tsm 認証

Tableau Server on Windows に Tableau サービス マネージャー (TSM) が加わりました。これは構成ユーティリティと tabadmin コマンド ライン ツールの代わりになります。以前のバージョンの Tableau Server についてヘルプが必要な場合は、Tableau ヘルプ ページを参照してください。

tsm authenticationコマンドを使用して Tableau Server のユーザー認証オプションを有効、無効、および設定します。

tsm authentication kerberos <commands>

Tableau Server で Kerberos ユーザー認証を有効、無効、および設定します。Kerberos の構成を参照してください。

シノプシス

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure のオプション

-kt, --keytab-file <keytab_file.keytab>

必須。

KDC へのリクエストに使用されるサービスの .keytab ファイルを指定します。

tsm authentication list

サーバーの認証に関連する既存の構成設定をリストします。

シノプシス

tsm authentication list [--verbose][global options]

オプション

v, --verbose

オプション。

すべての構成済みパラメータを表示します。

tsm authentication mutual-ssl <commands>

Tableau Server でユーザー認証の相互 SSL を有効、無効、および設定します。相互 SSL の詳細については、相互 SSL 認証の構成を参照してください。

相互 SSL を有効にする前に、外部通信の SSL を有効および設定しておく必要があります。詳細については、Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成するを参照してください。

シノプシス

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

オプション

-cf, --ca-cert <certificate-file.crt>

オプション。

証明書ファイルの場所およびファイル名を指定します。ファイルは認証局からの有効な信頼できる証明書である必要があります (Verisign など)。

-fb, --fallback-to-basic <true | false>

オプション。

SSL 認証に失敗する場合、Tableau Server で認証用にユーザー名およびパスワードを受け入れる必要があるかどうかを指定します。

既定値は false です。これは、相互 SSL を設定する際に SSL 認証に失敗すると Tableau Server で接続が許可されないことを示します。ただし、このオプションが false に設定されている場合でも、Tableau Server は REST API クライアントからのユーザー名とパスワード認証を受け付けます。

-m, --user-name-mapping <upn | ldap | cn>

オプション。

ユーザー名構文 (UPN、LDAP、CN) を指定してアイデンティティ ストアまたはディレクトリから取得します。構文は、ユーザー証明書のサブジェクトまたはサブジェクトの別名と形式が一致する必要があります。

-rf, --revocation-file <revoke-file.pem>

オプション。

証明書失効リスト ファイルの場所とファイル名を指定します。このファイルは .pem または .der ファイルに設定できます。

tsm authentication open-id <commands>

Tableau Server で OpenID Connect (OIDC) ユーザー認証を有効、無効、および設定します。

シノプシス

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure のオプション

-a, --client-authentication <string>

オプション。

OpenID Connect のカスタム クライアント認証手法を指定します。

Salesforce IdP を使用するように Tableau Server を設定するには、この値を client_secret_post に設定します。

-cs, --client-secret <string>

オプション。

プロバイダー クライアント シークレットを指定します。これは、Tableau が IdP からの応答の真偽を検証するために使用するトークンです。この値は秘密で、保護しておく必要があります。

-cu, --config-url <CONFIG-URL>

オプション。

プロバイダー構成 URL を指定します。デフォルト値はサーバー名(gateway.public.host)、およびゲートウェイ ポート (gateway.public.port) に基づき構築されます。さらに、SSL がサーバーで有効にされている場合、プロトコルは既定で https:// に設定されます。

-mf, --config-file <config-file.json>

オプション。

静的な OIDC ディスカバリ JSON ドキュメントへのローカル パスを指定します。

-i, --client-id <CLIENT-ID>

オプション。

IdP がアプリケーションに割り当てているプロバイダー クライアント ID を指定します。

-id, --ignore-domain <true | false>

オプション。既定:false

以下に当てはまる場合は、これを true に設定します。

  • Tableau Server で電子メール アドレスをユーザー名として使用している

  • IdP のユーザーを複数のドメイン名を使用してプロビジョニングしました

  • IdP からの email 要求のドメイン名部分を無視する場合があります

先に進む前に、このオプションを true に設定した結果として使用されるユーザー名を見直します。ユーザー名の競合が発生する場合があります。ユーザー名が競合したとき、情報開示のリスクは高くなります。OpenID Connect の使用要件を参照してください。

-if, --iframed-idp-enabled <true | false>

オプション。既定:false

IdP が iFrame 内部で許可されるように指定します。iFrame での表示を許可する場合は、IdP でクリックジャック保護を無効にする必要があります。

-ij, --ignore-jwk <true | false>

オプション。既定:false

お使いの IdP が JWK 検証をサポートしていない場合は、これを true に設定します。この場合、相互 TLS または別のネットワーク レイヤー セキュリティ プロトコルを使用して IdP との通信を認証することをお勧めします。

