アイデンティティ ストア

Tableau Server にはユーザーやグループの情報を格納するためのアイデンティティ ストアが必要です。アイデンティティ ストアには、ローカルと外部の 2 種類があります。Tableau Server をインストールする場合は、ローカルまたは外部のアイデンティティ ストアを構成する必要があります。

アイデンティティ ストアの構成オプションについては、identityStore エンティティおよび外部のアイデンティティ ストアの構成リファレンス.を参照してください。

ローカル アイデンティティ ストア

ローカルのアイデンティティ ストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は Tableau Server リポジトリに格納されて管理されます。ローカル アイデンティティ ストアのシナリオでは、ユーザーおよびグループ用の外部のソースはありません。

外部のアイデンティティ ストア

外部のストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は外部ディレクトリ サービスによって格納され管理されます。Tableau Server は、ローカルのユーザーとグループのコピーが Tableau Server リポジトリに存在できるように外部のアイデンティティ ストアと同期する必要があります。しかし、ユーザーとグループのすべてのデータの信頼できるソースは外部のアイデンティティ ストアです。

Tableau Server アイデンティティ ストアを構成して外部 LDAP ディレクトリと通信する場合は、Tableau Server に追加するすべてのユーザー (初期の管理アカウントを含む) にディレクトリのアカウントを指定する必要があります。

Tableau Server が外部の LDAP ディレクトリを使用するように構成されている場合、外部ディレクトリから Tableau Server リポジトリへ、ユーザー ID をシステム ユーザーとして最初にインポートする必要があります。その後、ユーザーが Tableau Server にサインインすると、認証資格情報はユーザーの認証を処理する外部ディレクトリに渡されます。Tableau Server はこの認証を実行しません。ただし、アイデンティティ ストアに保存されている Tableau ユーザー名は Tableau Server の権限やパーミッションと関連付けられています。したがって、認証が検証された後、Tableau Server は Tableau リソースへのユーザー アクセス (認可) を管理します。

外部のユーザー ストアの一例となるのが Active Directory です。Tableau Server は Active Directory とのインターフェイスになるように最適化されています。たとえば、初期ノード設定の構成を使用して、Active Directory ドメインに参加している PC に Tableau Server をインストールする場合、ほとんどの Active Directory 設定はセットアップによって検出されて構成されます。一方、TSM CLI を使用して Tableau Server をインストールする場合は、すべての Active Directory 設定を指定する必要があります。この場合は、LDAP - Active Directory テンプレートを使用してアイデンティティ ストアを構成してください。

Active Directory にインストールする場合は、展開の前に外部 ID ストアを使用した展開におけるユーザー管理を確認することをお勧めします。

他のすべての外部ストアには、Tableau Server はアイデンティティ ストアとの通信を行う一般的な方法として LDAP をサポートします。たとえば、OpenLDAP は柔軟なスキーマを備えた LDAP サーバー実装の一種です。Tableau Server は、OpenLDAP サーバーにクエリを実行するように構成することができます。このためには、ディレクトリ管理者はスキーマに関する情報を提供する必要があります。セットアップ時に、 初期ノード設定の構成 を使用して他の LDAP ディレクトリへの接続を設定します。

LDAP バインド

LDAP を使用してユーザー ストアにクエリを実行するクライアントには、セッションの認証と確立が必要です。これを行うのがバインディングです。バインディングにはいくつかの方法があります。シンプル バインドはユーザー名とパスワードを使用する認証です。シンプル バインドで Tableau Server に接続する組織は、SSL 暗号化接続を構成することをお勧めします。そうでないと認証資格情報が平文の状態でネットワーク上に拡散します。Tableau Server がサポートするもう一つのバインド方法は GSSAPI です。GSSAPI は Kerberos を使用して認証します。Tableau Server の場合、Tableau Server がクライアントで外部のユーザー ストアが LDAP サーバーです。

GSSAPI (Kerberos) バインドを使用した LDAP

キータブ ファイルを使用して LDAP サーバーへの認証を行う場合は、GSSAPI を使用して LDAP ディレクトリにバインドすることをお勧めします。Tableau Server サービス専用のキータブ ファイルが必要です。また、SSL/TLS を使用して LDAP サーバーでチャネルを暗号化することもお勧めします。外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成」を参照してください。

Active Directory にインストールしており、Tableau Server のインストール先のコンピューターが既にドメインに結合している場合、コンピューターには既に構成ファイルおよび keytab ファイルがある可能性があります。このような場合、Kerberos ファイルはオペレーティング システムの機能と認証のためのものです。厳密にはこれらのファイルを GSSAPI バインドに使用することはできますが、その使用を推奨していません。代わりに、Active Directory の管理者に連絡して Tableau Server サービス専用のキータブを要求してください。Keytab 要件の理解を参照してください。

お使いのオペレーティングシステムに定義域の認証用に適切に設定された keytab がある場合、Tableau Server のベース インストール二必要なものは GSSAPI バインド用の Kerberos キーファイルだけです。ユーザー向けに Kerberos 認証の使用を計画している場合は、インストール完了後に ユーザー認証向けに Kerberos を構成 および データソースへの Kerberos 委任 を行います。

