このページは役に立ちましたか?
はい いいえ

相互 SSL 認証の構成

Tableau Server on Windows には、構成ユーティリティおよび tabadmin コマンド ライン ツールに取って代わる Tableau サービス マネージャー (TSM) が含まれるようになりました。以前のバージョンの Tableau Server に関するヘルプが必要な場合には、Tableau ヘルプ ページを参照してください。

相互 SSL を使用して、Tableau Desktop およびその他の承認済み Tableau クライアントのユーザーに Tableau Server への安全な直接アクセスを提供することができます。相互 SSL を使用すれば、有効な SSL 証明書を持つクライアントが Tableau Server に接続するときに、Tableau Server でクライアント証明書の存在を確認し、クライアント証明書内のユーザー名に基づいてユーザーを認証します。クライアントに有効な SSL 証明書がない場合、Tableau Server は接続を拒否することができます。相互 SSL に失敗する場合、ユーザー名/パスワード認証を使用するよう Tableau Server を構成することもできます。

相互 SSL 認証は Tableau Mobile ではサポートされていません。

  1. Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成する

  2. ブラウザで TSM を開きます。

    https://<tsm-computer-name>:8850詳細については、Tableau Services Manager の Web UI へのサインインを参照してください。

  3. [構成] タブで [ユーザー ID とアクセス] > [認証方法] を選択します。

  4. [認証方法] のドロップダウン メニューで [相互 SSL] を選択します。

  5. [相互 SSL] で [クライアント証明書による相互 SSL と自動サインインを使用] を選択します。

  6. [ファイルの選択] をクリックし、証明機関 (CA) が発行した証明書をサーバーにアップロードします。

    この証明書は拡張子 .crt が付いた有効な PEM 暗号化 x509 証明書である必要があります。

  7. 自分の組織の残りの SSL 構成情報を入力します。

    ユーザー名の形式: Tableau Server で相互 SSL を構成する場合、サーバーはクライアント証明書からユーザー名を取得し、クライアント ユーザーの直接サインインを確立できるようにします。Tableau Server が使用する名前は、Tableau Server がユーザー認証用に設定される方法によって異なります。

    • ローカル認証 — Tableau Server は証明書から UPN (ユーザー プリンシパル名) を使用します。
    • Active Directory (AD)Tableau Server は LDAP (ライトウェイト ディレクトリ アクセス プロトコル) を使用してユーザー名を取得します。

    または、Tableau Server を設定してクライアント証明書から CN (共通名) を使用できます。

    Configure mutual SSL screenshot

  8. 構成情報を入力したら、[保留中の変更を保存] をクリックします。

  9. ページ上部の [変更を保留中] をクリックします。

  10. [変更を適用して再起動] をクリックします。

1 外部サーバー通信に SSL が必要

Tableau Server と Web クライアントの間の外部通信に SSL を使用するよう Tableau Server を構成するには、サーバー証明書の .crt および .key ファイルの名前を指定して、次のように external-ssl enable コマンドを実行します。

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • --cert-file および --key-file には、CA が発行したサーバーの SSL 証明書 (.crt) およびキー (.key) ファイルの保存場所とファイル名を指定します。

  • 上記のコマンドは、ユーザーが Tableau Server 上でサーバー管理者サイト ロールを持つユーザーとしてサインインしていることを前提としています。代わりに、-u および -p パラメーターを使用して、管理者ユーザーおよびパスワードを指定することもできます。

  • 証明書キー ファイルにパスフレーズが必要な場合は、--passphrase パラメーターと値を含めます。

2 相互 SSL の使用

サーバーと各クライアント間の相互認証を追加し、Tableau クライアント ユーザーが初回に認証資格情報を提供した後は直接認証されるようにします。

  1. 次のコマンドを実行します。

    tsm authentication mutual-ssl configure -cert-file <file.crt>

    外部 SSL 用の上記の手順と同様に、--cert-file にはサーバーの CA 証明書 (.crt) ファイルの場所とファイル名を指定します。

    mutual-ssl configure コマンドに含める必要がある追加オプションについては、この記事の残りのセクションを参照してください。

  2. 次のコマンドを実行して相互 SSL を有効化し、変更を適用します。

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    pending-changes apply コマンドは、Tableau Server が実行中の場合にはそれが再起動することを知らせるプロンプトを表示します。このプロンプトはサーバーが停止しても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。詳細については、tsm pending-changes applyを参照してください。

相互 SSL の追加オプション

mutual-ssl configure を使用して、次のオプションをサポートするよう Tableau Server を構成することができます。

詳細については、「tsm authentication mutual-ssl <commands>」を参照してください。

フォールバック認証

Tableau Server が相互 SSL 向けに構成されている場合、認証は自動となり、クライアントは有効な証明書を持つ必要があります。フォールバック オプションを許可し、ユーザー名およびパスワード認証を受け付けるよう Tableau Server を構成することができます。

tsm authentication mutual-ssl configure -f true

ユーザー名マッピング

Tableau Server が相互 SSL 向けに構成されている場合、サーバーはクライアント証明書からユーザー名を取得することにより、ユーザーを直接認証します。Tableau Serverが使用する名前は、サーバーがユーザー認証用に設定される方法によって異なります。

  • ローカル認証 - 証明書から UPN (ユーザー プリンシパル名) を使用します。

  • Active Directory (AD) - LDAP (ライトウェイト ディレクトリ アクセス プロトコル) を使用してユーザー名を取得します。

これらの既定のいずれかを上書きし、Tableau Server が共通名を使用するように設定できます。

tsm authentication mutual-ssl configure -m cn

詳細については、相互認証中にクライアント証明書をユーザーにマッピングするを参照してください。

証明書失効リスト (CRL)

秘密キーの侵害が疑われる場合、または認証機関 (CA) が証明書を適切に発行しなかった場合、CRL の指定が必要になる場合があります。

tsm authentication mutual-ssl configure -r <revoke-file.pem>