外部のアイデンティティ ストアの構成リファレンス

Tableau Server は、LDAP を使用した外部ディレクトリへの接続に対応しています。このシナリオでは、Tableau Server は外部 LDAP ディレクトリから Tableau Server リポジトリにユーザーをシステム ユーザーとしてインポートします。

このトピックでは、Tableau Server が対応しているすべての LDAP 関連の構成オプションについて説明します。Active Directory に接続する場合は、手動で接続を構成するのではなく、セットアップの一部として Tableau Server との LDAP 接続を自動的に構成することを強くお勧めします。「初期ノード設定の構成」を参照してください。

このリファレンスに一覧表示されているオプションは、LDAP に準拠した任意のディレクトリに使用できます。LDAP を構成したことがない場合は、ディレクトリ管理者または LDAP の専門家と協力して行ってください。

このトピックはリファレンスに関するものです。Tableau Server でユーザー情報を格納して管理する方法の詳細については、「アイデンティティ ストア」を参照してください。

構成方法

Tableau Server を LDAP ディレクトリに接続できるようにする構成パラメーターは、yml ファイルに格納されます。これらのファイルは、Tableau Server のさまざまなサービスによって管理および同期されます。.yml ファイルの更新は、Tableau サービス マネージャー (TSM) インターフェイスを使用して行う必要があります。

テキスト エディタを使用して yml ファイルを直接更新しないでください。適切に動作させるためには、TSM ですべての更新を管理する必要があります。

yml 構成ファイルは、キー値のペアで構成されます。たとえば、wgserver.domain.username というキーには、値としてユーザー名が入っています。このキーは、バインド操作中に LDAP ディレクトリの認証に使用するユーザー名を定義します。

TSM では yml キー値を設定できる 4 つの方法があります。例として wgserver.domain.username というキーを使用して、4 つの異なる設定方法を説明します。

  • configKey キー値ペア - .yml 構成ファイルのキーを更新するには、tsm configuration set のオプション を実行している wgserver.domain.username キーを更新するか、configKey エンティティの下の JSON 構成ファイルにキーを含めます。「構成ファイルの例」を参照してください。

    JSON 構成ファイルの configKey キー値ペアは、tsm configuration set で使用するものと同じですが、設定が異なります。このトピックでは、どちらの方法も configKey と呼びます。

    以下で説明する configEntities およびネイティブの tsm コマンドを使用する場合とは異なり、configKey の入力は検証されません。configKey を使用してオプションを設定する場合、入力する値は参照元となる yml 構成ファイルにリテラル文字列としてコピーされます。たとえば、true または false が有効な入力であるキーの場合、configKey キー値ペアを使用してキーを構成すると、任意の文字列値を入力でき、キー用に保存されます。このような場合、無効な値は確実に LDAP 構成のエラーにつながります。

    configKeys を使用するのは、次に示す他の 3 つのオプション (configEntities、ネイティブの tsm コマンド、TSM Web UI) で構成を設定するオプションがない場合に限ることをお勧めします。configKeys を使用するときは、必ず値をダブルチェックして、大文字と小文字を区別するようにしてください。

  • configEntities JSON - configEntities JSON で username オプションを渡すことにより、.yml 構成ファイルを更新できます。

    JSON ファイルの configEntities オプションを使用して値を設定すると、値は保存される前に検証されます。値の大文字と小文字は区別されます。configEntities を使用して値を設定する方法の詳細については、「identityStore エンティティ」の例を参照してください。JSON ファイルは、tsm settings import コマンドによりインポートされます。configEntities で使用できるオプションは、すべての .yml キー値ペアの一部です。

    検証とは、JSON ファイル内のすべての値が有効なデータ型である場合にのみ、インポート コマンドが成功することを意味します。たとえば、true または false のみを受け入れる値に対して no を入力した場合は、エラーが返され、構成はインポートされません。

