公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJ IDサービス 外部サービス連携設定例マニュアル

Tableau Server

【参考】

2017年11月15日時点での情報で掲載しています。

「Tableau Server」との認証連携を設定します。

【注意】

  • Tableau ServerがSAML認証可能なバージョンなどの制約については販売元にお問合わせください。
  • 本手順は「Tableau Server 10.4」で動作の確認した手順となります。
  • Tableau ServerがSAMLで認証するキーは「username」です。
  • IIJ IDサービス内の各ユーザ共通のユーザ属性にTableau Serverの「username」と同一の値を保持しておく必要があります。

1. IIJ IDサービスにSAMLアプリケーションを登録する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。

3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。

4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。

項目内容備考
アプリケーション名例)Tableau Server必須
アプリケーションの説明例)誰もが使える超高速処理ビジネスインテリジェンス任意
アプリケーションロゴ(ファイルアップロード)任意
IDプロバイダの選択「アプリケーション専用のエンティティIDを利用」を選択必須
2. IIJ IDサービスのIDプロバイダ情報を確認する

1. アプリケーションの「編集する」をクリックします。

2. 「IDプロバイダ情報」をクリックします。

3. 「ダウンロードする」をクリックし、IDプロバイダのメタデータをダウンロードします。

3. Tableau ServerでSAML設定を行う

1. Tableau Serverで使用する「証明書ファイル」、及び「証明書キーファイル」を用意します。

【参考】

  • 「証明書ファイル」は、「.crt」の拡張子が付いたPEM暗号化x509証明書ファイルです。
    証明書ファイルは、IDプロバイダではなくTableau Serverで使用します。SSL証明書を保有している場合、同じ証明書をSAMLで使用できます。
  • 「証明書キーファイル」は、パスワードで保護されていない、「.key」の拡張子が付いた、RSAまたはDSA秘密キー ファイルです。
    証明書キーファイルは、IDプロバイダではなくTableau Serverで使用します。証明書のキーファイルにパスフレーズが含まれていていない物を使用してください。SSL証明書のキー ファイルを持っている場合、パスフレーズがなければSAMLでも使用できます。

詳しくは、Tableau Serverのマニュアル「https://help.tableau.com/current/server/ja-jp/saml_requ.htm」などでご確認ください。

2. Tableau Serverを停止します。

3. Tableau ServerがインストールされているWindowsサーバにログオンし、エクスプローラで「C:\Program Files\Tableau\Tableau Server」へ移動します。

4. 「Tableau Server」のフォルダの配下に「SAML」フォルダが存在していない場合は作成します。

【参考】

Tableau Serverを実行するユーザアカウントには、このフォルダへのアクセスに必要なパーミッションが与えられているため、このフォルダを使用することを推奨します。

5. 「C:\Program Files\Tableau\Tableau Server\SAML」フォルダに以下のファイルを配置します。

  • 手順2-3で入手した「IDプロバイダのメタデータ」
  • 手順3-1で入手した 「証明書ファイル」
  • 手順3-1で入手した 「証明書キーファイル」

6. 以下のとおり移動し、「Tableau Server 構成ユーティリティ」を起動します。

  • 「スタート」>「すべてのプログラム」>「Tableau Server 10.4」>「Configure Tableau Server」

7. 「Tableau Server 構成ユーティリティ」内の「SAML」タブをクリックします。

8. 「SAML authentication for the server」を選択します。

9. 以下のとおりを設定します。

項目内容備考
Tableau Server return URL例)
https://tableau_server.example.jp		ableau Serverのユーザーがアクセスされる「http://tableau_server」などのURL。
利用者の端末から名前解決可能なURLである必要があります
SAML entity ID例)
https://tableau_server.example.jp

エンティティIDは、IDプロバイダへのTableau Serverのインストールを一意的に識別します。

必要に応じてここでTableau ServerのURLを再度入力できますが、必ずしもTableau ServerのURLである必要はありません

SAML certificate file手順3-5で配置した「証明書ファイル」のパス
SAML key file手順3-5で配置した「証明書キーファイル」のパス
【参考】

手順3-11で設定しますので、ここでは「SAML IDプロバイダ metadata file」には設定しないでください。

10. 「Export Metadata File」をクリックし、SPメタデータを入手します。

11. 「SAML IdP metadata file」に手順3-5で配置した「IDプロバイダのメタデータ」のパスを入力し、「OK」をクリックします。

12. 以下メッセージが表示されることを確認し、「OK」をクリックします。

13. Tableau Serverを起動します。

14. Tableau Serverから入手した「SPメタデータ」を以下のとおり編集します。

変更箇所

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>

変更後<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
4. IIJ IDサービスのSAMLアプリケーションを設定する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. アプリケーションの「編集する」をクリックします。

3. 「フェデレーション設定」をクリックします。

4. 以下のとおり設定し、「変更を適用する」をクリックします。

項目内容備考
SAML基本情報SPのメタデータをアップロードする「SPのメタデータをアップロードする」をチェック
SPメタデータ手順3-14で入手したSPメタデータをアップロード


検証後の遷移先(RelayState)

(空欄)


アプリケーションのトップページURL

(空欄)


アサーションの署名アルゴリズム

例)
RSA-SHA256


ユーザ識別子(NameID)の指定

関連付けるユーザ属性例)
ID

Tableau Serverの「username」の値が格納されている属性を指定します

【参考】

「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。

「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。

【参考】

  • 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
  • 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
  • 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
    例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。

    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
    • 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。

【注意】

  • 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
  • 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。

5. 「利用者設定」をクリックします。

6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。

【参考】

利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックしします。

「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。