サイト固有の SAML の構成
マルチサイト環境でサイト固有の SAML はシングルサインオンの有効化を望み、同時に複数の SAML アイデンティティ プロバイダー (IdP) または IdP アプリケーションを使用している場合に使用します。サイト SAML を有効化すると、各サイトの IdP または IdP アプリケーションを指定したり、一部のサイトで SAML を使用し、他のサイトでは既定のサーバー全体の認証方法を使用するように構成できます。
全サーバーユーザーに SAML を使用して同じ IdP アプリケーションを通してサインインしてほしい場合は、サーバー全体の SAML の構成を参照してください。
サイトレベルで SAML のシングルサインオンを有効化する前に、以下の要件を満たしてください。
Tableau Server アイデンティティ ストアがローカル アイデンティティ ストア用に構成されている必要があります。
Tableau Server が Active Directory や OpenLDAP などの外部アイデンティティ ストアを使用して構成されている場合、サイト固有 SAML を構成することはできません。
お使いの環境と IdP が一般的なSAML 要件を満たしていることを確認してください。
以下の一部の機能 (但し、これらに限定されるものではありません) は、サーバー全体の SAML 展開でのみサポートされています。
- パスワードで保護されたキー ファイルは、サイト固有の SAML 展開ではサポートされていません。
サイト固有の SAML を構成する前に、サーバー全体の SAML を構成する必要があります。サーバー全体の SAML を有効にする必要はありませんが、サイト固有の SAML にはサーバー全体の構成が必要です。サーバー全体の SAML の構成を参照してください。
SAML 証明書ファイルの格納場所をメモしておいてください。サーバーにおけるサイト固有 SAML のサポートの構成場合にこの情報を提供することになります。
詳細情報については、サーバー全体の SAML を構成するトピックの「メタデータと証明書ファイルを配置する」を参照してください。
Tableau Server をサービス プロバイダーとして IdP に追加する。この情報は IdP プロバイダーのドキュメントに掲載されています。
サイト SAML IdP をホストしている PC と Tableau Server をホストしている PC とのシステム クロックが 59 秒以内であることを確認します。Tableau Serer には、Tableau Server PC と IdP 間の応答スキュー (時間差) を調整するための構成オプションはありません。
リターン URL およびエンティティ ID: サイト固有 SAML を構成している設定では、Tableau はこれらの設定に基づいてサイト固有のリターン URL とエンティティ ID を提供します。サイト固有のリターン URL とエンティティ ID は変更できません。これらの構成は、サーバー全体の SAML の構成に記載されているように、TSM によって設定されます。
認証期間および応答スキュー: サーバー全体の設定、最大認証期間、および応答スキューは、サイト固有の SAML には適用されません。以下の構成はハードコードされています。
- 最大認証期間とは、IdP から発行された認証トークンが有効である期間を指します。サイト固有の SAML のハードコードされた最大認証期間は 24 日間です。
- 応答スキューは、Tableau Server の時刻と、まだメッセージを処理できるアサーション作成 (IdP サーバーの時刻に基づく) 時刻の最大秒数の差です。この場合のハードコードされたサイト固有の値は 59 秒です。
ユーザー名: 必須。サーバー全体の SAML 構成属性に加えて、サイト固有の SAML 構成属性を "username" に設定する必要があります。
注:サイト固有の SAML にサーバー全体の SAML の既定を使用して正常に動作させるには、wgserver.saml.idpattribute.username 構成キーを使用してサーバー全体の SAML に "username" という名前のユーザー名属性を設定する必要があります。サーバー全体の SAML に使用される IdP は、"username" という名前の属性でユーザー名を提供する必要があります。
HTTP POST と HTTP REDIRECT: サイト固有の SAML の場合、Tableau Server は HTTP-POST、HTTP-REDIRECT、および HTTP-POST-SimpleSign をサポートします。
上記の前提条件を満たした後、以下のコマンドを実行してサーバーがサイト固有 SAML をサポートするように構成できます。
サーバー全体の SAML の構成。少なくとも次の TSM コマンドを実行する必要があります (既にサーバー全体の SAML が構成済みである場合は、ステップ 2 に進みます)。
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- サイトの SAML を有効にします。次のコマンドを実行します。
tsm authentication sitesaml enable
tsm pending-changes apply
コマンドについて
sitesaml enable
コマンドは、Tableau Server Web UI の各サイトの [設定] ページで [認証] タブを表示します。サイトの SAML をサポートするようにサーバーを構成したら、サイトの SAML の構成に進み、[認証] タブの設定作業ができます。
保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
pending-changes apply
の実行時に実行されるコマンドと設定を確認する場合は、まず以下のコマンドを実行します。
tsm pending-changes list --config-only
このセクションでは、Tableau Server 設定ページの [認証] タブで表示されている設定手順について説明します。
注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。