認証
認証では、ユーザーの ID を検証します。Tableau Server にアクセスする必要がある人は、その目的がサーバーの管理やコンテンツのパブリッシュ、参照、管理のいずれであっても、ユーザーとして Tableau Server リポジトリに追加される必要があります。認証方法は Tableau Server (「ローカル認証」) によって実行されるか、外部プロセスによって認証が実行される場合があります。後者では、Kerberos、SAML、OpenID などの外部認証技術を使用するように Tableau Server を構成する必要があります。いずれの場合でも、認証がローカルと外部のどちらで実行されるかに関係なく、Tableau Server リポジトリに各ユーザーの ID を示す必要があります。リポジトリではユーザー ID の認証メタデータが管理されます。
Tableau Server on Windows については、「認証」(新しいウィンドウでリンクが開く)を参照してください。
すべてのユーザー ID は最終的に Tableau Server リポジトリに表示され、保存されますが、Tableau Server のアカウントはアイデンティティ ストアで管理する必要があります。LDAP とローカルという、2 つの相互排他的なアイデンティティ ストア オプションがあります。Tableau Server では任意の LDAP ディレクトリがサポートされますが、Active Directory の LDAP 実装で最適化されます。または、LDAP ディレクトリを実行していない場合は、Tableau Server のローカル アイデンティティ ストアを使用できます。詳細については、アイデンティティ ストアを参照してください。
次の表に示されているように、実装するアイデンティティ ストアのタイプの一部によって、認証オプションが決まります。
アイデンティティ ストア | 認証方法 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| 基本 | SAML | サイト SAML | Kerberos | (Windows のみ) Windows ログオン (Microsoft SSPI) | OpenID 接続 | 接続済みアプリ | 信頼できる 認証 | 相互 SSL | |
| ローカル | X | X | X | X | X | X | X | ||
| Active Directory | X | X | X | X | X | X | X | ||
| LDAP | X | X | X | X | X | ||||
アクセスや管理のパーミッションは、サイト ロールを通じて実装されます。サイト ロールは、どのユーザーが管理者であり、どのユーザーがサーバー上のコンテンツ消費者やパブリッシャーであるかを定義します。管理者、サイト ロール、グループ、ゲスト ユーザー、ユーザー関連の管理タスクの詳細については、「ユーザー」および「ユーザーのサイト ロール」を参照してください。
注: 認証において、ユーザーはサーバー上にアカウントを持っているという理由で Tableau Server 経由での外部データ ソースへのアクセスを許可されていないと理解することが重要です。つまり、既定の構成では、Tableau Server は外部データ ソースに対するプロキシとしての役割を果たしません。このようなアクセスには、Tableau Server でデータ ソースの追加構成を行うか、ユーザーが Tableau Desktop からの接続したときにデータ ソースで認証を行う必要があります。
アドオン認証の互換性
一部の認証方法は組み合わせて使用できます。次の表に、組み合わせ可能な認証方法を示します。"X" でマークされたセルは、組み合わせ可能な認証セットを示します。空白セルは、互換性のない認証セットを示します。
| 接続済みアプリ | 信頼できる認証 | サーバー全体の SAML | サイト SAML | Kerberos | (Windows のみ) 自動ログオン (Microsoft SSPI) | 相互 SSL | OpenID Connect | |
| Tableau 連携アプリ | N/A | X | X | X | X | X | ||
| 信頼できる認証 | N/A | X | X | X | X | X | ||
| サーバー全体の SAML | X | X | N/A | X | ||||
| サイト SAML | X | X | X | N/A | ||||
| Kerberos | X | X | N/A | |||||
| 自動ログオン (Microsoft SSPI) | N/A | |||||||
| 相互 SSL | X | X | N/A | |||||
| OpenID Connect | X | X | N/A | |||||
| パーソナル アクセス トークン (PAT) | * | * | * | * | * | * | * | * |
* PAT は、設計上、これらの列にリストされている認証メカニズムと直接連携して REST API に対して認証を行うことはありません。代わりに、PAT は Tableau Server ユーザー アカウントの認証資格情報を使用して REST API に対する認証を行います。
クライアント認証の互換性
ユーザー インターフェイス (UI) を通じて処理される認証
クライアント | 認証方法 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 基本 | SAML | サイト SAML | Kerberos | (Windows のみ) Windows ログオン (Microsoft SSPI) | OpenID 接続 | 接続済みアプリ | 信頼できる 認証 | 相互 SSL | パーソナル アクセス トークン (PAT) | |
| Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
| Tableau Mobile | X | X | X | X (iOS のみ *) | X ** | X | X | |||
| Web ブラウザー | X | X | X | X | X | X | X *** | X | X | |
* Kerberos SSO は Android ではサポートされていませんが、ユーザー名とパスワードへのフォールバックは可能です。詳細については、注 5: Android プラットフォームを参照してください。
** SSPI は Tableau Mobile アプリの Workspace ONE バージョンとは互換性がありません。
*** 埋め込みのワークフローのみ。
認証はプログラムで処理されます
クライアント | 認証方法 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 基本 | SAML | サイト SAML | Kerberos | (Windows のみ) Windows ログオン (Microsoft SSPI) | OpenID 接続 | 接続済みアプリ | 信頼できる 認証 | 相互 SSL | パーソナル アクセス トークン (PAT) | |
| REST API | X | X | X | |||||||
| tabcmd 2.0 | X | X | ||||||||
| tabcmd | X | |||||||||
ローカル認証
サーバーがローカル認証を使用するよう構成されている場合、Tableau Server でユーザーを認証します。ユーザーが Tableau Desktop、tabcmd、API、Web クライアントのいずれかでサインインして認証資格情報を入力すると、Tableau Server は認証資格情報を検証します。
このシナリオを有効にするには、最初に各ユーザーの ID を作成する必要があります。ID を作成するには、ユーザー名とパスワードを指定します。サーバー上のコンテンツにアクセス、またはコンテンツを操作するには、ユーザーにサイト ロールが割り当てられている必要があります。tabcmd コマンドまたは REST API(新しいウィンドウでリンクが開く) を使用して、Tableau Server のサーバー UI にユーザー アイデンティティを追加できます。
また、大きな関連ユーザー グループ セット (例:「マーケティング」) の役割の管理と割り当てに役立つよう、Tableau Server 内でグループを作成することもできます。
Tableau Server をローカル認証で構成する場合は、パスワードによるログイン試行の失敗に対するパスワード ポリシーおよびアカウントのロックアウトを設定できます。ローカル認証を参照してください。
注: 多要素認証を備えた Tableau (Tableau with MFA) は、Tableau Cloud のみで使用できます。
外部認証ソリューション
Tableau Server を構成して、多くの外部認証ソリューションを使用して動作できるようにします。
Kerberos
Kerberos を使用するように Active Directory で Tableau Server を構成することができます。Kerberosを参照してください。
SAML
Tableau Server を構成して SAML (Security Assertion Markup Language) 認証を使用できます。SAML を使用すると、外部 ID プロバイダー (IdP) はユーザーの認証資格情報を認証、セキュリティ アサーションを Tableau Server に送信し、ユーザー ID に関する情報を提供します。
詳細については、「SAML」を参照してください。
OpenID Connect
OpenID Connect (OIDC) は、ユーザーが Google などの ID プロバイダー (IdP) にサインインできるようにする標準認証プロトコルです。ユーザーは IdP に正常にサインインした後、自動的に Tableau Server へサインインされます。Tableau Server で OIDC を使用するには、ローカル アイデンティティ ストアを使用するようにサーバーを構成する必要があります。Active Directory または LDAP アイデンティティ ストアは OIDC ではサポートされていません。詳細については、OpenID Connectを参照してください。
相互 SSL
