OAuth 接続

機密データベースへの認証資格情報を Tableau Cloud に保存せずに、OAuth 2.0 標準を使用して接続を作成することができます。OAuth 認証をサポートしているコネクタは次のとおりです。 

  • Anaplan
  • Azure Data Lake Storage Gen2、Azure SQL、Azure Synapse
  • Box
  • Esri ArcGIS サーバー
  • Databricks
  • Dremio
  • Dropbox
  • Google 広告、Google アナリティクス、Google BigQuery、Google スプレッドシート (2022 3 月に非推奨)
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce、Salesforce CDP
  • ServiceNow ITSM
  • Snowflake

Tableau から、OAuth を使用するコネクタでデータにサインインすると、ユーザーは認証プロバイダーのサインイン ページにリダイレクトされます。ユーザーが認証資格情報を提示し、Tableau にデータへのアクセスを許可すると、認証プロバイダーは Tableau とユーザーを一意に識別するアクセス トークンを Tableau に送信します。このアクセス トークンは、ユーザーに代わってデータにアクセスするために使用されます。詳細については、次のOAuth プロセスの概要を参照してください。

OAuth ベースの接続を使用すると、次のような利点があります。

  • セキュリティ: データベースの認証資格情報が Tableau Cloud に知られたり保存されたりすることはなく、アクセス トークンはユーザーに代わって Tableau のみが使用します。

  • 利便性: 複数の場所にデータ ソース ID とパスワードを埋め込む代わりに、そのデータ プロバイダーにアクセスするすべてのパブリッシュ済みワークブックとデータ ソースの特定のデータ プロバイダーに対して提供されるトークンを使用できます。

    注: さらに、Google BigQuery データへのライブ接続の場合、各ワークブックの Viewer は単一のユーザー名とパスワードの認証資格情報を共有するのではなく、ユーザーを識別する一意のアクセス トークンを持つことができます。

OAuth プロセスの概要

次の手順では、OAuth プロセスを呼び出す Tableau 環境におけるワークフローについて説明します。

  1. ユーザーが取る行動は、クラウドベースのデータ ソースへのアクセスを必要とします。

    たとえば、Tableau Cloudにパブリッシュされているワークブックを開きます。

  2. Tableau は、ユーザーをクラウド上のデータ プロバイダーのサインイン ページに誘導します。データ プロバイダーに送信される情報により、Tableau は要求サイトとして識別されます。

  3. ユーザーがデータにサインインすると、プロバイダーは Tableau Cloud のデータへのアクセスの認可を確認するようにユーザーに要求します。

  4. ユーザーの確認時に、データ プロバイダーはアクセス トークンを Tableau Cloud に送り返します。

  5. Tableau Cloud は、ワークブックとデータをユーザーに提示します。

次のユーザー ワークフローで OAuth プロセスを使用できます。

  • Tableau Desktop または Tableau Cloud からワークブックを作成してデータ ソースに接続する。

  • Tableau Desktop からデータ ソースをパブリッシュする。

  • Tableau Mobile や Tableau Desktop などの承認済みクライアントから Tableau Cloud サイトにサインインします。

    注: Tableau Bridge では、コネクタ (Snowflake、Google BigQuery、Google ドライブ、Salesforce、OneDrive) の認証に OAuth がをサポートされています。

既定の保存済み認証資格情報コネクタ

保存済み認証資格情報とは、Tableau Cloud が OAuth 接続用のユーザー トークンを保存する機能を指します。これにより、ユーザーは OAuth 認証資格情報を Tableau Cloud 上のユーザー プロフィールに保存できます。認証資格情報を保存すると、その後にコネクタにアクセスするときに、パブリッシュ、編集、更新のプロンプトが表示されなくなります。

: Web 上で Tableau Prep フローを編集する場合、再認証を求められる場合があります。

サポートされるすべてのコネクタは、Tableau Cloud のユーザーの [マイ アカウント設定] ページにある [データ ソースの保存済み認証資格情報] に一覧表示されます。各コネクタのための保存済み認証資格情報はユーザーが管理します。

データ接続のためのアクセス トークン

初期認証プロセスの後にデータへの直接アクセスを可能にするために、アクセス トークンに基づいて認証資格情報をデータ接続と共に埋め込むことができます。アクセス トークンは Tableau Cloud ユーザーが削除するか、データ プロバイダーが取り消すまで有効です。

データ ソース プロバイダーが許可するアクセス トークンの数を超過する可能性があります。そのような場合、データ プロバイダーはトークンがユーザーによって作成される際に、前回のアクセスからの時間の長さを使用して、新しいトークンのためのスペースを空けるために無効にするトークンを決定します。

承認済みクライアントからの認証用のアクセス トークン

既定では、Tableau Cloud サイトで、ユーザーは初回サインイン時に認証資格情報を入力した後、承認済み Tableau クライアントからサイトに直接アクセスできます。また、このタイプの認証は、OAuth アクセス トークンを使用して、ユーザーの認証資格情報を安全に保存します。

