外部のアイデンティティ ストアの構成リファレンス
Tableau Server は、LDAP を使用した外部ディレクトリへの接続に対応しています。このシナリオでは、Tableau Server は外部 LDAP ディレクトリから Tableau Server リポジトリにユーザーをシステム ユーザーとしてインポートします。
このトピックでは、Tableau Server が対応しているすべての LDAP 関連の構成オプションについて説明します。Active Directory に接続する場合は、手動で接続を構成するのではなく、セットアップの一部として Tableau Server との LDAP 接続を自動的に構成することを強くお勧めします。「初期ノード設定の構成」を参照してください。
このリファレンスに一覧表示されているオプションは、LDAP に準拠した任意のディレクトリに使用できます。LDAP を構成したことがない場合は、ディレクトリ管理者または LDAP の専門家と協力して行ってください。
このトピックはリファレンスに関するものです。Tableau Server でユーザー情報を格納して管理する方法の詳細については、「アイデンティティ ストア」を参照してください。
構成方法
Tableau Server を LDAP ディレクトリに接続できるようにする構成パラメーターは、yml ファイルに格納されます。これらのファイルは、Tableau Server のさまざまなサービスによって管理および同期されます。.yml ファイルの更新は、Tableau サービス マネージャー (TSM) インターフェイスを使用して行う必要があります。
テキスト エディタを使用して yml ファイルを直接更新しないでください。適切に動作させるためには、TSM ですべての更新を管理する必要があります。
yml 構成ファイルは、キー値のペアで構成されます。たとえば、wgserver.domain.username
というキーには、値としてユーザー名が入っています。このキーは、バインド操作中に LDAP ディレクトリの認証に使用するユーザー名を定義します。
TSM では yml キー値を設定できる 4 つの方法があります。例として wgserver.domain.username
というキーを使用して、4 つの異なる設定方法を説明します。
configKey キー値ペア - .yml 構成ファイルのキーを更新するには、tsm configuration set のオプション を実行している
wgserver.domain.username
キーを更新するか、configKey エンティティの下の JSON 構成ファイルにキーを含めます。「構成ファイルの例」を参照してください。JSON 構成ファイルの configKey キー値ペアは、
tsm configuration set
で使用するものと同じですが、設定が異なります。このトピックでは、どちらの方法も configKey と呼びます。以下で説明する configEntities およびネイティブの tsm コマンドを使用する場合とは異なり、configKey の入力は検証されません。configKey を使用してオプションを設定する場合、入力する値は参照元となる yml 構成ファイルにリテラル文字列としてコピーされます。たとえば、
true
またはfalse
が有効な入力であるキーの場合、configKey キー値ペアを使用してキーを構成すると、任意の文字列値を入力でき、キー用に保存されます。このような場合、無効な値は確実に LDAP 構成のエラーにつながります。configKeys を使用するのは、次に示す他の 3 つのオプション (configEntities、ネイティブの tsm コマンド、TSM Web UI) で構成を設定するオプションがない場合に限ることをお勧めします。configKeys を使用するときは、必ず値をダブルチェックして、大文字と小文字を区別するようにしてください。
configEntities JSON - configEntities JSON で
username
オプションを渡すことにより、.yml 構成ファイルを更新できます。JSON ファイルの configEntities オプションを使用して値を設定すると、値は保存される前に検証されます。値の大文字と小文字は区別されます。configEntities を使用して値を設定する方法の詳細については、「identityStore エンティティ」の例を参照してください。JSON ファイルは、tsm settings import コマンドによりインポートされます。configEntities で使用できるオプションは、すべての .yml キー値ペアの一部です。
検証とは、JSON ファイル内のすべての値が有効なデータ型である場合にのみ、インポート コマンドが成功することを意味します。たとえば、
true
またはfalse
のみを受け入れる値に対してno
を入力した場合は、エラーが返され、構成はインポートされません。JSON 構成ファイルは、初期構成の一部としてのみインポートできます。JSON 構成ファイルをインポートして Tableau Server を初期化した後に LDAP に変更を加える必要がある場合は、JSON ファイルをインポートし直さないでください。代わりに、可能であればネイティブの tsm コマンドを使用するか、configKeys と
tsm configuration set
を使用して、個々のキーを変更します。ネイティブ tsm コマンド - ネイティブ tsm コマンド
tsm user-identity-store
でldapuser
オプションを渡すことにより、.yml 構成ファイルを更新できます。configEntities と同様に、ネイティブ tsm コマンドで入力した値は、保存する前に検証されます。.yml ファイル内のすべてのキー値ペアが、ネイティブ tsm コマンドを使用して設定できるわけではありません。
TSM GUI — TSM GUI を使用して、セットアップ中に構成値を設定できます。Active Directory に接続していて、セットアップ中に GUI を使用して Tableau ID ストアを構成する場合は、AD の読み取りアクセス権を持つアカウントの入力を求められます。
wgserver.domain.username
キーは、認証資格情報を入力するときに設定されます。このシナリオは、Active Directory に接続している場合にのみ機能します。Tableau Server では、GUI セットアップ プロセスの一部としての任意の LDAP 構成はサポートされていません。
Tableau のアイデンティティ ストア構成ツール(新しいウィンドウでリンクが開く)を使用して LDAP json 構成ファイルを生成することを検討してください。Tableau のアイデンティティ ストア構成ツールでは、tsm configuration set のオプション を実行して設定できるキー/値のペアのリストも生成されます。ツール自体は Tableau ではサポートされていません。ただし、ファイルを手動で作成する代わりにこのツールで作成された JSON ファイルを使用しても、サポートされるサーバーのステータスは変わりません。
Active Directory の構成
Tableau Server を構成して Active Directory を使用する場合は、インストールに TSM Web UI を使用することをお勧めします。TSM Web UI は、必要な入力を最小限に抑えながら Active Directory 向けに Tableau Server を構成するよう最適化されています。初期ノード設定の構成を参照してください。