-r, --return-url <return-url>

サーバーの URL です。一般的には、サーバーのパブリック名 ("http://example.tableau.com" など) になります。

-sn, --custom-scope-name <string>

オプション。

IdP のクエリに使用できるカスタム範囲のユーザー関連値を指定します。OpenID Connect の使用要件を参照してください。

openid map-claims のオプション

このオプションは、IdP との通信時に Tableau Server で使用する既定の OIDC クレームを変更するときに使用します。OpenID Connect の使用要件を参照してください。

-i, --id <string>

オプション。既定: sub

お使いの IdP が ID トークンのユーザーを一意に識別するときに sub クレームを使用しない場合は、この値を変更します。指定する IdP クレームには、単一かつ一意の文字列を含める必要があります。

-un, --user-name <string>

オプション。既定: email

この値を、組織が Tableau Server に保存されているユーザー名の照合に使用する IdP クレームに変更します。

tsm authentication saml <commands>

Tableau Server を構成して、SAML 2.0 標準を使用したシングルサインオンのサポート、サイトの SAML の有効化/無効化、および Tableau Server とアイデンティティ プロバイダー (IdP) の間のアサーション属性名のマップを実行します。

利用可能なコマンド

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

サーバーの SAML 設定を構成します。SAML 証明書およびメタデータ ファイルを指定して、追加の必要情報を提供し、追加のオプションを設定します。

SAML を初めて構成する場合、または無効にしたことがある場合は、このコマンドを tsm authentication saml enable と一緒に実行する必要があります。詳細については、サーバー全体の SAML の構成を参照してください。

シノプシス

tsm authentication saml configure [options] [global options]

オプション

-e, --idp-entity-id <id>

初回 SAML 構成では必須。その他の場合オプション。IdP エンティティ ID 値です。

通常これは Tableau Server のリターン URL (--idp-return-url パラメーターで指定される) と同じです。入力するエンティティ ID は、サイト固有のエンティティ ID を生成するためのベースに使用されます。たとえば、次のように入力した場合です。

http://tableau-server

SAML のために構成されたサイトは以下のエンティティ ID を表示する場合があります。

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

サイトのエンティティ ID を検索するには、サイトの [設定] ページに移動し、[認証] タブを選択します。SAML が有効な場合は、サイト固有の SAML を構成し、メタデータをエクスポートするための最初のステップで、エンティティ ID が表示されます。

-r, --idp-return-url <idp-return-url>

初回 SAML 構成では必須。その他の場合オプション。IdP で設定されている SAML リターン URL です。これは通常、https://tableau-server などの Tableau Server の外部 URL です。

  • http://localhost は外部サーバーでは使用できません。

  • URL 末尾へのスラッシュ追加 (https://tableau-server/) はサポートされていません。

-i, --idp-metadata <idp-metadata.xml>

初回 SAML 構成では必須。その他の場合オプション。IdP の設定からエクスポートした XML メタデータ ファイルの場所と名称を提供します。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>

-cf, --cert-file <certificate.crt>

初回 SAML 構成では必須。その他の場合オプション。SAML 用の x509 証明書ファイルの場所およびファイル名。証明書ファイルの要件については、SAML 要件を参照してください。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>

-kf, --key-file <certificate.key>

初回 SAML 構成では必須。その他の場合オプション。証明書とセットになっているキー ファイルの場所と名称。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>

-a, --max-auth-age <max-auth-age>

オプション。既定値は 7200 (2 時間) です。

ユーザーの認証と AuthNResponse メッセージのプロセス間で許可される最大秒数。

-d, --desktop-access <enable | disable>

オプション。既定値は enable です。

SAML を使用して Tableau Desktop からサーバーにサインインします。Tableau クライアント アプリケーションからのシングル サインオンが IdP と連携しない場合、これを disable に設定することができます。

-m, --mobile-access <enable | disable>

オプション。既定値は enable です。

Tableau Mobile アプリの古いバージョンからのサインインに SAML の使用を許可します。Tableau Mobile アプリのバージョン 19.225.1731 以上を実行しているデバイスでは、このオプションが無視されます。Tableau Mobile アプリのバージョン 19.225.1731 以上を実行しているデバイスを無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にします。

-so, --signout <enable | disable>

オプション。既定で有効に設定されています。

Tableau Server での SAML のサインアウトを有効または無効にします。

-su, --signout-url <url>

オプション。ユーザーがサーバーからサインアウトした後のリダイレクト先 URL を入力します。既定では Tableau Server のサインイン ページです。絶対 URL または相対 URL を指定できます。

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata.xml>" --idp-return-url https://tableau-server --cert-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>" --key-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

tsm authentication saml enable および saml disable

サーバー全体の SAML 認証を有効または無効にします。このコンテキストでは、SAML に対して有効にする全サイトおよびユーザーは単一のアイデンティティ プロバイダーを通ることになります。

