URL を入力します。

    ブラウザーによって IdP のサインイン フォームにリダイレクトされます。

  2. シングル サインオンのユーザー名とパスワードを入力します。

    IdP で認証資格情報が検証され、リダイレクトされて Tableau Server のスタート ページに戻ります。