ナレッジベース

Tableau Server 2021.2 にアップグレードした後、SAML 認証を使用する Tableau Server で起動が失敗するか、ログインが拒否される


発行: 15 Jun 2020
最終修正日: 08 Nov 2022

問題

ユーザー認証に SAML を使用する Tableau Server 2021.2 以降のバージョンにアップグレードした後、証明書がセキュリティ設定の要件を満たしていないため Tableau Server が起動に失敗し、使用したキーの種類に応じて、次のいずれかのエラーが VizPortal のログに記録されます。 

ダイジェスト アルゴリズム: 
SAML certificate validation failed (SAML 証明書の検証に失敗しました)

および

The digest algorithm used by the current certificate is not allowed. (現在の証明書で使用されているダイジェスト アルゴリズムは許可されていません。)

証明書キー/楕円曲線サイズ: 
Key size is smaller than the min allowed key size (キー サイズが最小許容キー サイズ未満です)

または

Elliptic Curve size does not meet the required min allowed curve size (楕円曲線のサイズが、許容される必要最小限の曲線サイズを満たしていません)

環境

Tableau Server 2021.2 以降のバージョン

解決策

開始する前に、ご利用の Tableau Server のインストールが影響を受けるかどうかを確認してください

SAML 認証を構成するためにアップロードした証明書を確認します。Tableau Server を実行しているコンピューターから次のコマンドを実行して、ファイル システムの秘密キーと公開キーの両方がキー/曲線の最小サイズを満たしていること、またダイジェスト アルゴリズムが SHA-1 ではないことを確認します。

tsm configuration get -k wgserver.saml.key.file 
tsm configuration get -k wgserver.saml.cert.file

または、TSM GUI からサービス プロバイダー (SP) メタデータ ファイルをダウンロードし、Tableau SP 証明書の内容をそこに貼り付けることもできます。手順については、「サーバー全体の SAML の構成」のステップ 6a を参照してください。

アイデンティティ プロバイダー (IdP) から提供された証明書を確認するには、TSM から IdP メタデータ xml ファイルをダウンロードするか、IdP から直接、証明書をもう一度ダウンロードします。 

オプション 1 を使用し、ご利用の IdP 用のものを含むすべての署名アルゴリズムを SHA-256 にアップグレードするのが理想的です。  SAML 認証の過程で SHA-1 が使用される可能性があるすべての領域については、「追加情報」を参照してください。 

ご利用の IdP が SHA-1 のみをサポートしている場合は、オプション 2 を使用してください。 
クリックしてソリューションを展開する
オプション 1: 強力なダイジェスト アルゴリズムとキー属性を使用するように SAML 証明書と IdP 証明書をアップグレードする
Tableau Server 証明書とキー ファイルを更新する
  1. Tableau Server を停止します。
  2. 証明書とキーを更新して、影響を受けるすべての領域で SHA-256 が証明書に、RSA 2048 または ECDSA 256 がキーに使用されるようにします。
  3. 新しい証明書とキー ファイルを保存してから、[Tableau Server の構成] の [SAML] タブで証明書とキー ファイルを変更します。
  4. SAML 証明書とキー ファイルの構成の詳細については、「サーバー全体の SAML の構成」を参照してください。
  5. Tableau メタデータの XML をエクスポートして、ご利用の IdP のものと交換します。

IdP メタデータを更新する
  1.  ご利用の IdP アカウントにアクセスし、必要に応じて証明書や署名アルゴリズムを更新します。これは IdP 固有の操作であるため、方法については IdP のドキュメントに記載された手順を参照してください。必要に応じて、Tableau メタデータ XML ファイルをアップロードします。
  2. IdP の Web サイトまたはドキュメントの指示に従って、IdP のメタデータをダウンロードします。SAML 証明書とキー ファイルを保持するのと同じ場所に .xml ファイルを 保存します。
  3. TSM 内で、IdP メタデータ XML ファイルをアップロードします。
  4. TSM パスワードを入力して [OK] をクリックします。
  5. Tableau Server を起動します。
  6. サイト固有の SAML の場合、サイト内で IdP のメタデータ xml ファイルを更新します。
 
注: 2021.2 以降で使用できる tabcmd ユーティリティは、多くのサイトに対してサイト SAML をセットアップした場合に IdP メタデータを検査するのに役立ちます。これにより、IdP メタデータが安全でない可能性があるサイトを特定する負担を軽減できます。「tabcmd validateidpmetadata」を参照してください。
 
