ファーストパーティドメインについて

ファーストパーティドメインは、Tealiumのサービスがファーストパーティのリクエストを使用することを可能にし、これにより広告ブロッカーや同様の技術によるデータロスを減らすことができます。

ファーストパーティドメインをアカウントで有効にするには、Tealiumのアカウントマネージャーに連絡してください。

ファーストパーティドメインとは、ユーザーが訪れているウェブサイトをホストするドメインのことです。サードパーティドメインとは、現在のウェブサイトのドメインと一致しない任意のドメインを指します。

Tealium Customer Data Hubで提供されるサービスは、デフォルトではTealiumのドメインでホストされます。例えば、Tealium iQ Tag ManagementのJavaScriptファイルはtags.tiqcdn.comサブドメインから提供され、Tealium EventStream API Hubのデータ収集エンドポイントはcollect.tealiumiq.comサブドメインを使用します。これらのTealiumのサブドメインは、いずれもサードパーティドメインと見なされます。

ファーストパーティドメインは主にウェブのユースケースをサポートしており、モバイル向けのVisitor Serviceはサポートしていません。非ウェブのユースケースでファーストパーティのVisitor Serviceを必要とする場合は、アカウントマネージャーに連絡して、モバイル向けのVisitor ServiceのカスタムCNAMEの構成を検討してください。ファーストパーティドメインは、TealiumのGoogle Tag ManagerやAdobe Launchの統合をサポートしていません。

仕組み

tags.tiqcdn.comサブドメインに対してファーストパーティドメインを構成すると、TealiumはDNSデータベースに追加する必要があるCNAMEレコードを提供します。CNAMEレコードは、一つのドメイン名を別のドメイン名にマッピングするエイリアスです。例えば、www.example.comというウェブサイトの場合、Tealiumはtags.example.comに対するCNAMEレコードを提供し、そのレコードはTealiumのCDNを指してiQ Tag Managementのファイルを提供します。

collect.tealiumiq.comサブドメインに対しては、TealiumはDNS構成に追加する必要があるAレコードを提供します。Aレコードは、サブドメイン名をドメインのIPアドレスにマッピングします。ファーストパーティドメインで構成された各サブドメインに対して、2つのIPアドレスがAレコードとして提供されます。これらの2つのAレコードは、DNSサーバーの負荷分散に使用されます。

DNS構成の更新についての詳細は、エンドポイント構成の更新を参照してください。

ファーストパーティドメインを使用する場合は、最新バージョンのTealium Collectタグを使用していることを確認してください。

ドメイン証明書の管理

ファーストパーティドメインの構成の重要な部分は、ドメインのSSL/TLS証明書の管理です。これらの証明書は公開鍵証明書で、指定されたドメインを所有していることを確認し、HTTPS経由でウェブサイトの暗号化を検証します。Tealiumは証明書の管理を行うことができ、これには証明書の有効期限が切れる前の自動更新が含まれます。また、自分で証明書をインポートして管理することもできます。

自分で証明書を管理する場合、証明書が切れる前に更新する責任があります。

Tealiumが管理する証明書

TealiumはAWSを使用してドメイン証明書を生成します。Tealiumに証明書を生成させるためには、DNS構成に以下のいずれかのCertificate Authority Authorization (CAA) レコードを含める必要があります：

• amazon.com
• amazontrust.com
• awstrust.com
• amazonaws.com

Tealiumが管理する証明書を使用するためには、DNSエントリを編集する権限を持っているか、ドメイン管理者に送信されるメールメッセージを受信する権限を持っている必要があります。

自分で証明書を管理する

自分で証明書を使用するためには、以下のSSL/TLS証明書ファイルにアクセスできる必要があります：

• PEMエンコードされた証明書
• PEMエンコードされた、暗号化されていないプライベートキー
• PEMエンコードされた証明書チェーン

プライベートキーは証明書の公開キーと一致していなければならず、パスワードで暗号化されていてはなりません。

証明書ファイルは以下の要件を満たしていなければなりません：

• 使用される地域と同じ地域からインポートされていること。
• 最大ファイルサイズは2048ビットであること。
• パスワード保護されていないこと。
• 複数の証明書ファイルがチェーンされている場合、チェーンファイルが必要であること。

証明書の要件についての詳細は、AWSの証明書のインポートの前提条件に関する情報を参照してください。

証明書を更新するときは、証明書の再インポートを選択して証明書をアップロードします。新しい証明書は前の証明書を置き換えます。前の証明書がまだ有効期限が切れていない場合、ダウンタイムは発生しません。前の証明書が有効期限切れの場合、証明書がDNSサーバーに伝播するまでに数時間の遅延が発生する可能性があります。

