サイト固有の SAML の構成

マルチサイト環境でサイト固有の SAML はシングルサインオンの有効化を望み、同時に複数の SAML アイデンティティ プロバイダー (IdP) または IdP アプリケーションを使用している場合に使用します。サイト SAML を有効化すると、各サイトの IdP または IdP アプリケーションを指定したり、一部のサイトで SAML を使用し、他のサイトでは既定のサーバー全体の認証方法を使用するように構成できます。

全サーバーユーザーに SAML を使用して同じ IdP アプリケーションを通してサインインしてほしい場合は、サーバー全体の SAML の構成を参照してください。

サイト固有 SAML 有効化の前提条件

サイトレベルで SAML のシングルサインオンを有効化する前に、以下の要件を満たしてください。

  • デフォルトのサーバー全体の承認方式にサイト固有 SAML で使用できるものを構成する。この方式はサイトに所属しないユーザー、または複数サイトに所属するユーザーにも適用されます。

    サイト固有 SAML では、サーバー全体のローカル認証またはサーバー全体の SAML 認証を使用できます。SAML が有効になっているサイトでは Active Directory を使用できません。

  • お使いの環境と IdP が一般的なSAML 要件を満たしていることを確認する。

  • SAML 証明書ファイルの格納場所をメモしておく。サーバーにおけるサイト固有 SAML のサポートの構成場合にこの情報を提供することになります。

    詳細情報については、サーバー全体の SAML を構成するトピックの「メタデータと証明書ファイルを配置する」を参照してください。

  • Tableau Server をサービス プロバイダーとして IdP に追加する。この情報は IdP プロバイダーのドキュメントに掲載されています。

  • サイト SAML IdP をホストしている PC と Tableau Server をホストしている PC とのシステム クロックが 59 秒以内であることを確認します。

サイト固有の SAML に関連するサーバー全体の設定

サーバーの workgroup.yml ファイルにおいて、サイト固有の SAML で一部の方法で使用されるサーバー全体の設定には次が含まれます。

  • wgserver.saml.returnurl および wgserver.saml.entityid: サイト固有 SAML を構成している設定では、Tableau はこれらの設定に基づいてサイト固有のリターン URL とエンティティ ID を提供します。サイト固有のリターン URL とエンティティ ID は変更できません。

  • wgserver.saml.domainwgserver.saml.portwgserver.saml.protocol はサイト レベルで SAML 要求に使用されます。

サーバー全体の設定である wgserver.saml.maxauthenticationagewgserver.saml.responseskew は、サイト固有の SAML に適用されません。

サーバーにおけるサイト固有 SAML のサポートの構成

上記の前提条件を満たした後、以下のコマンドを実行してサーバーがサイト固有 SAML をサポートするように構成できます。

  1. サーバーの SAML を構成します。
    • 既にサーバーの SAML を構成している場合は、tsm authentication saml configure コマンドを実行しないでください。ステップ 2 に進みます。
    • サーバーの SAML をまだ構成していない場合は、次のコマンドを実行し、SAML 証明書の場所とファイル名を必要な他の属性と共に指定してください。詳細については、tsm authentication saml <commands>を参照してください。

      tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. サイトの SAML を有効にします。次のコマンドを実行します。

    tsm authentication sitesaml enable

    tsm pending-changes apply

コマンドについて

sitesaml enable コマンドは、Tableau Server Web UI の各サイトの [設定] ページで [認証] タブを表示します。サイトの SAML をサポートするようにサーバーを構成したら、サイトの SAML の構成に進み、[認証] タブの設定作業ができます。

pending-changes apply コマンドは、Tableau Server が実行中の場合にはそれが再起動することを知らせるプロンプトを表示します。このプロンプトはサーバーが停止しても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。詳細については、tsm pending-changes applyを参照してください。

pending-changes apply の実行時に実行されるコマンドと設定を確認する場合は、まず以下のコマンドを実行します。

tsm pending-changes list --config-only

サイトの SAML の構成

このセクションでは、Tableau Server Web UI の [認証] ページで表示される構成手順について説明しす。セルフホステッド Tableau Server インストールでは、このページは、サイト固有の SAML のサポートがサーバー レベルで有効になっている場合にのみ表示されます。Tableau Online では既定で有効に設定されています。

注: このプロセスを完了するには、IdP が提供するドキュメンテーションも必要です。SAML 接続用のサービス プロバイダーの構成や定義、またはアプリケーションの追加に関するトピックをご覧ください。

ステップ 1: Tableau からメタデータをエクスポート

Tableau Server と IdP との間に SAML 接続を作成するには、2 つのサービスとの間に必要なメタデータを交換する必要があります。Tableau Server からメタデータを取得するには、次の手順のいずれかを行います。正しいオプションを確認するには、IdP の SAML 構成ドキュメントを参照してください。

  • [メタデータのエクスポート] を選択して、Tableau ServerSAML エンティティ ID、Assertion Consumer Service (ACS) URL、および X.509 証明書を含む XML ファイルをダウンロードします。

    エンティティ ID はサイト固有であり、サーバー上でサイト SAML を有効化したときに指定したサーバー全体のエンティティ ID に基づいています。例えば、https://tableau_server を指定した場合、サイトのエンティティ ID が以下のように表示される可能性があります。

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Tableau が生成するサイト固有のエンティティ ID または ACS URL を変更することはできません。

