サーバー全体の SAML の構成

サーバー全体の SAML の構成は、Tableau Server のすべてのシングル サインオン (SSO) ユーザーに対し、単一の SAML アイデンティティ プロバイダー (IdP) を使用して認証するように設定する場合、またはマルチサイト環境でサイト固有の SAML を構成する最初のステップとして実行します。

サーバー全体の SAML を構成しており、サイトを構成する準備が整っている場合は、サイト固有の SAML の構成を参照してください。

SAML 構成手順では次を前提にしています。

  • SAMLで説明されているとおり、Tableau Server 上で SAML 認証を構成する際のオプションについて良く知っている。

  • お使いの環境が SAML 要件を満たすことを確認し、それらの要件で説明されている SAML 証明書ファイルを取得してある。

はじめる前に

証明書ファイルを収集し、Tableau Server 上に配置します。

Tableau Server フォルダーに SAML という名前の新しいフォルダーを作成し、そのフォルダーに SAML 証明書ファイルのコピーを保存します。例は次のとおりです。

C:\Program Files\Tableau\Tableau Server\SAML

Tableau Server を実行するユーザー アカウントには、このフォルダへのアクセスに必要なパーミッションが与えられているため、この場所を使用することが推奨されます。

(証明書ファイルも同様に、Tableau Server のディレクトリ ツリー以外の安全な場所に保存してください)。

注: SSL に同じ 証明書ファイルを使用する場合は、代わりに既存の証明書の場所を使用して SAML を構成することも、ファイルをダウンロードして後でこの手順を実行する場合に IdP メタデータ ファイルをディレクトリに追加しておくこともできます。詳細については、SAML 要件のSAML での SSL 証明書およびキー ファイルの使用を参照してください。

クラスタ内で Tableau Server を実行している場合は、SAML の有効化時に、SAML 証明書、キー、およびメタデータ ファイルがノードに自動的に配布されます。

この手順では、SAML 証明書を TSM にアップロードして、証明書がサーバー構成で適切に保存および配布されるようにする必要があります。SAML ファイルは、この手順で TSM Web インターフェイスを実行しているローカル コンピューター上のブラウザで使用できる必要があります。

前のセクションで推奨されているように SAML ファイルを収集して Tableau Server に保存した場合は、ファイルをコピーした Tableau Server コンピューターから TSM Web インターフェイスを実行します。

別のコンピューターから TSM Web インターフェイスを実行している場合は、続行する前にすべての SAML ファイルをローカルにコピーする必要があります。以下の手順に従ってローカル コンピューター上のファイルを参照し、TSM にアップロードします。

  1. ブラウザで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、Tableau Services Manager の Web UI へのサインインを参照してください。

  2. [構成] タブで [ユーザー ID とアクセス] を選択してから [認証方法] タブを選択します。

    Tableau Services Manager user authentication settings

  3. [認証方法] で、[SAML] を選択します。

  4. SAML セクションが表示されるので、以下の設定を入力してステップ 1 を完了します (まだチェック ボックスを選択してサーバーで SAML を有効にしないでください)。

    Tableau Server リターン URL - Tableau Server のユーザーがアクセスされる http://tableau_server などの URL です。

    https://localhost または末尾にスラッシュがある URL (http://tableau_server/ など) の使用はサポートされていません。

    SAML エンティティ IDTableau Server のインストールを IdP に対して一意に識別するエンティティ ID。

    ここで Tableau Server URL を再度入力できます。サイト固有の SAML を後ほど有効にする場合、この URL は各サイトの固有の ID のベースとしても役立ちます。

    SAML 証明書およびキーファイルサーバー全体の SAML の構成で作成したパスを入力します。

    ステップ 1 で必要な情報を入力後、ステップ 2 の [XML メタデータ ファイルのダウンロード] ボタンが使用できるようになります。パスフレーズで保護されたキー ファイルを使用している場合、TSM CLI を使用してパスフレーズを入力する必要があります。この手順の最後のステップを参照してください。

  5. ステップ 1 の上にある [サーバーの SAML 認証を有効化] チェック ボックスを選択します。

  6. 残りの SAML 設定を完了します。

    1. ステップ 2 および 3 では、メタデータを Tableau Server と IdP の間で交換します(IdP のドキュメントをチェックする必要がある場合があります)。

      [XML メタデータ ファイルをダウンロード] を選択して、ファイルの場所を指定します。

      SAML を AD FS で構成している場合は、「Tableau Server での AD FS を使用した SAML の構成」のステップ 3: Tableau Server からのサインイン要求を承認するための AD FS の設定に戻ります。

      その他の IdP の場合は、IdP アカウントに進み Tableau Server をそのアプリケーションに追加し (サービス プロバイダーとして)、適宜 Tableau メタデータを入力します。

      IdP の Web サイトまたはドキュメントに記載の指示に従って IdP のメタデータをダウンロードします。.xml ファイルを、SAML 証明書およびキー ファイルと同じ場所に保存します。例:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. TSM Web UI に戻ります。ステップ 4 では、IdP メタデータ ファイルへのパスを入力し、次に [ファイルの選択] をクリックします。

      Screen shot highlighting the area of the TSM UI where you upload SAML IDP metadata

    3. ステップ 5: Tableau Server 構成でアサーション値を変更し、IdP により渡されるアサーション名と一致させる必要がある場合があります。

      アサーション名は、IdP の SAML 構成で確認できます。異なるアサーション名が IdP から渡される場合は、同じアサーション値を使用するように Tableau Server を更新する必要があります。