相互 SSL を使用すると、Tableau Desktop、Tableau Mobile、およびその他の承認済み Tableau クライアントのユーザーに Tableau Server への安全な直接アクセスを提供することができます。相互 SSL では、有効な SSL 証明書を持つクライアントが Tableau Server に接続するときに、Tableau Server でクライアント証明書の存在を確認し、クライアント証明書内のユーザー名に基づいてユーザーを認証します。クライアントに有効な SSL 証明書がない場合、Tableau Server は接続を拒否することができます。詳細については、相互 SSL 認証の構成を参照してください。
接続済みアプリ
直接信頼
Tableau 接続済みアプリを使用すると、Tableau Server サイトと Tableau コンテンツが埋め込まれている外部アプリケーションとの間に明示的な信頼関係を構築できるため、シームレスで安全な認証エクスペリエンスを実現できます。接続済みアプリを使用すると、JSON Web トークン (JWT) を使用して Tableau REST API へのアクセスをプログラムで承認することもできます。詳細については、「Tableau 接続済みアプリを使用してアプリケーションを統合する」を参照してください。
EAS または OAuth 2.0 信頼
Tableau Server に外部認証サーバー (EAS) を登録すると、OAuth 2.0 標準プロトコルを使用して、Tableau Server と EAS の間に信頼関係を構築できます。この信頼関係により、IdP を介して、埋め込み Tableau コンテンツへのシングル サインオンのエクスペリエンスをユーザーに提供できます。EAS を登録すると、JSON Web トークン (JWT) を使用して Tableau REST API へのアクセスをプログラムで承認することもできます。詳細については、「OAuth 2.0 信頼を使用して接続済みアプリを設定する」を参照してください。
信頼できる認証
信頼できる認証 (「信頼できるチケット」とも呼ばれます) を使用すると、Tableau Server と 1 つ以上の Web サーバーとの間で信頼関係を設定できます。Tableau Server が信頼できる Web サーバーから要求を受け取ると、Tableau Server は Web サーバーで必要とされる認証は既に処理されていると見なします。Tableau Server は、引き替え可能なトークンまたはチケットを含む要求を受け取り、ユーザー ロールおよびパーミッションを考慮したカスタマイズされたビューをユーザーに表示します。詳細については、「信頼できる認証」を参照してください。
LDAP
ユーザー認証に LDAP を使用するように Tableau Server を構成することもできます。ユーザーは認証資格情報を Tableau Server に送信して承認されてから、ユーザーの認証資格情報を使用して LDAP インスタンスへのバインドを試行します。バインドが機能したら、認証資格情報が有効になり、Tableau Server よりユーザーにセッションが付与されます。
「バインディング」は、クライアントが LDAP サーバーへのアクセスを試行するときに発生するハンドシェイク/認証手順です。Tableau Server では、さまざまな非認証関連クエリ (ユーザーおよびグループのインポートなど) を作成する場合に実行します。
ユーザーの認証資格情報を確認するときに、Tableau Server で使用するバインドのタイプを設定できます。Tableau Server では、GSSAPI およびシンプル バインドがサポートされています。シンプル バインドでは、認証資格情報を LDAP インスタンスに直接渡します。SSL を構成してバインド通信を暗号化することをお勧めします。このシナリオの認証は、ネイティブ LDAP ソリューションまたは SAML などの外部プロセスで受ける可能性があります。
LDAP の計画および構成の詳細については、アイデンティティ ストアおよび外部のアイデンティティ ストアの構成リファレンスを参照してください。
その他の認証シナリオ
REST API: サインインとサインアウト (認証)(新しいウィンドウでリンクが開く)
注: REST API は、SAML のシングル サインオン (SSO) をサポートしていません。
モバイル デバイス認証: Tableau Mobile へのシングル サインオン(新しいウィンドウでリンクが開く)
TSM クライアントの証明書の信頼: TSM クライアントの接続
TSM 管理のための PAM 統合: TSM 認証
データ アクセスとソース認証
多種のデータ ソースに対応する多数の異なる認証プロトコルをサポートするように、Tableau Server を設定できます。データ接続認証は、Tableau Server 認証とは独立している場合があります。
たとえば、Tableau Server に対するユーザー認証はローカル認証を使用して設定し、特定のデータ ソースに対しては OAuth、または SAML 認証を設定することができます。データ接続認証を参照してください。