  • IdP が異なる方法で必要情報を求めている場合、[サインインおよび暗号化の証明書のダウンロード] を選択します。たとえば、Tableau Server エンティティ ID、ACS URL、および X.509 証明書を別の場所で入力する場合です。

    次の図は、これらの設定が Tableau Online と Tableau Server で同じであることを表示するため編集しています。

ステップ 2 と 3: 外部ステップ

ステップ 2 では、ステップ 1 でエクスポートしたメタデータをインポートするために、IdP アカウントにサインインし、IdP のドキュメンテーションが提供している手順を使って Tableau Server メタデータを提出します。

ステップ 3 では、IdP の文書はメタデータをサービス プロバイダーに対して提供する方法も示しています。メタデータ ファイルをダウンロードするように指示するか、XML コードが表示されます。XML コードが表示される場合は、コードをコピーして新しいテキスト ファイルに貼り付け、ファイルに .xml 拡張子を付けて保存します。

ステップ 4: Tableau サイトへの IdP メタデータのインポート

Tableau Server認証ページで、IdP からダウンロードしたか、それが提供する XML から手動で構成したメタデータファイルをインポートします。

ステップ 5: 属性の照合

属性は、認証、認可、およびユーザーに関する他の情報を含みます。[アイデンティティ プロバイダー (IdP) アサーション名] 列内で、Tableau Server が必要とする情報を含む属性を入力します。

  • ユーザー名またはメール: (必須) ユーザー名またはメールアドレスを格納する属性の名称を入力します。

  • 表示名: (オプションであるが推奨) 名と姓に別の属性を使用している IdP もあれば、フル ネームを 1 つの属性に保存する IdP もあります。

    IdP が名前を保存する方法に対応するボタンを選択します。たとえば、IdP が名と姓を 1 つの属性で組み合わせている場合は、[表示名] を選択して、属性名を入力します。

    Screen shot of step 5 for configuring site SAML for Tableau Server -- matching attributes

ステップ 6: ユーザーの管理

既存の Tableau Server ユーザーを選択するか、シングル サインオンを承認する新しいユーザーを追加します。

ユーザーを追加またはインポートするとき、その認証タイプも指定します。[ユーザー] ページでは、追加後にいつでもユーザーの認証タイプを変更できます。

詳細については、サイトへのユーザーの追加ユーザーのインポートおよびユーザーの認証タイプを SAML 用に設定するを参照してください。

重要: サイト固有の SAML を使用して認証するユーザーは、1 つのサイトにのみ所属できます。ユーザーが複数のサイトにアクセスする必要がある場合、認証タイプをサーバーの既定に設定します。サーバー管理者によってサイト固有の SAML がどのように構成されたかによって、サーバーの既定はローカル認証またはサーバー全体の SAML のいずれかになります。

ステップ 7: トラブルシューティング

[認証] ページで提案されているトラブルシューティングの手順を開始します。それらの手順を実行しても問題が解決しない場合は、SAML のトラブルシューティングを参照してください。

埋め込みビュー用の既定の認証タイプ

サイトで SAML を有効化する一環として、ユーザーが Web ページに埋め込まれたビューにアクセスする方法を指定します。

  • ユーザーに認証タイプの選択を許可する

    これを選択すると、ビューが埋め込まれている場所に 2 つのサインイン オプションが表示されます。1 つはシングル サインオン認証を使用するサインイン ボタンで、もう 1 つは代わりに TableauID を使用するリンクです。

    ヒント: このオプションでは、ユーザーはどちらの方法を選択するかを知っている必要があります。通知の一部として、シングル サインオン サイトに追加した後でユーザーに送信し、さまざまなサインイン シナリオで使用する認証タイプを知らせます。たとえば、埋め込みビュー、Tableau Desktop、Tableau Bridge、Tableau Mobile などがあります。

  • TableauID

    このオプションは、サイトで SAML が有効化されている場合でも、ユーザーは TableauID を使用してサインインする必要があります。通常この方法は、管理者が埋め込みビューおよび SAML の問題を解決するために使用されます。

  • SAML を使用したシングル サインオン

    IdP が iframe からのサインインをサポートしていない場合、[別のポップアップ ウィンドウで認証する] を選択します。ユーザーが埋め込みビューを使用して Web ページに移動した場合、サインイン ボタンを選択するとポップアップ ウィンドウが表示されます。

    IdP が iframe からのサインインをサポートしている場合は、[インライン フレームで認証する] (低い安全性、すべての IdP ではサポートされない) を選択します。iframe の埋め込みは、よりシームレスなユーザー エクスペリエンスを提供できます。たとえば、ユーザーが既に IdP で認証されていて、iframe 埋め込みが有効化されている場合、ユーザーは埋め込み Tableau ビューを含むページを閲覧するとき、 Tableau Server からシームレスに認証を受けられます。

    注意: iframes はクリックジャック攻撃に脆弱な場合があるため、すべての IdP で iframe からのサインインがサポートされているわけではありません。クリックジャックでは、攻撃者はユーザーにコンテンツをクリックさせたり、入力させようとします。攻撃者は、無関係のページ上の透明なレイヤーに攻撃するページを表示させ、これを行います。Tableau Server では、攻撃者はユーザーの認証資格情報を取得したり認証されたユーザーを取得して設定を変更したりする可能性があります。詳細については、Open Web Application Security Project の Web サイト上の「クリックジャック」を参照してください。

ご意見をお寄せくださりありがとうございます。 ご意見の送信中にエラーが発生しました。もう一度実行するか、当社にメッセージを送信してください