Tableau Mobile の認証とアクセスを制御する
サポートされる認証方法
Tableau Server
Tableau Mobile では、Tableau Server の次の認証方法に対応しています。
| メソッド | Tableau Mobile に関する考慮事項 |
|---|---|
| ローカル (基本) 認証 | |
| Kerberos |
|
| SAML | |
| NTLM | |
| 相互 SSL |
|
| OpenID Connect |
|
これらのメソッドの構成に関する詳細については、Windows(新しいウィンドウでリンクが開く) と Linux(新しいウィンドウでリンクが開く) 用の Tableau Server ヘルプを参照 してください。
Tableau Cloud
Tableau Mobile では、Tableau Cloud の次の 3 つの認証方法にすべて対応しています。
- 既定の Tableau メソッド
- OpenID Connect 経由の Google ([Sign in with Device Browser (デバイス ブラウザーでサインイン)] を有効にする必要があります)
- SAML
これらのメソッドの構成に関する詳細については、Tableau Cloud ヘルプの「認証」(新しいウィンドウでリンクが開く)を参照してください。
デバイスのブラウザーを使用した認証
OpenID Connect (Googleを含む) と相互 SSL 認証は、モバイル デバイスのブラウザー (Safari、Chrome) を使用して行います。ブラウザーと Tableau Mobile の切り替えは、OAuth の Proof Key for Code Exchange(新しいウィンドウでリンクが開く) (PKCE) によってセキュアに保護されています。
この認証を行うには、以下の手順に従って、[Sign in with Device Browser (デバイス ブラウザーでサインイン)] 設定を有効にする必要があります。この要件に対する 1 つの例外は、構成の変更を必要としない Android での相互 SSL 認証です。
Tableau Server (バージョン 2019.4 以降)
MDM や MAM システムを使用する場合は、AppConfig パラメーター、RequireSignInWithDeviceBrowser を true に設定します。または、Tableau Server ユーザーであれば、個々のデバイスで [Sign in with Device Browser (デバイス ブラウザーでサインイン)] 設定を有効にすることもできます。AppConfig パラメーターによって、ユーザー設定が上書きされます。
Tableau Cloud
AppConfig パラメーター、RequireSignInWithDeviceBrowser を true に設定します。AppConfig パラメーターを設定するには、MDM や MAM システムでアプリを展開する必要があります。ユーザーの設定は Tableau Cloud に影響を与えないため、MDM システムや MAM システムを使用しない場合は、Google 認証を許可することができません。
認証に使用される既定のブラウザーを上書きする
認証にブラウザーを使用するように Tableau Mobile を構成すると、デバイスの既定のブラウザー (iOS の場合は Safari、Android の場合は Chrome) が使用されます。Microsoft Intune の条件付きアクセスを有効にするには、認証に Microsoft Edge を使用するように Tableau Mobile を構成する必要があります。これには、2 つの AppConfig パラメーターが必要です。
RequireSignInWithDeviceBrowserをtrueに設定して、Tableau Mobile がブラウザーを認証に使用するようにします。OverrideDeviceBrowserをEdgeに設定して、認証に使用するブラウザーをデバイスの既定値から Microsoft Edge に変更します。ブラウザーでのサインインが必要ない場合、このパラメーターを変更しても効果はありません。詳細については、「Tableau Mobile の AppConfig パラメータ―」を参照してください。
Tableau Mobile の AppConfig パラメーターの設定に加えて、Microsoft Intune 環境を次のように構成します。
- Azure アプリ プロキシを使用する場合は、事前認証方法としてパススルーを使用する必要があります。
- 認証方法は SAML または OpenID である必要があります。
- ID プロバイダーは Azure Active Directory である必要があります。
一時的にサインインしたユーザーを保持する
サインイン済みの Tableau Mobile ユーザーを一時的に保持するには、接続されたクライアントが Tableau Cloud または Tableau Server に対して有効になっていることを確認します。この既定の設定を無効にすると、ユーザーはサーバーに接続するたびにサインインが必要となります。
