OAuth 接続

機密データベースへの認証資格情報を Tableau Online に保存せずに、OAuth 2.0 標準を使用して接続を作成することができます。OAuth 認証をサポートしているコネクタは次のとおりです。 

  • Anaplan
  • Azure Data Lake Storage Gen2、Azure SQL、Azure Synapse
  • Box
  • Esri ArcGIS サーバー
  • Databricks
  • Dropbox
  • Google 広告、Google Analytics、Google BigQuery、Google Sheets
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce
  • ServiceNow ITSM
  • Snowflake

Tableau から、OAuth を使用するコネクタでデータにサインインすると、ユーザーは認証プロバイダーのサインイン ページにリダイレクトされます。ユーザーが認証資格情報を提示し、Tableau にデータへのアクセスを許可すると、認証プロバイダーは Tableau とユーザーを一意に識別するアクセス トークンを Tableau に送信します。このアクセス トークンは、ユーザーに代わってデータにアクセスするために使用されます。詳細については、次のOAuth プロセスの概要を参照してください。

OAuth ベースの接続を使用すると、次のような利点があります。

  • セキュリティ: データベースの認証資格情報が Tableau Online に知られたり保存されたりすることはなく、アクセス トークンはユーザーに代わって Tableau のみが使用します。

  • 利便性:複数の場所にデータ ソース ID とパスワードを埋め込む代わりに、そのデータ プロバイダーにアクセスするすべてのパブリッシュ済みワークブックとデータ ソースの特定のデータ プロバイダーに対して提供されるトークンを使用できます。

    さらに、Google BigQuery データへのライブ接続の場合、各ワークブック ビューアーは単一のユーザー名とパスワードの認証資格情報を共有するのではなく、ユーザーを識別する一意のアクセス トークンを持つことができます。

OAuth プロセスの概要

次の手順では、OAuthプロセスを呼び出す Tableau 環境における 1 つのワークフローについて説明します。

  1. ユーザーが取る行動は、クラウドベースのデータ ソースへのアクセスを必要とします。

    たとえば、Tableau Onlineにパブリッシュされているワークブックを開きます。

  2. Tableau は、ユーザーをクラウド上のデータ プロバイダーのサインイン ページに誘導します。データ プロバイダーに送信される情報により、Tableau は要求サイトとして識別されます。

  3. ユーザーがデータにサインインすると、プロバイダーは Tableau Online のデータへのアクセスの認可を確認するようにユーザーに要求します。

  4. ユーザーの確認時に、データ プロバイダーはアクセス トークンを Tableau Online に送り返します。

  5. Tableau Online は、ワークブックとデータをユーザーに提示します。

次のユーザー ワークフローで OAuth プロセスを使用できます。

  • Tableau Desktop または Tableau Online からワークブックを作成してデータ ソースに接続する。

  • Tableau Desktop からデータ ソースをパブリッシュする。

  • Tableau Mobile や Tableau Desktop などの承認済みクライアントから Tableau Online サイトにサインインします。

    注: Tableau Bridge は OAuth 接続をサポートしていません。

データ接続のためのアクセス トークン

初期認証プロセスの後にデータへの直接アクセスを可能にするために、アクセス トークンに基づいて認証資格情報をデータ接続と共に埋め込むことができます。アクセス トークンは Tableau Online ユーザーが削除するか、データ プロバイダーが取り消すまで有効です。

データ ソース プロバイダーが許可するアクセス トークンの数を超過する可能性があります。そのような場合、データ プロバイダーは新しいトークンがユーザーによって作成される際に前回のアクセスからの時間の長さを使用して、新しいトークンのためのスペースを空けるために無効にするトークンを決定します。

承認済みクライアントからの認証用のアクセス トークン

既定では、Tableau Online サイトで、ユーザーは、初回サインイン時に認証資格情報を入力した後、承認済み Tableau クライアントからサイトに直接アクセスできます。また、このタイプの認証は、OAuth アクセス トークンを使用して、ユーザーの認証資格情報を安全に保存します。

詳細については、接続されているクライアントからサイトにアクセスを参照してください。

カスタム OAuth を構成する

2021.2 以降、サイト管理者として、OAuth をサポートしているデータ プロバイダー (コネクタ) ごとにカスタム OAuth クライアントを構成して、サイトの事前構成された OAuth クライアントの設定を上書きできるようになりました。一意の OAuth クライアントを必要とするデータへの安全な接続をサポートするために、カスタム Oauth クライアントを構成することを検討してください。

