外部 ID ストアを使用した展開におけるユーザー管理
このトピックでは、外部の ID ストア を使用して Tableau Server のユーザーを管理する場合、熟知しておく必要がある技術的に重要な詳細について説明します。Tableau Server は、LDAP を使用した外部ディレクトリへの接続に対応しています。このシナリオでは、Tableau Server は外部 LDAP ディレクトリから Tableau Server リポジトリにユーザーをシステム ユーザーとしてインポートします。
任意の LDAP ディレクトリ
Tableau のシステム ユーザー名は、LDAP 設定の一部として設定した属性です ("cn" など)。これは、個々のユーザーのインポートとグループの同期機能の両方に当てはまります。外部のアイデンティティ ストアの構成リファレンスを参照してください。
サインイン時のユーザー バインド動作
DN が追加されたユーザー名を使用してバインドできるように、LDAP 構成を更新する必要がある場合があります。具体的には、Tableau Server が任意の LDAP ディレクトリを使用して構成されている場合は、LDAP 構成を更新する必要があります。(例: OpenLDAP) ユーザー名として UPN またはメール アドレスを使用します。
Tableau Server は、サインイン時に指定されたユーザー名に基づいて特定のユーザーを検索します。その後、Tableau Server は、DN が付加されたユーザー名を使用してバインドを試みます。Tableau Server が GSSAPI を使用して構成されている場合は、username @ REALM (ドメイン名) が使用されます。
Active Directory
このトピックの以下のコンテンツでは、読者が Active Directory のユーザー管理および基本的な Active Directory スキーマやドメインの概念を理解していることを想定しています。
注: ユーザーとグループの同期のコンテキストでは、LDAP アイデンティティ ストアを使用して構成された Tableau Server は Active Directory と同等です。Tableau Server の Active Directory 同期機能は、適切に構成された LDAP ディレクトリ ソリューションとシームレスに連動します。
Active Directory ユーザー認証と Tableau Server
Tableau Server はすべてのユーザー名を、リポジトリによって管理される Tableau Server アイデンティティ ストアに保存します。Tableau Serverが認証で Active Directory を使用するように構成されている場合、最初にユーザー ID を Active Directory からアイデンティティ ストアにインポートする必要があります。その後、ユーザーが Tableau Server にサインインンすると、認証資格情報はユーザーの認証を処理する Active Directory に渡されます。Tableau Server はこの認証を実行しません。(既定では、認証に NTLM が使用されていますが、シングル サインオン機能のための Kerberos または SAML を有効にすることができます。ただし、これらのすべての場合では、認証は引き続き Active Directory のままとなります。)ただし、アイデンティティ ストアに保存されている Tableau ユーザー名は Tableau Server の権限やパーミッションと関連付けられています。したがって、認証が検証された後、Tableau Server は Tableau リソースへのユーザー アクセス (認可) を管理します。
Active Directory ユーザー名属性と Tableau Server
Active Directory は、さまざまな属性を使用してユーザー オブジェクトを一意的に識別します。(詳細については、MSDN Web サイトの「ユーザー命名属性」(新しいウィンドウでリンクが開く)を参照してください。)Tableau Serverは 2 つの Active Directory ユーザー命名属性に依存しています。
sAMAccountName。この属性は、古いバージョンの Windows で使用するために作成されたログオン名を指定します。多くの組織では、この名前は、example\jsmithのような形式を使用して、認証で使用する NetBIOS 名と組み合わせて作成されます。exampleが NetBIOS 名で、jsmithがsAMAccountName値です。Windows のオリジナル設計により、sAMAccountName値は 20 文字未満にする必要があります。Windows の [Active Directory ユーザーとコンピューター] 管理コンソールでは、この値はユーザー オブジェクトの [アカウント] タブで [ユーザー ログオン名 (Windows 2000 以前)] というラベルの付いたフィールドにあります。
userPrincipalName(UPN).この属性は「jsmith@example.com」などの形式でユーザー名を指定します。ここで "jsmith" は UPN プレフィックス、"@example.com" は UPN サフィックスです。Windows の [Active Directory ユーザーとコンピューター] 管理コンソールで、UPN は、ユーザー オブジェクトの [アカウント] タブの 2 つのフィールド ([ユーザー ログオン名] フィールドとその隣にあるドメイン ドロップダウン リスト) を連結したものです。
Active Directory からユーザーを追加する
サーバー環境でそれらを入力するか、CSV ファイルを作成し、ユーザーをインポートすることで、Active Directory からユーザーを個別に追加できます。Active Directory 経由でグループを作成し、グループのユーザー全員をインポートして Active Directory ユーザーを追加することもできます。結果は、使用しているアプローチによって異なる場合があります。
UPN プレフィックスをユーザー名としてインポートする
UPN 全体をユーザー名としてインポートすることはできません。
ほとんどの場合、Tableau Server がアイデンティティ ストアにインポートするユーザー名は sAMAccountName 値になります。この動作の例外については、ナレッジ ベースの記事「Active Directory を使用した非標準シナリオで UPN プレフィックスをユーザー名としてインポートする(新しいウィンドウでリンクが開く)」を参照してくださいTableau。
ユーザー グループの追加
Active Directory ユーザー グループをインポートした場合、Tableau は sAMAccountName を使用してグループからすべてのユーザーをインポートします。
