ID の移行について
バージョン 2022.1 以降、Tableau Server は Identity Service を使用して ID 情報の保存と管理を行います。Identity Service では、Tableau Server は、より最新で安全な不変の ID 構造をユーザーのプロビジョニングと認証プロセスに使用します。アイデンティティ プール(新しいウィンドウでリンクが開く)を構成して使用するためには、アイデンティティの移行が前提条件となります。
注: ID プール機能を使用する予定がない場合は、ID の移行を実施しないことをお勧めします。ID プールを使用する計画がないまま ID の移行を実施しても、Tableau Server の導入でメリットは得られません。
Tableau Server 2022.1 以降のすべての新しい展開では、Identity Service をデフォルトで使用します。追加の操作は必要ありません。Tableau Server に新しいユーザーを追加すると、Identity Service がデフォルトで使用されます。
既存の展開の場合、Tableau Server をバージョン 2022.1 以降にアップグレードして、Tableau 2021.4 以前のバックアップをリストアすると、Tableau Server のアップグレードが完了した後に ID の移行が始まり、新しい ID サービスにデータが入力されます。ID の移行により、すべての Tableau Server ユーザー用に補助的な Identity Service テーブルが作成されます。このテーブルは、Identity Service でユーザーを認証するために使用されます。移行はバックグラウンドで実行されるため、ユーザーが Tableau Server の使用を中断したり影響を受けたりすることはありません。
管理者は、Tableau Server の [ユーザー] ページから利用できる専用の [ID移行] ページを使用して、移行の監視と管理を行うことができます。この管理には、移行を実施するタイミングの変更や、移行の競合が発生した場合の解決なども含まれます。このページは、移行プロセスの期間中に使用できます。
既存の展開に対する手順の概要
既存の展開の場合、ID 構成の改善を利用して ID プールを構成できるように、移行が完了したら ID サービスを使用するように Tableau Server を構成する必要があります。
重要な用語
- ID サービス - ユーザー ID の管理を担う Tableau Server 2022.1 以降のサービス。認証やプロビジョニングのサービスも含まれます。このサービスが使用する ID スキーマは、Identity Service テーブルと従来の「system_users」テーブルでユーザー ID を表します。
- ID プール - ユーザーが Tableau Server へアクセスできるようにするための、プロビジョニングと認証情報を使用した ID 管理ツールです。ID プールにより、より集中的で柔軟な ID 管理ワークフローが ID サービス上に構築され、Tableau Server でユーザー ID を保存し、管理することが可能になります。
- レガシー ID ストア モード - Tableau Server 2021.4 以前で使用されていた制限付きの ID スキーマ。ユーザー ID は従来の「system_users」テーブルでのみ表されます。
- アイデンティティの移行 - 既存の Tableau Server ユーザー アイデンティティを評価し、アップストリームの外部アイデンティティ ストアに対して (必要に応じて) 追加のアイデンティティ情報のクエリを実行し、その追加のアイデンティティ情報をアイデンティティ サービスにインポートする監査プロセス。
- 外部 ID ストア - Tableau Server の外部にある上流の ID ストア タイプ。外部のディレクトリ サービス (Active Directory (AD) または LDAP) ですべての ID 情報が格納され、管理されます。構成されると、Tableau Server はこの外部ディレクトリと同期して、ID 情報のコピーを Tableau Server に保持します。
- ローカル ID ストア - Tableau Server が提供する ID ストア タイプ。構成されると、Tableau Server は、ID 情報用に構成された外部ディレクトリがなくても、Tableau Server リポジトリに ID 情報を保管して管理します。
- システム ユーザー - Tableau Server のユーザー。ユーザーは、Identity Service (「system_users_identities」テーブル経由) と従来の ID ストア モードの両方のサインイン レコード (「system_users」) に対応します。複数のサイトにサインインできるように、複数のユーザー ID が 1 つの「system_users」レコードに関連付けられている場合があります。1 つの「system_user」レコードと複数のサイトの間のつながりは、「users」テーブルで定義されます。
ID 移行の目的
Tableau Server のバックアップを作成すると、ID 情報は、バックアップを作成した Tableau Server のバージョンで使用される ID スキーマに保存されます。バックアップが使用する ID スキーマから Identity Service が使用する ID スキーマに ID 情報を取り込むために、移行が必要となります。
Tableau Server 2021.4 以前の ID スキーマ
従来の ID ストア モードで使用される ID スキーマは、「system_users」と「domains」の 2 つのテーブルで構成されています。
Tableau Server 2022.1 以降の ID スキーマ
Identity Service で使用される ID スキーマは、従来の「system_users」テーブルと、より多くの ID 情報を取り込む補助的な Identity Service テーブル (*_identity_stores および *identities) とで構成されています。この追加のテーブルによって、上流の外部 ID ストアでの変更が原因で発生する問題を減らすことができます。
ID 移行時の注意点
ユーザー ID に関する情報を移行すると、従来の「system_users」テーブルに格納されていた ID 情報は Identity Service テーブルで補足されます。
ID 情報を補足する Identity Service テーブルのタイプは、Tableau Server が構成されている ID ストアのタイプ (ローカル、Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)) によって異なります。
AD ID ストア タイプの場合、Identity Service テーブルは、あいまいではない属性、または同じデータベース レコードに格納されていない属性のみを継承します。