      ヒント: “アサーション” は主要な SAML コンポーネントであり、アサーション マッピングのコンセプトは最初は扱いにくい場合があります。これを表データ コンテキストにすると便利な場合があります。そこでは、アサーション (属性) 名を表の列ヘッダーと同じにします。その列に表示される値の例ではなく、“ヘッダー” 名を入力します。

    4. ステップ 6 では、ユーザーがシングル サインオンできる Tableau アプリケーションを選択します。

      : Tableau Mobile アプリのバージョン 19.225.1731 以上を実行するデバイスでは、モバイル アクセスを無効化するオプションは無視されます。当該バージョンを実行するデバイスで SAML を無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にする必要があります。

    5. 最後に、SAML サインアウト リダイレクト用に、IdP がシングル ログアウト (SLO) に対応している場合は、サインアウト後にユーザーをリダイレクトしたいページを、Tableau Server リターン URL に入力したパスに対して、入力します。

  7. 構成情報を入力したら、[保留中の変更を保存] をクリックします。

  8. ページ上部の [変更を保留中] をクリックします。

  9. [変更を適用して再起動] をクリックします。

  10. パスフレーズで保護されている PKCS#8 キーを使用している場合は、TSM CLI を開き、パスフレーズを以下の通りに入力してください。

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

    tsm pending-changes apply

    パスフレーズが暗号化され保存されます。サーバー シークレットの管理を参照してください。

はじめる前に

  • IdP の Web サイトまたはアプリケーションから移動し、IdP のメタデータ XML ファイルをエクスポートします。

    IdP からの XML メタデータに SingleSignOnService 要素が含まれていることを確認します。これは、次の例のようにバインドを HTTP-POST に設定する要素です。

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

リターン URL、SAML エンティティ ID の構成、証明書とキー ファイルの指定

  1. コマンド プロンプト シェルを開き、サーバーの SAML 設定を構成します (プレースホルダー値を環境パスとファイル名で置き換えます)。

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"

    詳細については、「tsm authentication saml configure」を参照してください。

  2. パスフレーズで保護されている PKCS#8 キーを使用している場合は、パスフレーズを以下の通りに入力してください。

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. SAML がまだ Tableau Server 上で有効でない場合、たとえば、初回設定時や、それを無効にしている場合は、ここで SAML を有効にします。

    tsm authentication saml enable

  4. 変更を適用します。

    tsm pending-changes apply

    pending-changes apply コマンドは、Tableau Server が実行中の場合にはそれが再起動することを知らせるプロンプトを表示します。このプロンプトはサーバーが停止しても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。詳細については、tsm pending-changes applyを参照してください。

Tableau Server メタデータの生成および IdP の構成

  1. 次のコマンドを実行して Tableau Server のために必要な XML メタデータ ファイルを生成します。

    tsm authentication saml export-metadata -f <file-name.xml>

    ファイル名を指定するか、-f パラメーターを省略して、samlmetadata.xml という名前の既定のファイルを作成することができます。

  2. IdP の Web サイトまたはアプリケーションで次のように実行します。

    • Tableau Server をサービス プロバイダーとして追加します。

      追加の方法は IdP のマニュアルを参照してください。Tableau Server をサービス プロバイダーとして構成するプロセスの一環として、export-metadata コマンドで生成した Tableau Server メタデータ ファイルをインポートします。

    • IdP がユーザー検証のためにユーザー名を属性要素として使用することを確認します。

アサーションの一致

Tableau Server 構成でアサーション値を変更し、IdP により渡されるアサーション名と一致させる必要がある場合があります。

アサーション名は、IdP の SAML 構成で確認できます。異なるアサーション名が IdP から渡される場合は、同じアサーション値を使用するように Tableau Server を更新する必要があります。

ヒント: “アサーション” は主要な SAML コンポーネントであり、アサーション マッピングのコンセプトは最初は扱いにくい場合があります。これを表データ コンテキストにすると便利な場合があります。そこでは、アサーション (属性) 名を表の列ヘッダーと同じにします。その列に表示される値の例ではなく、“ヘッダー” 名を入力します。

次の表は、既定のアサーション値と、その値を保存する構成キーを示しています。

アサーション 既定値 キー
ユーザー名 username wgserver.saml.idpattribute.username
表示名 displayName wgserver.saml.idpattribute.displayname
メール email wgserver.saml.idpattribute.email
ドメイン (既定ではマッピングされない) wgserver.saml.idpattribute.domain

指定した値を変更するには、適切なキーと値のペアを使用し、tsm configuration set コマンドを実行します。

たとえば、username アサーションを name の値に変更するには、次のコマンドを実行します。

tsm configuration set -k wgserver.saml.idpattribute.username -v name

アサーションを更新後、次のコマンドを実行して変更を適用する必要があります。

tsm pending-changes apply

オプション: SAML を使用したクライアントのタイプの無効化

既定では、Tableau Desktop と Tableau Mobile アプリの両方で SAML 認証を使用できます。

IdP でこの機能がサポートされていない場合、以下のコマンドを使用して Tableau クライアント向けの SAML サインインを無効にできます。

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

: Tableau Mobile アプリのバージョン 19.225.1731 以上を実行するデバイスでは、--mobile-access disable オプションは無視されます。当該バージョンを実行するデバイスで SAML を無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にする必要があります。

アサーションを更新後、次のコマンドを実行して変更を適用する必要があります。

tsm pending-changes apply

構成のテスト

  1. Web ブラウザーで新しいページまたはタブを開き、Tableau Server の URL を入力します。

    ブラウザーによって IdP のサインイン フォームにリダイレクトされます。

  2. シングル サインオンのユーザー名とパスワードを入力します。

    IdP で認証資格情報が検証され、リダイレクトされて Tableau Server のスタート ページに戻ります。

フィードバックをくださりありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください