SAP HANA SSO の構成
SAML 委任を使用して SAP HANA にシングルサインオン (SSO) エクスペリエンスを提供するよう Tableau Server を構成できます。このシナリオは Tableau Server に対する SAML 認証に依存しません。HANA SAML 委任を使用するために Tableau Server で SAML にサインオンする必要はありません。好きな方法を選択して Tableau Server にサインインできます。
SAP HANA で SAML 委任を使うと、Tableau Server がアイデンティティ プロバイダーとして機能します。
はじめる前に
SAP HANA で SAML 委任を構成するには、Tableau Server および SAP HANA 上の両方で構成が必要です。このトピックでは、Tableau Server の構成についての構成情報を提供します。Tableau Server を構成する前に、次を完了しなくてはなりません。
- Tableau Server のためにSAML 証明書およびキー ファイルを取得します。
証明書ファイルは、ファイル拡張子 .crt または .cert が付いた PEM 暗号化 x509 証明書でなくてはなりません。このファイルは Tableau Server によって使用され、HANA 上にもインストールする必要があります。
秘密鍵は、PKCS#8 形式の DER エンコードされた秘密鍵ファイルで、パスワード保護されておらず、ファイル拡張子が .der である必要があります。このファイルは Tableau Server のみによって使用されます。
HANA に証明書をインストールします。HANA での
libxmlsec
エラーを回避するために、SAP HANA でインメモリ証明書ストアを構成することをお勧めします。詳細については、「SAP サポートのトピック」(新しいウィンドウでリンクが開く)を参照してください。最新バージョンの SAP HANA ドライバー (最低でもバージョン 1.00.9) を Tableau Server にインストールします。
Tableau Server から SAP HANA へのネットワーク暗号化を構成します (推奨)。
証明書/キー ペアの生成、SAML 接続の暗号化と SAP HANA の構成に関しての詳細は、Tableau コミュニティの「How to Configure SAP HANA for SAML SSO with Tableau Server (Tableau Server で SAP HANA を SAML SSO のために構成する方法)」(新しいウィンドウでリンクが開く)を参照してください。
SAP HANA での Tableau Server SAML を構成する
次の手順は、Tableau Server 上で tsm data-access
を使用して SAP HANA での SAML を構成する方法を説明しています。sapHanaSettings エンティティを使用しても、SAP HANA での SAML が構成できます。
分散展開で Tableau Server を実行している場合は、最初のノードで次の手順を実行します。
証明書ファイルを
saml
フォルダーに配置します。例は次のとおりです。C:\Program Files\Tableau\Tableau Server\SAML
次のコマンドを実行し、証明書とキー ファイルの場所を指定します。
tsm data-access set-saml-delegation configure --cert-key <cert-key> --cert-file <cert-file>
<cert-key>
および<cert-file>
にはそれぞれ秘密キーおよび証明書のファイル パスが入ります。例は次のとおりです。
tsm data-access set-saml-delegation configure --cert-key "c:\Program Files\Tableau\Tableau Server\SAML\saml_key.der" --cert-file "c:\Program Files\Tableau\Tableau Server\SAML\saml_cert.crt"
他のオプションも指定できます。例えば、ユーザー名形式と資格認証情報を正規化する方法が指定できます。tsm data-accessを参照してください。
次のコマンドを実行して委任を有効にします。
tsm data-access set-saml-delegation enable
tsm configuration set -k wgserver.sap_hana_sso.enabled -v true
tsm configuration set -k wgserver.delegation.enabled -v true
終了した後に、
tsm pending-changes apply
を実行します。保留中の変更にサーバーの再起動が必要な場合は、
pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。