シノプシス

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

SAML IdP の構成に使用する Tableau Server の .xml メタデータ ファイルをエクスポートします。

シノプシス

tsm authentication saml export-metadata [options] [global options]

オプション

-f, --file [/path/to/file.xml]

オプション。

メタデータが書き込まれる場所とファイル名を指定します。このオプションが含まれていない場合は、export-metadata でファイルを現在のディレクトリに保存します。ファイル名は samlmetadata.xml となります。

-o、--overwrite

オプション。

-f で指定された同じ名前の既存のファイルが上書きされます。-f が含まれていない場合は、既定の名前の既存のファイルが上書きされます。-f で指定されたファイルがあるが -o が含まれていない場合、コマンドは既存のファイルを上書きしません。

tsm authentication saml map-assertions

IdP と Tableau Server 間の属性をマップします。IdP で各引数に指定された属性に使用する名前を指定します。

シノプシス

tsm authentication saml map-assertions --user-name <user-name> [global options]

オプション

-r, --user-name <user-name-attribute>

オプション。IdP がユーザー名を保存する属性。Tableau Server ではこれが表示名となります。

-e, --email <email-name-attribute>

オプション。IdP がメール アドレスを保存する属性の名前。

-o, --domain <domain-name-attribute>

オプション。IdP がドメイン名を保存する属性。

-d --display-name <display-name-attribute>

オプション。IdP がドメイン名を保存する属性。

saml map-assertions の例

tsm authentication saml map-assertions --email=Email --user-name=DisplayName

tsm authentication sitesaml enable および sitesaml disable

SAML 認証を許可または禁止するようサイト レベルでサーバーを設定します。サイト固有の SAML を有効にすることで、Tableau Server Web UI の [設定][認証] タブにアクセスできるようになります。[認証] タブには、サイト固有の SAML の構成設定が含まれます。

まだサイト固有 SAML を許可するようにサーバーを構成していない場合は、saml configure と共に sitesaml enable コマンドを使用します。詳細については、「サイト固有の SAML の構成」を参照してください。

シノプシス

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication sspi <commands>

このコマンドは Tableau Server on Windows でのみ機能します。Tableau Server on Linux で SSPI を有効にしようとすると、エラーが返されます。

Microsoft SSPI を使用して自動サインインを有効または無効にします。

認証に Active Directory を使用する場合、必要に応じて自動ログオンを有効にすることができます。自動ログオンを有効にすると、ユーザーは Microsoft SSPI を使用して Windows ユーザー名とパスワードに基づき自動的にサインインされます。これにより、シングル サインオン (SSO) のような操作が実現します。Tableau Server で SAML、信頼できる認証、またはプロキシ サーバー を設定する予定がある場合は、SSPI を有効にしないでください。

シノプシス

tsm authentication sspi disable [global options]

tsm authentication sspi enable [global options]

tsm authentication trusted <commands>

Tableau Server でのユーザー認証用に信頼できる認証 (信頼できるチケット) を設定します。

シノプシス

tsm authentication trusted configure [options] [global options]

オプション

-th, --hosts <string>

オプション。

Tableau コンテンツでページをホストする Web サーバーの信頼できるホスト名 (または IPv4 アドレス) を指定します。

値が複数ある場合は、コンマ区切りリスト形式で名前を入力し、各値を二重引用符で囲みます。

例:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

または

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

オプション。

信頼できるチケットごとの文字数を決定します。既定設定の 24 文字は、ランダム性のある 144 ビットで提供されます。値は、9 から 255 (包含) の間の任意の整数に設定できます。

グローバル オプション

-h, --help

オプション。

コマンドのヘルプを表示します。

-p, --password <password>

アクティブなセッションがない場合は、必要に応じて -u または --username と一緒に使用します。

-u または --username で指定されたユーザーのパスワードを指定します。

パスワードにスペースや特殊文字が含まれる場合、パスワードを引用符で囲みます。

--password "my password"

-s, --server <url_to_tsm>

オプション。

Tableau Services Manager で指定したアドレスを使用します。URL は https で始まる必要があります。また、ポート 8850 を含め、IP アドレスではなくサーバー名を使用します (例: https://mytableauhost:8850)。サーバーが指定されていない場合は、仮に https://<localhost | dnsname>:8850 とします。

--trust-admin-controller-cert

オプション。

このフラグは、TSM コントローラで自己署名証明書を信頼するために使用します。証明書の信頼および CLI 接続の詳細については、TSM クライアントの接続を参照してください。

-u, --username <user>

アクティブなセッションがない場合は、必要に応じて -p または --password と一緒に使用します。

ユーザー アカウントを指定します。このオプションが含まれていない場合は、コマンドがサインインに使用した認証資格情報を使用して実行されています。

ご意見をお寄せくださりありがとうございます。 ご意見の送信中にエラーが発生しました。もう一度実行するか、当社にメッセージを送信してください。