Snowflake 接続用の OAuth の構成

適用先: Tableau Desktop

Snowflake データに接続する場合、3 つのオプションから認証を選択できます。

OAuth: OAuth を使用して、IDP からフェデレーションを有効にすることができます。

Okta のユーザー名とパスワード: 接続に IDP 認証資格情報を埋め込むことができます (Okta の場合のみ)。

ユーザー名とパスワード: ユーザー認証資格情報は Snowflake に保存されます。

通常は OAuth の使用が推奨されます。このオプションでは、機能とセキュリティが最適な組み合わせになっています。

OAuth を使用すると、以下のことができます。

  • ID プロバイダー (IdP) を利用してアクセスを容易にします。
  • シングル サインオン (SSO) エクスペリエンスが得られるように構成します。
  • 多要素認証 (MFA) を適用します。

OAuth 2.0 は、認可の業界標準のプロトコルです。

注: 接続ダイアログにある Tableau の SAML IdP 認証オプションと混同しないように注意してください。[OAuth を使用してサインインする] オプションを使用して接続する必要があります。

OAuth を使用する場合、Tableau Server または Tableau Cloud にパブリッシュされたコンテンツへのアクセスを維持することが重要な考慮事項になります。Tableau コンテンツを OAuth 経由で Snowflake にライブ接続する場合、所有者はアクセス トークンの有効期限が切れるたびに (既定では 90 日ごと) ワークブック接続をもう一度認証する必要があります。

アクセス トークンの有効期限の設定についての詳細は、Snowflake のヘルプ トピック「パートナー アプリケーション用 Snowflake Oauth の構成(新しいウィンドウでリンクが開く)」を参照してください。Tableau コンテンツのエラーを防ぐためにこの期間を延長する必要がある場合は、Snowflake サポート(新しいウィンドウでリンクが開く)にお問い合わせください。この期間の前にコンテンツを手動で更新しないと、Tableau のワークブックの読み込み時にエラーが発生する可能性があります。

Snowflake と Tableau の間の Oauth の構成

Tableau と Snowflake の接続では、両サイドで OAuth が構成されている必要があります。

注: バージョン 2020.4 以降、OAuth 接続では AWS PrivateLink または Azure Private Link を使用できます。詳細については、「保存された認証資格情報を使用して Snowflake OAuth を Private Link に変更する」(新しいウィンドウでリンクが開く)を参照してください。

OAuth での SSO の使用について

シングル サインオン (SSO) では、OAuth 認証の上にセキュリティ層がもう 1 つ追加されます。SSO 用に構成された個別の IdP は、組織のアプリケーション全体のすべてのアクセス アクティビティの認証を管理します。すべてのサインイン要求は SSO サーバーにルーティングされます。これにより、共通のサインイン ダイアログが表示され、一元化されたデータベースに対するユーザーの認証資格情報が確認されます。

ヒント: 保存された認証資格情報を使用すると、パスワードの再入力を求められることはありません。詳細については、「データ接続のために保存された認証資格情報の管理」(新しいウィンドウでリンクが開く)を参照してください。

Okta と Snowflake の間の Oauth の構成

Snowflake では、既定のアイデンティティ プロバイダー (IdP) として、アクセス トークンを提供しアイデンティティを認証する Okta が使用されます。OAuth およびシングル サインオン (SSO) の機能を使用するには、Snowflake と Okta で設定を構成する必要があります。

Okta では、Okta を OAuth 認証サーバーとして定義し、Snowflake を OAuth リソースとして識別します。Snowflake のヘルプ トピック「Snowflake 用のアイデンティティ プロバイダーの構成(新しいウィンドウでリンクが開く)」のステップに従います。

OAuth での MFA の使用について

多要素認証 (MFA) では、さらにもう 1 つのセキュリティ層が導入されます。ユーザーがリソースにアクセスするには、2 つ以上の異なる識別方法が必要です。識別方法には以下が含まれます。

  • パスワード
  • 2 番目のデバイスからのトークン
  • バイオメトリクス認証 (指紋や目のスキャンなど)
  • セキュリティに関する質問の回答

オプションとして、Tableau と Snowflake の接続には、Okta または他の IdP を使用して多要素認証 (MFA) を設定できます。Okta を使用して MFA を構成する方法の詳細については、「Okta のヘルプ(新しいウィンドウでリンクが開く)」を参照してください。

その他の接続オプション

Tableau Desktop から Snowflake に接続する場合は、他に 2 つのオプションがあります。

  • SAML IdP
  • ユーザー名とパスワード

SAML IdP オプションは、OKta がアイデンティティ プロバイダーになっており、OKta のユーザーに対して MFA が無効になっている場合にのみ機能します。SAML IdP オプションでは SSO が対応していますが、MFA は対応していません。この場合、埋め込みの認証資格情報を使用してパブリッシュする際は特定のユーザー情報を使用しますが、Okta SAML を使用する場合は、ユーザーごとの "Viewer (ビューアー) の認証資格情報" を使用することはできません。

注: これまでは、Tableau Desktop と Snowflake の間で SSO を実装するため、回避策として SAML IdP を使用する外部ブラウザー(新しいウィンドウでリンクが開く)のオプションを使用するお客様もいました。これは、Tableau Server では機能しません。代わりに OAuth 接続を使用することをお勧めします。

ユーザー名とパスワードのオプションは、Snowflake に保存されているパスワードを使用します。このオプションでは、ユーザーは Snowflake に接続するたびに認証資格情報をもう一度認証するか、認証資格情報を埋め込む必要があります。

よくある質問

パブリッシュされた Snowflake データの抽出が一定期間後に失敗する理由

OAuth アクセス トークンの有効期限が切れている可能性があります。トークンを更新するには、データ ソースを手動でもう一度認証する必要があります。今後、これらのトークンの有効期間を延長する必要がある場合は、Snowflake サポート(新しいウィンドウでリンクが開く)にお問い合わせください。

Snowflake のデータ ソースをパブリッシュするときは、"ユーザーにメッセージを表示" と "認証資格情報の埋め込み" のオプションはどのように選択すればいいですか。

データ ソースや関連コンテンツに接続するときに、データ ソースにアクセスするユーザーが独自の認証資格情報を使用する場合は、ユーザーにメッセージを表示のオプションを使用します。認証資格情報の埋め込みを選択すると、データ ソースにアクセスするすべてユーザーが、特定の認証資格情報を使用できます。この方法は、機能的に "サービス アカウント".使用する場合と似ています。

Snowflake に設定した行レベルのセキュリティを使用するにはどうすればよいですか。

Tableau から Snowflake にアクセスするためにユーザーが自分の認証資格情報を入力するよう求められると、その認証資格情報は Snowflake アカウントの権限にマッピングされます。

関連項目

一番上に戻る
フィードバックをありがとうございます。フィードバックは正常に送信されました。ありがとうございます!