カスタム OAuth クライアントが構成されている場合、デフォルトの構成は無視され、サイトで作成されたすべての新しい OAuth 認証資格情報は、デフォルトでカスタム OAuth クライアントを使用します。

重要: カスタム OAuth クライアントを構成する前に確立された既存の OAuth 認証資格情報は、一時的には使用できるものの、サイト管理者とユーザーの両方が保存された資格情報の更新を行い、データへのアクセスが中断されないようにする必要があります。

ステップ 1: OAuth クライアントID、クライアン トシークレット、リダイレクト URL の準備

カスタム OAuth クライアントを構成する前に、以下の情報を収集する必要があります。この情報を入手したら、OAuth をサポートしているコネクタごとにカスタム OAuth クライアントを構成できます。

  • OAuth クライアント ID とクライアント シークレット: まず OAuth クライアントをデータ プロバイダー (コネクタ) に登録して、Tableau Online 用に生成されたクライアント ID とクライアント シークレットを取得します。サポートしているコネクタは次のとおりです。

    • Azure Data Lake Storage Gen2、Azure SQL データベース、Azure Synapse
    • Databricks
    • Dropbox
    • Google Analytics、Google BigQuery
    • Intuit QuickBooks Online
    • Salesforce
    • Snowflake
  • リダイレクト URL: 以下のステップ 2 の登録プロセスで正しいリダイレクト URL を入力できるように、Tableau Online サイトが配置されているポッドをメモしておいてください。リダイレクト URL は次の形式を使用します。

    https://<your_pod>.online.tableau.com/auth/add_oauth_token

    たとえば、https://us-west-2b.online.tableau.com/auth/add_oauth_token などです。

    注: ポッドの詳細については、Tableau Trust(新しいウィンドウでリンクが開く) のページを参照してください。

ステップ 2: OAuth クライアント ID とクライアント シークレットの登録

以下の手順に従って、カスタム OAuth クライアントをサイトに登録します。

  1. サイト管理者の認証資格情報を使用して Tableau Online にサインインし、[設定] ページに移動します。

  2. [OAuth クライアント レジストリ] で、[OAuth クライアントの追加] ボタンをクリックします。

  3. 上記のステップ 1 の情報を含む、必要な情報を入力します。

    1. [接続タイプ] に、カスタム OAuth クライアントを構成するコネクタに応じて、次のデータベース クラス値のいずれかを入力します。

      • azuredatalakestoragegen2
      • azure_sqldb
      • azure_sql_dw
      • bigquery
      • Databricks
      • Google Analytics
      • google-sheets
      • Salesforce
    2. クライアント IDクライアント シークレットリダイレクト URL には、上記のステップ 1 で準備した情報を入力します。

    3. [OAuth クライアントの追加] ボタンをクリックして、登録プロセスを完了します。

  4. (オプション) 追加のコネクタについて、ステップ 3 を繰り返します。

  5. [設定] ページの下部または上部にある [保存] ボタンをクリックして、変更を保存します。

ステップ 3: 保存された認証資格情報の検証と更新

中断のないデータ アクセスを確保するため、サイト管理者 (およびサイトのユーザー) は、デフォルトの OAuth クライアントの代わりにカスタム OAuth クライアントを使用できるように、以前に保存した認証資格情報を削除して追加し直す必要があります。

  1. [マイ アカウント設定] ページに移動します。

  2. [データソースの保存された認証資格情報] で、次の手順を実行します。

    1. 上記のステップ 2 でカスタム OAuth クライアントを構成したコネクタに対する、既存の保存された認証資格情報の横にある [削除] をクリックします。

    2. 同じコネクタの横にある [追加] をクリックし、プロンプトに従って、1) 上記のステップ 2 で構成したカスタム OAuth クライアントに接続し、2) 最新の認証資格情報を保存します。

ステップ 4: 保存した認証資格情報を更新するようにユーザーに通知する

上記のステップ 2 で構成したカスタム OAuth クライアントのデータ プロバイダーに対する、保存された認証資格情報を更新するように、サイトのユーザーに通知してください。サイトのユーザーは、「保存済み認証資格情報の更新」で説明されている手順を使用して、保存された認証資格情報を更新できます。

ありがとうございます!