    JSON 構成ファイルは、初期構成の一部としてのみインポートできます。JSON 構成ファイルをインポートして Tableau Server を初期化した後に LDAP に変更を加える必要がある場合は、JSON ファイルをインポートし直さないでください。代わりに、可能であればネイティブの tsm コマンドを使用するか、configKeys と tsm configuration set を使用して、個々のキーを変更します。

  • ネイティブ tsm コマンド - ネイティブ tsm コマンド tsm user-identity-storeldapuser オプションを渡すことにより、.yml 構成ファイルを更新できます。configEntities と同様に、ネイティブ tsm コマンドで入力した値は、保存する前に検証されます。

    .yml ファイル内のすべてのキー値ペアが、ネイティブ tsm コマンドを使用して設定できるわけではありません。

  • TSM GUI — TSM GUI を使用して、セットアップ中に構成値を設定できます。Active Directory に接続していて、セットアップ中に GUI を使用して Tableau ID ストアを構成する場合は、AD の読み取りアクセス権を持つアカウントの入力を求められます。wgserver.domain.username キーは、認証資格情報を入力するときに設定されます。

    このシナリオは、Active Directory に接続している場合にのみ機能します。Tableau Server では、GUI セットアップ プロセスの一部としての任意の LDAP 構成はサポートされていません。

Tableau のアイデンティティ ストア構成ツール(新しいウィンドウでリンクが開く)を使用して LDAP json 構成ファイルを生成することを検討してください。Tableau のアイデンティティ ストア構成ツールでは、tsm configuration set のオプション を実行して設定できるキー/値のペアのリストも生成されます。ツール自体は Tableau ではサポートされていません。ただし、ファイルを手動で作成する代わりにこのツールで作成された JSON ファイルを使用しても、サポートされるサーバーのステータスは変わりません。

Active Directory の構成

Tableau Server を構成して Active Directory を使用する場合は、インストールに TSM Web UI を使用することをお勧めします。TSM Web UI は、必要な入力を最小限に抑えながら Active Directory 向けに Tableau Server を構成するよう最適化されています。初期ノード設定の構成を参照してください。

構成リファレンス テーブル

configEntities オプション

(オプションでは、大文字と小文字が区別されます)

ネイティブの tsm コマンド

configKey

(tsm configuration set コマンドまたは JSON ファイルの configKeys セクションで使用)

シナリオ

typeN/Awgserver.authenticateAD、LDAP、ローカルユーザーの ID 情報を格納する場所。値: local または activedirectory

LDAP サーバーに接続する場合は、activedirectory と入力します。

sslPortN/Awgserver.domain.ssl_portAD、LDAPLDAP サーバーのセキュア ポートを指定します。シンプル バインドにはセキュア LDAP が推奨されます。通常 LDAPS はポート 636 です。
N/AN/AWgserver.domain.ldap.starttls が有効になりました。AD、LDAP

値: true または false

バージョン 2021.2 以降、Tableau Server が Active Directory に接続するように構成されている場合、このキーは既定で true に設定されています。その結果、有効な SSL/TLS 証明書が Tableau キー ストアに存在する場合、LDAP ディレクトリへのシンプル バインドが暗号化されます。詳細については、外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成を参照してください。

This key is set to false by default when Tableau Server is configured to connect to a an arbitrary (but not Active Directory) LDAP server.

このキーはバージョン 2021.1 で導入されました (設定はされていません)。

portN/Awgserver.domain.portAD、LDAPLDAP サーバーの非セキュア ポートを指定するためにこのオプションを使用します。プレーン テキストは通常 389 です。
domaindomainwgserver.domain.defaultADActive Directory 環境で、Tableau Server がインストールされているドメインを指定します (例: "example.lan")。

Active Directory 環境ではない LDAP の場合: この値に入力した文字列は、ユーザー管理ツールの [ドメイン] 列に表示されます。任意の文字列を入力できますが、キーを空白にすることはできません。