Tableau Cloud で接続クライアントの設定を確認する
- Tableau Cloud に管理者としてサインインします。
- [設定] を選択して、[認証] タブを選択します。
- [接続されたクライアント] の [この Tableau Cloud サイトにクライアントを自動接続する] 設定を確認します。
詳細については、Tableau Cloud ヘルプの「接続されているクライアントからサイトにアクセス」を参照してください。
Tableau Server で接続されたクライアントの設定を確認する
- Tableau Server に管理者としてサインインします。
- サイト メニューで、[すべてのサイトを管理] > [設定] > [全般] の順に選択します。
- [接続されたクライアント] の下の [クライアントに Tableau Server への自動接続を許可する] 設定を確認します。
詳細については、Tableau Server ヘルプの「自動クライアント認証を無効にする」を参照してください。
ユーザーが Tableau Server へのサインイン状態を維持する期間を変更する
接続されたクライアントの設定が有効になっていない場合、Tableau Mobile でのセッションの長さは Tableau Server の制限によって制御されます。接続されたクライアント設定が有効になっている場合、Tableau Mobile は OAuth トークンを使用して、Tableau セッション制限に達したセッションを再確立します。この自動再認証により、更新トークンが有効である限り、ユーザーはサインインしたままになります。この再認証を実行するには、更新トークンの有効期間が Tableau セッションの制限よりも長くなければなりません。それ以外の場合、セッションの有効期限が切れるとユーザーはサインアウトされます。
接続されたクライアントのトークン値を変更する
ユーザーのサインイン状態を維持するには、Tableau Mobile から認証システムへ更新トークンを送信します。その後、新しいアクセス トークンがモバイル デバイスに送信されます。更新トークンの設定を調整して、ユーザーがサインイン状態を維持する期間を変更できます。
Tableau サービス マネージャーのコマンドライン インターフェイスで、次のオプションを設定します。
- refresh_token.idle_expiry_in_seconds
トークンの有効期限が切れる前に使用停止にする秒数を設定します。既定値は 1,209,600 (14 日) です。アイドル状態のトークンに有効期限を設定しない場合は、値に「-1」と入力します。
- refresh_token.absolute_expiry_in_seconds
更新トークンの有効期限が完全に切れるまでの秒数を設定します。既定値は 31,536,000 (365 日) です。トークンに有効期限を設定しない場合は、値に「-1」と入力します。
- refresh_token.max_count_per_user
各ユーザーに発行できる更新トークンの最大数を設定します。既定値は 24 です。トークンの制限を完全に削除するには、値に「-1」と入力します。
上記のオプションを設定するには、コマンドライン インターフェイスで次の構文を使用します。
tsm configuration set -k <config.key> -v <config_value>。
たとえば、ユーザーあたりの更新トークンの数を 5 に制限するには、次のように入力します。
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
詳細については、Tableau Server ヘルプの「tsm configuration set のオプション」(新しいウィンドウでリンクが開く)を参照してください。
Tableau Server のセッション制限の変更
接続されたクライアントを無効にすると、Tableau Server のセッション制限によって Tableau Mobile でのセッションの長さが決まります。トークンが有効である限り、更新トークンによってセッションが再確立されるため、接続されたクライアントはこれらの制限の影響を受けません。詳細については、Tableau Server ヘルプの「セッション存続時間設定の検証」を参照してください。
Tableau サービス マネージャーのコマンドライン インターフェイスで、次のオプションを設定します。
Tableau セッションの有効期限が切れるまでの時間 (分単位) を設定します。再度サインインが必要となります。既定値は 240 です。
アプリ ロックを有効にしてセキュリティを強化する
長期間有効な認証トークンによって、ユーザーはサインインしたまま問題なくデータにアクセスできるようになります。ただし、Tableau Mobile ではこうしたデータへの公開アクセスには不安を感じるかもしれません。ユーザーに頻繁にサインインを要求する代わりにアプリ ロックを有効にすれば、ユーザーが安全かつシンプルにコンテンツへアクセスできるようになります。
