Kerberos の要件

Tableau Server で使用する Kerberos の認証は、Active Directory 環境で構成することができます。

一般的な要件

  • 外部ロード バランサー/プロキシ サーバー: Tableau Server で Kerberos を使用する場合に、その環境に外部ロード バランサー (ELB) またはプロキシ サーバーがある場合は Tableau Server 構成ユーティリティでの Kerberos 構成の前に、これらを設定する必要があります。Tableau Server プロキシの設定を参照してください。

  • iOS ブラウザーのサポート: iOS ユーザーは、ユーザーの Kerberos ID を指定する構成プロファイルがインストールされている場合、Mobile Safari で Kerberos 認証を使用することができます。Tableau Mobile ヘルプの「Kerberos サポート用の iOS デバイスの構成」(Link opens in a new window)を参照してください。Kerberos SSO のブラウザー サポートの詳細については、Kerberos SSO に対する Tableau クライアントのサポートを参照してください。

  • Tableau Server では、データソースへの認証に対する制約付きの委任がサポートされています。このシナリオでは、ターゲット データベースの SPN へのアクセス権が Tableau データ アクセス アカウントに専用で付与されています。制約のない委任はサポートされません。

  • サポートされているデータ ソース (SQL Server、MSAS、PostgreSQL、Hive/Impala、および Teradata) で Kerberos 認証を構成する必要があります。

  • keytab ファイルは、ユーザー認証に使用する Tableau Server のサービス プロバイダー名で構成されます。データ ソースの認証に Kerberos を使用する場合、Tableau Server の Kerberos 構成時に指定する単一の keytab ファイルに、これらの認証資格情報が含まれている必要があります。

Active Directory の要件

Active Directory 環境にある Tableau Server で Kerberos を使用するには次の要件を満たす必要があります。

  • Tableau Server では認証に Active Directory (AD) を使用する必要があります。

  • ドメインは、Tableau Server に対する Kerberos 接続の AD 2003 以降のドメインである必要があります。

  • スマートカードのサポート: スマートカードは、ユーザーがスマートカードでワークステーションにサインインし、それによりユーザーに Kerberos TGT が Active Directory から付与される場合にサポートされます。

  • シングル サインオン (SSO): ユーザーがコンピューターにサインインする際、ユーザーに Active Directory からの Kerberos チケット保証チケット (TGT) を付与する必要があります。この動作はドメインで結合した Windows コンピューター、およびネットワーク アカウント サーバーとして AD を使用する Mac コンピューターで標準的です。Mac コンピューターと Active Directory の使用方法の詳細については、Apple ナレッジ ベースの「ネットワーク アカウント サーバに Mac を接続する」(Link opens in a new window)を参照してください。

Kerberos 委任

Kerberos 委任シナリオでは、次が必要です。

  • ドメインが AD 2003 以降の場合、シングル ドメイン Kerberos 委任がサポートされます。ユーザー、Tableau Server、およびバックエンド データベースは同じドメイン上に存在している必要があります。

  • ドメインが AD 2008 の場合は、クロス ドメイン サポートに限定されます。次の条件が満たされている場合は、他のドメインのユーザーに委託できます。Tableau Server とバックエンド データベースが同じドメイン上に存在している必要があり、Tableau Server が存在するドメインとユーザーのドメインとの間に双方向の信頼関係が必要です。

  • ドメインが 2012 以降の場合、フル クロスドメイン委任がサポートされます。AD 2012 R2 以外は手動で構成する必要がありますが、AD 2012 R2 には制約付きの委任に対する構成のダイアログがあるため、AD 2012 R2 が推奨されます。

ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください