バージョン 2022.1 以降、Tableau Server は Identity Service を使用して ID 情報の保存と管理を行います。Identity Service では、Tableau Server は、より最新で安全な不変の ID 構造をユーザーのプロビジョニングと認証プロセスに使用します。

Tableau Server 2022.1 以降のすべての新しい展開では、Identity Service をデフォルトで使用します。追加の操作は必要ありません。Tableau Server に新しいユーザーを追加すると、Identity Service がデフォルトで使用されます。

既存の展開の場合、Tableau Server をバージョン 2022.1 以降にアップグレードして、Tableau 2021.4 以前のバックアップをリストアすると、Tableau Server をアップグレード後に ID の移行が開始され、新しい Identity Service にデータが入力されます。ID の移行により、すべての Tableau Server ユーザー用に補助的な Identity Service テーブルが作成されます。このテーブルは、Identity Service でユーザーを認証するために使用されます。移行はバックグラウンドで実行されるため、ユーザーが Tableau Server の使用を中断したり影響を受けたりすることはありません。

管理者は、Tableau Server の [ユーザー] ページから利用できる専用の [ID移行] ページを使用して、移行の監視と管理を行うことができます。この管理には、移行を実施するタイミングの変更や、移行の競合が発生した場合の解決なども含まれます。このページは、移行プロセスの間利用できます。

既存の展開に対する手順の概要

既存の展開については、ID の構成を改善して今後のセキュリティと機能の更新を利用できるようにするために、移行が完了したら Identity Service を使用するように Tableau Server を構成する必要があります。

ステップ 1: ID の移行を開始する

ステップ 2: ID の移行を完了する

ステップ 3: Identity Service を使用するように Tableau Server を構成する

重要な用語

  • ID サービス - ユーザー ID の管理を担う Tableau Server 2022.1 以降のサービス。認証やプロビジョニングのサービスも含まれます。このサービスが使用する ID スキーマは、Identity Service テーブルと従来の「system_users」テーブルでユーザー ID を表します。
  • レガシー ID ストア モード - Tableau Server 2021.4 以前で使用されていた制限付きの ID スキーマ。ユーザー ID は従来の「system_users」テーブルでのみ表されます。
  • アイデンティティの移行 - 既存の Tableau Server ユーザー アイデンティティを評価し、アップストリームの外部アイデンティティ ストアに対して (必要に応じて) 追加のアイデンティティ情報のクエリを実行し、その追加のアイデンティティ情報をアイデンティティ サービスにインポートする監査プロセス。
  • 外部 ID ストア - Tableau Server の外部にある上流の ID ストア タイプ。外部のディレクトリ サービス (Active Directory (AD) または LDAP) ですべての ID 情報が格納され、管理されます。構成されると、Tableau Server はこの外部ディレクトリと同期して、ID 情報のコピーを Tableau Server に保持します。
  • ローカル ID ストア - Tableau Server が提供する ID ストア タイプ。構成されると、Tableau Server は、ID 情報用に構成された外部ディレクトリがなくても、Tableau Server リポジトリに ID 情報を保管して管理します。
  • システム ユーザー - Tableau Server のユーザー。ユーザーは、Identity Service (「system_users_identities」テーブル経由) と従来の ID ストア モードの両方のサインイン レコード (「system_users」) に対応します。複数のサイトにサインインできるように、複数のユーザー ID が 1 つの「system_users」レコードに関連付けられている場合があります。1 つの「system_user」レコードと複数のサイトの間のつながりは、「users」テーブルで定義されます。

ID 移行の目的

Tableau Server のバックアップを作成すると、ID 情報は、バックアップを作成した Tableau Server のバージョンで使用される ID スキーマに保存されます。バックアップが使用する ID スキーマから Identity Service が使用する ID スキーマに ID 情報を取り込むために、移行が必要となります。

Tableau Server 2021.4 以前の ID スキーマ

従来の ID ストア モードで使用される ID スキーマは、「system_users」と「domains」の 2 つのテーブルで構成されています。

Tableau Server 2022.1 以降の ID スキーマ

Identity Service で使用される ID スキーマは、従来の「system_users」テーブルと、より多くの ID 情報を取り込む補助的な Identity Service テーブル (*_identity_stores および *identities) とで構成されています。この追加のテーブルによって、上流の外部 ID ストアでの変更が原因で発生する問題を減らすことができます。

ID 移行時の注意点

ユーザー ID に関する情報を移行すると、従来の「system_users」テーブルに格納されていた ID 情報は Identity Service テーブルで補足されます。

ID 情報を補足する Identity Service テーブルのタイプは、Tableau Server が構成されている ID ストアのタイプ (ローカル、Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)) によって異なります。

  • AD ID ストア タイプの場合、Identity Service テーブルは、あいまいではない属性、または同じデータベース レコードに格納されていない属性のみを継承します。