このキーを wgserver.domain.fqdn にすると冗長です。両方のキーの値は同じにする必要があります。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

usernameldapusernamewgserver.domain.usernameAD、LDAPディレクトリ サービスとの接続に使用するユーザー名です。

指定するアカウントには、ディレクトリ サービスをクエリするパーミッションが必要です。

Active Directory にはユーザー名 (jsmith など) を入力します。

LDAP サーバーには、接続に使用するユーザーの識別名 (DN) を入力します。たとえば、"cn=jsmith,dc=example,dc=lan" とします。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

passwordldappasswordwgserver.domain.passwordAD、LDAPLDAP サーバーとの接続に使用するユーザー アカウントのパスワード。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

directoryServiceTypeN/Awgserver.domain.directoryservice.typeAD、LDAP接続する LDAP ディレクトリ サービスのタイプ。値: activedirectory または openldap
kerberosPrincipalkerbprincipalwgserver.domain.ldap.principalAD、LDAPホスト マシン上の Tableau Server のサービス プリンシパル名。keytab には、このプリンシパルに対するパーミッションがなくてはなりません。/etc/krb5.keytab にある既存のシステム keytab を使用しないでください。代わりに、新しいサービス プリンシパル名の登録を推奨しています。指定された keytab のプリンシパルを表示するには、klist -k コマンドを実行します。Keytab 要件の理解を参照してください。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

hostnamehostnamewgserver.domain.ldap.hostnameAD、LDAPLDAP サーバーのホスト名です。この値のホスト名または IP アドレスを入力できます。ここで指定するホストは、プライマリ ドメインのユーザー/グループ クエリに使用されます。ユーザー/グループ クエリが他のドメインにある場合、Tableau Server は DNS にクエリを実行して適切なドメイン コントローラーを識別します。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

membersRetrievalPageSizeN/Awgserver.domain.ldap.members.retrieval.page.sizeAD、LDAP

このオプションによって、LDAP クエリで返される結果の最大数が決まります。

たとえば、Tableau Server で 50,000 ユーザーを含む LDAP グループをインポートするというシナリオについて検討します。単一の操作でこのような多数のユーザーが含まれるインポートを試行することは、ベスト プラクティスではありません。このオプションを 1,500 に設定すると、Tableau Server は最初の応答でまず 1,500 ユーザーをインポートします。それらのユーザーが処理されたら、Tableau Server で次の1,500 ユーザーを LDAP サーバーからリクエストする、という手順です。

このオプションは、お使いの LDAP サーバーの要件に対応する場合にのみ変更することをお勧めします。

N/AN/Awgserver.domain.ldap.connectionpool.enabledAD、LDAPこのオプションを true に設定すると、Tableau Server は LDAP サーバーにクエリを送信するときに同じ接続を再利用しようとします。この動作によって、新規リクエストごとに LDAP サーバーで再認証を行うオーバーヘッドを軽減することができます。接続プールは、シンプル バインドおよび TSL/SSL バインドによる接続でのみ機能します。接続プールは、GSSAPI バインド接続ではサポートされていません。
N/AN/Awgserver.domain.accept_listADTableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインはユーザーが同期するときに Tableau Server が接続するドメインですが、Tableau Server はインストールされていません。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で wgserver.domain.accept_list オプションを設定して信頼されるドメインを指定する必要があります。詳細については、wgserver.domain.accept_listを参照してください。
N/AN/A

wgserver.domain.whitelist

AD

重要: バージョン 2020.4.0 で非推奨になりました。代わりに wgserver.domain.accept_list を使用してください。

Tableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインはユーザーが同期するときに Tableau Server が接続するドメインですが、Tableau Server はインストールされていません。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で wgserver.domain.whitelist オプションを設定して信頼されるドメインを指定する必要があります。詳細については、wgserver.domain.whitelistを参照してください。

