アイデンティティの移行について

適用先: Tableau Server

バージョン 2022.1 以降、Tableau Server はアイデンティティ サービスを使用してアイデンティティ情報の保存と管理を行います。アイデンティティ サービスでは、Tableau Server は、より最新で安全な不変のアイデンティティ構造をユーザーのプロビジョニングと認証プロセスに使用します。アイデンティティ プール(新しいウィンドウでリンクが開く)を構成して使用するためには、アイデンティティの移行が前提条件となります。

注: アイデンティティ プール機能を使用する予定がない場合は、アイデンティティの移行を実施しないことをお勧めします。アイデンティティ プールを使用する計画がないままアイデンティティの移行を実施しても、Tableau Server の導入でメリットは得られません。

既存の展開の場合、Tableau Server をバージョン 2022.1 以降にアップグレードして、Tableau 2021.4 以前のバックアップをリストアすると、Tableau Server のアップグレードが完了した後にアイデンティティの移行が始まり、新しいアイデンティティ サービスにデータが入力されます。アイデンティティの移行により、すべての Tableau Server ユーザー用に補助的なアイデンティティ サービス テーブルが作成されます。このテーブルは、アイデンティティ サービスでユーザーを認証するために使用されます。移行はバックグラウンドで実行されるため、ユーザーが Tableau Server の使用を中断したり影響を受けたりすることはありません。

管理者は、Tableau Server の [ユーザー] ページから利用できる専用の [アイデンティティ移行] ページを使用して、移行の監視と管理を行うことができます。この管理には、移行を実施するタイミングの変更や、移行の競合が発生した場合の解決なども含まれます。このページは、移行プロセスの期間中に使用できます。

既存の展開に対する手順の概要

新規および既存の展開の場合、アイデンティティ構成の改善を利用してアイデンティティ プールを構成できるように、移行が完了したらアイデンティティ サービスを使用するように Tableau Server を構成する必要があります。

ステップ 1: 始める前に

ステップ 2: 新しいスキーマとサインイン機能を有効にする

ステップ 3: アイデンティティの移行を開始する

ステップ 4: アイデンティティの移行を完了する

ステップ 5: アイデンティティ サービスを使用するように Tableau Server を構成する

ステップ 6: アイデンティティ プールを有効にする

重要な用語

  • アイデンティティ サービス - ユーザー アイデンティティの管理を担う Tableau Server 2022.1 以降のサービス。認証やプロビジョニングのサービスも含まれます。このサービスが使用するアイデンティティ スキーマは、アイデンティティ サービス テーブルと従来の「system_users」テーブルでユーザー アイデンティティを表します。
  • アイデンティティ プール - ユーザーが Tableau Server へアクセスできるようにするための、プロビジョニングと認証情報を使用したアイデンティティ管理ツールです。アイデンティティ プールにより、より集中的で柔軟なアイデンティティ管理ワークフローがアイデンティティ サービス上に構築され、Tableau Server でユーザー アイデンティティを保存し、管理することが可能になります。
  • レガシー アイデンティティ ストア モード - Tableau Server 2021.4 以前で使用されていた制限付きのアイデンティティ スキーマ。ユーザー アイデンティティは従来の「system_users」テーブルでのみ表されます。
  • アイデンティティの移行 - 既存の Tableau Server ユーザー アイデンティティを評価し、アップストリームの外部アイデンティティ ストアに対して (必要に応じて) 追加のアイデンティティ情報のクエリを実行し、その追加のアイデンティティ情報をアイデンティティ サービスにインポートする監査プロセス。
  • 外部アイデンティティ ストア - Tableau Server の外部にある上流のアイデンティティ ストア タイプ。外部のディレクトリ サービス (Active Directory (AD) または LDAP) ですべてのアイデンティティ情報が格納され、管理されます。構成されると、Tableau Server はこの外部ディレクトリと同期して、アイデンティティ情報のコピーを Tableau Server に保持します。
  • ローカル アイデンティティ ストア - Tableau Server が提供するアイデンティティ ストア タイプ。構成されると、Tableau Server は、アイデンティティ情報用に構成された外部ディレクトリがなくても、Tableau Server リポジトリにアイデンティティ情報を保管して管理します。
  • システム ユーザー - Tableau Server のユーザー。ユーザーは、アイデンティティ サービス (「system_users_identities」テーブル経由) と従来のアイデンティティ ストア モードの両方のサインイン レコード (「system_users」) に対応します。複数のサイトにサインインできるように、複数のユーザー アイデンティティが 1 つの「system_users」レコードに関連付けられている場合があります。1 つの「system_user」レコードと複数のサイトの間のつながりは、「users」テーブルで定義されます。

