Tableau ServerのSSO(シングルサインオン)連携にOpenID Connect(Google Apps)を利用する

Tableau Serverでは、シングルサインオン(SSO)の仕組みとしてOpenID Connectを利用する事が出来ます。連携が出来ていれば、Tableau Serverへの個別ログインも不要となるのでとても便利なものとなります。当エントリでは、IdPの一つであるGoogle(Google Apps)をシングルサインオンの仕組みとしてTableau Serverと連携させる手順についてご紹介していきたいと思います。

• OpenID Connect
• IdPの概要 - GakuNinShibInstall - meatwiki
• ID プロバイダとサービスプロバイダ

目次

• Step1.Google Apps: OpenID Connect用にIdPに必要な情報を作成・入手
• Step2.Tableau Serverのインストール
• Step3.Tableau ServerのSSL設定＆DNS設定
• Step4.Tableau Serverに対してOpenID設定を追加
• Step5.接続確認
• まとめ

Step1.Google Apps: OpenID Connect用にIdPに必要な情報を作成・入手

Tableau ServerとGoogle Appsを連携させるためには、Tableau Serverが連携する為のIdPを予め用意しておく必要があります。以下の手順に基づいてこの情報を作成します。

• OpenID Connect 用にアイデンティティ プロバイダー (IdP) を構成する

まず始めに、Googleにサインインした状態で開発者向けサイト(https://console.developers.google.com)にアクセス。プロバイダークライアントIDとプロバイダークライアントシークレットを取得する必要がありますので、任意の名前でプロジェクトを作成します。メニューから『プロジェクトを作成』を選択。

任意のプロジェクト名とプロジェクトIDを指定、[作成]を押下。

プロジェクト配下のメニューで[認証情報]を選択し、[認証情報]→[認証情報を作成]を押下。

欲しいのはクライアントID等の情報なので[OAuth クライアントID]を選択。

同意画面が必要となりますので、この流れで併せて作成してしまいましょう。

同意画面の作成。メールアドレスは既定値、サービス名は任意の名前で[保存]を押下。

そのままの流れでプロジェクト作成に進みます。[アプリケーションの種類]は『ウェブアプリケーション』を選択。任意の名前を設定してここは一旦プロジェクトを作成します。(※『承認済みのリダイレクトURI』については後程後述する手順で設定を追記します)

プロジェクト作成完了。併せて以下ダイアログが表示されますので『クライアントID』『クライアントシークレット』双方の値をコピーして控えておきます。

Step2.Tableau Serverのインストール

また、併せてOpenID/GoogleApps連携を行うTableau Serverの環境も用意しておきます。公式ドキュメントの記載にある様に(※下記参照)、OpenID連携を行う際はAD認証は相容れる事が出来ず、ローカル認証が可能な状態で行う必要があります。

• OpenID Connect 用に Tableau Server を構成する

ですのでここではシンプルにWindows Server 2012のEC2インスタンスを用意し、いつも通りのインストール作業を(ローカル認証で)進めて、システム管理者情報を入力して管理者でアクセス可能な情報としておきます。

上記手順ではローカル認証でTableau Serverシステム管理者を作成していましたが、Google Apps認証と絡める場合には別途、Google Appsのユーザーと紐付くユーザーを用意しておく必要があります。ここでは試しにGoogle Apps認証を行った際の『システム管理者』と連携させる為のユーザーを(ローカル認証環境下で)別途作成しておきます。ユーザー作成時の情報としては、以下の形で作成とします。

• ユーザー名：Google Appsで利用しているユーザー名(＝メールアドレス)
• パスワード：任意(ここではGoogle Appsサインイン時のものとは異なる適当な内容を設定しておきました)

Step3.Tableau ServerのSSL設定＆DNS設定

Tableau ServerでIdP連携を行う際の手順として、Tableau Server上の設定については以下ドキュメントに詳細な設定の記載がありますが、『SSL連携を行う必要がある』『IdP設定の前にSSL設定を行っておく』という2つのポイントが重要事項として記載されています。

• OpenID Connect 用に Tableau Server を構成する

また、IdP設定に関しての設定項目『リダイレクトURL』については、ドメイン名についてはパブリックトップレベルのドメイン名である事が必須となります。下記はTableau ServerにEIPを割り当てた形で進めた時のエラー内容です。この為、構築するTableau Serverについてはこのタイミングで(パブリックトップレベルの)ドメイン名の設定、及びSSLの設定を施しておく必要があります。

今回は検証用という事でSSLについては下記手順を基にオレオレ証明書を作成し設定、併せてドメイン名についても設定を行っておきました。

• Tableau Serverに対するSSL設定を行う ｜ Developers.IO
• 外部 SSL の構成
• クイック スタート: 相互 (2 方向) SSL 認証

こんな感じで準備完了。

Step4.Tableau Serverに対してOpenID設定を追加

前準備が完了しましたので、ここから本題となるOpenID周りの設定に入ります。下記ドキュメントの『サーバーの構成』がベースとなります。

• OpenID Connect 用に Tableau Server を構成する

まずは稼働しているTableau Serverをtabadmin stopコマンドで停止。

PS D:\Tableau\Tableau Server\10.0\bin> .\tabadmin.exe stop
===== Stopping service...
   -- Service stopped successfully
PS D:\Tableau\Tableau Server\10.0\bin>

メニューから[Tableau Server 10]→[Configure Tableau Server]を選択し、設定ウインドウの[OpenID]タブを開いて下記内容を設定します。

上記設定内容によって自動生成される一番下の項目(Configure the OpenID provider using the following redirect URL for Tabelau Server:)のURLは、後述する手順で設定に使いますのでコピーしておきます。設定後[OK]押下。

上記でコピーしたURLを、Google Apps設定の『承認済みのリダイレクトURL』の欄に貼り付け、[保存]を押下。

Step5.接続確認

• OpenID Connect を使用して Tableau Server にサインインする

では、いよいよ接続・サインイン確認を行ってみたいと思います。OpenID設定を有効化した状態でTableau Serverを起動し、

PS D:\Tableau\Tableau Server\10.0\bin> .\tabadmin.exe start
===== Starting service...
   -- Service was started successfully
PS D:\Tableau\Tableau Server\10.0\bin>

Google appsにログインしたままの状態でブラウザ経由でTableau Serverにアクセス。

画面がリダイレクトされ、Google Appsから情報の利用許可を求められました。[許可]を押下し、先に進みます。

すると、サインインの処理が行われ、

無事にログインする事が出来ました！

また、設定については下記ページの『サーバー管理者にコマンドライン ツールのサインインを制限する』の項にあるように、コマンドラインツールを使う場合は個別に設定を変更しておく必要があります。併せてご確認、実施してください。

• OpenID Connect を使用して Tableau Server にサインインする

¥> tabadmin stop
¥> tabadmin set wgserver.authentication.restricted true
¥> tabadmin configure
¥> tabadmin start

まとめ

Tableau Server x OpenID(GoogleApps)という組み合わせでの環境構築手順のご紹介でした。この組み合わせを用いる事でログイン周りがだいぶ楽になりますね。AD環境とは併用出来ないという制約もありますが、この辺りは用途・ケースに応じてお選び頂ければと思います。こちらからは以上です。