クリックしてソリューションを展開する
オプション 2 (回避策): 既にアップグレードしていて Tableau Server を起動できない場合
  1. 次のコマンドを使用して、新しい既定のダイジェスト アルゴリズム拒否リストを無効にします。
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  2. 次のコマンドを使用して、新しいキー検証設定を無効にします。
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    および/または

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    これは、使用するキーの種類によって異なります。その後、次を実行します。
    tsm pending-changes apply
  3. Tableau Server を起動します。
 
クリックしてソリューションを展開する
オプション 3 (回避策): Tableau Server をアップグレードできないが SHA-1 キー/アルゴリズムが必要な場合。
 
  1. Tableau Server を停止します。
  2. 次のコマンドを使用して、新しい既定のダイジェスト アルゴリズム拒否リストを無効にします。
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  3. 次のコマンドを使用して、新しいキー検証設定を無効にします。
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    または (使用するキーの種類によっては)

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    そして、次を実行します。
    tsm pending-changes apply
  4. Tableau Server をアップグレードします(Windows) (Linux)。

注: 必要な期間にわたって、この形式で、これらのセキュリティ設定を無効にした状態で Tableau Server を通常どおり実行できます。

できるだけ早く、次を実行します。
  1. 上記のオプション 1 で説明したように、SHA-256 以上の強力な方式を使用するように SAML 証明書と IdP 証明書をアップグレードします。
  2. Tableau Server を再起動します。
  3. 次のコマンドを使用して、セキュリティ設定をもう一度有効にします。
tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v “sha1”

tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v “2048”

または

tsm configuration set -k wgserver.saml.min.elliptic_curve_size -v “256”

次に、tsm pending-changes apply を実行します。
 

原因

Tableau Server 2021.2 では、SHA-1 署名ハッシュを持つ証明書は自動的にブロックされます。
次のコマンドを実行すると、ご利用のインスタンスで SHA-1 がブロックされているかどうかを確認できます。
tsm configuration get -k wgserver.saml.blocklisted_digest_algorithms

Tableau Server から "sha1" が返された場合、Tableau Server で SHA-1 証明書はブロックされています。

詳細情報

SAML 認証のために Tableau Server を構成するとき、Tableau Server 2021.2 以降では既定で、SHA-1 署名ハッシュを使用した証明書のアップロードは拒否されます。また Tableau Server では、SHA-1 アルゴリズムを使用して署名された SAML アサーションは既定で拒否されます。重要な注意点として、Tableau と idP 側の両方で SHA-1 を使用できる場所は複数あるため、検証が必要である場所と時点も複数あります。例は次のとおりです。
  • SHA-1 で署名した証明書を TSM (CLI および GUI) からアップロードし、Tableau Server で、IdP に送信する要求に署名するためにその証明書を使用する場合
  • IdP メタデータ内の証明書と証明書内の公開キーを使用して、IdP から受信した AuthnResponse (署名) を検証する場合
  • SHA-1 で署名およびハッシュされた受信アサーション (DigestMethod と SignatureMethod を SHA-1 に設定)
  • SHA-1 で署名された証明書を使用した受信アサーション
  • SHA-1 でハッシュおよび署名された送信アサーション (DigestMethod と SignatureMethod を SHA-1 に設定)
  • SHA-1 で署名された証明書を使用して署名された送信アサーション

: tsm の SAML 構成エンティティ wgserver.saml.sha256 は、Tableau Server から送信されるすべての送信アサーションが SHA-256 を使用して署名されていることを保証するための構成キーとして、現在でも有効です。SHA-256 で署名されたアサーションを IdP が要求している可能性がある一方で、受信アサーションまたはアップロードされた証明書は SHA-1 で署名されている構成がある場合、これらの拒否リスト キーと併せてこれを使用すると、そのような構成をサポートできます。このキーの既定値は true になるため、すべての送信 SAML アサーションは既定で SHA-256 で署名されます。

: 証明書のプロパティを制限するためのこれらの設定は Tableau Server 2021.1 で使用できますが、既定では無効です。ただし、次の設定を変更した場合、2021.1 でこれらの問題が発生する可能性があります: wgserver.saml.blocklisted_digest_algorithms、
wgserver.saml.min_allowed.rsa_key_size または wg.server.saml.min.elliptic_curve_size
この記事で問題は解決しましたか?