サイト固有の SAML の構成

マルチサイト環境でサイト固有の SAML はシングルサインオンの有効化を望み、同時に複数の SAML アイデンティティ プロバイダー (IdP) または IdP アプリケーションを使用している場合に使用します。サイト SAML を有効化すると、各サイトの IdP または IdP アプリケーションを指定したり、一部のサイトで SAML を使用し、他のサイトでは既定のサーバー全体の認証方法を使用するように構成できます。

全サーバーユーザーに SAML を使用して同じ IdP アプリケーションを通してサインインしてほしい場合は、サーバー全体の SAML の構成を参照してください。

サイト固有 SAML 有効化の前提条件

サイトレベルで SAML のシングルサインオンを有効化する前に、以下の要件を満たしてください。

  • Tableau Server アイデンティティ ストアがローカル アイデンティティ ストア用に構成されている必要があります。

     Tableau Server が Active Directory や OpenLDAP などの外部アイデンティティ ストアを使用して構成されている場合、サイト固有 SAML を構成することはできません。

  • お使いの環境と IdP が一般的なSAML 要件を満たしていることを確認してください。

    以下の一部の機能 (但し、これらに限定されるものではありません) は、サーバー全体の SAML 展開でのみサポートされています。

    • パスワードで保護されたキー ファイルは、サイト固有の SAML 展開ではサポートされていません。
  • サイト固有の SAML を構成する前に、サーバー全体の SAML を構成する必要があります。サーバー全体の SAML を有効にする必要はありませんが、サイト固有の SAML にはサーバー全体の構成が必要です。サーバー全体の SAML の構成を参照してください。

  • SAML 証明書ファイルの格納場所をメモしておいてください。サーバーにおけるサイト固有 SAML のサポートの構成場合にこの情報を提供することになります。

    詳細情報については、サーバー全体の SAML を構成するトピックの「メタデータと証明書ファイルを配置する」を参照してください。

  • Tableau Server をサービス プロバイダーとして IdP に追加する。この情報は IdP プロバイダーのドキュメントに掲載されています。

  • サイト SAML IdP をホストしている PC と Tableau Server をホストしている PC とのシステム クロックが 59 秒以内であることを確認します。Tableau Serer には、Tableau Server PC と IdP 間の応答スキュー (時間差) を調整するための構成オプションはありません。

サイト固有の SAML に関連するサーバー全体の設定

リターン URL およびエンティティ ID: サイト固有 SAML を構成している設定では、Tableau はこれらの設定に基づいてサイト固有のリターン URL とエンティティ ID を提供します。サイト固有のリターン URL とエンティティ ID は変更できません。これらの構成は、サーバー全体の SAML の構成に記載されているように、TSM によって設定されます。

認証期間および応答スキュー: サーバー全体の設定、最大認証期間、および応答スキューは、サイト固有の SAML には適用されません。以下の構成はハードコードされています。

  • 最大認証期間とは、IdP から発行された認証トークンが有効である期間を指します。サイト固有の SAML のハードコードされた最大認証期間は 24 日間です。
  • 応答スキューは、Tableau Server の時刻と、まだメッセージを処理できるアサーション作成 (IdP サーバーの時刻に基づく) 時刻の最大秒数の差です。この場合のハードコードされたサイト固有の値は 59 秒です。

ユーザー名: 必須。サーバー全体の SAML 構成属性に加えて、サイト固有の SAML 構成属性を "username" に設定する必要があります。

注:サイト固有の SAML にサーバー全体の SAML の既定を使用して正常に動作させるには、wgserver.saml.idpattribute.username 構成キーを使用してサーバー全体の SAML に "username" という名前のユーザー名属性を設定する必要があります。サーバー全体の SAML に使用される IdP は、"username" という名前の属性でユーザー名を提供する必要があります。

HTTP POST と HTTP REDIRECT: サイト固有の SAML の場合、Tableau Server は HTTP-POST、HTTP-REDIRECT、および HTTP-POST-SimpleSign をサポートします。

サーバーにおけるサイト固有 SAML のサポートの構成

上記の前提条件を満たした後、以下のコマンドを実行してサーバーがサイト固有 SAML をサポートするように構成できます。

  1. サーバー全体の SAML の構成。少なくとも次の TSM コマンドを実行する必要があります (既にサーバー全体の SAML が構成済みである場合は、ステップ 2 に進みます)。

