Loading

メッセージの署名が原因で Tableau Server 2021.2 へのログインが失敗する

公開日: Nov 30, 2023
説明
ユーザー認証に SAML を使用して Tableau Server 2021.2 以降にアップグレードした後、Tableau Server ユーザーがログインできず、VizPortal のログに次のエラーが記録されます。

org.springframework.security.authentication.AuthenticationServiceException: Digest algorithm SHA-1 is blocklisted" (ダイジェスト アルゴリズム SHA-1 は拒否リストに登録されています)


 

Cause

Tableau Server 2021.2 では、SHA1 で署名された SAML 認証用の受信アサーションがデフォルトで自動的にブロックされます。 
解決策

開始する前に、ご利用の Tableau Server のインストールが影響を受けるかどうかを確認してください

Tableau Server を実行しているコンピューターから、次のコマンドを実行します。
tsm configuration get -k "wgserver.saml.blocklisted_digest_algorithms"

Tableau Server から "sha1" が返された場合、この記事の内容はお客様の問題に当てはまります。

オプション 1 を使用し、IdP 構成をアップグレードし、SHA-256 を使用してすべての送信アサーションに署名するのが理想的です。ご利用の IdP が SHA-1 のみをサポートしている場合は、オプション 2 を使用してください。

オプション 1: IdP 構成をアップグレードし、SHA-256 以上の強度を使用して送信アサーションに署名する

お客様の IdP アカウントにアクセスし、IdP のメッセージに署名するために IdP が使用する署名アルゴリズムを更新します。これは IdP 固有の操作であるため、手順については IdP のドキュメントを参照してください。

オプション 2 (回避策): アップグレード済みで、Tableau Server にログインできないが IdP を更新できない場合

  1. 次のコマンドを使用して、新しい既定の拒否リストを無効にします。
    tsm configuration set -k "wgserver.saml.blocklisted_digest_algorithms" -v ""
  2. tsm pending-changes apply を実行します。

できるだけ早く、次を実行します。

よりセキュアな署名アルゴリズムを使用するように IdP を更新することが可能になったら、次のコマンドで拒否リストをもう一度有効にします。
tsm configuration set -k “wgserver.saml.blocklisted_digest_algorithms” -v “sha1”
その後、次を実行します。
tsm pending-changes apply

 
その他のリソース
Tableau にアップロードする証明書で検証されたセキュリティ属性が原因で、SAML 構成の問題が発生する場合もあります。「Tableau Server 2021.2 にアップグレードした後、SAML 認証を使用する Tableau Server で起動が失敗するか、ログインが拒否される」を参照してください。

デフォルトでは、Tableau Server バージョン 2021.2 以降では、(サイト固有およびサーバー全体の両方の) SAML 認証のために Tableau Server を構成する際、SHA-1 署名ハッシュを持つか、キー強度が RSA2048 および ECDSA256 未満である証明書のアップロードは拒否されます。SHA-1 アルゴリズムで署名された SAML アサーションも、Tableau Server によってデフォルトで拒否されます。重要な注意点として、Tableau と IdP 側の両方で SHA-1 とキー サイズの検証が発生する場所は複数あるため、検証が必要である場所と時点も複数あります。例は次のとおりです。
    • SHA-1 で署名した証明書を TSM (GUI) からアップロードし、Tableau Server で、IdP に送信する要求に署名するためにその証明書を使用する場合
    • IdP メタデータ内の証明書と証明書内の公開キーを使用して、IdP から受信した AuthnResponse (署名) を検証する場合
    • SHA-1 で署名およびハッシュされた受信アサーション (DigestMethod と SignatureMethod を SHA-1 に設定)
    • SHA-1 で署名された証明書を使用した受信アサーション
    • SHA-1 でハッシュおよび署名された送信アサーション (DigestMethod と SignatureMethod を SHA-1 に設定)

: tsm の SAML 構成キー wgserver.saml.sha256 は、Tableau Server から送信されるすべての送信要求が SHA-256 を使用して署名されていることを保証するための構成キーとして、現在でも有効です。SHA-256 で署名されたリクエストの受信を IdP が要求している可能性がある一方で、IdP は SHA-1 を使用してアサーションを発行している可能性がある構成や、SHA-1 を使用して署名された証明書で Tableau Server を構成できる構成がある場合、拒否リスト キーと併せてこのキーを使用すると、そのような構成をサポートできます。このキーの既定値は true になるため、すべての送信 SAML メッセージは既定で SHA-256 で署名されます。
 
ナレッジ記事番号

001534667

 
読み込み中
Salesforce Help | Article