Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成する

すべての外部 HTTP トラフィックに対して SSL 暗号化通信を使用するように Tableau Server を構成できます。SSL を設定すると、Tableau Server へのアクセスのセキュリティを確保することができ、サーバーと Tableau クライアント (Tableau Desktop、REST API など) の間で渡される機密情報を確実に保護できます。このトピックでは、サーバーが SSL を使用するように構成する方法の手順が説明されています。まず、認証機関から証明書を入手し、この証明書ファイルを Tableau Server にインポートする必要があります。

相互 SSL 認証は Tableau Mobile ではサポートされていません。

SSL 証明書要件

Apache SSL 証明書を認証機関 (Verisign、Thawte、Comodo、GoDaddy など) から入手します。自社が発行する社内証明書も使用できます。SSL を同じドメイン内の多数のホスト名で使用できる、ワイルドカード証明書もサポートされています。

Tableau Server との双方向の外部通信を行うために SSL 証明書を入手する場合は、次のガイドラインおよび要件に従います。

  • 組織がローカル PKI で証明書を発行している場合、または信頼できる認証機関から発行されていない証明書を使用している場合は、信頼できる CA を識別する認証機関 (CA) 証明書ファイルが必要になります。

    CA 証明書ファイルは、拡張子 .crt が付いた有効な PEM 暗号化 x509 証明書である必要があります。信頼できる認証機関が複数ある場合は、各 CA の証明書の内容全体 ("BEGIN CERTIFICATE" および "END CERTIFICATE" の行を含む) を新しいファイルにコピーして貼り付けてから、CAs.crt としてファイルを保存できます。

  • SHA-2 (256 または 512 ビット) SSL 証明書を使用します。ほとんどのブラウザーでは SHA-1 証明書を提示するサーバーに接続できなくなっています。

  • 証明書ファイルに加えて、対応する SSL 証明書キー ファイルも取得する必要があります。証明書キー ファイルは、有効な RSA または DSA 秘密キー ファイル (規則により拡張子 .key を付加) である必要があります。

    キー ファイルをパスフレーズで保護することもできます。構成時に入力するパスフレーズが保存中に暗号化されます。ただし、SSL と SAML に同じ証明書を使用する場合は、パスフレーズで保護されていないキー ファイルを使用する必要があります。

  • Mac の Tableau Desktop には証明書チェーン ファイルが必要です。また、Tableau Server の証明書チェーンがモバイル デバイスの iOS または Android オペレーティング システムによって信頼されていない場合は、Tableau Mobile アプリのチェーン ファイルも必要です。チェーン ファイルは、サーバー証明書の証明書チェーンを構成するすべての証明書を連結したものです。ファイル内のすべての証明書に PEM 暗号化 x509 証明書を指定し、ファイルには .pem ではなく .crt 拡張子を付ける必要があります。

  • 複数のサブドメインがある場合、Tableau Server ではワイルドカード証明書もサポートされています。

  • Tableau Server では、サブジェクトの別名 (SAN) フィールドに複数のドメイン、IP アドレス、またはホスト名をリストする証明書がサポートされています。

注: Tableau Server で SAML を使用したシングル サインオンを構成することを計画している場合には、SAML 要件のSAML での SSL 証明書およびキー ファイルの使用を参照し、SSL と SAML の両方で同一の証明書ファイルを使用するか判断してください。

クラスタの SSL を構成

Tableau Server クラスタを構成して SSL を使用することができます。最初のノードがゲートウェイ プロセスを実行する唯一のノードである場合 (既定で実行)、そのノードでのみ SSL を設定する必要があります。手順については、このトピックを参照してください。

複数ゲートウェイのある SSL

可用性の高い Tableau Server クラスタには、ロード バランサーが転送した複数のゲートウェイを含めることができます (詳細について)。このタイプのクラスタで SSL を構成する場合、次の方法があります。

  • SSL 用のロード バランサーを構成する: クライアント Web ブラウザーからロード バランサーへのトラフィックが暗号化されます。ロード バランサーから Tableau Server ゲートウェイ プロセスへのトラフィックは暗号化されません。ユーザーが Tableau Server で SSL 構成を行う必要はありません。この設定はすべてロード バランサーが行います。