構成リファレンス テーブル
configEntities オプション (オプションでは、大文字と小文字が区別されます) | ネイティブの tsm コマンド | configKey (tsm configuration set コマンドまたは JSON ファイルの configKeys セクションで使用) | シナリオ | 注 |
---|---|---|---|---|
type | N/A | wgserver.authenticate | AD、LDAP、ローカル | ユーザーの ID 情報を格納する場所。値: local または activedirectory LDAP サーバーに接続する場合は、 |
sslPort | N/A | wgserver.domain.ssl_port | AD、LDAP | LDAP サーバーのセキュア ポートを指定します。シンプル バインドにはセキュア LDAP が推奨されます。通常 LDAPS はポート 636 です。 |
N/A | N/A | Wgserver.domain.ldap.starttls が有効になりました。 | AD、LDAP | 値: バージョン 2021.2 以降、Tableau Server が Active Directory に接続するように構成されている場合、このキーは既定で This key is set to このキーはバージョン 2021.1 で導入されました (設定はされていません)。 |
port | N/A | wgserver.domain.port | AD、LDAP | LDAP サーバーの非セキュア ポートを指定するためにこのオプションを使用します。プレーン テキストは通常 389 です。 |
domain | domain | wgserver.domain.default | AD | Active Directory 環境で、Tableau Server がインストールされているドメインを指定します (例: "example.lan")。 Active Directory 環境ではない LDAP の場合: この値に入力した文字列は、ユーザー管理ツールの [ドメイン] 列に表示されます。任意の文字列を入力できますが、キーを空白にすることはできません。 このキーを wgserver.domain.fqdn にすると冗長です。両方のキーの値は同じにする必要があります。 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
username | ldapusername | wgserver.domain.username | AD、LDAP | ディレクトリ サービスとの接続に使用するユーザー名です。 指定するアカウントには、ディレクトリ サービスをクエリするパーミッションが必要です。 Active Directory にはユーザー名 ( LDAP サーバーには、接続に使用するユーザーの識別名 (DN) を入力します。たとえば、 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
password | ldappassword | wgserver.domain.password | AD、LDAP | LDAP サーバーとの接続に使用するユーザー アカウントのパスワード。 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
directoryServiceType | N/A | wgserver.domain.directoryservice.type | AD、LDAP | 接続する LDAP ディレクトリ サービスのタイプ。値: activedirectory または openldap |
kerberosPrincipal | kerbprincipal | wgserver.domain.ldap.principal | AD、LDAP | ホスト マシン上の Tableau Server のサービス プリンシパル名。keytab には、このプリンシパルに対するパーミッションがなくてはなりません。/etc/krb5.keytab にある既存のシステム keytab を使用しないでください。klist -k コマンドを実行します。Keytab 要件の理解を参照してください。ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
hostname | hostname | wgserver.domain.ldap.hostname | AD、LDAP | LDAP サーバーのホスト名です。この値のホスト名または IP アドレスを入力できます。ここで指定するホストは、プライマリ ドメインのユーザー/グループ クエリに使用されます。ユーザー/グループ クエリが他のドメインにある場合、Tableau Server は DNS にクエリを実行して適切なドメイン コントローラーを識別します。 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
membersRetrievalPageSize | N/A | wgserver.domain.ldap.members.retrieval.page.size | AD、LDAP | このオプションによって、LDAP クエリで返される結果の最大数が決まります。 たとえば、Tableau Server で 50,000 ユーザーを含む LDAP グループをインポートするというシナリオについて検討します。単一の操作でこのような多数のユーザーが含まれるインポートを試行することは、ベスト プラクティスではありません。このオプションを 1,500 に設定すると、Tableau Server は最初の応答でまず 1,500 ユーザーをインポートします。それらのユーザーが処理されたら、Tableau Server で次の1,500 ユーザーを LDAP サーバーからリクエストする、という手順です。 このオプションは、お使いの LDAP サーバーの要件に対応する場合にのみ変更することをお勧めします。 |
N/A | N/A | wgserver.domain.ldap.connectionpool.enabled | AD、LDAP | このオプションを true に設定すると、Tableau Server は LDAP サーバーにクエリを送信するときに同じ接続を再利用しようとします。この動作によって、新規リクエストごとに LDAP サーバーで再認証を行うオーバーヘッドを軽減することができます。接続プールは、シンプル バインドおよび TSL/SSL バインドによる接続でのみ機能します。接続プールは、GSSAPI バインド接続ではサポートされていません。 |
N/A | N/A | wgserver.domain.accept_list | AD | Tableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインはユーザーが同期するときに Tableau Server が接続するドメインですが、Tableau Server はインストールされていません。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で wgserver.domain.accept_list オプションを設定して信頼されるドメインを指定する必要があります。詳細については、wgserver.domain.accept_listを参照してください。 |
