認証と認可
このコンテンツは、Tableau Blueprint 方法論の一部です。Tableau Blueprint の紹介(新しいウィンドウでリンクが開く)。
Tableau は総合的な機能と高い統合性で、エンタープライズセキュリティのあらゆる面に対応します。詳しくは、『Tableau Server プラットフォームセキュリティ』と Tableau Server の「セキュリティ強化チェックリスト」 (Windows | Linux)、または「Tableau Cloud クラウドにおけるセキュリティ」をご覧ください。
アイデンティティストア
Tableau Server には、ユーザーとグループの情報を管理するためにアイデンティティストア (Windows | Linux) が必要です。 アイデンティティストアには、ローカル (Tableau Server) と外部 (Active Directory か LDAP) の 2 種類があります。Tableau Server をインストールする際は、ローカルアイデンティティストアと外部アイデンティティストアのどちらかを構成する必要があります。アイデンティティストアの構成オプションについて詳しくは、「identityStore エンティティ」をご覧ください。
Tableau Server をローカルアイデンティティストアで構成する場合、ユーザーとグループの全情報は Tableau Server リポジトリに格納されて管理されます。ローカルアイデンティティストアを使用するシナリオでは、ユーザーとグループの外部ソースはありません。注: サーバーのインストール後にアイデンティティストアを変更する場合は、完全なアンインストールと再インストールが必要です。
Tableau Server を外部アイデンティティストアで構成する場合、ユーザーとグループの全情報は外部ディレクトリサービスに格納されて管理されます。Tableau Server は外部アイデンティティストアと同期して、ユーザーとグループのローカルコピーを Tableau Server リポジトリに持つ必要がありますが、ユーザーとグループの全データのマスターソースは外部アイデンティティストアです。ユーザーが Tableau Server にサインインすると、ユーザーの認証資格情報は、ユーザーの認証に責任を負う外部ディレクトリに渡されます (Windows | Linux)。このとき Tableau Server は認証を行いませんが、アイデンティティストアに格納された Tableau ユーザー名は、Tableau Server の権限やパーミッションと関連付けられています。認証が確認された後、Tableau Server は Tableau リソースのユーザーアクセス (認可) を管理します。
認証
認証では、ユーザーのアイデンティティが検証されます。Tableau Server または Tableau Cloud にアクセスする必要がある人はすべて、その目的がサーバーやサイトの管理、コンテンツのパブリッシュ、参照、管理などにかかわらず、Tableau Server のアイデンティティストアでユーザーとして示されるか、Tableau Cloud ユーザーとしてプロビジョニングされる必要があります。認証は Tableau Server または Tableau Cloud で行うか (ローカル認証)、外部プロセスで行うことができます。後者の場合は、外部認証プロトコルの Active Directory や OpenLDAP、SAML、OpenID などを利用するように Tableau Server を構成するか、Google または SAML を利用するように Tableau Cloud を構成する必要があります。
Tableau Cloud の認証
Tableau Cloud は以下の認証タイプをサポートしています。いずれも [認証] ページで設定できます。 詳しくは、Tableau Cloud の「認証」をご覧ください。
- Tableau: これはすべてのサイトで使用可能な既定の認証タイプであり、ユーザーを追加する前に必要な追加の構成ステップはありません。Tableau の認証資格情報はユーザー名とパスワードで構成されており、Tableau Cloud に保存されます。ユーザーは Tableau Cloud サインインページで、認証資格情報を直接入力します。
- Google: 組織で Google アプリケーションを使用している場合は、OpenID Connect を使用して、Tableau Cloud で Google アカウントによるシングルサインオン (SSO) を有効にできます。Google 認証を有効化すると、ユーザーは Google サインインページに誘導され、そこで Google に保存されている認証資格情報を入力します。
- SAML: SAML からも SSO を使用できます。そのためには、サードパーティー ID プロバイダー (IdP) を使用し、サイトを構成してその IdP と信頼関係を確立します。SAML を有効化すると、ユーザーは IdP のサインインページに誘導され、そこですでに IdP に保存されている SSO のログイン情報を入力します。
Tableau Cloud の多要素認証の要件
2022 年 2 月 1 日以降、サイトに認証タイプを設定することに加えて、SSO アイデンティティプロバイダー (IdP) を通じた多要素認証 (MFA) を設定することが Tableau Cloud の要件となりました。SSO IdP と直接連携していない組織の場合は、Tableau with MFA 機能を使用して MFA 要件を満たすことができます。詳しくは、「多要素認証と Tableau Cloud について」をご覧ください。
Tableau Server の認証