証明書あたりのドメインの制限

証明書あたりのドメインの最大数は、ファーストパーティドメインにサインアップするときに決定されます。ファーストパーティドメインの概要画面には、構成されたドメインの数と、サーバーサイドデータ収集とクライアントサイドデリバリーの両方の証明書あたりの最大ドメイン数が表示されます。以下の例では、ドメインが構成されておらず、サーバーサイドデータ収集とサーバーサイドデリバリーの最大ドメイン数は10です（0/10ドメイン構成済み）。

ファーストパーティドメインとTAPID

TAPIDはHTTP専用のブラウザクッキーです。元々はクロスドメイン識別を容易にするために設計され、Tealium AudienceStreamの匿名IDを保存します。

ファーストパーティドメインを使用すると、TAPIDクッキーは引き続きHTTP専用のブラウザクッキーとなりますが、ウェブサイトをホストするファーストパーティドメインに割り当てられるようになり、Tealiumのサードパーティドメインではなくなります。したがって、ファーストパーティドメインはTAPIDクッキーのクロスドメイントラッキング機能を失わせます。

詳細については、TAPIDクッキーについてを参照してください。

ドメイン所有権の検証

Tealiumがあなたのサイトの証明書を発行する前に、あなたがリクエスト内のすべてのドメインを所有または制御していることを証明する必要があります。所有権は、DNS検証またはメール検証のいずれかを使用して証明できます。

通常、DNS検証はより迅速なプロセスであるため、お勧めします。また、組織内で管理メールにアクセスできる人を見つけるのが難しい場合もあります。しかし、ドメインのDNSデータベースを編集するアクセス権がない場合は、メール検証を使用する必要があります。

DNS検証

DNS検証方法を使用するには、DNS構成を編集するアクセス権が必要です。ドメイン登録とSSL/TLS証明書の管理を担当している製品運用チームや担当者と協力する必要があります。

ドメインを追加した後、Tealiumは各リクエストされたドメインの検証レコードを表示します。これらのレコードはDNS構成に追加する必要があります。以下の例は、1つのドメインの検証CNAMEレコードを示しています：

検証には最大24時間かかることがありますが、通常はそれより早く完了します。検証が完了すると、Tealiumは永続的なDNSレコードを表示します。これらのレコードはDNS構成に追加する必要があります：

• デリバリーサブドメインに対してCNAMEレコードが表示されます。
  これらのレコードはtags.tiqcdn.comの特定のパスの代わりに使用します。
• コレクトサブドメインに対してAレコードが表示されます。
  これらのレコードはcollect.tealiumiq.comおよびvisitor-service.tealiumiq.com（Collectタグのユースケース用）の特定のパスの代わりに使用します。

検証レコードと永続レコードの両方をDNS構成に保持してください。これらのレコードを削除しないでください。これらは証明書にドメインを追加するため、および証明書を自動更新するために必要です。

メール検証

メールによる検証を使用するには、要求した各ドメインのWHOISデータベースに記載されている連絡先アドレスのいずれかでメールメッセージを受信できる必要があります。メッセージを受信するメールアドレスは以下の通りです：

• administrator@your_domain
• hostmaster@your_domain
• hostmaster@your_domain
• postmaster@your_domain
• webmaster@your_domain
• admin@your_domain

Amazon Web Servicesからメール（各ドメインごとに1つのメッセージ）が送信され、72時間で有効期限が切れる検証トークンが含まれます。メールが届かない場合やトークンが期限切れになった場合は、メイン画面に戻ってメールを再送信をクリックします。検証プロセスを完了するためには、各ドメインに対するメールメッセージに対応する必要があります。

ドメインのステータス

First-Party Domains Overview画面にリストされているドメインは、以下のステータスのいずれかを持つことができます：

• 発行済み：すべてのドメインが検証され、証明書は期限切れでも間もなく期限切れでもありません。
• 期限切れ：証明書が期限切れです。
• 検証待ち：証明書に紐づけられた1つ以上のドメインが検証されていません。
• 間もなく期限切れ：証明書の有効期限が近づいており、更新が必要です。

自分で証明書を管理しており、証明書を更新した場合は、証明書を再インポートオプションを使用して、ドメインを再構成する必要がないようにします。前の証明書がまだ有効であれば、ダウンタイムは発生しません。新しい証明書が前のものを置き換えます。