Kerberos 委任を使用すると、Tableau Server はワークブックまたはビューを参照しているユーザーの Kerberos 認証資格情報を使用してそのユーザーのためにクエリを実行できます。これは、次のような場合に役立ちます。
誰がデータにアクセスしているかを知る必要があります (ビューアーの名前はデータ ソースのアクセス ログに表示されます)。
データ ソースのセキュリティは行レベルですが、別のユーザーは別の行へのアクセス権があります。
サポートされているデータ ソース
Tableau では次のデータ ソースを使用する Kerberos 委任がサポートされています。
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- MSAS
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
- TIBCO
要件
Kerberos 委任には Active Directory が必要です。
- Tableau Server のアイデンティティ ストアが、Active Directory を使用するように構成されている必要があります。
- Tableau Server がインストールされているコンピューターを Active Directory のドメインに結合する必要があります。
- MIT Kerberos はサポートされていません。
- ドメイン アカウントは、Tableau Server で実行サービス アカウントとして構成する必要があります。実行サービス アカウントの変更 を参照してください。ユーザーに Tableau Server およびデータ ソースとは異なる Active Directory ドメインがある場合は、そのドメインの信頼を構成する必要があります。Active Directory 展開のドメイン信頼要件を参照してください。
- 委任が構成されました。実行サービス アカウントの委任権限をターゲット データベースのサービス プリンシパル名 (SPN) に付与します。この実行サービス アカウントは最初のソース ユーザーに代わってリソースにアクセスする権限が委任されています。
- JDBC ベースのコネクタを使用している Oracle データ ソースで Tableau Server 2020.2 以降で委任を構成する場合は JDBC コネクタの Kerberos 委任を有効にするを参照してください。 Tableau 2020.2 以降、Oracle コネクタは JDBC を使用します。
Web 作成
Kerberos 委任をサポートしない Web 作成シナリオは 2 つあります。「Web 上のデータへ接続する」機能と「Web 上でデータベースを作成する」機能はまだ委任をサポートしていません。具体的には、Web 作成で Kerberos を使用するデータソースを作成する場合、データ ソースは実行サービス アカウントの認証を使用します。Kerberos 委任を使用してデータソースを作成する場合は、Tableau Desktop でパブリッシュする必要があります。
構成プロセス
このセクションでは、Kerberos 委任を有効にするためのプロセスの例を示します。また、シナリオには各構成要素間のリレーションシップを説明する際に便利なサンプル名が含まれています。
Tableau Server のすべてのノード上で、オペレーティング システムの一部として動作するように実行ユーザーを構成します。詳細については、オペレーティング システムとして動作するように実行サービス アカウントを有効化するを参照してください。
Tableau Server では、データベースへの呼び出しを開始するユーザーの委任に Kerberos サービス チケットが必要となります。指定したデータベースへの委任に使用するドメイン アカウントを作成する必要があります。このアカウントは実行サービス アカウントと呼ばれます。このトピックで委任/実行アカウントとして構成されたサンプル ユーザーは、
tabsrv@example.comとなります。このアカウントは、ユーザー ドメインに接続されている Windows Server 上の Active Directory のユーザーおよび PC を使用して構成する必要があります。
- 実行サービス アカウントの [プロパティ] ページを開き、[委任] タブをクリックして [指定サービスの委任用のみ、このユーザーを信頼する] および [任意の認証プロトコルを使用する] を選択します。
次の TSM コマンドを実行して Kerberos 委任を有効にします。
tsm configuration set -k wgserver.delegation.enabled -v true次の TSM コマンドを実行して Tableau Server へ変更を適用します。
tsm pending-changes apply保留中の変更にサーバーの再起動が必要な場合は、
pending-changes applyコマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-promptオプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。(オプション) Tableau Server で MIT Kerberos プリンシパル形式を使用するように構成します。
既定では、Tableau Server は Active Directory の短い名前を使用して Kerberos プリンシパルを生成します。たとえば、Tableau Server が
EXAMPLE.COMのユーザーの Kerberos 委任を、短い名前EXAMPLEを使用して実行する場合、プリンシパル名はuser@exampleになります。データベースが Linux で実行中の場合、krb5.conf で
auth_to_localマッピングの調整が必要になることがあります。krb5.conf ファイルの編集の詳細については、Kerberos 委任マルチドメイン構成を参照してください。または、次のコマンドを実行して、Tableau Server で Kerberos プリンシパルの完全なドメイン名を使用するように構成することもできます。tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys tsm pending-changes apply
データ接続で委任を有効にします:
SQL Server—Tableau コミュニティの「SQL Server 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
MSAS—Tableau コミュニティの「MSAS 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
PostgreSQL—Tableau コミュニティの「PostgreSQL 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
Teradata—Tableau コミュニティの「Teradata 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
Oracle—Tableau コミュニティの「Oracle 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
Cloudera—Tableau コミュニティの「Hive/Impala 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
Teradata—Tableau コミュニティの「Vertica 用に Kerberos 委任を有効にする」(新しいウィンドウでリンクが開く)を参照してください。
TIBCO—TIBCO プロフェッショナル サービス ガイド「TDV の Kerberos との統合」の「セクション 4, Windows 上の TDV の Kerberos SSO 構成」(新しいウィンドウでリンクが開く)を参照してください。
関連項目