アイデンティティの移行の目的

Tableau Server のバックアップを作成すると、アイデンティティ情報は、バックアップを作成した Tableau Server のバージョンで使用されるアイデンティティ スキーマに保存されます。バックアップが使用するアイデンティティ スキーマから アイデンティティ サービスが使用するアイデンティティ スキーマにアイデンティティ情報を取り込むために、移行が必要となります。

Tableau Server 2021.4 以前のアイデンティティ スキーマ

「system_users」と「domains」というラベルの付いた 2 つのボックスがあるアプリケーション サービスの図。

従来のアイデンティティ ストア モードで使用されるアイデンティティ スキーマは、「system_users」と「domains」の 2 つのテーブルで構成されています。

Tableau Server 2022.1 以降のアイデンティティ スキーマ

アイデンティティ サービスのデータベース テーブルを示す図。

アイデンティティ サービスで使用されるアイデンティティ スキーマは、従来の「system_users」テーブルと、より多くのアイデンティティ情報を取り込む補助的なアイデンティティ サービス テーブル (*_identity_stores および *identities) とで構成されています。この追加のテーブルによって、上流の外部アイデンティティ ストアでの変更が原因で発生する問題を減らすことができます。

アイデンティティ移行時の注意点

ユーザー アイデンティティに関する情報を移行すると、従来の「system_users」テーブルに格納されていたアイデンティティ情報はアイデンティティ サービス テーブルで補足されます。

アイデンティティ情報を補足する アイデンティティ サービス テーブルのタイプは、Tableau Server が構成されているアイデンティティ ストアのタイプ (ローカル、Active Directory (AD)、Lightweight Directory Access Protocol (LDAP) によって異なります。

  • AD アイデンティティ ストア タイプの場合、アイデンティティ サービス テーブルは、あいまいではない属性、または同じデータベース レコードに格納されていない属性のみを継承します。

    たとえば、sAMAccountNAme と userPrincipalName (UPN) が従来の「systems_users」テーブルの同じ名前のレコードに格納されている場合があります。これは、複雑な一連のルールの結果として発生する可能性があります。ほとんどの場合、移行はユーザー アイデンティティを正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の [アイデンティティ移行] ページを使用して競合を手動で解決する必要があります。詳細については、「アイデンティティ移行時の競合の解決」を参照してください。

  • LDAP アイデンティティ ストア タイプの場合、AD アイデンティティ ストア タイプの場合と同じように、アイデンティティ サービス テーブルはあいまいではない属性のみを継承します。ほとんどの場合、移行はユーザー アイデンティティを正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の [アイデンティティ移行] ページを使用して競合を手動で解決する必要があります。詳細については、「アイデンティティ移行時の競合の解決」を参照してください。

  • ローカル アイデンティティ ストア タイプの場合、アイデンティティ サービス テーブルはユーザー フィールドとドメイン フィールドを直接継承します。つまり、追加する情報や手動での解決は必要ありません。Tableau Server がこのタイプのアイデンティティ ストア用に構成されている場合、ユーザー アイデンティティの移行は、Tableau Server のバックアップをリストアするプロセスの後に行われます。

