mutualSSLSettings エンティティ
相互 SSL を構成する前に、Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成するを確認してください。
mutualSSLSettings
エンティティは SSL および相互 SSL 構成の両方を組み合わせます。相互 SSL は外部 SSL が有効化され、適切に構成されていることを必要とします。
TSM エンティティは、JSON とキー値のペアを使用します。下記の構成ファイル テンプレートを使用して .json ファイルを作成します。使用する環境に適したキーの値を指定してから、次のコマンドを使用して .json ファイルを Tableau Server に渡します。
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
構成テンプレート
このテンプレートを使用して相互 SSL を構成します。
重要: エンティティ オプションは、すべて大文字と小文字を区別します。
構成ファイル、エンティティ、およびキーの詳細については、構成ファイルの例を参照してください。
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
構成ファイル リファレンス
- sslEnabled
SSL を有効化します。これは相互 SSL を有効化するための前提条件です。
clientCertRequired (MutualSSL)
true を設定して相互 SSL 認証を有効化します。false を設定して無効化します。
- caCertFile (MutualSSL)
必須。
双方向 SSL のための CA 発行の証明書ファイルを指定します。ファイル パスは Tableau Server により読み取り可能でなくてはなりません。
certFileName
サーバー証明書の証明書チェーンを構成しているPEM 暗号化された CA 証明書の連結を含むファイルを指定します。
代わりに、便宜上CA 証明書がサーバー証明書に直接追加された場合は、参照されたファイルが caCertFile と同じでも問題ありません。
keyFileName
キーが証明書と組み合わされていない場合、この構成キーを使用してキー ファイルをポイントします。RSA および DSA秘密キーの両方を所有している場合、両方を平行に構成できます (たとえば、DSA 暗号かぎの使用も許可する)。
keyPassphrase
オプション。証明書ファイルのパスフレーズ。入力するパスフレーズは保存中に暗号化されます。
注: パスフレーズに証明書のキー ファイルを作成する場合、SAML に SSL 証明書キーを再利用することはできません。
revocationFile
SSL CA 証明書失効リスト (.crl) ファイルのファイル パスを指定します。
Redirect
既定は true です。Tableau Server が http リクエストを https リクエストとして適切なエンド ポイントへリダイレクトすべきかどうかを指定します。
clientCertMapping (MutualSSL)
証明書からユーザー名を取得する方法を指定します。
許容される値は
ldap
、upn
、cn
ローカル認証を使用しているサーバーでは、規定の設定は
upn
(ユーザー プリンシパル名) です。Tableau Server 認証が Active Directory (AD) 向けに構成されている場合、既定値は
ldap
(ライトウェイト ディレクトリ アクセス プロトコル) です。これは、サーバーに AD に行ってユーザーを検証するよう伝え、証明書内の名前は無視します。
どちらの認証タイプにも
cn
を設定して、証明書のサブジェクト DN の CN を使用することができます。詳細については、相互認証中にクライアント証明書をユーザーにマッピングするを参照してください。
fallbackToPassword (MutualSSL)
true を設定すると、相互 SSL 認証が失敗した場合に、ユーザー名とパスワードを通して Tableau Server へサインインできるオプションをユーザーに付与します。false を設定すると、このフォールバック オプションが無効化されます。
protocols
許可したい、または禁止したいトランスポート レイヤー セキュリティ (TLS) プロトコル バージョンをリストします。
既定値:
"all -SSLv2 -SSLv3"
ただし、次の設定の使用を推奨します。
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
詳細については、tsm security external-ssl enableを参照してください。一般的な情報については、Apach のオンライン ドキュメントを参照してください。
cipherSuite
SSL に許可または禁止する暗号鍵をリストします。
既定値:
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
暗号リストの書式設定については、「OpenSSL」の「ciphers」(新しいウィンドウでリンクが開く)ページを参照してください。このオプションを変更する場合は注意が必要です。既定値では、適切にセキュリティ保護されていないと見なされた暗号は許可されません。
proxyLogin
既定値: false。Tableau Server がサインインだけで SSL にプロキシを使用することを示します。サーバーがサインイン API のために Tableau Desktop にレポートするプロトコルを制御します。
forceHTTPForPublicEmbed
既定値は false です。埋め込みビューのコードに SSL の使用を強制します。