下記の表に、どのアイデンティティストアがどの Tableau Server 認証方法に対応しているかを示します。
認証方法 | ローカル認証 | AD/LDAP |
---|---|---|
SAML | 対応 | 対応 |
Kerberos | 非対応 | 対応 |
相互 SSL | 対応 | 対応 |
OpenID | 対応 | 非対応 |
信頼できる認証 | 対応 | 対応 |
Active Directory と OpenLDAP
このシナリオの場合、Tableau Server は Active Directory のドメインにインストールしてください。Tableau Server は、Active Directory のユーザーとグループのメタデータをアイデンティティストアと同期します。手動でユーザーを追加する必要はありません。しかし、データの同期後にサイトとサーバーのロールを割り当てる必要があります。ロールは、個人に割り当てることもグループレベルで割り当てることもできます。なお、Tableau Server がデータを Active Directory に同期し戻すことはありません。Tableau Server は、リポジトリに格納されているサイトロールのパーミッションデータに従って、コンテンツとサーバーのアクセスを管理します。
組織でユーザー管理に Active Directory をすでに利用している場合は、Tableau セットアップ時に Active Directory 認証を選択してください。たとえば Active Directory グループを同期すると、そのグループで同期されるユーザーに対して、最小サイトロールの Tableau パーミッションを設定できます。同期は特定の Active Directory グループで行うことも、全グループを同期することも可能です。詳しくは、「サーバー上のすべての Active Directory グループの同期」をご覧ください。また、複数のドメイン、ドメインの名前付け、NetBIOS、Active Directory ユーザー名の形式が Tableau のユーザー管理に与える影響を理解するには、「Active Directory 展開におけるユーザー管理」をご覧ください。
Tableau Server は、アイデンティティストアとの一般的な通信手段として、LDAP を使用するように構成することもできます。たとえば OpenLDAP は、柔軟なスキーマを持つ LDAP サーバー実装の 1 つです。Tableau Server は、OpenLDAP サーバーにクエリを実行するように構成することができます。詳しくは、「アイデンティティストア」をご覧ください。このシナリオの場合の認証は、ネイティブの LDAP ソリューションでもシングルサインオンのソリューションでも行えます。以下の図は、Tableau Server での Active Directory/OpenLDAP 認証を示しています。
SAML
SAML (セキュリティアサーションマークアップ言語) とは、セキュアな Web ドメインがユーザー認証データと認可データをやり取りできるようにするための XML 規格です。Tableau Server と Tableau Cloud は、外部の ID プロバイダー (IdP) を使ってユーザー認証を SAML 2.0 で行うように構成することができます。
Tableau Server と Tableau Cloud は、ブラウザや Tableau Mobile アプリで、サービスプロバイダーが開始した SAML と IdP が開始した SAML の両方をサポートします。Tableau Desktop からの接続の場合、SAML リクエストはサービスプロバイダーが開始したものである必要があります。ユーザー認証資格情報は Tableau Server にも Tableau Cloud にも保存されず、SAML を使うと組織のシングルサインオン環境に Tableau を追加することができます。SAML によるユーザー認証は、Tableau Server や Tableau Cloud のコンテンツ (データソースやワークブックなど) のパーミッションにも認可にも適用されません。また、ワークブックやデータソースが接続している参照元データへのアクセス制御も行いません。
Tableau Server については、SAML を Server 全体で使用、または各 Tableau Server サイトで個別に構成できます。オプションの概要を次に示します。
- サーバー全体の SAML 認証。単一の SAML IdP アプリケーションが、Tableau Server 全ユーザーの認証を処理します。サーバーに既定のサイトのみがある場合は、このオプションを使ってください。
さらに、Tableau Server サイト固有の SAML を使う場合は、個々のサイトを構成する前に Tableau Server 全体の SAML を構成する必要があります。Tableau Server サイト固有の SAML を機能させるために Tableau Server 全体の SAML を有効化する必要はありませんが、構成する必要はあります。
- サーバー全体のローカル認証とサイト固有の SAML 認証。複数のサイトがある環境では、サイトのレベルで SAML 認証が有効になっていないユーザーはローカル認証でサインインすることができます。
- サーバー全体の SAML 認証とサイト固有の SAML 認証。複数のサイトがある環境では、全ユーザーがサイトのレベルで構成された SAML IdP を通じて認証を行います。管理者は、複数のサイトに属するユーザーに対して、サーバー全体の既定の SAML IdP を指定します。
