tsm authentication

tsm authenticationコマンドを使用して Tableau Server のユーザー認証オプションを有効、無効、および設定します。

tsm authentication identity-migration configure

アイデンティティの移行の既定のジョブ設定を変更します。詳細については、「アイデンティティの移行を管理する」を参照してください。

シノプシス

tsm authentication identity-migration configure –job-run-time

tsm authentication identity-migration configure –rate

オプション

-j,--job-run-time <number>

オプション。

スケジュールされた移行ジョブを実行できる許容最長時間を分単位で決定します。既定値は 120 分 です。

-r,--rate <number>

オプション。

移行ジョブ中に 1 秒あたりに実行できる要求の数を決定します。既定値は 1 秒あたり 5 個です。

tsm authentication kerberos <commands>

Tableau Server で Kerberos ユーザー認証を有効、無効、および設定します。Kerberos の構成を参照してください。

シノプシス

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure のオプション

-kt, --keytab-file <keytab_file.keytab>

必須。

KDC へのリクエストに使用されるサービスの .keytab ファイルを指定します。

tsm authentication legacy-identity-mode <commands>

アイデンティティの移行中に必要になる可能性のある従来のアイデンティティ ストア モードを有効または無効にします。このコマンドをいつ使用するかを判断するには、「バックアップを復元できません」セクションを参照してください。

詳細については、「ID の移行について」を参照してください。

シノプシス

tsm authentication legacy-identity-mode enable

tsm authentication legacy-identity-mode disable

tsm authentication list

サーバーの認証に関連する既存の構成設定をリストします。

シノプシス

tsm authentication list [--verbose][global options]

オプション

v, --verbose

オプション。

すべての構成済みパラメーターを表示します。

tsm authentication mutual-ssl <commands>

Tableau Server でユーザー認証の相互 SSL を有効、無効、および設定します。相互 SSL の詳細については、相互 SSL 認証の構成を参照してください。

相互 SSL を有効にする前に、外部通信の SSL を有効および設定しておく必要があります。詳細については、Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成するを参照してください。

シノプシス

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

オプション

-cf, --ca-cert <certificate-file.crt>

オプション。

証明書ファイルの場所およびファイル名を指定します。ファイルは認証局からの有効な信頼できる証明書である必要があります (Verisign など)。

-fb, --fallback-to-basic <true | false>

オプション。

SSL 認証に失敗する場合、Tableau Server で認証用にユーザー名およびパスワードを受け入れる必要があるかどうかを指定します。

既定値は false です。これは、相互 SSL を設定する際に SSL 認証に失敗すると Tableau Server で接続が許可されないことを示します。ただし、このオプションが false に設定されている場合でも、Tableau Server は REST API クライアントからのユーザー名とパスワード認証を受け付けます。

-m, --user-name-mapping <upn | ldap | cn>

オプション。

ユーザー名構文 (UPN、LDAP、CN) を指定してアイデンティティ ストアまたはディレクトリから取得します。構文は、ユーザー証明書のサブジェクトまたはサブジェクトの別名と形式が一致する必要があります。

-rf, --revocation-file <revoke-file.pem>

オプション。

証明書失効リスト ファイルの場所とファイル名を指定します。このファイルは .pem または .der ファイルに設定できます。

tsm authentication open-id <commands>

Tableau Server で OpenID Connect (OIDC) ユーザー認証を有効、無効、および設定します。

シノプシス

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure のオプション

注: オプションは、初期構成時または再構成時に設定する必要があります。個々のオプションを個別に設定することはできません。

-a, --client-authentication <string>

必須。

OpenID Connect のカスタム クライアント認証手法を指定します。

Salesforce IdP を使用するように Tableau Server を設定するには、この値を client_secret_post に設定します。

-cs, --client-secret <string>

必須。

プロバイダー クライアント シークレットを指定します。これは、Tableau が IdP からの応答の真偽を検証するために使用するトークンです。この値は秘密で、保護しておく必要があります。

-cu, --config-url <url>

必須。

OpenID プロバイダーのメタデータを含むプロバイダー構成のディスカバリ ドキュメントの場所を指定します。プロバイダーが公開 JSON ファイルをホストしている場合は、-config-url を使用します。そうでない場合は、代わりに --metadata-file を使用して、ローカル コンピューター上のパスとファイル名を指定します。

