認証と認可
このコンテンツは、Tableau Blueprint の一部です。Tableau Blueprint は、組織がデータの活用方法を拡大および改善して、影響力を強化できるよう支援する成熟したフレームワークです。使用を開始する前に、まず評価(新しいウィンドウでリンクが開く)を受けてください。
Tableau は総合的な機能と高い統合性で、エンタープライズセキュリティのあらゆる面に対応します。詳しくは、『Tableau Server プラットフォームセキュリティ』と Tableau Server の「セキュリティ強化チェックリスト」 (Windows | Linux)、または「Tableau Cloud クラウドにおけるセキュリティ」をご覧ください。
アイデンティティ ストア
Tableau Server には、ユーザーとグループの情報を管理するためにアイデンティティストア (Windows | Linux) が必要です。アイデンティティストアには、ローカル (Tableau Server) と外部 (Active Directory か LDAP) の 2 種類があります。Tableau Server をインストールする場合は、ローカルまたは外部のアイデンティティ ストアを構成する必要があります。アイデンティティストアの構成オプションについて詳しくは、「identityStore エンティティ」をご覧ください。
Tableau Server をローカルアイデンティティストアで構成する場合、ユーザーとグループの全情報は Tableau Server リポジトリに格納されて管理されます。ローカル アイデンティティ ストアのシナリオでは、ユーザーおよびグループ用の外部のソースはありません。注: サーバーのインストール後にアイデンティティ ストアを変更するには、完全なアンインストールと再インストールが必要です。
外部のストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は外部ディレクトリ サービスによって格納され管理されます。Tableau Server は外部アイデンティティストアと同期して、ユーザーとグループのローカルコピーを Tableau Server リポジトリに持つ必要がありますが、ユーザーとグループの全データのマスターソースは外部アイデンティティストアです。ユーザーが Tableau Server にサインインすると、ユーザーの認証資格情報は、ユーザーの認証に責任を負う外部ディレクトリに渡されます (Windows | Linux)。このとき Tableau Server は認証を行いませんが、アイデンティティストアに格納された Tableau ユーザー名は、Tableau Server の権限やパーミッションと関連付けられています。認証が検証された後、Tableau Server は Tableau リソースへのユーザー アクセス (認可) を管理します。
認証
認証では、ユーザーの ID を検証します。Tableau Server または Tableau Cloud にアクセスする必要がある人はすべて、その目的がサーバーやサイトの管理、コンテンツのパブリッシュ、参照、管理などにかかわらず、Tableau Server のアイデンティティストアでユーザーとして示されるか、Tableau Cloud ユーザーとしてプロビジョニングされる必要があります。認証は Tableau Server または Tableau Cloud で行うか (ローカル認証)、外部プロセスで行うことができます。後者の場合は、外部認証プロトコルの Active Directory や OpenLDAP、SAML、OpenID などを利用するように Tableau Server を構成するか、Google または SAML を利用するように Tableau Cloud を構成する必要があります。
Tableau Cloud の認証
Tableau Cloud は以下の認証タイプをサポートしています。いずれも [認証] ページで設定できます。詳しくは、Tableau Cloud の「認証」をご覧ください。
- Tableau: 既定の認証タイプです。すべてのサイトで利用可能で、ユーザーを追加する前にその他の設定手順を実行する必要はありません。Tableau の認証資格情報はユーザー名とパスワードで構成されており、Tableau Cloud に保存されます。ユーザーは Tableau Cloud サインインページで、認証資格情報を直接入力します。
- Google: 組織で Google アプリケーションを使用している場合は、Tableau Cloud で Google アカウントを使用できるように設定すると OpenID Connect によるシングル サインオン (SSO) を実現できます。Google 認証を有効にすると、ユーザーは Google サインイン ページに転送され、Google に保存されているユーザーの認証資格情報を入力するように求められます。
- SAML: SSO を使用する別の方法には、SAML を経由する方法があります。これを行うには、サードーパーティ アイデンティティ プロバイダー (IdP) を使用し、IdP と信頼できる関係を構築するようサイトを構成します。SAML を有効化すると、ユーザーは IdP のサインインページに誘導され、そこですでに IdP に保存されている SSO の認証資格情報を入力します。
Tableau Cloud の多要素認証の要件
サイトに設定する認証タイプに加えて、2022 年 2 月 1 日以降、SSO ID プロバイダー (IdP) を介した多要素認証 (MFA) が Tableau Cloud の必須要件となります。お客様の組織が SSO IdP を直接使用していない場合は、Tableau を MFA 認証で使用して、MFA 要件を満たすことができます。詳しくは、「多要素認証と Tableau Cloud について」をご覧ください。