詳しくは、「SAML」 (Windows | Linux) をご覧ください。以下の図は、Tableau Server での SAML 認証を示しています。
Tableau Cloud で SAML を構成する場合は、下記の要件を確認してください。
- アイデンティティプロバイダー (IdP) における Tableau 構成の要件
- SAML 互換性についての注意事項と要件
- Tableau クライアントアプリケーションでの SAML SSO の使用
- 認証タイプの変更による Tableau Bridge への影響
- XML データの要件
注: これらの要件に加えて、常に Tableau 認証用として構成した専用の Tableau Cloud サイト管理者アカウントを持つことを推奨します。SAML または IdP に問題が発生した場合でも、専用の TableauID アカウントによって Tableau Cloud サイトへのアクセスが常に確保されます。
信頼できるチケット
Tableau Server のビューを Web ページに埋め込む場合、その Web ページにアクセスするユーザーは、全員が Tableau Server のライセンスユーザーである必要があります。ユーザーが Web ページにアクセスする際、ビューの表示前に、Tableau Server にサインインするよう促すメッセージが表示されます。Web ページや Web アプリケーション内でユーザーを認証する手段がすでにある場合は、信頼できる認証を設定することにより、このメッセージが表示されないようにして、ユーザーが 2 回サインインしなくても済むようにできます。
信頼できる認証とは、Tableau Server と 1 つ以上の Web サーバーの間に信頼関係が設定済みであることを意味します。Tableau Server は、信頼できる Web サーバーからリクエストを受信すると、その Web サーバーが必要な何らかの認証をすでに行ったものと見なします。
Web サーバーが SSPI (セキュリティサポートプロバイダーインターフェイス) を使用している場合、信頼できる認証を設定する必要はありません。Tableau Server のライセンスユーザーであり Active Directory のメンバーでもあるユーザーは、埋め込まれたビューにセキュアなアクセスを行うことができます (Windows | Linux)。以下の図は、Tableau Server での信頼できるチケットを示しています。
相互 SSL
相互 SSL を使用すると、Tableau Desktop ユーザーと承認済みの他の Tableau クライアントが、Tableau Server にセキュアな直接アクセスを行えるようにすることが可能です。相互 SSL では、有効な SSL 証明書を持つクライアントが Tableau Server に接続する場合、Tableau Server はクライアント証明書があることを確認し、クライアント証明書内のユーザー名に基づいてユーザーを認証します。クライアントが有効な SSL 証明書を持たない場合、Tableau Server は接続を拒否することができます。また、相互 SSL が失敗した場合はユーザー名/パスワードによる認証に戻るように、Tableau Server を構成することもできます。
認可
認可とは、認証が確認された後に、ユーザーが Tableau Server または Tableau Cloud 上で何にどのようにアクセスできるのかを示すものです。詳しくは、「Tableau のガバナンス」をご覧ください。認可には次のものが含まれます。
- Tableau Server または Tableau Cloud でホスティングされているコンテンツ (プロジェクト、サイト、ワークブック、ビューなど) に対し、ユーザーが許可されている操作
- Tableau Server または Tableau Cloud が管理しているデータソースに対し、ユーザーが許可されている操作
- Tableau Server や Tableau Cloud の管理で、ユーザーによる実行が許可されているタスク (サーバーやサイトの設定の構成、コマンドラインツールの実行など)
認可は、Tableau Server や Tableau Cloud 内で管理されます。認可は、ユーザーのライセンスレベル (Tableau Creator、Tableau Explorer、Tableau Viewer)、サイトロールと、具体的なエンティティ (ワークブックやデータソースなど) に関連付けられたパーミッションとの組み合わせによって決まります。プロジェクトチームは協力して、パーミッションモデルを定義する必要があります。Tableau Server 管理者やサイト管理者、または Tableau Cloud サイト管理者は、グループにパーミッションルールを割り当ててそのプロジェクトにロックします。パーミッションのカスタマイズでは、データソースへのアクセスやダウンロードから、パブリッシュされたコンテンツに対するユーザーの操作方法まで、より細かいパーミッション設定が可能です。
Tableau の直感的なインターフェイスでは、ユーザーを機能グループに関連付けることも、パーミッションをグループに割り当てることも、そしてどのコンテンツに誰がアクセスできるかを確認することも簡単です。グループは、サーバー上でローカルに作成するか、Active Directory からインポートして設定されたスケジュールで同期することができます。また、パーミッションビューは、ビジネスユーザーが独自のユーザーとグループを管理するときにも便利です。詳しくは、「クイックスタート: パーミッション」、「マネージドセルフサービスに向けたプロジェクト、グループ、パーミッションの設定」、「パーミッション」をご覧ください。