このトピックでは、シングルサインオン (SSO) に OpenID Connect を使用するよう Tableau Server を構成する方法を説明します。これは、複数のステップにわたるプロセスの 1 ステップです。次のトピックは、Tableau Server での OpenID Connect の構成および使用についての詳細を提供します。

注: ここに説明している手順を実行する前に、OpenID Connect 用にアイデンティティ プロバイダーを構成する の説明に従って、OpenID アイデンティティ プロバイダー (IdP) を構成する必要があります。

  1. ブラウザーで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、Tableau Services Manager の Web UI へのサインインを参照してください。

  2. [構成] タブで [ユーザー アイデンティティとアクセス] をクリックし、次に [認証方法] をクリックします。

  3. [認証方法] で、ドロップダウン メニューから [OpenID Connect] を選択します。

  4. OpenID Connect で、[サーバーの OpenID 認証を有効化] を選択します。

  5. 自分の組織の OpenID 構成情報を次のように入力します。

    OpenID の構成のスクリーンショット

    : プロバイダーが、パブリック URL でホストされたファイルではなくローカル コンピューター上でホストされた構成ファイルに依存している場合は、tsm authentication open-id <commands> でファイルを指定できます。--metadata-file <file_path> オプションを使用して、ローカル IdP 構成ファイルを指定します。

  6. 構成情報を入力したら、[保留中の変更を保存] をクリックします。

  7. ページ上部の [変更を保留中] をクリックします。

  8. [変更を適用して再起動] をクリックします。

このセクションでは、TSM コマンド ライン インターフェースを使用して OpenID Connect を構成する手順を説明します。OpenID Connect の初期構成には、構成ファイルを使用することもできます。openIDSettings エンティティを参照してください。

  1. tsm authentication open-id <commands>configure コマンドを使用して以下の必要オプションを設定してください。

    --client-id <id>: IdP がアプリケーションに割り当てているプロバイダー クライアント ID を指定します。たとえば、“laakjwdlnaoiloadjkwha"

    --client-secret <secret>: プロバイダー クライアント シークレットを指定します。これは、Tableau が IdP からの応答の真偽を検証するために使用するトークンです。この値は秘密で、保護しておく必要があります。たとえば、“fwahfkjaw72123="

    --config-url <url> または --metadata-file <file_path>: プロバイダー構成 json ファイルの場所を指定します。プロバイダーがパブリック json 検出ファイルをホストしている場合、--config-url を使用してください。それ以外の場合、代わりにローカルコンピューター上のパスと --metadata-file のファイル名を指定してください。

    --return-url <url>: サーバーの URL です。一般的には、サーバーのパブリック名 ("http://example.tableau.com" など) になります。

    たとえば、このコマンドを実行します。

    tsm authentication openid configure --client-id “laakjwdlnaoiloadjkwha" --client-secret “fwahfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    openIDSettings エンティティ または tsm authentication open-id <commands> を使用して Open ID Connect に設定できるその他のオプション構成もあります。さらに、IdP クレーム マッピングを構成する必要がある場合は、openid map-claims のオプションを参照してください。

  2. 次のコマンドを入力して Open ID Connect を有効にします。

    tsm authentication openid enable

  3. tsm pending-changes apply を実行して変更を適用します。

    保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

フォワード プロキシで動作するように OpenID を構成する

既定では、Tableau Server はプロキシ設定を無視し、すべての OpenID リクエストを直接 IdP に送信します。

Tableau Server 2021.2.2 以降では、Tableau がフォワード プロキシを使用してインターネットに接続するように構成されている場合は、プロキシ ホストとポート設定を使用して OpenID IdP に接続するように Tableau Server を構成できます。

Tableau Server の構成方法は、組織でフォワード プロキシを実装した方法によって異なります。

  • フォワード プロキシは、Tableau Server が実行されている Windows コンピューターで構成されます。
  • Tableau Server は、組織内で実行しているフォワード プロキシ サーバーにすべてのアウトバウンド トラフィックを直接送信します。

Windows システム プロキシ を構成する

組織の各 Windows コンピューターにフォワード プロキシが構成されている場合は、この方法を使用して Tableau Server で OpenID システム プロキシ構成を使用します。次のコマンドを実行します。

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

フォワード プロキシ サーバー

このコマンド tsm configuration set を使用して、変更を加えます。

  • HTTPS プロキシ ホストには、次のキーと値のペアを使用します。

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    たとえば、プロキシ サーバーが https://proxy.example.lan:8443 にある場合は、次のコマンドを実行します。

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • HTTP プロキシ ホストには、次のキーと値のペアを使用します。

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    これらのキーを設定したら、tsm pending-changes apply を実行します。

ありがとうございます!