認証では、ユーザーの ID を検証します。Tableau Server にアクセスする必要がある人は、その目的がサーバーの管理やコンテンツのパブリッシュ、参照、管理のいずれであっても、ユーザーとして Tableau Server リポジトリに追加される必要があります。認証方法は Tableau Server (「ローカル認証」) によって実行されるか、外部プロセスによって認証が実行される場合があります。後者では、Kerberos、SAML、OpenID などの外部認証技術を使用するように Tableau Server を構成する必要があります。いずれの場合でも、認証がローカルと外部のどちらで実行されるかに関係なく、Tableau Server リポジトリに各ユーザーの ID を示す必要があります。リポジトリではユーザー ID の認証メタデータが管理されます。

すべてのユーザー ID は最終的に Tableau Server リポジトリに表示され、保存されますが、Tableau Server のアカウントはアイデンティティ ストアで管理する必要があります。LDAP とローカルという、2 つの相互排他的なアイデンティティ ストア オプションがあります。Tableau Server では任意の LDAP ディレクトリがサポートされますが、Active Directory の LDAP 実装で最適化されます。または、LDAP ディレクトリを実行していない場合は、Tableau Server のローカル アイデンティティ ストアを使用できます。詳細については、アイデンティティ ストアを参照してください。

次の表に示されているように、実装するアイデンティティ ストアのタイプの一部によって、認証オプションが決まります。

アイデンティティ 

ストア

認証方法
基本SAMLサイト SAMLKerberos

(Windows のみ)

Windows

自動

ログイン

(SSPI)

OpenID

Connect

信頼できる

認証

相互

SSL

ローカルXXX  XXX

Active

Directory

XX XX XX
LDAPXX    XX

アクセスや管理パーミッションはサイト ロールを通じて実施されます。サイト ロールはどのユーザーが管理者であり、どのユーザーがサーバー上のコンテンツ消費者やパブリッシャーであるかを定義します。管理者、サイト ロール、グループ、ゲスト ユーザー、ユーザー関連の管理タスクの詳細については、「ユーザー」および「ユーザーのサイト ロール」を参照してください。

: 認証において、ユーザーはサーバー上にアカウントを持っているという理由で Tableau Server 経由での外部データ ソースへのアクセスを許可されていないと理解することが重要です。つまり、既定の構成では、Tableau Server は外部データ ソースに対するプロキシとしての役割を果たしません。このようなアクセスには、Tableau Server でデータ ソースの追加構成を行うか、ユーザーが Tableau Desktop からの接続したときにデータ ソースで認証を行う必要があります。

アドオン認証の互換性

一部の認証方法は組み合わせて使用できます。次の表に、組み合わせ可能な認証方法を示します。"X" でマークされたセルは、組み合わせ可能な認証セットを示します。空白セルは、互換性のない認証セットを示します。

 信頼できる認証サーバー全体の SAMLサイト SAMLKerberos

(Windows のみ)

Windows 自動ログイン (SSPI)

相互 SSL

OpenID Connect

信頼できる認証N/AXXX XX
サーバー全体の SAMLXN/AX    
サイト SAMLXXN/A    
KerberosX  N/A   
Windows 自動ログイン (SSPI)    N/A  
相互 SSLX    N/A 
OpenID ConnectX     N/A

クライアント認証の互換性

クライアント

認証方法
基本SAMLサイト SAMLKerberos

(Windows のみ)

Windows

自動

ログイン

(SSPI)

OpenID

Connect

信頼できる

認証

相互

SSL

Tableau DesktopXXXXXX X

Tableau Prep

XXXXXX X
Tableau MobileXXXX

(iOS のみ)

X

*

X X
TabcmdX       
Web ブラウザーXXXXXXXX

* SSPI は Tableau Mobile アプリの Workspace ONE バージョンとは互換性がありません。

ローカル認証

サーバーがローカル認証を使用するよう構成されている場合、Tableau Server でユーザーを認証します。ユーザーが Tableau Desktop、tabcmd、API、Web クライアントのいずれかでサインインして認証資格情報を入力すると、Tableau Server は認証資格情報を検証します。

このシナリオを有効にするには、最初に各ユーザーの ID を作成する必要があります。ID を作成するには、ユーザー名とパスワードを指定します。サーバー上のコンテンツにアクセス、またはコンテンツを操作するには、ユーザーにサイト ロールが割り当てられている必要があります。tabcmd コマンドまたは REST API(新しいウィンドウでリンクが開く) を使用して、Tableau Server のサーバー UI にユーザー アイデンティティを追加できます。