 

SSL 経由の LDAP

既定では、任意の LDAP サーバーへのシンプル バインドの LDAP は暗号化されません。LDAP サーバーとのバインド セッションの確立に使用されるユーザー認証資格情報は、Tableau Server と LDAP サーバー間でプレーンテキストで通信されます。Tableau Server と LDAP サーバー間のチャネルを暗号化することを強くお勧めします。

バージョン 2021.2 以降、Linux 上の Tableau Server では、Active Directory をアイデンティティ ストアとして使用する場合、暗号化された LDAP チャネルが必要です。2021.2 以降にインストールまたはアップグレードする前に、有効な SSL/TSL 証明書をインストールする必要があります。推奨はされていませんが、既定の暗号化 LDAP チャネルを無効にすることもできます。Active Directory およびその他の LDAP サーバーの暗号化を有効または無効にする方法の詳細については、外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成を参照してください。

システム ユーザーとグループ

Tableau Server on Linux では、1 人のユーザーと 2 つのグループを使用して適切な操作を行います。ユーザーとグループはローカルに設定することも LDAP ディレクトリ サービスから設定することも可能です。

ユーザー

Tableau Server ではサービス アカウントが必要です。このアカウントは、通常のログイン権限を持つ権限なしのユーザーです。既定では、Tableau Server のインストールでは、サービス アカウント用のローカル ユーザー tableau が作成されます。

Tableau Server サービス アカウントに既存のユーザー アカウントを使用する場合は、インストール中にアカウントの作成を無効にする必要があります。

特に、initialize-tsm スクリプトを実行するときは --disable-account-creation オプションを設定する必要があります。また、--unprivileged-userオプションを使用してアカウント名を指定する必要があります。指定したアカウントが存在しない場合は、初期化 tsm スクリプトによって作成されます。詳細については、initialize-tsm スクリプトの出力ヒントを参照してください。

既存のアカウントをこの --unprivileged-userオプションで指定する場合は、ユーザー アカウントが通常のログイン権限を持つ非特権ユーザーであることを確認します。次の特性を持つアカウントを構成します。

  • シェルを /bin/bash に設定します。

  • 利便性のため、データ ディレクトリ パスに対するホーム ディレクトリの設定を検討してください。アカウントには、ホーム ディレクトリに対する所有権と書き込み権限がある必要があります。

セットアップ中に別の特権のないアカウントを指定する場合は、同じユーザーを systemd-journal グループに手動で追加する必要があります。Tableau Server が tsm maintenance ziplogs コマンドの実行時に「データに聞く」 (Ask Data) などの一部のサービスからログを収集できるようにするには、特権のないユーザーは systemd-journal グループのメンバーである必要があります。特権を持たないユーザーがグループのメンバーでない場合、ziplog には影響を受けるサービスからのログは含まれません。

グループ

Tableau Server では操作に 2 つのグループが必要です。

既定インストールでは、ローカルの tableau サービスアカウントは tableau という名前のプライマリ グループに属しています。ただし、インストール時に権限のない代替ユーザーを使用する場合は、その代替アカウントのプライマリ グループが使用されます。必要に応じて、いずれかのアカウントをこのグループに追加し、Tableau Server ログ ファイルを読み取るようにすることができます (ルートにはなりません)。

2 番目のグループは、Tableau サービス マネージャー (TSM) の認証を許可されたユーザーを承認するために使用されます。このグループのユーザーは、コマンドを TSM に送信して Tableau Server 管理者に制限する必要があります。既定のグループ名は tsmadmin です。

既定の名前を使用しない場合は、初期化 tsm を実行する際に --tsm-authorized-group オプションを使用してグループ名指定する必要があります。詳細については、initialize-tsm スクリプトの出力ヒントを参照してください。

クライアントの認証

Tableau Server の基本のユーザー認証は、ローカルと外部のユーザー ストアの両方において、ユーザー名とパスワードによるサインインで行います。ローカルの場合、ユーザーのパスワードはハッシュ化されたパスワードとしてリポジトリに保存されます。外部の場合は、Tableau Server から外部のユーザー ストアに認証資格情報が渡され、これらが有効かどうかの回答があるまで待機します。外部のユーザー ストアは、Kerberos や など他の種類の認証も処理できますが、コンセプトはこの場合も同じで、Tableau Server が認証資格情報またはユーザーを外部のストアに委任して応答を待機します。

ユーザー名とパスワードによるサインインを無効化するように Tableau Server を構成することができます。このようなシナリオでは、信頼できる認証、OpenID、または SAML など、他の認証方法を使用できます。認証を参照してください。

場合によっては、LDAP 外部ディレクトリを更新して、Tableau Server からのユーザー名 + DN 形式でのバインド操作を許可する必要があります。サインイン時のユーザー バインド動作参照してください。

ありがとうございます!