ファーストパーティドメインについて

ファーストパーティドメインの構成により、Tealiumのサービスはファーストパーティのリクエストを使用できるようになり、広告ブロッカーや類似の技術によって引き起こされるデータ損失を減らすことができます。

ファーストパーティドメイン機能をアカウントで有効にするには、Tealiumアカウントマネージャーに連絡してください。

ファーストパーティドメインとは、ユーザーが訪問しているウェブサイトをホストしているドメインです。サードパーティドメインとは、現在のウェブサイトのドメインと一致しない任意のドメインです。

Tealiumのサーバーサイドで提供されるサービスは、デフォルトでTealiumのドメイン上でホストされます。例えば、Tealium iQタグ管理のJavaScriptファイルはtags.tiqcdn.comサブドメインから提供され、Tealium EventStream API Hubのデータ収集エンドポイントはcollect.tealiumiq.comサブドメインを使用します。これらのTealiumサブドメインはサードパーティドメインと見なされます。

ファーストパーティドメインは主にWebユースケースをサポートしており、モバイル用ビジターサービスはサポートしていません。非Webユースケースでファーストパーティビジターサービスのサポートが必要な場合は、アカウントマネージャーに連絡してカスタムCNAMEの構成を検討してください。ファーストパーティドメインはTealiumのGoogleタグマネージャーやAdobe Launchの統合をサポートしていません。

仕組み

ファーストパーティドメインはアカウント内のすべてのプロファイルに適用されます。このアカウントで管理される各サイトに対してサブドメインを入力してください。

tags.tiqcdn.comサブドメインのファーストパーティドメインを構成すると、TealiumはDNSデータベースに追加する必要があるCNAMEレコードを提供します。CNAMEレコードは、あるドメイン名を別のドメイン名にマッピングするエイリアスです。例えば、ウェブサイトwww.example.comの場合、Tealiumはtags.example.comのCNAMEレコードを提供し、それがTealium CDNにポイントしてiQタグ管理のファイルを提供します。

collect.tealiumiq.comサブドメインの場合、TealiumはDNS構成に追加する必要があるAレコードを提供します。Aレコードはサブドメイン名をドメインのIPアドレスにマッピングします。ファーストパーティドメイン用に構成された各サブドメインに対して2つのIPアドレスが提供され、これらのAレコードはDNSサーバーの負荷分散に使用されます。

ユーザーのブラウザとウェブサイト間のトラフィックが暗号化されていることを確認するために、ファーストパーティドメインにはSSL/TLS証明書が必要です。Tealiumが証明書を管理することを選択するか、または自分で証明書を管理することができます。Tealiumが証明書を管理することを許可するためには、DNS構成にCAAレコード（証明書発行機関（CA）がドメイン用の証明書を発行することを許可するDNSレコード）が必要です。

DNS構成の更新についての詳細は、エンドポイント構成の更新を参照してください。

ファーストパーティドメインを使用する場合、Tealium Collectタグの最新バージョンを使用していることを確認してください。

ドメイン証明書の管理

ファーストパーティドメインを構成する際の重要な部分は、ドメインのSSL/TLS証明書の管理です。これらは公開キー証明書であり、指定されたドメインを所有していることを確認し、HTTPS上でのウェブサイトの暗号化を検証します。Tealiumは証明書を管理することができ、これには証明書の有効期限前の自動更新が含まれます。また、自分で証明書をインポートして管理することもできます。

DNSエントリを編集するアクセス権、またはドメイン管理者に送信されるメールメッセージを受信するアクセス権が必要です。

Tealiumが管理する証明書

TealiumはAmazon Web Services (AWS)を使用してドメイン証明書をプロビジョニングし、自動的に更新します。このオプションは標準的なセキュリティおよびコンプライアンス要件を満たし、運用上の負担を軽減します。

Tealiumが証明書を生成するためには、DNS構成に以下のいずれかのCertificate Authority Authorization (CAA)レコードが含まれている必要があります：