また、大きな関連ユーザー グループ セット (例:「マーケティング」) の役割の管理と割り当てに役立つよう、Tableau Server 内でグループを作成することもできます。

Tableau Server をローカル認証で構成する場合は、パスワードによるログイン試行の失敗に対するパスワード ポリシーおよびアカウントのロックアウトを設定できます。ローカル認証を参照してください。

注: 多要素認証を備えた Tableau (Tableau with MFA) は、Tableau Cloud のみで使用できます。

外部認証ソリューション

Tableau Server を構成して、多くの外部認証ソリューションを使用して動作できるようにします。

Kerberos

Kerberos を使用するように Active Directory で Tableau Server を構成することができます。Kerberosを参照してください。

SAML

Tableau Server を構成して SAML (Security Assertion Markup Language) 認証を使用できます。SAML を使用すると、外部 ID プロバイダー (IdP) はユーザーの認証資格情報を認証、セキュリティ アサーションを Tableau Server に送信し、ユーザー ID に関する情報を提供します。

詳細については、「SAML」を参照してください。

OpenID Connect

OpenID Connect は、ユーザーが Google などのアイデンティティ プロバイダー (IdP) にサインインできるようにする標準認証プロトコルです。ユーザーは IdP に正常にサインインした後、自動的に Tableau Server へサインインされます。Tableau Server で OpenID Connect (OIDC) を使用するには、ローカル アイデンティティ ストアを使用するようにサーバーを構成する必要があります。Active Directory または LDAP アイデンティティ ストアは OIDC ではサポートされていません。詳細については、OpenID Connectを参照してください。

相互 SSL

相互 SSL を使用すると、Tableau Desktop、Tableau Mobile、およびその他の承認済み Tableau クライアントのユーザーに Tableau Server への安全な直接アクセスを提供することができます。相互 SSL では、有効な SSL 証明書を持つクライアントが Tableau Server に接続するときに、Tableau Server でクライアント証明書の存在を確認し、クライアント証明書内のユーザー名に基づいてユーザーを認証します。クライアントに有効な SSL 証明書がない場合、Tableau Server は接続を拒否することができます。詳細については、相互 SSL 認証の構成を参照してください。

信頼できる認証

信頼できる認証 (「信頼できるチケット」とも呼ばれます) を使用すると、Tableau Server と 1 つ以上の Web サーバーとの間で信頼関係を設定できます。Tableau Server が信頼できる Web サーバーから要求を受け取ると、Tableau Server は Web サーバーで必要とされる認証は既に処理されていると見なします。Tableau Server は、引き替え可能なトークンまたはチケットを含む要求を受け取り、ユーザー ロールおよびパーミッションを考慮したカスタマイズされたビューをユーザーに表示します。詳細については、「信頼できる認証」を参照してください。

LDAP

ユーザー認証に LDAP を使用するように Tableau Server を構成することもできます。ユーザーは認証資格情報を Tableau Server に送信して承認されてから、ユーザーの認証資格情報を使用して LDAP インスタンスへのバインドを試行します。バインドが機能したら、認証資格情報が有効になり、Tableau Server よりユーザーにセッションが付与されます。

「バインディング」は、クライアントが LDAP サーバーへのアクセスを試行するときに発生するハンドシェイク/認証手順です。Tableau Server では、さまざまな非認証関連クエリ (ユーザーおよびグループのインポートなど) を作成する場合に実行します。

ユーザーの認証資格情報を確認するときに、Tableau Server で使用するバインドのタイプを設定できます。Tableau Server では、GSSAPI およびシンプル バインドがサポートされています。シンプル バインドでは、認証資格情報を LDAP インスタンスに直接渡します。SSL を構成してバインド通信を暗号化することをお勧めします。このシナリオの認証は、ネイティブ LDAP ソリューションまたは SAML などの外部プロセスで受ける可能性があります。

LDAP の計画および構成の詳細については、アイデンティティ ストアおよび外部のアイデンティティ ストアの構成リファレンスを参照してください。

その他の認証シナリオ

データ アクセスとソース認証

多種のデータ ソースに対応する多数の異なる認証プロトコルをサポートするように、Tableau Server を設定できます。データ接続認証は、Tableau Server 認証とは独立している場合があります。

たとえば、ローカル認証を使用して Tableau Server に対するユーザー認証を設定し、一方、特定のデータ ソースに対しては Kerberos 委任、OAuth、または SAML 認証を設定することができます。データ接続認証を参照してください。

ありがとうございます!