    たとえば、sAMAccountNAme と userPrincipalName (UPN) が従来の「systems_users」テーブルの同じ名前のレコードに格納されている場合があります。これは、複雑な一連のルールの結果として発生する可能性があります。ほとんどの場合、移行はユーザー ID を正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の「ID 移行」ページを使用して競合を手動で解決する必要があります。詳細については、ID 移行時の競合の解決を参照してください。

  • LDAP ID ストア タイプの場合、AD ID ストア タイプの場合と同じように、Identity Service テーブルはあいまいではない属性のみを継承します。ほとんどの場合、移行はユーザー ID を正しく解釈し、正常に移行できます。ただし、移行であいまいな結果が発生した場合は、あいまいさを手動で承認するか、専用の「ID 移行」ページを使用して競合を手動で解決する必要があります。詳細については、ID 移行時の競合の解決を参照してください。

    ローカル ID ストア タイプの場合、Identity Service テーブルはユーザー フィールドとドメイン フィールドを直接継承します。つまり、追加する情報や手動での解決は必要ありません。Tableau Server がこのタイプの ID ストア用に構成されている場合、ユーザー ID の移行は、Tableau Server のバックアップをリストアするプロセスの後に行われます。

ステップ 1: ID の移行を開始する

ほとんどの場合、ID の移行はお客様が何もしなくても開始されます。ただし、Tableau Server のアップグレード方法によっては、移行を開始するためにいくつかの追加の手順が必要です。

  • 「ブルー/グリーン」アップグレードを行う場合、または 1) 新しいマシンに Tableau Server をインストールして、2) tsm maintenance (バックアップとリストア) コマンドを使用して Tableau Server のバックアップとリストアを行うことにより、Tableau Server を手動でアップグレードする場合は、移行を開始するために追加の手順が必要です。

    詳細については、アイデンティティの移行に関する問題をトラブルシューティングするを参照してください。

  • ここで説明する方法で Tableau Server の単一サーバーまたはマルチノードの「インプレース」アップグレードを行う場合は、移行を開始するために追加の手順は必要ありません。移行は、Tableau Server をバージョン 2022.1 以降へアップグレードした後に開始されます。

    ステップ 2 に進みます。

  • 1) 新しいマシンに Tableau Server をインストールして、2) tsm settings (エクスポートとインポート) コマンドを使用して構成とトポロジの情報をエクスポートおよびインポートすることにより、Tableau Server を手動でアップグレードする場合も、移行を開始するために追加の手順は必要ありません。移行は、新しい Tableau Server マシンでインポート プロセスが完了した後に開始されます。

    ステップ 2 に進みます。

注: 以下の手順 2手順 3 に従って、移行を完了させ、Tableau Server が Identity Service を使用するように構成することを強くお勧めします。移行を遅らせることはできますが、最新のセキュリティと機能の更新を確実に行うために、いずれ将来のリリースで移行が必要になります。

ステップ 2: ID の移行を完了する

ID の移行を完了するには、Tableau Server の Identity Service を有効にする前に、すべての ID の競合を解決または承認する必要があります。

  1. Tableau Server に管理者としてサインインします。
  2. 左側のナビゲーション ペインで、[ユーザー] (またはマルチサイト Tableau Server の場合は [すべてのサイト] > [ユーザー] を選択し、[Identity Migration (アイデンティティの移行)] ページをクリックして、移行が開始されたことを確認します。

    Tableau Serverの [ユーザー] ページから、専用の [アイデンティティの移行] ページを使用して、進行状況を監視および管理できます。詳細については、「アイデンティティの移行を管理する」を参照してください。

  3. ID 移行時の競合の解決」で説明されているように、すべてのアイデンティティの競合を解決または確認します。

  4. 次のいずれか 1 つを実行します。

    • アイデンティティの移行ジョブを今すぐ実行するには、[Migration Overview (移行の概要)] 見出しの横にある [Edit Schedule (スケジュールの編集)] ドロップダウン矢印をクリックし、[今すぐ実行] を選択します。
    • または、次にスケジュールされた時間に移行ジョブが実行されるのを待つこともできます。
  5. 移行が完了したら、[アイデンティティの移行] ページで、[移行の概要] に [100% 完了] が表示されていることを確認します。

ステップ 3: Identity Service を使用するように Tableau Server を構成する

ID の移行が完了したら、Tableau Server が Identity Service を使用するように構成し、より安全で不変の ID 構造をユーザーのプロビジョニングと認証プロセスに使用します。

  1. クラスタの最初のノード (TSM がインストールされているノード) で管理者としてコマンド プロンプトを開きます。
  2. 次のコマンドを実行します。

    tsm authentication legacy-identity-mode disable
    tsm pending-changes apply

Tableau Server をアイデンティティ サービスを使用するように構成した後、ユーザーが Tableau Server にサインインすると、Tableau Server は構成されたアイデンティティ ストア内の識別子を使用してユーザー アイデンティティを検索します。識別子からユニバーサル一意識別子 (UUID) が返され、既存の Tableau Server ユーザー アイデンティティと照合するために使用されます。次に、このプロセスはユーザーのセッションを生成し、認証ワークフローを完了します。

ありがとうございます!