Tableau Server の認証
下記の表に、どのアイデンティティストアがどの Tableau Server 認証方法に対応しているかを示します。
認証方法 | ローカル認証 | AD/LDAP |
|---|---|---|
SAML | 可 | 可 |
Kerberos | 不可 | 可 |
相互 SSL | 可 | 可 |
OpenID | 可 | 不可 |
信頼できる認証 | 可 | 可 |
Active Directory と OpenLDAP
このシナリオでは、Tableau Server が Active Directory 内のドメインにインストールされている必要があります。Tableau Server では、Active Directory からアイデンティティ ストアへユーザーとグループ メタデータを同期します。手動でユーザーを追加する必要はありません。ただし、データが同期された後、サイトとサーバー ロールを割り当てる必要があります。これらを個別に割り当てることも、グループ レベルで割り当てることができます。Tableau Server は Active Directory に戻ってデータを同期することはできません。Tableau Server は、リポジトリに格納されているサイトロールのパーミッションデータに従って、コンテンツとサーバーのアクセスを管理します。
組織でユーザー管理に Active Directory をすでに利用している場合は、Tableau セットアップ時に Active Directory 認証を選択してください。たとえば、Active Directory グループを同期することで、グループ内で同期されたユーザーの最低限のサイト ロール Tableau パーミッションを設定できます。特定の Active Directory グループを同期したり、それらすべてを同期できます。詳しくは、「サーバー上のすべての Active Directory グループの同期」をご覧ください。また、複数のドメイン、ドメインの名前付け、NetBIOS、Active Directory ユーザー名の形式が Tableau のユーザー管理に与える影響を理解するには、「Active Directory 展開におけるユーザー管理」をご覧ください。
アイデンティティ ストアとの通信を行う一般的な方法として Tableau Server で LDAP を使用するように構成することもできます。たとえば、OpenLDAP は柔軟なスキーマを備えた LDAP サーバー実装の一種です。Tableau Server は、OpenLDAP サーバーにクエリを実行するように構成することができます。詳しくは、「アイデンティティストア」をご覧ください。このシナリオの場合の認証は、ネイティブの LDAP ソリューションでもシングルサインオンのソリューションでも行えます。以下の図は、Tableau Server での Active Directory/OpenLDAP 認証を示しています。
SAML
SAML (セキュリティ アサーション マークアップ ランゲージ) は、セキュアな Web ドメインがユーザー認証および認可データを交換できる XML 規格です。Tableau Server と Tableau Cloud は、外部の ID プロバイダー (IdP) を使ってユーザー認証を SAML 2.0 で行うように構成することができます。
Tableau Server と Tableau Cloud は、ブラウザや Tableau Mobile アプリで、サービスプロバイダーが開始した SAML と IdP が開始した SAML の両方をサポートします。Tableau Desktop からの接続の場合、SAML リクエストはサービスプロバイダーが開始したものである必要があります。ユーザー認証資格情報は Tableau Server にも Tableau Cloud にも保存されず、SAML を使うと組織のシングルサインオン環境に Tableau を追加することができます。SAML によるユーザー認証は、Tableau Server や Tableau Cloud のコンテンツ (データソースやワークブックなど) のパーミッションにも認可にも適用されません。また、ワークブックやデータ ソースが接続する参照元データへのアクセスがこれによって制御されることはありません。
Tableau Server については、SAML を Server 全体で使用、または各 Tableau Server サイトで個別に構成できます。これらのオプションの概要を以下に示します。
- サーバー全体の SAML 認証。単一の SAML IdP アプリケーションが、Tableau Server 全ユーザーの認証を処理します。サーバーに "既定" サイトしかない場合は、このオプションを使用します。
さらに、Tableau Server サイト固有の SAML を使う場合は、個々のサイトを構成する前に Tableau Server 全体の SAML を構成する必要があります。Tableau Server サイト固有の SAML を機能させるために Tableau Server 全体の SAML を有効化する必要はありませんが、構成する必要はあります。
- サーバー全体のローカル認証とサイト固有の SAML 認証。マルチサイト環境において、サイト レベルで SAML 認証に対応していないユーザーがローカル認証を使用してサインインできます。
- サーバー全体の SAML 認証とサイト固有の SAML 認証。マルチサイト環境において、サイト レベルで構成された SAML IdP を使用してすべてのユーザーが認証します。複数のサイトに所属するユーザー用に、サーバー全体の既定 SAML IdP を指定します。