kerberosConfig

kerbconfig

ダイレクト マッピングなしAD、LDAP

ローカル コンピューター上の Kerberos 構成ファイルのパス。Active Directory にインストールしている場合、ドメインで結合したコンピューターにある可能性がある既存の Kerberos 構成ファイルや keytab ファイルを使用することは推奨されていません。アイデンティティ ストアを参照してください。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

kerberosKeytabkerbkeytabダイレクト マッピングなしAD、LDAP

ローカル コンピューター上の Kerberos keytab ファイルのパス。Tableau Server サービス専用のキーで keytab ファイルを作成し、この keytab ファイルをコンピューター上の他のアプリケーションと共有しないことが推奨されます。たとえば、Linux では /var/opt/tableau/keytab ディレクトリに keytab ファイルを配置することができます。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

nicknameN/Awgserver.domain.nicknameAD、LDAP

ドメインのニックネーム。これは Windows/Active Directory 環境の NetBIOS 名としても参照されます。すべての LDAP エンティティに nickname オプションが必要です。値を NULLにすることはできません。組織でニックネームや NetBIOS 名が不要な場合は、ブランク キーを渡します (例: "")。

rootN/Awgserver.domain.ldap.rootLDAPLDAP ルートでドメイン コンポーネントを使用しない場合、またはより複雑なルートを指定する必要がある場合には、LDAP ルートの設定が必要です。"o=my,u=root" の形式を使用します。たとえば、example.lan ドメインのルートは "o=example,u=lan" となります。
serverSideSortingN/Awgserver.domain.ldap.server_side_sortingLDAPクエリ結果をサーバー側で並べ替えるように LDAP サーバーを構成しているかどうかを示します。お使いの LDAP サーバーがサーバー側の並べ替えをサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
rangeRetrievalN/Awgserver.domain.ldap.range_retrievalLDAPリクエストに対するクエリ結果の範囲を返すように LDAP サーバーを構成しているかどうかを示します。これは、多数のユーザーが含まれるグループが一度にではなく小分けにしてリクエストされることを意味します。範囲取得をサポートする LDAP サーバーは、クエリが大きい場合により良いパフォーマンスを発揮します。お使いの LDAP サーバーが範囲取得をサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
bindN/Awgserver.domain.ldap.bindLDAPディレクトリ サービスへの通信を保護する方法。Kerberos で LDAP サーバーに接続しているのでなければ、LDAP には「simple」と入力してください。Kerberos には、「gssapi」と入力します。
N/AN/Awgserver.domain.ldap.domain_custom_portsLDAP

: このキーは、Tableau Server on Linux でのみサポートされます。

子ドメインとその LDAP ポートをマッピングできます。ドメインとポートはコロン (:) で区切られ、ドメインとポートのペア間は FQDN1:port,FQDN2:port の形式のようにコンマ (,) で区切られます。

例: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttributeN/Awgserver.domain.ldap.dnAttributeLDAP

ユーザーの識別名を格納する属性です。この属性はオプションですが、LDAP クエリのパフォーマンスが大きく向上します。

重要: 初期構成の一部としてこのオプションを設定しないでください。このオプションは、LDAP の全体的な機能を検証した後にのみ設定します。このキーを設定する前に、組織内で dnAttribute を設定する必要があります。

groupBaseDnN/Awgserver.domain.ldap.group.baseDnLDAP

グループに代替ルートを指定します。たとえば、グループの全員が「groups」と呼ばれるベース組織に保存されている場合は、"o=groups" と入力します。

N/Aclassnameswgserver.domain.ldap.group.classnamesLDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。

グループ名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、グループ名が groupOfNames, top の場合は、"groupOfNames\, top" と入力します。

Tableau の LDAP 実装では、LDAP オブジェクトはユーザーまたはグループとして解釈されます。したがって、最も具体的なクラス名を入力するようにしてください。ユーザーとグループの間でクラス名が重複すると、競合が発生する可能性があります。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupBaseFilterbasefilterwgserver.domain.ldap.group.baseFilterLDAP

Tableau Server のユーザー グループが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。例:

"(&(objectClass=groupofNames)(ou=Group))"

"(&(objectClass=inetOrgPerson)(ou=People))" が LDAP 実装で機能しない場合は、Tableau ユーザーベースに対して機能する基本フィルターを指定します。

これは必須のキーです。空白にすることはできません。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupNamegroupnamewgserver.domain.ldap.group.nameLDAP

LDAP サーバーのグループ名に対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupEmailgroupEmailwgserver.domain.ldap.group.emailLDAP

LDAP サーバーのグループの電子メール アドレスに対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupDescriptiondescriptionwgserver.domain.ldap.group.descriptionLDAP

LDAP サーバーのグループの説明に対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

membermemberwgserver.domain.ldap.group.memberLDAP

グループに含まれるユーザーの識別名のリストを含む LDAP 属性を指定します。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

N/AN/Awgserver.domain.ldap.group.memberURLLDAP動的なグループに LDAP クエリを格納する LDAP 属性の名前を指定します。
userBaseDnN/Awgserver.domain.ldap.user.baseDnLDAPユーザーに代替ルートを指定します。たとえば、すべてのユーザーが「users」と呼ばれるベース組織に保存されている場合は、"o=users" と入力します。
N/Aclassnameswgserver.domain.ldap.user.classnamesLDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。例: "userclass1, userclass2"

ユーザー名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、名前が Names, top の場合は、"Names\, top" と入力します。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userBaseFilterbasefilterwgserver.domain.ldap.user.baseFilterLDAP

Tableau Server のユーザーが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。

例:

"(&(objectClass=inetOrgPerson)(ou=People))"

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userUsernameldapusernamewgserver.domain.ldap.user.usernameLDAP

LDAP サーバーのユーザー名に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userDisplayNamedisplaynamewgserver.domain.ldap.user.displaynameLDAP

LDAP サーバーのユーザーの表示名に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userEmailemailwgserver.domain.ldap.user.emailLDAP

LDAP サーバーのユーザーのメール アドレスに該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userCertificatecertificatewgserver.domain.ldap.user.usercertificateLDAP

LDAP サーバーのユーザーの証明書に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

N/Athumbnailwgserver.domain.ldap.user.thumbnailLDAP

LDAP サーバーのユーザーのサムネイル画像に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userJpegPhotojpegphotowgserver.domain.ldap.user.jpegphotoLDAP

LDAP サーバーのユーザー プロフィール画像に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

memberOfmemberofwgserver.domain.ldap.user.memberofLDAP

ユーザーがメンバーになっているグループです。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

groupClassNamesN/Awgserver.domain.ldap.group.classnamesLDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["basegroup","othergroup"]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "basegroup,othergroup”

userClassNamesN/Awgserver.domain.ldap.user.classnamesLDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["userclass1",userclass2”]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "userclass1,userclass2”

計算済みの configKeys

以下の Kerberos 関連の configKeys が計算され、複数の環境入力に従って設定されます。このため、configKeys は ネイティブの tsm コマンドや configEntities で設定する必要があります。これらの configKeys を手動で設定しようとしないでください。

計算済みの configKeysネイティブの TSM コマンドを使用するには:configEntity json を使用する場合:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Kerberos 構成ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbconfig オプションで設定します。

Kerberos 構成ファイルの場所を、kerberosConfig configEntity オプションで設定します。

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Kerberos キータブ ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbkeytab オプションで設定します。Kerberos キータブ ファイルの場所を、kerberosKeytab configEntity オプションで設定します。

サポート対象外の configKeys

参照元となる .yml 構成ファイルには、サポート対象外の configKeys がいくつか存在します。以下のキーは標準の展開向けではありません。これらのキーを構成しないようにしてください。

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • Wgserver.domain.fqdn: このキーを wgserver.domain.default にすると冗長です。両方のキーの値は同じにする必要があります。値が wgserver.domain.default と一致しない場合にのみ、wgserver.domain.fqdn を更新します。
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!