Kerberos SSO に対する Tableau クライアントのサポート
この記事では、Tableau Server で Kerberos シングル サインオン (SSO) を使用するための要件と特定の Tableau クライアントおよびオペレーティング システムによる微妙な違いについて説明します。ここで対象となる Tableau クライアントには、一般的な Web ブラウザー、 Tableau Desktop、Tableau Mobile アプリなどが含まれます。
一般的なブラウザー クライアントのサポート
ブラウザー ベースの Kerberos シングル サインオン (SSO) を使用するには、以下の条件を満たす必要があります:
Tableau Server 上で Kerberos を有効にする必要があります。
ユーザーはユーザー名とパスワードを指定して Tableau Server にサインインします。
注: Kerberos SSO に失敗した場合、フォールバックが設定されていれば、ユーザー名とパスワードの認証資格情報にフォールバックすることができます。
ユーザーは、クライアント コンピューターまたはモバイル デバイス上で Kerberos による Active Directory への認証を受ける必要があります。具体的には、ユーザーが Kerberos Ticket Granting Ticket (TGT) を付与されている必要があります。
Tableau Desktop およびブラウザーのクライアント
Windows または Mac で、Kerberos SSO を使用して Tableau Desktop の次のバージョンまたはブラウザーから Tableau Server にサインインします。追加構成が必要となる場合もあります。
Windows
- Tableau Desktop 10.3 以降がサポート対象となります。
- Internet Explorer - サポート対象 - 構成が必要となる場合があります。注 1 を参照してください。
- Chrome - サポート対象 - 構成が必要となる場合があります。注 1 を参照してください。
- Firefox - 構成が必要です。注 2 を参照してください。
- Safari - サポート外
Mac OS X
Tableau Mobile アプリ クライアント
iOS または Android デバイスでは、次の Tableau Mobile またはモバイル ブラウザーのバージョンを使用して、Tableau Server への Kerberos 認証を行うことができます。
iOS
Android - 注 5 を参照
- Tableau Mobile アプリ
- Chrome
オペレーティング システムとブラウザーに固有の注記
次の注記では、固有のオペレーティング システムおよびクライアントの組み合わせでの構成に関する要件および問題について説明します。
Kerberos SSO は Internet Explorer と Chrome のどちらでもサポートされていますが、Windows の [インターネット オプション] での設定が必要です。
[統合 Windows 認証] を有効にします。
Tableau Server URL がローカルのイントラネット ゾーン内にあることを検証します。
Internet Explorer でイントラネット ゾーンを検出し、この設定を構成できる場合があります。Tableau Server URL が検出および構成されなかった場合は、URL をローカル イントラネット ゾーンに手動で追加する必要があります。
統合 Windows 認証を有効にするには:
Windows の [コントロール パネル] で、[インターネット オプション] を開きます。
[詳細] タブで、下にスクロールして [セキュリティ] セクションに移動します。
[統合 Windows 認証を使用する] を選択します。
[適用] をクリックします。
Tableau Server URL を検証またはローカル イントラネット ゾーンに追加するには:
Windows の [コントロール パネル] で、[インターネット オプション] を開きます。
[セキュリティ] タブで [ローカル イントラネット] を選択し、[サイト] をクリックします。
[ローカル イントラネット] ダイアログ ボックスで、[詳細設定] をクリックします。
[Web サイト] フィールドで、内部 Tableau Server URL を検索します。
一部の組織では、IT 管理者がワイルドカード (*) を使用して内部 URL を指定します。たとえば、次の URL には、ローカル イントラネット ゾーンの内部
example.lan
名前空間のすべてのサーバーが含まれます。https://*.example.lan
次のイメージは、
https://tableau.example.lan
の特定の URL を示します。[Web サイト] フィールドで Tableau Server URL またはワイルドカード URL が指定されていない場合、[この Web サイトをゾーンに追加する] フィールドに Tableau Server 名 (URL) を入力してから、[追加]、[OK] の順にクリックします。
Tableau Server URL がすでに [Web サイト] に記載されている場合は、ダイアログ ボックスを閉じます。
Windows または Mac のいずれかの Firefox で、Kerberos SSO を使用して Tableau Server にサインインできます。これには、次の手順を完了してFirefox を設定し、Kerberos をサポートする必要があります。
Firefox では、アドレス バーに「
about:config
」と入力します。詳細設定の変更に関する警告が出たら、[I'll be careful. I promise!] をクリックします。
[検索] ボックスに
negotiate
と入力します。network.negotiate-auth.allow-non-fqdn をダブルクリックしてから値を true に設定します。
- network.negotiate-auth.trusted-urls をダブルクリックし、Tableau Server の完全修飾ドメイン名 (FQDN) またはドメインを入力します。たとえば、
tableau.example.com
と入力します。
Chrome マニュアルによれば、ターミナル ウィンドウから次のコマンドで Chrome を起動すると、Mac で Kerberos SSO を使用できます。
open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"
ここで、tableauserver.example.com
は現在の環境における Tableau Server の URL です。
ただし、当社によるテストで一貫性のない結果が検出されました。したがって、Mac で Kerberos SSO を使用する場合は、Safari または Firefox を使用することをお勧めします。詳細については、The Chromium Projects サイトの「HTTP authentication」(新しいウィンドウでリンクが開く)にある「Integrated Authentication」セクションを参照してください。
注: ユーザーは引き続き Mac OS X で Chrome を使用して Tableau Server にサインインできますが、ログイン時にユーザー名とパスワードを入力するよう求められる場合があります (シングル サインオンは無効)。
Kerberos を使用するように iOS を構成すれば、Kerberos SSO はサポートされます。iOS デバイスに Kerberos 認証用の構成プロファイルがインストールされていなければなりません。通常、これはエンタープライズ IT グループによって行われます。Tableau サポートは、iOS デバイスを Kerberos 用に設定する作業を支援できません。Tableau Mobile 導入ガイドの認証トピック(新しいウィンドウでリンクが開く)を参照してください。
Android オペレーティング システムで使用する Tableau Mobile アプリでは、Kerberos SSO はサポートされていません。SSO でユーザー名とパスワードを認証できない場合に備えて Kerberos にフォールバックが設定されている場合は、Android デバイスと Tableau Mobile アプリまたはサポートされているモバイル ブラウザーを使用して Tableau Server に引き続き接続できます。このシナリオでは、Kerberos を使用して認証するのではなく、Tableau Server にアクセスするときに認証資格情報を入力するよう求められます。
詳細
- Tableau モバイル導入ガイド: Tableau Mobile への認証およびアクセスを制御する(新しいウィンドウでリンクが開く)
- Tableau Server 技術仕様(新しいウィンドウでリンクが開く)で Web ブラウザー を参照してください。