-mf, --metadata-file <file-path>, --config-file <config-file.json>

オプション。

静的な OIDC ディスカバリ JSON ドキュメントへのローカル パスを指定します。

-i, --client-id <client-id>

必須。

IdP がアプリケーションに割り当てているプロバイダー クライアント ID を指定します。

-id, --ignore-domain <true | false>

オプション。既定:false

以下に当てはまる場合は、これを true に設定します。

  • Tableau Server で電子メール アドレスをユーザー名として使用している

  • IdP のユーザーを複数のドメイン名を使用してプロビジョニングしました

  • IdP からの email 要求のドメイン名部分を無視する場合があります

先に進む前に、このオプションを true に設定した結果として使用されるユーザー名を見直します。ユーザー名の競合が発生する場合があります。ユーザー名が競合したとき、情報開示のリスクは高くなります。OpenID Connect の使用要件を参照してください。

-if, --iframed-idp-enabled <true | false>

オプション。既定:false

iFrame 内で IdP を許可するかどうかを指定します。iFrame での表示を許可する場合は、IdP でクリックジャック保護を無効にする必要があります。

-ij, --ignore-jwk <true | false>

オプション。既定:false

お使いの IdP が JWK 検証をサポートしていない場合は、これを true に設定します。この場合、相互 TLS または別のネットワーク レイヤー セキュリティ プロトコルを使用して IdP との通信を認証することをお勧めします。

-r, --return-url <return-url>

サーバーの URL です。一般的には、サーバーのパブリック名 ("http://example.tableau.com" など) になります。

-sn, --custom-scope-name <string>

オプション。

IdP のクエリに使用できるカスタム範囲のユーザー関連値を指定します。OpenID Connect の使用要件を参照してください。

openid map-claims のオプション

このオプションは、IdP との通信時に Tableau Server で使用する既定の OIDC クレームを変更するときに使用します。OpenID Connect の使用要件を参照してください。

-i, --id <string>

オプション。既定: sub

お使いの IdP が ID トークンのユーザーを一意に識別するときに sub クレームを使用しない場合は、この値を変更します。指定する IdP クレームには、単一かつ一意の文字列を含める必要があります。

-un, --user-name <string>

オプション。既定: email

この値を、組織が Tableau Server に保存されているユーザー名の照合に使用する IdP クレームに変更します。

tsm authentication pat-impersonation <commands>

Tableau Server の管理者の個人用アクセス トークンの偽装を有効または無効にします。

個人用アクセス トークンの偽装の詳細については、個人用アクセス トークンを参照してください。

シノプシス

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

個人用アクセス トークンの偽装が有効になっているかどうかを確認するには、次のコマンドを実行します。

tsm authentication list

tsm authentication saml <commands>

Tableau Server を構成して、SAML 2.0 標準を使用したシングルサインオンのサポート、サイトの SAML の有効化/無効化、および Tableau Server とアイデンティティ プロバイダー (IdP) の間のアサーション属性名のマップを実行します。

利用可能なコマンド

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

サーバーの SAML 設定を構成します。SAML 証明書およびメタデータ ファイルを指定して、追加の必要情報を提供し、追加のオプションを設定します。

SAML を初めて構成する場合、または無効にしたことがある場合は、このコマンドを tsm authentication saml enable と一緒に実行する必要があります。詳細については、サーバー全体の SAML の構成を参照してください。

シノプシス

tsm authentication saml configure [options] [global options]

オプション

-e, --idp-entity-id <id>

初回 SAML 構成では必須。その他の場合オプション。IdP エンティティ ID 値です。

通常これは Tableau Server のリターン URL (--idp-return-url パラメーターで指定される) と同じです。入力するエンティティ ID は、サイト固有のエンティティ ID を生成するためのベースに使用されます。たとえば、次のように入力した場合です。

http://tableau-server

SAML のために構成されたサイトは以下のエンティティ ID を表示する場合があります。

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

サイトのエンティティ ID を検索するには、サイトの [設定] ページに移動し、[認証] タブを選択します。SAML が有効な場合は、サイト固有の SAML を構成し、メタデータをエクスポートするための最初のステップで、エンティティ ID が表示されます。

