Kerberos の構成
Kerberos を使用するように Tableau Server を構成することができます。これにより、組織のすべてのアプリケーションでシングル サインオン (SSO) が実現します。Tableau Server で Kerberos を構成する前に、お使いの環境が Kerberos の要件を満たしていることを確認してください。
注: Tableau Server への SSO の Kerberos の制約付き委任はサポートされていません。(データ ソースの制約付き委任はサポートされています)。詳細については、Kerberos の要件の「シングルサイン オン (SSO)」を参照してください。
Kerberos を構成するには、最初に Kerberos を有効にしてからユーザー認証用の keytab ファイルを指定する必要があります。指定する keytab ファイルは、Tableau Server のユーザー認証に使用するサービス プロバイダー名で構成する必要があります。データ ソースの認証に Kerberos を使用する場合、これらの認証資格情報を Tableau Server の Kerberos 構成時に指定する単一の keytab ファイルに含める必要があります。
災害復旧計画の一環として、Tableau Server 外部の安全な場所にキータブ ファイルのバックアップを保存することをお勧めします。Tableau Server に追加するキータブ ファイルは、クライアント ファイル サービスによって他のノードに格納および配布されます。ただし、ファイルは復元可能な形式では格納されません。Tableau Server クライアント ファイル サービスを参照してください。
ブラウザーで TSM を開きます。
https://<tsm-computer-name>:8850詳細については、「Tableau サービス マネージャーの Web UI へのサインイン」を参照してください。
[構成] タブで [ユーザー アイデンティティとアクセス] をクリックし、次に [認証方法] をクリックします。
[認証方法] で、ドロップダウン メニューから [Kerberos] を選択します。
[Kerberos] で、[シングル サインオン (SSO) 用に Kerberos を有効化] を選択します。
keytab ファイルをサーバーにコピーするには、[ファイルの選択] をクリックしてからコンピューター上のファイルを参照します。
構成情報を入力したら、[保留中の変更を保存] をクリックします。
ページ上部の [変更を保留中] をクリックします。
[変更を適用して再起動] をクリックします。
keytab ファイルを Tableau Server を実行しているコンピューターにコピーし、次のコマンドを実行してファイルにパーミッションを設定します。
chmod 644 "/path/keytab_file"
分散クラスタを展開する環境で Tableau Server を実行している場合は、keytab ファイルを手動で各ノードに分散し、パーミッションを設定する必要があります。クラスタ内の各ノードで同じディレクトリに keytab ファイルをコピーします。各ノードに keytab ファイルをコピーし、ファイルにパーミッションを設定した後、次の TSM コマンドを 1 つのノードで実行します。構成は各ノードに反映されます。
次のコマンドを入力して keytab ファイルの場所と名前を指定します。
tsm authentication kerberos configure --keytab-file <path-to-keytab_file>
次のコマンドを入力して Kerberos を有効にします。
tsm authentication kerberos enable
tsm pending-changes apply
を実行して変更を適用します。保留中の変更にサーバーの再起動が必要な場合は、
pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
SSO 構成の確認
Tableau Server を再起動したら、URL ウィンドウで Tableau Server 名を入力することで、異なるコンピューターの Web ブラウザーから Kerberos 構成をテストします。
Tableau Server を自動的に認証することをお勧めします。