OpenID Connect のトラブルシューティング

Tableau Server.での OpenID Connect (OIDC) の問題をトラブルシューティングするには、次のトピックを使用します。

OIDC プロトコルは多くの ID プロバイダーがサポートしています。OIDC プロトコルはオープンかつ柔軟な規格であるため、すべての環境で同じように実装されるわけではありません。OIDC に対応するように Tableau Server を構成するときに管理者が直面する問題の多くは、ID プロバイダーによって OIDC の実装方法が異なることが原因で発生しています。Tableau Server で OIDC をセットアップする際にエラーが発生した場合は、IdP と連携して問題を解決することをお勧めします。

拡張 OpenID ロギングの有効化

Tableau Server の OpenID Connect の問題を効率的にトラブルシューティングするには、ログ レベルをデバッグに設定して拡張ログを有効にし、TSM コマンドで vizportal.openid.full_server_request_logging_enabled 構成キーを true に設定して OpenID の完全なログを有効にします。

tsm configuration set -k vizportal.log.level -v debug

tsm configuration set -k vizportal.openid.full_server_request_logging_enabled -v true

tsm pending-changes apply

トラブルシューティングが完了したら、両方の構成キーをデフォルトの値に戻して、ログに収集される情報を制限し、ログ ファイルのサイズを小さくすることをお勧めします。構成キーをデフォルトにリセットする方法の詳細については、構成キーを既定値にリセットするを参照してください。

注: ID プール(新しいウィンドウでリンクが開く)の拡張ログ機能はサポートされていません。ただし、vizportal.log.level debug ロギングはサポートされています。

コマンド ラインからのサインイン

Tableau Server が OIDC を使用するように構成されている場合でも、tabcmdTableau REST API(新しいウィンドウでリンクが開く)、または Tableau Data Extract コマンド ライン ユーティリティ(新しいウィンドウでリンクが開く) (Tableau Desktop で提供) を使用して Tableau Server にサインインすると、OIDC は使用されません。

ログインできませんでした

次のメッセージが表示されてログインに失敗する:

Login failure: Identity Provider authentication unsuccessful for user <username from IdP>. Failed to find the user in Tableau Cloud.

このエラーは通常、Tableau Server に保存されているユーザー名と IdP が提供したユーザー名が一致しないときに発生します。これを修正するには、これらのユーザー名が一致していることを確認してください。たとえば、Jane Smith のユーザー名が jsmith として IdP に保存されている場合は、Tableau Server でも jsmith として保存する必要があります。

エラー 69: "サインインできません"

Web ブラウザーで Tableau Server にサインインしようとすると、エラー 69 が返され、「サインインできません」というエラー メッセージが表示される場合があります。サインインに失敗しました。Tableau Server 管理者に問い合わせてください。"このメッセージは次の URL から返されます。https://example.com/#/error/signin/69?redirectPath=%2

このエラーが表示される場合は、IDP プロバイダーを確認し、IdP が client_secret_basic (Tableau の既定) ではなく client_secret_post を想定しているかどうかを検証します。

IdP が client_secret_post を想定している場合は、vizportal.openid.client_authentication パラメーターを client_secret_post に設定する必要があります。

たとえば、このエラーが表示され、Salesforce IdP に OIDC を既に構成している場合は、vizportal.openid.client_authentication パラメーターを設定する必要があります。

詳細については、tsm configuration set のオプションを参照してください。

OpenID エラー ログ

OpenID 認証は Tableau Server の外部で行われるため、認証に関する問題のトラブルシューティングが困難になる場合があります。ただし、サインインの試行は Tableau Server によって記録されます。ログ ファイルのスナップショットを作成して、問題のトラブルシューティングに使用できます。詳細については、Tableau Server ログとログ ファイルの場所を参照してください。

: OpenID 関連のイベントを記録するには、tsm configuration set のオプションを使用して、vizportal.log.leveldebug に設定する必要があります。

解凍されたログ ファイル スナップショットにある次のファイルで、OpenID エラーを確認します。

\vizportal\vizportal-<n>.log

ユーザーが見つかりません

ユーザーが初めてログインした後に "sub" クレームが変更された場合、「ユーザーが見つかりません」というエラーが返されることがあります。この問題の詳細は、vizportal のログで確認できます。内容は次のとおりです: Possible conflicting or stale account: <username> A different user already owns this account

この問題が引き続き発生する場合は、そのユーザーまたは Tableau Server の全ユーザーの "sub" クレームをリセットしてください。詳細については、「ユーザー識別子のリセット」を参照してください。