仮想接続とデータ ポリシーについて
仮想接続は、データ ソース、ワークブック、フローと並ぶ Tableau コンテンツ タイプの 1 つであり、データを表示し理解するのに役立ちます。仮想接続は、データへのアクセス ポイントを一元化するものです。仮想接続で導入されたもう 1 つの重要な機能は、データ ポリシーです。データ ポリシーは、ワークブックやデータ ソースのレベルではなく、行レベルのセキュリティを接続レベルで提供します。行レベルのセキュリティのためのデータ ポリシーは、仮想接続を使用するすべてのワークブック、データ ソース、フローに適用されます。
仮想接続は、複数のデータベースにまたがる複数のテーブルにアクセスすることができます。仮想接続では、データの抽出とセキュリティを接続レベルで一元管理できます。
行レベルのセキュリティ オプションについては、Tableau の「Tableau の行レベルのセキュリティ オプションの概要」を参照してください。
すべての仮想接続に、関連するデータ ポリシーがあるわけではありません。また、仮想接続は、単に接続の認証資格情報を管理するための一元的な場所として使用することもできます。
重要な用語
- 仮想接続。データへのアクセス ポイントを一元化する共有可能なリソースです。
- 接続データへのアクセスに使用するサーバー名、データベース、認証資格情報仮想接続には、1 つまたは複数の接続が含まれます。各接続は、1 つのデータベースまたはファイルにアクセスします。
- 仮想接続テーブル。仮想接続内のテーブルです。
- データ ポリシー。ユーザーのデータをフィルターリングするために仮想接続の 1 つまたは複数のテーブルに適用されるポリシーです。たとえば、データ ポリシーを使用して、仮想接続のテーブルに行レベルのセキュリティを適用します。
- ポリシー テーブル。フィルターリングされたデータ ポリシーのファクトまたはデータ テーブルです。
- ポリシー列。ポリシー テーブルのデータをフィルターリングするために使用する列。ポリシー列は、ポリシー テーブルまたは資格テーブルに含めることができます。
- 資格テーブル。ポリシー テーブルのフィルターリングに使用できるポリシー列と、ポリシー テーブルの列に関連付ける (マッピングする) ことができる別の列の両方を含むテーブル。
- ポリシー条件。クエリ時に各行に対して評価される式または計算。ポリシー条件が TRUE のとき、その行はクエリに表示されます。
仮想接続とデータ ポリシーのライセンス
仮想接続とデータ ポリシーは、データ管理 を介してライセンスされます。データ管理 のライセンスのしくみについては、「データ管理 のライセンス」を参照してください。
仮想接続とデータ ポリシーの有効化
仮想接続とデータ ポリシーは、データ管理 を使用して Tableau Server と Tableau Cloud で自動的に有効になります。
パーミッション
仮想接続のパーミッションは、他の Tableau コンテンツのパーミッションとほぼ同様に機能します。仮想接続をパブリッシュすると、誰でもその接続を表示できるようになります。ただし、接続の作成者がそれ以上のパーミッションを明示的に付与するまで、その接続を使用してデータにアクセスできるのは接続の作成者と管理者に限られます。
仮想接続を作成するときは、他のユーザーが仮想接続を使用してデータに接続できるように、接続機能のパーミッションを設定する必要があります。Connect 機能により、仮想接続の共有が可能になるため、ユーザーはその接続に関するクエリを実行することができます。接続権限を持つユーザーは、仮想接続でテーブルを表示し、そのテーブルを使用したコンテンツを作成することができます。詳細については、「仮想接続でのパーミッションの設定」 を参照してください。
パーミッションとデータ ポリシー
パーミッションは、Tableau のコンテンツでユーザーが実行できる操作と実行できない操作を定義します。パーミッションは、コンテンツの表示、Web 編集、データ ソースのダウンロード、コンテンツの削除などを実行する機能で構成されています。パーミッション ルールは、コンテンツでユーザーまたはグループに対して許可または拒否される機能を定義します。ライセンス レベル、サイト ロール、および複数のパーミッション ルール間での相互作用には、最終的に決定されたユーザーが実行できる操作とできない操作、つまり、有効なパーミッションが反映されています。詳細については、「パーミッション」を参照してください。
データ ポリシーは、仮想接続でデータをフィルターし、表示されるべきデータのみがユーザーに表示されるようにします。データ ポリシーを適用すると、データは Tableau コンテンツ (ワークブックやフローなど) で表示するときにフィルターされます。データ ポリシーのポリシー条件は、データへのアクセスを定義する計算または式です。ユーザー関数は、多くの場合、ユーザーまたはグループへのアクセスを制限するために使用されます。アクセスは、ユーザー名、ユーザーが属するグループ、または地域の値に基づいて行うことができます。詳細については、「行レベルのセキュリティに使用するデータ ポリシーの作成」を参照してください。