アイデンティティの移行を実施する

ステップ 1: 始める前に

始める前に、以下で Tableau Server のバージョンとアップグレード方法 (該当する場合) を特定し、アイデンティティ移行の次のステップを決定します。

アップグレードする前のバージョンアップグレード先のバージョンアップグレード方法次のステップ
N/ATableau Server バージョン: 2022.1.0 (以降)、2022.3.0 (以降)、2023.1 (以降) 以降新規インストールステップ 2 に進みます。
Tableau Server バージョン: 2022.1-2022.1.7、2022.3-2022.3.9、または 2023.1-2023.1.5Tableau Server バージョン: 2022.1.8 (以降)、2022.3.10 (以降)、2023.1.6 (以降) 以降N/A

サインイン用の新しいスキーマを有効にしましたか (例: wgserver.authentication.legacy_identity_mode.enabled -v false)?

Tableau Server バージョン: 2021.4.x 以前Tableau Server バージョン: 2022.1.8 (以降)、2022.3.10 (以降)、2023.1.6 (以降) 以降N/Aステップ 2 に進みます。
Tableau Server バージョン: 2021.4.x 以前Tableau Server バージョン: 2022.1.0-2022.1.7、2022.3.0-2022.3.9、または 2023.1.0-2023.1.51) 新しいマシンに Tableau Server をインストールし、2)tsm メンテナンス (バックアップと復元) コマンドを使用して Tableau Server をバックアップおよび復元することによって、Tableau Server のブルー/グリーン アップグレードまたは手動によるアップグレードを実行する場合、いくつかの追加ステップに従って移行を開始する必要があります。アイデンティティの移行に関する問題をトラブルシューティングする」に進みます。
ここで説明する方法で Tableau Server の単一サーバーまたはマルチノードの「インプレース」アップグレードを行う場合は、移行を開始するために追加の手順は必要ありません。移行は、Tableau Server をバージョン 2022.1 以降へアップグレードした後に開始されます。ステップ 2 に進みます。
1) 新しいマシンに Tableau Server をインストールして、2) tsm settings (エクスポートとインポート) コマンドを使用して構成とトポロジの情報をエクスポートおよびインポートすることにより、Tableau Server を手動でアップグレードする場合も、移行を開始するために追加の手順は必要ありません。移行は、新しい Tableau Server マシンでインポート プロセスが完了した後に開始されます。ステップ 2 に進みます。

ステップ 2: 新しいスキーマとサインイン機能を有効にする

アイデンティティの移行を開始する前に、tsm コマンド features.NewIdentityMode で新しいアイデンティティ スキーマを有効にして、Tableau Server に引き続きサインインできるようにしながら、wgserver.authentication.legacy_identity_mode.enabled または tsm authentication legacy-identity-mode <commands> tsm コマンドでアイデンティティの移行プロセスが行われるようにします。

  1. クラスタの最初のノード (TSM がインストールされているノード) で管理者としてコマンド プロンプトを開きます。

  2. 次のコマンドを実行します。

    tsm configuration set -k features.NewIdentityMode -v true

  3. 実行している Tableau Server のバージョンに応じて、次のコマンドを実行します。

    • Tableau Server バージョン 2022.1.8 以降、2022.3.10 以降、2023.1.6 以降の場合:

      tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v true
tsm pending-changes apply

    • Tableau Server バージョン: 2022.1.0-2022.1.7、2022.3-2022.3.9、または 2023.1-2023.1.5 の場合:

      tsm authentication legacy-identity-mode enable
tsm pending-changes apply

    注: これらのコマンドを実行すると、Tableau Server が再起動されます。

ステップ 3: アイデンティティの移行を開始する

注: Tableau Server バージョン 2022.1-2022.1.7、2022.3-2022.3.9、または 2023.1-2023.1.5 にアップグレードした場合は、デフォルトでアイデンティティの移行が始まるので、以下の「ステップ 4: アイデンティティの移行を完了する」にスキップできます。

アイデンティティの移行を開始するには、tsm コマンド features.IdentityMigrationBackgroundJob を使用してアイデンティティの移行機能を有効にする必要があります。

