相互 SSL 認証のトラブルシューティング
このトピックでは、発生する可能性がある相互 (2 方向) SSL 認証の問題やそれらの原因、ユーザーに表示されるメッセージ、および問題のための実行可能な緩和対策について説明します。
相互 SSL 認証や LDAP、UPN、および CN ユーザー マッピングの詳細については、次のトピックを参照してください。
有効なクライアント証明書が見つかりません。Tableau Server 管理者に問い合わせてください。
クライアントに証明書がありません。
クライアントにクライアント証明書がない場合、認証中にこのメッセージが表示されます。
We couldn't find a valid client certificate. Contact your Tableau Server administrator.
この問題を解決するために、ユーザーはシステム管理者に問い合わせてクライアント コンピューター用の証明書を生成する必要があります。
無効なユーザー名またはパスワード
クライアントが相互 SSL 認証をサポートしていません。
Tableau Desktop のバージョン 9.1 よりも古いバージョンでは、相互 SSL 認証をサポートしていません。Tableau Desktop の古いバージョンを使用して、相互 SSL 認証用に設定されている Tableau Server に接続する場合、次のイベントが発生する可能性があります。
Tableau Server でフォールバック認証を使用するように構成されている場合は、クライアントによりサインイン ダイアログ ボックスが表示され、ユーザーはユーザー名とパスワードを入力できます。
サーバーがフォールバック認証を使用するように構成されていない場合、ユーザーには次のメッセージが表示され、サーバーに接続することができません。
Invalid user name or password
フォールバック認証の詳細については、相互 SSL 認証の構成を参照してください。
クライアント証明書内にユーザー名が見つかりません。Tableau Server 管理者に問い合わせるか、Tableau Server アカウントを使用してサインインしてください。
クライアント証明書が Active Directory にパブリッシュされていません。
Tableau Server が認証で Active Directory を使用するように構成されている場合、およびユーザー マッピングが LDAP に設定されている場合、Tableau Server は認証用にクライアント証明書を Active Directory に送信します。ただし、クライアント証明書が Active Directory にパブリッシュされていない場合、認証に失敗し、次のメッセージが表示されます。
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator or sign in using your Tableau Server account.
この問題を解決するため、システム管理者はクライアント証明書が Active Directory にパブリッシュされていることを確認する必要があります。または、サーバーが別のユーザー マッピング (UPN または CN) を使用するよう設定し、システム管理者によってクライアント証明書に UPN または CN フィールドのユーザー名が含まれていることを確認する必要があります。
ユーザーにエラー メッセージのある予期しないサインイン ダイアログ ボックスが表示される
Tableau Server が相互 SSL 認証を使用するように構成されており、証明書をユーザーのコンピューターで使用できる場合、Tableau Server は証明書を使用してユーザーを認証するため、サインイン ダイアログ ボックスは表示されません。ただし、サーバーが証明書内のユーザー名を認識しない場合、サインイン ダイアログ ボックスがエラー メッセージと共に表示され、証明書が使用されなかった理由を示します。これは、次の条件がすべて当てはまる場合に発生する可能性があります。
フォールバック認証が有効である。
サーバーが UPN または CN マッピングを使用している場合、証明書の UPN または CN フィールドにあるユーザー名は認識されません。サーバーが LDAP マッピングを使用している場合、証明書は Active Directory のユーザーにマッピングされません。
この問題を解決するため、システム管理者はユーザー マッピングが Tableau Server 上で構成されている方法に応じて、次を実行する必要があります。
LDAP マッピング:証明書がユーザーにリンクされていること、証明書がユーザーのコンピューターで使用可能であること、ユーザーが Tableau Server ユーザーとして設定されていることを確認します。
UPN または CN マッピング:証明書がユーザーのコンピューターで使用可能であること、ユーザー名が証明書の UPN または CN フィールドにあること、ユーザー名が Tableau Server 上のユーザー名と一致すること (ドメインを含む) を確認します。
クライアント証明書内にユーザー名が見つかりません。Tableau Server 管理者に問い合わせてください。
証明書に有効な Tableau Server ユーザー名が含まれていません。
UPN や CN フィールドのユーザー名が欠落しているか無効である
Tableau Server が UPN や CN マッピングを使用するように構成されている場合、サーバーは証明書の UPN や CN フィールドからユーザー名を読み取り、Active Directory や Tableau Server のローカル リポジトリにあるユーザー名を検索します。(サーバーが読み取る特定のフィールドは、サーバーが UPN または CN のどちらのマッピングを使用して設定されるかに応じて異なります。)通常はユーザー名が含まれているフィールドに何も含まれていない場合、次のメッセージが表示されます。
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator.
クライアント証明書にユーザー名が含まれているにもかかわらず、Active Directory や Tableau Server がユーザー名を認識しない場合、次のメッセージが表示されます。
Certificate does not contain a valid Tableau Server user name.
これは、次の条件がすべて当てはまる場合に発生する可能性があります。
Tableau Server が UPN や CN マッピングを使用するように構成されている。
フォールバック認証が有効になっていない。
クライアント証明書に UPN や CN フィールドのユーザー名がないか、UPN や CN フィールドのユーザー名が Active Directory や Tableau Server のユーザー名と一致しない。
この問題を解決するため、システム管理者はユーザーの証明書に証明書の UPN や CN フィールドの適切なユーザー名があることを確認する必要があります。
ユーザーが予期しないユーザー名を使用してサインインしている (LDAP マッピング)
サーバーが Active Directory 認証および LDAP マッピングを使用するよう構成されている場合、証明書が Active Directory のユーザーにリンクされます。証明書に UPN や CN フィールドのユーザー名が含まれる場合、ユーザー名は無視されます。
UPN または CN フィールドのユーザー名を使用してサインインするという意図がある場合、サーバーが UPN または CN マッピングを使用するよう構成する必要があります。
ユーザーが不適切なユーザーとしてサインインしている (UPN または CN マッピング)
状況によっては、クライアント証明書の UPN または CN フィールドのユーザー名はあいまいになる可能性があります。その結果、ユーザーは不適切な ID にサインインします。
この問題が発生する可能性のある状況の詳細については、相互認証中にクライアント証明書をユーザーにマッピングするトピックの「マルチドメイン組織のあいまいなユーザー名への対応」を参照してください。