• amazon.com
• amazontrust.com
• awstrust.com
• amazonaws.com

例えば、Amazonがexample.comドメインの証明書を発行することを許可するために、次のCAAレコードを追加します：

example.com. CAA 0 issue "amazon.com"

自己管理証明書

自分でドメイン証明書を提供し、同じレベルの暗号化とセキュリティを維持しながら管理します。このオプションは、証明書所有に関する内部ポリシー、カスタム証明書機関、または集中化された証明書ライフサイクル管理を満たすために通常使用されます。

自分の証明書を使用するためには、次のSSL/TLS証明書ファイルにアクセスする必要があります：

• PEMエンコードされた証明書
• PEMエンコードされた、暗号化されていないプライベートキー
• PEMエンコードされた証明書チェーン

プライベートキーは証明書の公開キーと一致する必要があり、パスワードで暗号化されていてはなりません。

証明書ファイルは次の要件を満たす必要があります：

• 使用される同じ地域からインポートされる必要があります。
• 最大ファイルサイズは2048ビットです。
• パスワードで保護されていてはなりません。
• 複数の証明書ファイルがチェーンされている場合、チェーンファイルが必要です。

証明書要件についての詳細は、AWS: 証明書のインポートの前提条件を参照してください。

選択した証明書機関（CA）がドメイン用の証明書を発行することを許可するために、DNSに適切なCAAレコードを構成してください。

自己管理証明書の更新

証明書が有効期限切れになる前に更新する責任があります。証明書を更新するときは、Reimport Certificateをクリックして証明書をアップロードします。新しい証明書が以前のものに置き換わります。以前の証明書がまだ有効であれば、ダウンタイムは発生しません。

以前の証明書が有効期限切れの場合、証明書がDNSサーバーに伝播するまで数時間の遅延が発生する可能性があります。

証明書管理方法の比較

証明書管理オプション	利点	欠点
Tealiumが管理	自動プロビジョニングと更新 証明書ライフサイクル管理が不要 有効期限切れの証明書によるアウトエージのリスク軽減 管理されたセキュリティベストプラクティス 展開までの時間が短縮	証明書機関（CA）または証明書ポリシーに対するカスタマイズ/制御が少ない
自己管理	証明書機関（CA）選択の完全な制御 内部PKI基準との整合 特定の規制業界で必要 拡張検証（EV）または組織固有のポリシーの実施（該当する場合） 組織内での集中化された証明書ガバナンス	手動での更新が必要 証明書が有効期限切れの場合のダウンタイムのリスク セキュリティとマーケティング/アナリティクスチーム間の運用調整 追加のメンテナンス負担

証明書ごとのドメインの制限

ファーストパーティドメインにサインアップするときに、証明書ごとのドメインの最大数が決定されます。ファーストパーティドメイン概要画面では、構成されたドメインの数とサーバーサイドデータ収集およびクライアントサイド配信の証明書ごとの最大ドメイン数が表示されます。次の例では、ドメインが構成されておらず、サーバーサイドデータ収集およびサーバーサイド配信の最大ドメイン数は10です（0/10ドメイン構成済み）。

ファーストパーティドメインとTAPID

TAPIDはHTTP専用のブラウザクッキーです。元々はクロスドメイン識別を容易にするために設計され、Tealium AudienceStreamの匿名IDを保存します。

ファーストパーティドメインを使用する場合、TAPIDクッキーはHTTP専用のブラウザクッキーのままですが、Tealiumのサードパーティドメインではなく、あなたのウェブサイトをホストするファーストパーティドメインに割り当てられます。したがって、ファーストパーティドメインはTAPIDクッキーのクロスドメイン追跡機能を失わせます。