Active Directory からユーザーを削除する際の動作の同期
Active Directory 同期操作を通じて Tableau Server からユーザーを自動削除することはできません。Active Directory のグループから無効化または削除されたユーザーは引き続き Tableau Server に残っているため、ユーザーのアカウントを完全に削除する前にユーザーのコンテンツを監視して再び割り当てることができます。
ただし、Tableau Server は Active Directory におけるそのユーザーのステータスがどのように変化したかに基づいて、異なる方法でユーザー オブジェクトを操作します。Active Directory でユーザーを削除/無効化するか、Active Directory の同期されたグループからユーザーを削除するという 2 つのシナリオがあります。
ユーザーを Active Directory から削除または無効化し、Tableau Server でそのユーザーのグループと同期すると、以下の事柄が生じます。
- ユーザーは、同期した Tableau Server グループから削除される。
- ユーザーに設定されているロール: "ライセンスなし" に設定されます。
- ユーザーは、引き続き [すべてのユーザー] グループに属します。
- ユーザーが Tableau Server にサインインできない。
Active Directory のグループからユーザーから削除し、Tableau Server でそのグループを同期すると、以下の事柄が生じます。
- ユーザーは、同期した Tableau Server グループから削除される。
- ユーザーの役割は保持され、「ライセンスなし」には設定されません。
- ユーザーは、引き続き [すべてのユーザー] グループに属します。
- ユーザーは引き続き Tableau Server に対するパーミッションとともに、[すべてのユーザー] グループが使用するパーミッションを供与されているすべてのコンテンツへのアクセス権を持ちます。
いずれの場合でも、Tableau Server からユーザーを削除するには、サーバー管理者は Tableau Server の [サーバー ユーザー] ページからユーザーを削除する必要があります。
ドメインのニックネーム
Tableau Server では、ドメイン ニックネームは Windows NetBIOS ドメイン名と同等です。Windows の Active Directory フォレストでは、完全修飾ドメイン名 (FQDN) に任意の NetBIOS 名を付けることができます。NetBIOS 名は、ユーザーが Active Directory にログインしたときにドメイン識別子として使用されます。
たとえば、FQDN west.na.corp.lan は「SEATTLE」という NetBIOS 名 (ニックネーム) で構成できます。そのドメイン内にいるユーザー「jsmith」は次のユーザー名のいずれかで Windows にログオンできます。
west.na.corp.example.com\jsmithSEATTLE\jsmith
ユーザーに FQDN ではなく NetBIOS 名を使用して Tableau Server にサインインさせる場合、ユーザーがログインする各ドメインに対してニックネーム値が設定されていることを検証する必要があります。各ドメインでのニックネーム値の表示および設定方法の詳細については、editdomain を参照してください。
複数ドメインのサポート
次の場合、Tableau Server コンピューターのドメインとは異なるドメインからユーザーやグループを追加できます。
サーバーが使用しているドメインとユーザーのドメインの間に双方向の信頼関係が設定されています。
サーバーのドメインはユーザーのドメインを信頼します (1 方向の信頼)。Active Directory 展開のドメイン信頼要件を参照してください。
サーバー以外のドメインからユーザーやグループ初めて追加する場合、ユーザー名/グループ名と共に完全修飾ドメイン名を指定する必要があります。そのドメインから追加されたユーザーまたはグループは、ニックネームが NetBIOS 名と一致している場合は、ドメインのニックネームを使用して追加されます。Tableau Server が複数のドメインに接続する場合は、Tableau サービス マネージャーで wgserver.domain.whitelist (2020.3 以前のバージョン) または wgserver.domain.accept_list (2020.4 以降のバージョン) のオプションを設定して Tableau Server が接続する他のドメインも指定する必要があります。詳細については、wgserver.domain.whitelistまたはwgserver.domain.accept_listを参照してください。
重複する表示名
ユーザーの表示名が複数のドメインで一意ではない場合、Tableau で同じ表示名を使用してユーザーを管理すると混乱を招く可能性があります。Tableau Server は 2 人のユーザーに同じ名前を表示します。たとえば、2 つのドメイン (example.lan と example2.lan など) を使用している組織について考えます。両方のドメインにユーザー "John Smith" が存在する場合、そのユーザーをグループやその他の管理タスクに追加すると、Tableau Server で混乱を招きます。このシナリオでは、アカウントを差別化するため、いずれかのユーザーの Active Directory での表示名を更新することを検討してください。
NetBIOS 名を使用して Tableau Server にサインインする
ユーザーはドメインのニックネーム (NetBIOS 名) を使用して Tableau Server にサインインできます。例: SEATTLE\jsmith。
Tableau Server は指定された FQDN の NetBIOS 名をクエリできません。その結果、Tableau はネームスペースへの最初の入力に従って指定された FQDN のニックネームを設定します。たとえば、FQDN west.na.corp.lan の場合、Tableau はニックネームを west に設定します。
そのため、ユーザーがニックネームを使用しサインインする前に、Tableau Server でドメインのニックネームを更新する必要が生じることがあります。ニックネームを更新しない場合、完全修飾ドメイン名を使用してサインインする必要があります。詳細については、Tableau ナレッジ ベースの「新しいドメインからのユーザーがログインできず、ユーザー リストに表示されない(新しいウィンドウでリンクが開く)」を参照してください。