たとえば、sAMAccountNAme と userPrincipalName (UPN) が従来の「systems_users」テーブルの同じ名前のレコードに格納されている場合があります。これは、複雑な一連のルールの結果として発生する可能性があります。ほとんどの場合、移行はユーザー ID を正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の「ID 移行」ページを使用して競合を手動で解決する必要があります。詳細については、ID 移行時の競合の解決を参照してください。
LDAP ID ストア タイプの場合、AD ID ストア タイプの場合と同じように、Identity Service テーブルはあいまいではない属性のみを継承します。ほとんどの場合、移行はユーザー ID を正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の「ID 移行」ページを使用して競合を手動で解決する必要があります。詳細については、ID 移行時の競合の解決を参照してください。
ローカル ID ストア タイプの場合、Identity Service テーブルはユーザー フィールドとドメイン フィールドを直接継承します。つまり、追加する情報や手動での解決は必要ありません。Tableau Server がこのタイプの ID ストア用に構成されている場合、ユーザー ID の移行は、Tableau Server のバックアップをリストアするプロセスの後に行われます。
ステップ 1: 始める前に
始める前に、以下で Tableau Server のアップグレード方法を特定し、ID 移行の次のステップを決定します。
1) 新しいマシンに Tableau Server をインストールし、2) tsm メンテナンス (バックアップと復元) コマンドを使用して Tableau Server をバックアップおよび復元することによって、Tableau Server のブルー/グリーン アップグレードまたは手動によるアップグレードを実行する場合、いくつかの追加ステップに従って移行を開始する必要があります。
詳細については、アイデンティティの移行に関する問題をトラブルシューティングするを参照してください。
ここで説明する方法で Tableau Server の単一サーバーまたはマルチノードの「インプレース」アップグレードを行う場合は、移行を開始するために追加の手順は必要ありません。移行は、Tableau Server をバージョン 2022.1 以降へアップグレードした後に開始されます。
ステップ 2 に進みます。
1) 新しいマシンに Tableau Server をインストールして、2) tsm settings (エクスポートとインポート) コマンドを使用して構成とトポロジの情報をエクスポートおよびインポートすることにより、Tableau Server を手動でアップグレードする場合も、移行を開始するために追加の手順は必要ありません。移行は、新しい Tableau Server マシンでインポート プロセスが完了した後に開始されます。
ステップ 2 に進みます。
ステップ 2: ID の移行を開始する
ID の移行を開始するには、tsm コマンド features.IdentityMigrationBackgroundJob を使用して ID 移行機能を有効にする必要があります。
注: Tableau Server バージョン 2021.4.21、2022.1.17、2022.3.9、および 2023.1.5 にアップグレードした場合は、デフォルトで ID の移行が始まるので、ステップ 3: ID の移行を完了するにスキップできます。
クラスタの最初のノード (TSM がインストールされているノード) で管理者としてコマンド プロンプトを開きます。
次のコマンドを実行します。
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
ID の移行が始まると、Tableau Server に [ID の移行] ページにリンクする通知が表示されます。[ID の移行] ページでは、ID の移行のステータスと、解決する必要がある ID の競合を監視できます。
ステップ 3: ID の移行を完了する
ID の移行を完了するには、Tableau Server の Identity Service を有効にする前に、すべての ID の競合を解決または承認する必要があります。
- Tableau Server に管理者としてサインインします。
左側のナビゲーション ペインで、[ユーザー] (またはマルチサイト Tableau Server の場合は [すべてのサイト] > [ユーザー] を選択し、[Identity Migration (アイデンティティの移行)] ページをクリックして、移行が開始されたことを確認します。
Tableau Serverの [ユーザー] ページから、専用の [アイデンティティの移行] ページを使用して、進行状況を監視および管理できます。詳細については、「アイデンティティの移行を管理する」を参照してください。
「ID 移行時の競合の解決」の説明に従って、すべての ID 競合を解決または確認して、下の画像のように [All failures (すべての失敗)] タブに「0」が表示されるようにします。
次のいずれかを実行します。
アイデンティティの移行ジョブを今すぐ実行するには、[Migration Overview (移行の概要)] 見出しの横にある [Edit Schedule (スケジュールの編集)] ドロップダウン矢印をクリックし、[今すぐ実行] を選択します。
- または、次にスケジュールされた時間に移行ジョブが実行されるのを待つこともできます。
移行が完了したら、[アイデンティティの移行] ページで、[移行の概要] に [100% 完了] が表示されていることを確認します。
ステップ 4: ID サービスを使用するように Tableau Server を構成する
アイデンティティの移行が完了したら、アイデンティティ サービスを使用するように Tableau Server を構成します。これにより、ユーザーのプロビジョニングと認証プロセスでより安全で不変のアイデンティティ構造が確保されます。
- クラスターの初期ノード (TSM がインストールされているノード) で、管理者としてコマンド プロンプトを開きます。
次のコマンドを実行します。
tsm authentication legacy-identity-mode disabletsm pending-changes apply注: 上記のコマンドを実行すると、専用の [ID 移行] ページが削除され、アクセスできなくなります。ページにアクセスできるのは、
tsm authentication legacy-identity-modeが有効になっている場合のみです。
Tableau Server をアイデンティティ サービスを使用するように構成した後、ユーザーが Tableau Server にサインインすると、Tableau Server は構成されたアイデンティティ ストア内の識別子を使用してユーザー アイデンティティを検索します。識別子からユニバーサル一意識別子 (UUID) が返され、既存の Tableau Server ユーザー アイデンティティと照合するために使用されます。次に、このプロセスはユーザーのセッションを生成し、認証ワークフローを完了します。