詳細については、TAPIDクッキーについてをご覧ください。

ドメイン所有権の検証

Tealiumがあなたのサイトに証明書を発行する前に、リクエストに含まれるすべてのドメインを所有または管理していることを証明する必要があります。所有権はDNS検証またはメール検証を使用して証明できます。

証明書が元々DNSまたはメール検証で構成されていた場合、再試行は同じ方法を再度使用します。Amazonが検証方法のデータを提供しない場合、再試行にはDNS検証を使用します。

DNS検証を推奨します。これは通常、プロセスが速く、組織内で管理メールにアクセスできる人を見つけるのが難しい場合があるためです。ただし、ドメインのDNSデータベースを編集する権限がない場合は、メール検証を使用する必要があります。

DNS検証

DNS検証方法を使用するには、DNS構成を編集するアクセス権が必要です。ドメイン登録およびSSL/TLS証明書を担当する製品運用チームまたは担当者と協力する必要があります。

ドメインを追加した後、Tealiumはリクエストされた各ドメインの検証レコードを表示します。これをDNS構成に追加する必要があります。次の例は、あるドメインの検証CNAMEレコードを示しています：

検証には最大24時間かかることがありますが、通常はもっと早く完了します。検証が完了すると、TealiumはDNS構成に追加する必要がある永続的なDNSレコードを表示します。次のようになります：

• 配信サブドメインのためのCNAMEレコードが表示されます。 これらのレコードをtags.tiqcdn.comの特定のパスの代わりに使用します。
• 収集サブドメインのためのAレコードが表示されます。 これらのレコードをcollect.tealiumiq.comおよびvisitor-service.tealiumiq.com（Collectタグの使用例のため）の特定のパスの代わりに使用します。

アカウントのすべてのドメインに対して一つの検証方法を使用することを推奨します。方法を混在させると、検証を再試行する際に次のエラーが発生する可能性があります：

既存の証明書における検証方法が不明確です。

このエラーが表示された場合は、ファーストパーティドメインを単一の方法を使用するように再構成してください。

検証レコードと永続的レコードをDNS構成に保持してください。これらのレコードは、ドメインを証明書に追加するため、また証明書の自動更新のために必要です。

メール検証

メール検証を使用するには、リクエストされた各ドメインのWHOISデータベースに記載されている連絡先アドレスのいずれかでメールメッセージを受信できる必要があります。メッセージを受け取るメールアドレスには、次のものが含まれます：

• administrator@your_domain
• hostmaster@your_domain
• hostmaster@your_domain
• postmaster@your_domain
• webmaster@your_domain
• admin@your_domain

Amazon Web Servicesから（各ドメインごとに1通のメッセージで）検証トークンが含まれたメールを受け取ります。このトークンは72時間で期限切れになります。メールを受け取らなかった場合やトークンが期限切れになった場合は、メイン画面に戻ってメールを再送信をクリックしてください。各ドメインに対してメールメッセージに応答する必要があります。

ドメインの状態

ファーストパーティドメイン概要画面に記載されているドメインは、次のいずれかの状態を持つことがあります：

• 発行済み：すべてのドメインが検証され、証明書は有効期限が切れていない、または有効期限が近づいていません。
• 検証待ち：一部のドメインが検証されていません。
• 間もなく有効期限切れ：証明書の有効期限が近づいており、更新が必要です（自己管理証明書のみ）。
• 有効期限切れ：証明書の有効期限が切れています。
• 失敗：証明書の発行に失敗しました。これは検証が失敗した場合やアップロードされた証明書ファイルに問題がある場合に発生することがあります。エラーメッセージを確認し、問題を解決してから再試行してください。Tealium管理の証明書を使用している場合は、再試行をクリックして証明書を再発行してください。自己管理証明書を使用している場合は、証明書を提供をクリックして新しいファイルをアップロードしてください。
• 未構成：このプラットフォームの側で構成されているドメインはありません。
• 検証タイムアウト：ドメイン検証がタイムアウトしました。
• 取り消し済み：証明書が取り消されました。