Tableau Snowflake のコネクタでは、プロバイダーにより Tableau Server 用に生成され、同一サイト内のすべてのユーザーにより共有される OAuth トークンの管理キーチェーンを使用します。Tableau 2020.4 以降では、新しい OAuth サービスを使用するように Tableau Server を構成できます。このシナリオでは、AWS PrivateLink または Azure Private Link VPC で OAuth フローを実行するために IP アドレスを許可リストに登録する必要はありません。
新しい OAuth サービスで保存された認証資格情報を使用するように Snowflake コネクタを構成することで、"プライベート リンク" 環境をサポートするように Tableau Server を変換できます。
ステップ 1: Snowflake を使用してクライアント ID を取得する
Snowflake でカスタム OAuth クライアントを登録するには、「Configure Snowflake OAuth for Custom Clients」(新しいウィンドウでリンクが開く)の手順に従います。
登録後、次の Snowflake パラメーターを使用して Tableau Server を構成します。
- アカウント インスタンス URL
- クライアント ID
- クライアント シークレット
- リダイレクト URL
ステップ 2: Snowflake OAuth 用に Tableau Server を構成する
Tableau Server コンピューターで Snowflake OAuth サービスを有効にするには、次のコマンドを実行します。
tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v true
テキスト エディターで、次のコマンドをコピーして貼り付け、カスタマイズします。
注: Tableau Server 2021.1 以降でこの構成の変更を行う場合、oauth.snowflake.client の値の形式が変更されているため、「ステップ2 Tableau Server を構成する」を参照してください。
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"
oauth.snowflake.clients
キーはキー ペアの配列を受け取ります。キー ペアの各要素は二重引用符でカプセル化する必要があります。二重引用符は、\"
としてエスケープする必要があります。複数のアカウント インスタンス URL を指定するには、次の例のように、中かっこ ({}) で囲まれた追加の各 OAuth クライアントをコンマ (,) で区切ります。
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url1\":\"https://account.snowflakecomputing1.com\", \"oauth.snowflake.client_id1\":\"client_id_string1\", \"oauth.snowflake.client_secret1\":\"client_secret_string1\", \"oauth.snowflake.redirect_uri1\":\"http://your_server_url.com/auth/add_oauth_token1\" },{\"oauth.snowflake.instance_url2\":\"https://account.snowflakecomputing2.com\", \"oauth.snowflake.client_id2\":\"client_id_string2\", \"oauth.snowflake.client_secret2\":\"client_secret_string2\", \"oauth.snowflake.redirect_uri2\":\"http://your_server_url.com/auth/add_oauth_token2\" }]"
次に示すように、各キーの値を置き換えます。
- アカウント インスタンス URL:
oauth.snowflake.instance_url
- クライアント ID:
oauth.snowflake.client_id
- クライアント シークレット:
oauth.snowflake.client_secret
- リダイレクト URLL:
oauth.snowflake.redirect_uri
注: コマンドを実行する前に、構文を注意深く検証してください。TSM はこの入力を検証しません。
コマンドを TSM CLI にコピーして、コマンドを実行します。
- アカウント インスタンス URL:
次のコマンドを入力して変更を適用します。
tsm pending-changes apply
保留中の変更にサーバーの再起動が必要な場合は、
pending-changes apply
コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt
オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。
サイトのカスタム OAuth の構成
サイトに対してカスタム Snowflake OAuth クライアントを構成できます。
カスタム OAuth クライアントを構成して、1) サーバー用に構成されている場合は OAuth クライアントを上書きするか、2) 一意の OAuth クライアントを必要とするデータに安全に接続するためのサポートを有効にすることを検討してください。
カスタム OAuth クライアントが構成されている場合、サイトレベルの構成はサーバー側の構成よりも優先され、作成されたすべての新しい OAuth 認証資格情報では既定でサイトレベルの OAuth クライアントが使用されます。構成を有効にするために、Tableau Server を再起動する必要はありません。
重要: カスタム OAuth クライアントを構成する前に確立された既存の OAuth 認証資格情報は一時的に使用できますが、データ アクセスが中断されないように、サーバー管理者とユーザーの双方が保存された認証資格情報を更新する必要があります。
ステップ 1: OAuth クライアントID、クライアン トシークレット、リダイレクト URL の準備
カスタム OAuth クライアントを構成する前に、以下の情報が必要です。この情報を準備したら、サイトのカスタム OAuth クライアントを登録できます。
OAuth クライアント ID とクライアント シークレット: 最初に OAuth クライアントをデータ プロバイダー (コネクタ) に登録して、Tableau Server 用に生成されたクライアント IDとシークレットを取得します。
リダイレクト URL: 正しいリダイレクト URL であることを確認します。これは、以下のステップ 2 の登録プロセスで必要になります。
https://<your_server_name> .com / auth / add_oauth_token
例: https://example.com/auth/add_oauth_token
ステップ 2: OAuth クライアント ID とクライアント シークレットを登録する
以下の手順に従って、カスタム OAuth クライアントをサイトに登録します。
管理者の認証資格情報を使用して Tableau Server にサインインし、[設定] ページに移動します。
[OAuth Clients Registry (OAuth クライアント レジストリ)] で、[Add OAuth Client (Oauth クライアントの追加)] ボタンをクリックします。
上記のステップ 1 の情報を含む、必要な情報を入力します。
[接続タイプ] で、カスタム OAuth クライアントを設定するコネクタを選択します。
クライアント ID、クライアント シークレット、リダイレクト URL には、上記のステップ 1 で準備した情報を入力します。
[Add OAuth Client (Oauthクライアントの追加)] ボタンをクリックして、登録プロセスを完了します。
(オプション) サポートされているすべてのコネクタに対して、ステップ 3 を繰り返します。
- [設定] ページの下部または上部にある [保存] ボタンをクリックして、変更を保存します。
ステップ 3: 保存された認証資格情報の検証と更新
データ アクセスが中断されないようにするため、サーバー管理者 (およびサイト ユーザー) は、以前に保存した認証資格情報を削除してから、サイトのカスタム Oauth クライアントを使用できるように再度追加する必要があります。
[マイ アカウント設定] ページに移動します。
[データ ソースの保存済み認証資格情報] で、次の手順を実行します。
上記のステップ 2 でカスタム OAuth クライアントを構成したコネクタの既存の、保存済み認証資格情報の横にある [削除] をクリックします。
コネクタ名の横にある [追加] をクリックし、プロンプトに従って 1) 上記のステップ 2 で構成したカスタム OAuth クライアントに接続し、2) 最新の認証資格情報を保存します。
ステップ 4: 保存した認証資格情報を更新するようにユーザーに通知する
上記のステップ 2 で構成したカスタム OAuth クライアントのコネクタの保存済み認証資格情報を更新するようにサイト ユーザーに通知します。サイトのユーザーは、保存済み認証資格情報の更新で説明されている手順を使用して、保存された認証資格情報を更新できます。
OAuth 認証用フォワード プロキシ
Tableau Server の Oauth 認証を使用したフォワード プロキシの設定 (Windows のみ) の詳細については、Tableau ヘルプの「OAuth 認証用フォワード プロキシの設定」(新しいウィンドウでリンクが開く)を参照してください。