  1. 次のコマンドを実行します。

    tsm configuration set -k features.IdentityMigrationBackgroundJob -v true

アイデンティティの移行が始まると、Tableau Server に [アイデンティティ移行] ページにリンクする通知が表示されます。[アイデンティティ移行] ページでは、アイデンティティの移行のステータスと、解決する必要があるアイデンティティの競合を監視できます。

ステップ 4: アイデンティティの移行を完了する

注記: 新規インストールの場合はこの手順をスキップしてください。

アイデンティティの移行を完了するには、Tableau Server のアイデンティティ サービスを有効にする前に、すべてのアイデンティティの競合を解決または承認する必要があります。

  1. Tableau Server に管理者としてサインインします。

  2. 左側のナビゲーション ペインで、[ユーザー] (またはマルチサイト Tableau Server の場合は [すべてのサイト] > [ユーザー] を選択し、[Identity Migration (アイデンティティの移行)] ページをクリックして、移行が開始されたことを確認します。

    Tableau Serverの [ユーザー] ページから、専用の [アイデンティティの移行] ページを使用して、進行状況を監視および管理できます。詳細については、「アイデンティティの移行を管理する」を参照してください。

  3. アイデンティティ移行時の競合の解決」の説明に従って、すべての ID 競合を解決または確認して、下の画像のように [All failures (すべての失敗)] タブに「0」が表示されるようにします。

    失敗がゼロであることを示す ID 移行の概要。

  4. 次のいずれかを実行します。

    • アイデンティティの移行ジョブを今すぐ実行するには、[Migration Overview (移行の概要)] 見出しの横にある [Edit Schedule (スケジュールの編集)] ドロップダウン矢印をクリックし、[今すぐ実行] を選択します。

      無効化または今すぐ実行のオプションを含む移行スケジュールを編集するためのドロップダウン メニュー。

    • または、次にスケジュールされた時間に移行ジョブが実行されるのを待つこともできます。

  5. 移行が完了したら、[アイデンティティの移行] ページで、[移行の概要] に [100% 完了] が表示されていることを確認します。

    ID の移行の進行状況バーは 100% 完了を示しています。

ステップ 5: アイデンティティ サービスを使用するように Tableau Server を構成する

アイデンティティの移行が完了したら、アイデンティティ サービスを使用するように Tableau Server を構成します。これにより、ユーザーのプロビジョニングと認証プロセスでより安全で不変のアイデンティティ構造が確保されます。

  1. クラスターの初期ノード (TSM がインストールされているノード) で、管理者としてコマンド プロンプトを開きます。

  2. 実行している Tableau Server のバージョンに応じて、次のコマンドを実行します。

    • Tableau Server バージョン 2022.1.8 以降、2022.3.10 以降、2023.1.6 以降の場合:

      tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false

    • Tableau Server バージョン 2022.1 ~ 2022.1.7、2022.3 ~ 2022.3.9、2023.1 ~ 2023.1.5 の場合:

      tsm authentication legacy-identity-mode disable

    注: 上記のコマンドのいずれかを実行すると、専用の [ID 移行] ページが削除され、アクセスできなくなります。ページにアクセスできるのは、tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabledtrue であるか、tsm authentication legacy-identity-mode が有効になっている場合のみです。

Tableau Server をアイデンティティ サービスを使用するように構成した後、ユーザーが Tableau Server にサインインすると、Tableau Server は構成されたアイデンティティ ストア内の識別子を使用してユーザー アイデンティティを検索します。識別子からユニバーサル一意識別子 (UUID) が返され、既存の Tableau Server ユーザー アイデンティティと照合するために使用されます。次に、このプロセスはユーザーのセッションを生成し、認証ワークフローを完了します。

ステップ 6: アイデンティティ プールを有効にする

アイデンティティの移行を完了し、アイデンティティ サービスを有効にしたら、アイデンティティ プール(新しいウィンドウでリンクが開く)の構成の準備としてアイデンティティプール機能を有効にします。

  1. 次のコマンドを実行します。

    tsm configuration set -k features.IdentityPools -v true
tsm pending-changes apply

注: これらのコマンドを実行すると、Tableau Server が再起動されます。

一番上に戻る