Tableau Mobile のアプリ ロックを使用しても、Tableau Server または Tableau Cloud ではユーザー認証は行われません。これは、既にサインインしているユーザーのセキュリティを強化するためのものです。アプリ ロックが有効になっている場合でも、ユーザーが自ら構成したセキュリティ方法を使用してアプリを開き、デバイスのロックを解除する必要があります。サポートされている生体認証方式は、Face ID または Touch ID (iOS) と指紋認証 (Android) です。また、パスコード (iOS) や、パターン、PIN、パスワード (Android) による認証にも対応しています。
アプリ ロックを有効にする前に
Tableau Server または Tableau Cloud の [接続されたクライアント] 設定が有効になっていることを確認します。詳細については、一時的にサインインしたユーザーを保持するを参照してください。この設定が有効になっていない場合、ユーザーは Tableau Server または Tableau Cloud に接続するたびにサインインする必要があるため、アプリ ロックは不要です。
Tableau Server では、更新トークンの有効期限値を調整することで、ユーザーのサインイン状態を維持する期間を正確に制御できます。詳細については、ユーザーが Tableau Server へのサインイン状態を維持する期間を変更するを参照してください。アプリ ロックは、既定の有効期限値を使用するトークンなど、長期間有効なトークンを使用している場合を想定しています。
注: Tableau Server のインストールにリバース プロキシ サーバーを使用している場合は、アプリのロックを解除するときにユーザーによるサインインが必要になりる場合がありますので注意してください。これは、リバース プロキシ トークンの有効期限が切れているにもかかわらず更新トークンが依然としてアクティブになっていることが原因です。
アプリロック設定を有効にする
Tableau Cloud の場合
- Tableau Cloud に管理者としてサインインします。
- [設定] を選択して、[認証] タブを選択します。
- [App Lock for Tableau Mobile (Tableau Mobile のアプリ ロック)] で、[Enable app lock (アプリ ロックを有効にする)] 設定をオンにします。
Tableau Server バージョン 2019.4 以降の場合
- Tableau Server に管理者としてサインインします。
- アプリ ロックを有効にするサイトへ移動します。
- [設定] を選択します。
- [Tableau Mobile] で、[Enable app lock (アプリ ロックを有効にする)] 設定をオンにします。
Tableau Server バージョン 2019.3 以前の場合
アプリ ロックを有効にする設定は、Tableau Server バージョン 2019.3 以前では使用できません。ただし、MDM システムと MAM システムの AppConfig パラメーターを使用してアプリ ロックを有効にすることはできます。AppConfig キーの「RequireAppLock」を参照してください。
ユーザーが有効にできるアプリ ロック
ユーザーは、アプリ内の設定を使用してデバイスのアプリ ロックを個別に有効にすることもできます。ただし、管理者がアプリ ロックを有効にしている場合は、ユーザーがこの設定を使用してアプリ ロックを無効にすることはできません。
アプリ ロックが有効になっている場合
アプリ ロックを有効にした後でサインインするユーザーは、アプリを開くときにロックを解除する必要があります。ユーザーがデバイスのロックを解除する方法を設定していない場合は、この設定を行ってアプリ ロックを解除するように求められます。
ユーザーがアプリ ロックを解除できない場合は、もう一度やり直すか、Tableau からログアウトするかを選択します。ユーザーが生体認証を使用してアプリ ロックの解除を 5 回試行しても解除できない場合、またはデバイスで生体認証が設定されていない場合は、パスコードなど別の方法を使用してロックを解除するように求められます。
パスコードを使用したアプリ ロックの解除に繰り返し失敗すると、アプリだけでなくデバイス全体がロック アウトされます。ロック アウトまでの試行回数は、デバイスによって異なります。この回数を超えてロック アウトされると、デバイスのロック解除ができるようになるまでの時間が先送りになります。
Tableau Mobile へのシングル サインオン
シングル サインオン (SSO) 認証について、Tableau Mobile ではすべてのモバイル プラットフォームで SAML と OpenID Connect に対応し、iOS デバイスでは Kerberos に対応しています。
SAML