  • Tableau Server で SSL を設定する。クライアント Web ブラウザーからロード バランサーへのトラフィック、およびロード バランサーから Tableau Server ゲートウェイ プロセスへのトラフィックが暗号化されます。詳細については、次のセクションに進んでください。

Tableau Server クラスター環境の追加構成情報

ゲートウェイプロセスを実行するすべての Tableau Server ノードで SSL を使用したいときは、以下の手順を実行します。

  1. SSL パススルー用の外部ロード バランサーを構成します。

    443 番以外のポートを使用する場合は、クライアントから標準以外のポートを切り離すように外部ロード バランサーを構成できます。このシナリオでは、443 番ポートで Tableau Server に接続するようにロード バランサーを構成します。サポートについては、ロード バランサーに提供されている文書を参照してください。

  2. SSL 証明書がロード バランサーのホスト名に発行されていることを確認します。

  3. 初期 Tableau Server ノードの SSL を設定します。

構成プロセスの一部として、SSL 証明書とキー ファイルが各ノードに配布されます。

最初の Tableau Server ノードを含むクラスタと、最初、node2、node3 上で実行しているゲートウェイ プロセスを使用した 3 つの追加ノードがあるとします。この状況で、最初の Tableau Server で SSL を設定し、同じ SSL 証明書およびキー ファイルを node2 と node3 にコピーします。これらのファイルは、node2 と node3 でも最初のノードと同じ場所に配置します。

環境の準備

SSL という名前のフォルダー (Tableau Server 2019.3 フォルダーと同じ階層にあります) に証明書ファイルを保存します。例は次のとおりです。

C:\Program Files\Tableau\Tableau Server\SSL

この場所に保存することによって、Tableau Server を実行するアカウントに、ファイルに対する必要なパーミッションが与えられます。場合によっては、このフォルダを作成する必要があります。

Tableau Server での SSL の構成

最も精通している方法を使用します。

  1. ブラウザで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、Tableau Services Manager の Web UI へのサインインを参照してください。

  2. [構成] タブで [セキュリティ] > [外部 SSL] を選択します。

  3. [外部 Web サーバーの SSL][SSL でサーバー通信を有効にする} を選択します。

  4. 証明書ファイルおよびキー ファイルをアップロードし、お使いの環境に必要な場合には、チェーン ファイルをアップロードして次のパスフレーズ キーを入力します。

    Configure  SSL screenshot

    Tableau Server を分散環境で実行している場合は、これらのファイルがクラスタ内の適切なノードのそれぞれに自動的に配布されます。

  5. [保留中の変更を保存] をクリックします。

  6. ページ上部の [変更を保留中] をクリックします。

  7. [変更を適用して再起動] をクリックします。

証明書ファイルをローカル コンピューターにコピーし、以下のコマンドを実行します。

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

tsm security external-ssl enable でコマンド リファレンスを参照して、external-ssl enable の追加オプションを含めるかどうかを判断してください。Tableau は --protocols オプションを含めることをお勧めします。

external-ssl enable command は、.crt および .key ファイルから情報をインポートします。このコマンドを Tableau Server クラスター内の 1 つのノードで実行すると、他のゲートウェイ ノードにも情報が分配されます。

pending-changes apply コマンドは、Tableau Server が実行中の場合にはそれが再起動することを知らせるプロンプトを表示します。このプロンプトはサーバーが停止しても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。詳細については、tsm pending-changes applyを参照してください。

ポート リダイレクトとロギング

SSL 用にサーバーを構成すると、非 SSL ポート (既定のポートは 80) に対する要求は受け入れられ、SSL ポート 443 へ自動的にリダイレクトされます。

注: Tableau Server では、ポート 443 のみがセキュア ポートとしてサポートされています。別のアプリケーションがポート 443 を使用しているコンピュータ上で Tableau Server を実行することはできません。

SSL エラーは次の場所に記録されます。検証や暗号化に関する問題をトラブルシューティングするには、このログを使用してください。

\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log

ご意見をお寄せくださりありがとうございます。 ご意見の送信中にエラーが発生しました。もう一度実行するか、当社にメッセージを送信してください