詳しくは、「SAML」 (Windows | Linux) をご覧ください。以下の図は、Tableau Server での SAML 認証を示しています。
Tableau Cloud で SAML を構成する場合は、下記の要件を確認してください。
- アイデンティティプロバイダー (IdP) における Tableau 構成の要件
- SAML 互換性についての注意事項と要件
- Tableau クライアント アプリケーションでの SAML SSO の使用
- 認証タイプの変更による Tableau Bridge への影響
- XML データの要件
注: これらの要件に加え、通常 Tableau 認証用に設定されている Tableau Cloud サイト管理者アカウントを専用にすることをお勧めします。SAML または IdP に問題が発生した場合でも、専用の TableauID アカウントによって Tableau Cloud サイトへのアクセスが常に確保されます。
信頼できるチケット
Tableau Server のビューを Web ページに埋め込む場合、その Web ページにアクセスするユーザーは、全員が Tableau Server のライセンスユーザーである必要があります。ユーザーが Web ページにアクセスする際、ビューの表示前に、Tableau Server にサインインするよう促すメッセージが表示されます。Web ページ上または Web アプリケーション内でユーザーを認証する手段が既にある場合は、このプロンプトを省略し、信頼できる認証を設定することによりユーザーがサインインを 2 回行わずに済むようにできます。
信頼できる認証とは、Tableau Serverと 1 つ以上の Web サーバーとの間で信頼関係が設定されていることを意味します。Tableau Server が信頼できる Web サーバーから要求を受け取ると、Tableau Serverは Web サーバーで必要とされる認証は既に処理されていると見なします。
Web サーバーで SSPI (Security Support Provider Interface) が使用されている場合、信頼できる認証を設定する必要はありません。Tableau Server のライセンスユーザーであり Active Directory のメンバーでもあるユーザーは、埋め込まれたビューにセキュアなアクセスを行うことができます (Windows | Linux)。以下の図は、Tableau Server での信頼できるチケットを示しています。
相互 SSL
相互 SSL を使用すると、Tableau Desktop ユーザーと承認済みの他の Tableau クライアントが、Tableau Server にセキュアな直接アクセスを行えるようにすることが可能です。相互 SSL では、有効な SSL 証明書を持つクライアントが Tableau Server に接続するときに、Tableau Server でクライアント証明書の存在を確認し、クライアント証明書内のユーザー名に基づいてユーザーを認証します。クライアントに有効な SSL 証明書がない場合、Tableau Server は接続を拒否することができます。また、相互 SSL が失敗した場合はユーザー名/パスワードによる認証に戻るように、Tableau Server を構成することもできます。
認可
認可とは、認証が確認された後に、ユーザーが Tableau Server または Tableau Cloud 上で何にどのようにアクセスできるのかを示すものです。詳細については、Tableau のガバナンスを参照してください。認可に含まれるもの:
- Tableau Server または Tableau Cloud でホスティングされているコンテンツ (プロジェクト、サイト、ワークブック、ビューなど) に対し、ユーザーが許可されている操作
- Tableau Server または Tableau Cloud が管理しているデータソースに対し、ユーザーが許可されている操作
- Tableau Server または Tableau Cloud を管理するためにユーザーが実行できるタスク (サーバーやサイトの設定、コマンドライン ツールの実行などのタスク)。
認可は、Tableau Server や Tableau Cloud 内で管理されます。認可は、ユーザーのライセンスレベル (Tableau Creator、Tableau Explorer、Tableau Viewer)、サイトロールと、具体的なエンティティ (ワークブックやデータソースなど) に関連付けられたパーミッションとの組み合わせによって決まります。プロジェクトチームは協力して、パーミッションモデルを定義する必要があります。Tableau Server 管理者やサイト管理者、または Tableau Cloud サイト管理者は、グループにパーミッションルールを割り当ててそのプロジェクトにロックします。パーミッションのカスタマイズでは、データソースへのアクセスやダウンロードから、パブリッシュされたコンテンツに対するユーザーの操作方法まで、より細かいパーミッション設定が可能です。
Tableau の直感的なインターフェイスにより、ユーザーを機能グループに関連付け、グループに権限を割り当て、誰がどのコンテンツにアクセスできるかを簡単に確認できます。グループは、サーバー上でローカルに作成するか、Active Directory からインポートして設定されたスケジュールで同期することができます。また、パーミッションビューは、ビジネスユーザーが独自のユーザーとグループを管理するときにも便利です。詳細については、「パーミッション設定のクイック スタート」、「マネージド セルフサービスのプロジェクト、グループ、パーミッションの設定」、「パーミッションのリファレンス」を参照してください。