Tableau Cloud または Tableau Server で SAML を使用するように設定されている場合、ユーザーは Tableau Mobile 内で自動的にアイデンティティ プロバイダー (IdP) にリダイレクトされ、サインインを行います。ただし、SAML は SSO を使用する他のモバイル アプリに認証資格情報を伝達しません。SAML には、Microsoft Intune を使用するデバイスの場合を除き、モバイル デバイス用の特別な構成は必要ありません。Microsoft Intune で SAML を有効にするには、「認証に使用される既定のブラウザーを上書きする」を参照してください。
OpenID Connect
Tableau Server が認証に OpenID Connect を使用するように構成されている場合や、Tableau Cloud が OpenID Connect 経由で Google を使用するように構成されている場合、モバイル デバイスのブラウザーを使用して外部 ID プロバイダー (IdP) でのシングル サインオンが行われます。ブラウザーで SSO を有効にするには、「デバイスのブラウザーを使用した認証」を参照してください。Microsoft Intune 専用の OpenID Connect を有効にするには、「認証に使用される既定のブラウザーを上書きする」を参照してください。
Kerberos (iOS および Tableau Server のみ)
Kerberos 認証を使用するには、デバイスを組織用に特別に設定する必要があります。Kerberos の構成は本書および Tableau サポートの対象外ですが、開始する際に役立ついくつかのサードパーティ リソースを紹介します。
iOS における Kerberos シングル サインオン(新しいウィンドウでリンクが開く) (Sam's Tech Notes ブログより)
iOS から SAP NetWeaver へのモバイル シングル サインオン(新しいウィンドウでリンクが開く) (SAP Community Network より)
Configuration Profile Key Reference(新しいウィンドウでリンクが開く) (iOS Developer Library より)
構成プロファイルをセットアップするときに、Tableau サーバーにアクセスするために使用する URL が必要になります。URLPrefixMatches キーについては、URL 文字列を明示的にリストする場合、URL と共にすべてのプロトコル オプションと適切なポート番号を含めます。
SSL を使用するサーバーでは、URL として https プロトコルとサーバーの完全修飾ドメイン名を使用してください。いずれかの URL でポート 443 も指定してください。
たとえば、
https://fully.qualifed.domain.name:443/とhttps://servername.fully.qualified.domain.name/を入力します。Tableau サーバーにアクセスしてくるユーザーがローカル サーバー名しか指定しないような状況では、それらのバリエーションも含めてください。
たとえば、
http://servername/とhttp://servername:80/を入力します。
注: サインアウトしても、Kerberos チケットはデバイスでクリアされません。保存されている Kerberos チケットが有効な間は、デバイスを使用するユーザーは誰でも、認証資格情報を提供することなく、ユーザーが最後にサインインしたサーバーやサイトにアクセスできます。
ユーザーが Tableau Cloud のサイトを簡単に切り替えられるようにする
Tableau Mobile のサイト スイッチャーを使用すると、ユーザーは現在のサイトからサインアウトしてターゲット サイトにサインインすることなく、アクセス可能なさまざまな Tableau サイトに切り替えることができます。ユーザーが認証資格情報を再入力せずに Tableau Cloud 上のサイト間を切り替えることができるようにするには、特定の条件を満たす必要があります。
- ユーザーの Tableau セッションと ID プロバイダー セッションは、ターゲット サイトで引き続き (ログイン状態) アクティブになります。
- [Sign in with Device Browser (デバイス ブラウザーでサインイン)] を有効にします。詳細については、「デバイスのブラウザーを使用した認証」を参照してください。
ユーザーが切り替え先のサイトを選択すると、アプリはデバイスのブラウザーにリダイレクトして ID プロバイダーとのセッションを確認し、ターゲット サイトに切り替えます。ターゲット サイトでのセッションの有効期限が切れた場合、またはデバイス ブラウザーでサインイン設定が有効になっていない場合、ユーザーは認証資格情報を再入力する必要があります。
セッション時間を長く設定し、[接続されたクライアント] 設定を有効にすると、ユーザーのセッションが引き続きアクティブになる可能性が高くなります。接続されたクライアントの詳細については、「接続されたクライアントからサイトにアクセスする」を参照してください。
注: Tableau Server ユーザーは、同じサーバー インスタンスに属するサイト間を切り替えるために認証資格情報を再入力する必要はありません。