詳細については、接続されているクライアントからサイトにアクセスを参照してください。

既定の管理対象キーチェーン コネクタ

管理対象キーチェーンとは、OAuth トークンがプロバイダーによって Tableau Cloud に対して生成され、同じサイト内のすべてのユーザーによって共有される機能を指します。まずユーザーがデータ ソースをパブリッシュすると、Tableau Server からデータ ソースの認証資格情報を求めるメッセージが表示されます。Tableau Cloud は、データ ソース プロバイダーに認証資格情報を送信します。プロバイダーは、使用する Tableau Cloud の OAuth トークンをユーザーに代わって返します。その後のパブリッシュ操作では、同じクラスとユーザー名に対して Tableau Cloud に保存された OAuth トークンが使用されるため、ユーザーに OAuth 認証資格情報の入力を求めるプロンプトが表示されることはありません。データ ソースのパスワードが変更された場合、前のプロセスが繰り返され、古いトークンが Tableau Cloud 上の新しいトークンに置き換えられます。

次の既定の管理対象キーチェーン コネクタでは、Tableau Cloud で追加の OAuth を設定する必要はありません。

  • Google アナリティクス、Google BigQuery、Google スプレッドシート( は Tableau バージョン 2022.1 で非推奨、)

  • Salesforce

カスタム OAuth を構成する

2021.2 以降、サイト管理者として、OAuth をサポートしているデータ プロバイダー (コネクタ) ごとにカスタム OAuth クライアントを構成して、サイトの事前構成された OAuth クライアントの設定を上書きできるようになりました。一意の OAuth クライアントを必要とするデータへの安全な接続をサポートするために、カスタム Oauth クライアントを構成することを検討してください。

カスタム OAuth クライアントが構成されている場合、デフォルトの構成は無視され、サイトで作成されたすべての新しい OAuth 認証資格情報は、デフォルトでカスタム OAuth クライアントを使用します。

重要: カスタム OAuth クライアントを構成する前に確立された既存の OAuth 認証資格情報は、一時的には使用できるものの、サイト管理者とユーザーの両方が保存された資格情報の更新を行い、データへのアクセスが中断されないようにする必要があります。

ステップ 1: OAuth クライアントID、クライアン トシークレット、リダイレクト URL の準備

カスタム OAuth クライアントを設定する前に、以下の情報を収集する必要があります。この情報を入手したら、OAuth をサポートしているコネクタごとにカスタム OAuth クライアントを構成できます。

  • OAuth クライアント ID とクライアント シークレット: まず OAuth クライアントをデータ プロバイダー (コネクタ) に登録して、クライアント ID とクライアント シークレットを取得します。サポートしているコネクタは次のとおりです。

    • Azure Data Lake Storage Gen2、Azure SQL データベース、Azure Synapse
    • Databricks
    • Dremio
    • Dropbox
    • Google アナリティクス、Google BigQuery、Google スプレッドシート (2022 年 3 月で非推奨)
    • Intuit Quick books Online
    • Salesforce、Salesforce CDP
    • Snowflake (詳細については、Tableau コネクタ SDK ドキュメントの「OAuth の設定と使用方法」(新しいウィンドウでリンクが開く)を参照してください)
  • リダイレクト URL: 以下のステップ 2 の登録プロセスで正しいリダイレクト URL を入力できるように、Tableau Cloud サイトが配置されているポッドをメモしておいてください。リダイレクト URL は次の形式を使用します。

    https://<your_pod>.online.tableau.com/auth/add_oauth_token

    たとえば、https://us-west-2b.online.tableau.com/auth/add_oauth_token などです。

    注: ポッドの詳細については、「Salesforce Trust」(新しいウィンドウでリンクが開く)のページを参照してください。

ステップ 2: OAuth クライアント ID とクライアント シークレットの登録

以下の手順に従って、カスタム OAuth クライアントをサイトに登録します。

  1. サイト管理者の認証資格情報を使用して Tableau Cloud にサインインし、[設定] ページに移動します。

  2. [OAuth Clients Registry (OAuth クライアント レジストリ)] で、[Add OAuth Client (Oauth クライアントの追加)] ボタンをクリックします。

  3. 上記のステップ 1 の情報を含む、必要な情報を入力します。

    1. [接続タイプ] で、カスタム OAuth クライアントを構成するコネクタに対応するデータベース クラスの値を選択します。

    2. クライアント IDクライアント シークレットリダイレクト URL には、上記のステップ 1 で準備した情報を入力します。

    3. [Add OAuth Client (Oauthクライアントの追加)] ボタンをクリックして、登録プロセスを完了します。

  4. (オプション) 追加のコネクタについて、ステップ 3 を繰り返します。

  5. [設定] ページの下部または上部にある [保存] ボタンをクリックして、変更を保存します。

ステップ 3: 保存された認証資格情報の検証と更新

中断のないデータ アクセスを確保するため、サイト管理者 (およびサイトのユーザー) は、デフォルトの OAuth クライアントの代わりにカスタム OAuth クライアントを使用できるように、以前に保存した認証資格情報を削除して追加し直す必要があります。

  1. [マイ アカウント設定] ページに移動します。

  2. [データ ソースの保存済み認証資格情報] で、次の手順を実行します。

    1. 上記のステップ 2 でカスタム OAuth クライアントを構成したコネクタの既存の、保存済み認証資格情報の横にある [削除] をクリックします。

    2. 同じコネクタの横にある [追加] をクリックし、プロンプトに従って、1) 上記のステップ 2 で設定したカスタム OAuth クライアントに接続し、2) 最新の認証資格情報を保存します。

ステップ 4: 保存した認証資格情報を更新するようにユーザーに通知する

上記のステップ 2 で構成したカスタム OAuth クライアントのデータ プロバイダーに対する、保存された認証資格情報を更新するように、サイトのユーザーに通知してください。サイトのユーザーは、「保存済み認証資格情報の更新」で説明されている手順を使用して、保存された認証資格情報を更新できます。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!