N/A | N/A | wgserver.domain.whitelist | AD | 重要: バージョン 2020.4.0 で非推奨になりました。代わりに wgserver.domain.accept_list を使用してください。 Tableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインはユーザーが同期するときに Tableau Server が接続するドメインですが、Tableau Server はインストールされていません。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で |
kerberosConfig | kerbconfig | ダイレクト マッピングなし | AD、LDAP | ローカル コンピューター上の Kerberos 構成ファイルのパス。Active Directory にインストールしている場合、ドメインで結合したコンピューターにある可能性がある既存の Kerberos 構成ファイルや keytab ファイルを使用することは推奨されていません。アイデンティティ ストアを参照してください。 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
kerberosKeytab | kerbkeytab | ダイレクト マッピングなし | AD、LDAP | ローカル コンピューター上の Kerberos keytab ファイルのパス。Tableau Server サービス専用のキーで keytab ファイルを作成し、この keytab ファイルをコンピューター上の他のアプリケーションと共有しないことが推奨されます。 ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。 |
nickname | N/A | wgserver.domain.nickname | AD、LDAP | ドメインのニックネーム。これは Windows/Active Directory 環境の NetBIOS 名としても参照されます。すべての LDAP エンティティに |
root | N/A | wgserver.domain.ldap.root | LDAP | LDAP ルートでドメイン コンポーネントを使用しない場合、またはより複雑なルートを指定する必要がある場合には、LDAP ルートの設定が必要です。"o=my,u=root" の形式を使用します。たとえば、example.lan ドメインのルートは "o=example,u=lan" となります。 |
serverSideSorting | N/A | wgserver.domain.ldap.server_side_sorting | LDAP | クエリ結果をサーバー側で並べ替えるように LDAP サーバーを構成しているかどうかを示します。お使いの LDAP サーバーがサーバー側の並べ替えをサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。 |
rangeRetrieval | N/A | wgserver.domain.ldap.range_retrieval | LDAP | リクエストに対するクエリ結果の範囲を返すように LDAP サーバーを構成しているかどうかを示します。これは、多数のユーザーが含まれるグループが一度にではなく小分けにしてリクエストされることを意味します。範囲取得をサポートする LDAP サーバーは、クエリが大きい場合により良いパフォーマンスを発揮します。お使いの LDAP サーバーが範囲取得をサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。 |
bind | N/A | wgserver.domain.ldap.bind | LDAP | ディレクトリ サービスへの通信を保護する方法。Kerberos で LDAP サーバーに接続しているのでなければ、LDAP には「simple 」と入力してください。Kerberos には、「gssapi 」と入力します。 |
N/A | N/A | wgserver.domain.ldap.domain_custom_ports | LDAP | 注: このキーは、Tableau Server on Linux でのみサポートされます。 子ドメインとその LDAP ポートをマッピングできます。ドメインとポートはコロン (:) で区切られ、ドメインとポートのペア間は 例: |
distinguishedNameAttribute | N/A | wgserver.domain.ldap.dnAttribute | LDAP | ユーザーの識別名を格納する属性です。この属性はオプションですが、LDAP クエリのパフォーマンスが大きく向上します。 重要: 初期構成の一部としてこのオプションを設定しないでください。このオプションは、LDAP の全体的な機能を検証した後にのみ設定します。このキーを設定する前に、組織内で dnAttribute を設定する必要があります。 |
groupBaseDn | N/A | wgserver.domain.ldap.group.baseDn | LDAP | グループに代替ルートを指定します。たとえば、グループの全員が「groups」と呼ばれるベース組織に保存されている場合は、 |
N/A | classnames | wgserver.domain.ldap.group.classnames | LDAP | 既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。 グループ名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、グループ名が Tableau の LDAP 実装では、LDAP オブジェクトはユーザーまたはグループとして解釈されます。したがって、最も具体的なクラス名を入力するようにしてください。ユーザーとグループの間でクラス名が重複すると、競合が発生する可能性があります。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
groupBaseFilter | basefilter | wgserver.domain.ldap.group.baseFilter | LDAP | Tableau Server のユーザー グループが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。例:
これは必須のキーです。空白にすることはできません。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
groupName | groupname | wgserver.domain.ldap.group.name | LDAP | LDAP サーバーのグループ名に対応する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
groupEmail | groupEmail | wgserver.domain.ldap.group.email | LDAP | LDAP サーバーのグループの電子メール アドレスに対応する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