-r, --idp-return-url <idp-return-url>

初回 SAML 構成では必須。その他の場合オプション。IdP で設定されている SAML リターン URL です。これは通常、https://tableau-server などの Tableau Server の外部 URL です。

  • http://localhost は外部サーバーでは使用できません。

  • URL 末尾へのスラッシュ追加 (https://tableau-server/) はサポートされていません。

-i, --idp-metadata <idp-metadata.xml>

初回 SAML 構成では必須。その他の場合オプション。IdP の設定からエクスポートした XML メタデータ ファイルの場所と名称を提供します。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>

-cf, --cert-file <certificate.crt>

初回 SAML 構成では必須。その他の場合オプション。SAML 用の x509 証明書ファイルの場所およびファイル名。証明書ファイルの要件については、SAML 要件を参照してください。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>

-kf, --key-file <certificate.key>

初回 SAML 構成では必須。その他の場合オプション。証明書とセットになっているキー ファイルの場所と名称。

たとえば、C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>

-a, --max-auth-age <max-auth-age>

オプション。既定値は -1 です (Tableau Server バージョン 2020.4.15、2021.1.12、2021.2.9、2021.3.8、2021.4.4、2022 以降)。以前の既定値は 7200 (2 時間) でした。

ユーザーの認証と AuthNResponse メッセージのプロセス間で許可される最大秒数。

この既定値を保持することをお勧めします。これにより、認証の最大有効期間のチェックが無効になります。この値が IdP と異なる場合、Tableau Server にサインインするユーザーにサインイン エラーが表示される可能性があります。このエラーの詳細については、Tableau ナレッジ ベースの記事「「Tableau Server での SAML SSO の断続的なエラー "Unable to Sign In" (サインインできません)(新しいウィンドウでリンクが開く)」を参照してください。

-d, --desktop-access <enable | disable>

オプション。既定値は enable です。

このオプションはサーバー全体の SAML にのみ適用されます。SAML を使用して Tableau Desktop からサーバーにサインインします。Tableau クライアント アプリケーションからのシングル サインオンが IdP と連携しない場合、これを disable に設定することができます。

-m, --mobile-access <enable | disable>

オプション。既定値は enable です。

Tableau Mobile アプリの古いバージョンからのサインインに SAML の使用を許可します。Tableau Mobile アプリのバージョン 19.225.1731 以上を実行しているデバイスでは、このオプションが無視されます。Tableau Mobile アプリのバージョン 19.225.1731 以上を実行しているデバイスを無効にするには、Tableau Server でクライアント ログイン オプションとしての SAML を無効にします。

-so, --signout <enable | disable>

オプション。デフォルトで有効に設定されています。

Tableau Server での SAML のサインアウトを有効または無効にします。

-su, --signout-url <url>

オプション。ユーザーがサーバーからサインアウトした後のリダイレクト先 URL を入力します。既定では Tableau Server のサインイン ページです。絶対 URL または相対 URL を指定できます。

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata.xml>" --idp-return-url https://tableau-server --cert-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>" --key-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

tsm authentication saml enable および saml disable

サーバー全体の SAML 認証を有効または無効にします。このコンテキストでは、SAML に対して有効にする全サイトおよびユーザーは単一のアイデンティティ プロバイダーを通ることになります。

シノプシス

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

SAML IdP の構成に使用する Tableau Server の .xml メタデータ ファイルをエクスポートします。

シノプシス

tsm authentication saml export-metadata [options] [global options]

オプション

-f, --file [/path/to/file.xml]

オプション。

メタデータが書き込まれる場所とファイル名を指定します。このオプションが含まれていない場合は、export-metadata でファイルを現在のディレクトリに保存します。ファイル名は samlmetadata.xml となります。

-o、--overwrite

オプション。

-f で指定された同じ名前の既存のファイルが上書きされます。-f が含まれていない場合は、既定の名前の既存のファイルが上書きされます。-f で指定されたファイルがあるが -o が含まれていない場合、コマンドは既存のファイルを上書きしません。

tsm authentication saml map-assertions

IdP と Tableau Server 間の属性をマップします。IdP で各引数に指定された属性に使用する名前を指定します。

シノプシス

tsm authentication saml map-assertions --user-name <user-name> [global options]