アクセスには、パーミッションとデータ ポリシーの両方が適用されます。簡単に言えば、パーミッションが、表示、アクセス、使用、または作成できるコンテンツを決定し、データ ポリシーが、表示できるデータを決定します。
パーミッションとデータ ポリシーが連携するしくみ
Tableau のパーミッションは、最初に Tableau コンテンツに適用されます。ユーザーは Tableau コンテンツで実行できる機能しか実行できません。データ ポリシーは Tableau のパーミッションを上書きしません。パーミッションが評価された後に、データ ポリシーが適用され、ポリシー条件に基づいて、仮想接続内で表示できるデータが決定されます。
次の例では、給与データを含む仮想接続に対するパーミッションとデータ ポリシーの影響について説明します。
- 仮想接続は HR プロジェクト内にあり、HR グループの Tableau ユーザーに制限されています。HR グループ外のユーザーは、HR プロジェクトのコンテンツを表示できません。つまり、仮想接続を参照、接続、または表示することはできません。
- 仮想接続には、HR ビジネス パートナー グループのメンバーにのみ付与される接続パーミッションがあります。HR グループ内の他のすべてのユーザーは、仮想接続が存在することを確認できますが、仮想接続に含まれるデータを表示することはできません。その仮想接続を使用するワークブックを表示しても、データは表示されません。
- 仮想接続には、個々のユーザーに基づいて給与データをフィルターするデータ ポリシーも含まれているため、HR ビジネス パートナーは、ビジネス ユニット内の従業員に関連する行のみを表示できます。その仮想接続を使用するワークブックを表示すると、ビジネス ユニットのデータのみが表示されます。
特長と機能
データの管理者にとっての仮想接続の利点は以下のとおりです。
- 安全に管理されたサービス アカウント。「サービス アカウント」モデルを使用する場合、そのデータにアクセスしたいユーザーとサービス アカウントの情報を共有することなく、仮想接続の作成権限を与えられた少数のアナリストに限ってサービス アカウントの認証資格情報を付与できるようになります。
- アジャイルな物理データベース管理。データベースの変更 (たとえば、フィールドの追加やテーブル名の変更) は、データを使用するコンテンツごとに行うのではなく、仮想接続で 1 回だけ行う必要があります。
- データの増殖を抑制。抽出更新のスケジュールを一元管理することにより、更新をスケジュールするのは 1 回だけとなり、その仮想接続からデータにアクセスするすべてのユーザーに新しいデータが表示されるようになります。
- 一元管理された行レベルのセキュリティ。行レベルのセキュリティを接続レベルで適用するデータ ポリシーを、Tableau 抽出とライブ クエリの両方に作成できます。データ ポリシーは、仮想接続を使用するすべてのワークブック、データ ソース、またはフローに適用されます。
注:データ ポリシーはフロー入力データには有効ですが、フロー出力データには有効ではありません。フロー出力データにアクセスできるユーザーには、自分に関係のあるデータのサブセットだけではなく、すべてのデータが表示されます。
データのユーザーは、仮想接続を使用すると次の恩恵を受けることができます。
- 行レベルのセキュリティがすでにデータに適用されているため、見るべきデータのみが表示される適切なアクセス。
- 整理され保護されたデータを使用できる柔軟性。仮想接続は、接続情報を保存し、共有します。必要なのは、ニーズに特化したデータ モデルを持つデータ ソースを作成することです。
- 抽出更新のスケジュールがすでに設定されているため、データが新鮮である信頼性。
- データ ポリシーが常に適用されるため、セキュリティを危険にさらすことなく、コンテンツを自由に共有できる機能。
仮想接続エディターのワークフロー
仮想接続エディターを使用すると、次を作成できます。
- 仮想接続。データへの一元化されたアクセス ポイントを共有できる、Tableau コンテンツ タイプの 1 つです。
- データ ポリシー。行レベルのセキュリティを接続レベルでサポートします。
仮想接続とそれに関連するデータ ポリシーを作成したら、それをパブリッシュして、他のユーザーと共有するためのパーミッションを設定できます。抽出更新をスケジュールすると、仮想接続を使用するすべてのコンテンツが新しいデータにアクセスできるようになります。
次の図は、仮想接続を作成するためのワークフローを示しています。プロセス中はいつでも接続のドラフトをパブリッシュまたは保存できますが、抽出更新をスケジュールしたり、仮想接続を使用 (または編集) したりするには、事前に接続をパブリッシュする必要があります。また、他の人が接続を使用できるようにするには、事前にパーミッションを設定する必要があります。
プロセスのステップをクリックして、そのヘルプ トピックに移動します。
次のステップ
最初のステップは、「仮想接続の作成」です。