groupDescription | description | wgserver.domain.ldap.group.description | LDAP | LDAP サーバーのグループの説明に対応する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
member | member | wgserver.domain.ldap.group.member | LDAP | グループに含まれるユーザーの識別名のリストを含む LDAP 属性を指定します。 ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。 |
N/A | N/A | wgserver.domain.ldap.group.memberURL | LDAP | 動的なグループに LDAP クエリを格納する LDAP 属性の名前を指定します。 |
userBaseDn | N/A | wgserver.domain.ldap.user.baseDn | LDAP | ユーザーに代替ルートを指定します。たとえば、すべてのユーザーが「users」と呼ばれるベース組織に保存されている場合は、"o=users" と入力します。 |
N/A | classnames | wgserver.domain.ldap.user.classnames | LDAP | 既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。例: ユーザー名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、名前が ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
userBaseFilter | basefilter | wgserver.domain.ldap.user.baseFilter | LDAP | Tableau Server のユーザーが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。 例:
ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
userUsername | ldapusername | wgserver.domain.ldap.user.username | LDAP | LDAP サーバーのユーザー名に該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
userDisplayName | displayname | wgserver.domain.ldap.user.displayname | LDAP | LDAP サーバーのユーザーの表示名に該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
userEmail | wgserver.domain.ldap.user.email | LDAP | LDAP サーバーのユーザーのメール アドレスに該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 | |
userCertificate | certificate | wgserver.domain.ldap.user.usercertificate | LDAP | LDAP サーバーのユーザーの証明書に該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
N/A | thumbnail | wgserver.domain.ldap.user.thumbnail | LDAP | LDAP サーバーのユーザーのサムネイル画像に該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
userJpegPhoto | jpegphoto | wgserver.domain.ldap.user.jpegphoto | LDAP | LDAP サーバーのユーザー プロフィール画像に該当する属性です。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
memberOf | memberof | wgserver.domain.ldap.user.memberof | LDAP | ユーザーがメンバーになっているグループです。 ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。 |
groupClassNames | N/A | wgserver.domain.ldap.group.classnames | LDAP | 既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。 configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: |
userClassNames | N/A | wgserver.domain.ldap.user.classnames | LDAP | 既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。 configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: |
計算済みの configKeys
以下の Kerberos 関連の configKeys が計算され、複数の環境入力に従って設定されます。このため、configKeys は ネイティブの tsm コマンドや configEntities で設定する必要があります。これらの configKeys を手動で設定しようとしないでください。
計算済みの configKeys | ネイティブの TSM コマンドを使用するには: | configEntity json を使用する場合: |
---|---|---|
wgserver.domain.ldap.kerberos.conf, cfs.ldap.kerberos.conf | Kerberos 構成ファイルの場所を、tsm user-identity-store set-connection [options] コマンドの | Kerberos 構成ファイルの場所を、kerberosConfig configEntity オプションで設定します。 |
wgserver.domain.ldap.kerberos.keytab, cfs.ldap.kerberos.keytab | Kerberos キータブ ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbkeytab オプションで設定します。 | Kerberos キータブ ファイルの場所を、kerberosKeytab configEntity オプションで設定します。 |
サポート対象外の configKeys
参照元となる .yml 構成ファイルには、サポート対象外の configKeys がいくつか存在します。以下のキーは標準の展開向けではありません。これらのキーを構成しないようにしてください。
- wgserver.domain.ldap.kerberos.login
- wgserver.domain.ldap.guid
- Wgserver.domain.fqdn: このキーを wgserver.domain.default にすると冗長です。両方のキーの値は同じにする必要があります。値が wgserver.domain.default と一致しない場合にのみ、wgserver.domain.fqdn を更新します。