オプション

-r, --user-name <user-name-attribute>

オプション。IdP がユーザー名を保存する属性。Tableau Server ではこれは表示名と同じです。

-e, --email <email-name-attribute>

使用しないでください。このオプションは Tableau ではサポートされていません。

-o, --domain <domain-name-attribute>

オプション。IdP がドメイン名を保存する属性。このオプションは、Tableau Server コンピューターのドメインとは異なるドメインからユーザーを追加する場合に使用します。詳細については、複数のドメインを実行している場合を参照してください。

-d --display-name <display-name-attribute>

使用しないでください。このオプションは Tableau ではサポートされていません。

saml map-assertions の例

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> または tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable および sitesaml disable

SAML 認証を許可または禁止するようサイト レベルでサーバーを設定します。サイト固有の SAML を有効にすることで、Tableau Server Web UI の [設定][認証] タブにアクセスできるようになります。[認証] タブには、サイト固有の SAML の構成設定が含まれます。

まだサイト固有 SAML を許可するようにサーバーを構成していない場合は、saml configure と共に sitesaml enable コマンドを使用します。詳細については、「サイト固有の SAML の構成」を参照してください。

シノプシス

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication sspi <commands>

このコマンドは Tableau Server on Windows でのみ機能します。Tableau Server on Linux で SSPI を有効にしようとすると、エラーが返されます。

Microsoft SSPI を使用して自動サインインを有効または無効にします。

認証に Active Directory を使用する場合、必要に応じて自動ログオンを有効にすることができます。自動ログオンを有効にすると、ユーザーは Microsoft SSPI を使用して Windows ユーザー名とパスワードに基づき自動的にサインインされます。これにより、シングル サインオン (SSO) のような操作が実現します。

Tableau Server で SAML、信頼できる認証、ロードバランサー、またはプロキシ サーバーを設定する予定がある場合は、SSPI を有効にしないでください。SSPI は、これらのシナリオではサポートされていません。

シノプシス

tsm authentication sspi disable [global options]

tsm authentication sspi enable [global options]

すべての認証コマンドと同様に、このコマンドを実行した後に tsm pending-changes apply を実行する必要があります。

tsm authentication trusted <commands>

Tableau Server でのユーザー認証用に信頼できる認証 (信頼できるチケット) を設定します。

シノプシス

tsm authentication trusted configure [options] [global options]

オプション

-th, --hosts <string>

オプション。

Tableau コンテンツでページをホストする Web サーバーの信頼できるホスト名 (または IPv4 アドレス) を指定します。

値が複数ある場合は、コンマ区切りリスト形式で名前を入力し、各値を二重引用符で囲みます。

例:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

または

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

オプション。

信頼できるチケットごとの文字数を決定します。既定設定の 24 文字は、ランダム性のある 144 ビットで提供されます。値は、9 から 255 (包含) の間の任意の整数に設定できます。

グローバル オプション

-h, --help

オプション。

コマンドのヘルプを表示します。

-p, --password <password>

アクティブなセッションがない場合は、必要に応じて -u または --username と一緒に使用します。

-u または --username で指定されたユーザーのパスワードを指定します。

パスワードにスペースや特殊文字が含まれる場合、パスワードを引用符で囲みます。

--password "my password"

-s, --server https://<hostname>:8850

オプション。

Tableau Services Manager で指定したアドレスを使用します。URL は https で始まる必要があります。また、ポート 8850 を含めるとともに、IP アドレスではなくサーバー名を使用します。例: https://<tsm_hostname>:8850。サーバーが指定されていない場合は、仮に https://<localhost | dnsname>:8850 とします。

--trust-admin-controller-cert

オプション。

このフラグは、TSM コントローラーで自己署名証明書を信頼するために使用します。証明書の信頼および CLI 接続の詳細については、TSM クライアントの接続を参照してください。

-u, --username <user>

アクティブなセッションがない場合は、必要に応じて -p または --password と一緒に使用します。

ユーザー アカウントを指定します。このオプションが含まれていない場合は、コマンドがサインインに使用した認証資格情報を使用して実行されています。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!