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. サイトの SAML を有効にします。次のコマンドを実行します。

    tsm authentication sitesaml enable

    tsm pending-changes apply

コマンドについて

sitesaml enable コマンドは、Tableau Server Web UI の各サイトの [設定] ページで [認証] タブを表示します。サイトの SAML をサポートするようにサーバーを構成したら、サイトの SAML の構成に進み、[認証] タブの設定作業ができます。

保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

pending-changes apply の実行時に実行されるコマンドと設定を確認する場合は、まず以下のコマンドを実行します。

tsm pending-changes list --config-only

サイトの SAML の構成

このセクションでは、Tableau Server 設定ページの [認証] タブで表示されている設定手順について説明します。セルフホステッド Tableau Server インストールでは、このページは、サイト固有の SAML のサポートがサーバー レベルで有効になっている場合にのみ表示されます。

注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。

ステップ 1: Tableau からメタデータをエクスポート

Tableau Server と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Server からメタデータを取得するには、次の方法のいずれかを選択します。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。

  • [メタデータのエクスポート] ボタンを選択し、Tableau Server SAML エンティティ ID、アサーション カスタマー サービス (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。

    エンティティ ID はサイト固有であり、サーバー上でサイト SAML を有効化したときに指定したサーバー全体のエンティティ ID に基づいています。例えば、https://tableau_server を指定した場合、サイトのエンティティ ID が以下のように表示される可能性があります。

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Tableau が生成するサイト固有のエンティティ ID または ACS URL を変更することはできません。

  • IdP が異なる方法で必要情報を求めている場合、[証明書のダウンロード] を選択します。たとえば、Tableau Server エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。

    次の図は、これらの設定が Tableau Cloud と Tableau Server で同じであることを表示するため編集しています。

ステップ 2 と ステップ3: 外部ステップ

ステップ 2 では、ステップ 1 でエクスポートしたメタデータをインポートするために、IdP アカウントにサインインし、IdP のドキュメンテーションが提供している手順を使って Tableau Server メタデータを提出します。

ステップ 3 では、IdP の文書はメタデータをサービス プロバイダーに対して提供する方法も示しています。メタデータ ファイルをダウンロードするように指示するか、XML コードが表示されます。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。

ステップ 4: Tableau サイトへの IdP メタデータのインポート

Tableau Server認証ページで、IdP からダウンロードしたか、それが提供する XML から手動で構成したメタデータファイルをインポートします。

注: 構成を編集する場合は、Tableau が正しい IdP エンティティ ID と SSO サービス URL を使用できるようにメタデータ ファイルをアップロードする必要があります。

ステップ 5: 属性の照合

属性は、認証、認可、およびユーザーに関する他の情報を含みます。[アイデンティティ プロバイダー (IdP) アサーション名] 列内で、Tableau Server が必要とする情報を含む属性を入力します。

  • ユーザー名またはメール: (必須) ユーザー名またはメールアドレスを格納する属性の名称を入力します。

  • 表示名: (オプション) IdP の中には、名と姓に別の属性を使用しているものや、フル ネームを 1 つの属性に保存するものがあります。ローカル認証で SAML を使用している場合、表示名の属性は SAML IdP と同期されません。

    IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。

    Tableau Server のサイト SAML を構成するためのステップ 5 のスクリーンショット - 一致する属性

ステップ 6: ユーザーの管理

既存の Tableau Server ユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。

ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。

詳細については、サイトへのユーザーの追加ユーザーのインポートおよびユーザーの認証タイプを SAML 用に設定するを参照してください。

重要: サイト固有の SAML を使用して認証するユーザーは、1 つのサイトにのみ所属できます。ユーザーが複数のサイトにアクセスする必要がある場合、認証タイプをサーバーの既定に設定します。サーバー管理者によってサイト固有の SAML がどのように構成されたかによって、サーバーの既定はローカル認証またはサーバー全体の SAML のいずれかになります。

ステップ 7: トラブルシューティング

[認証] ページで提案されているトラブルシューティングの手順を開始します。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!