外部のアイデンティティ ストアの構成リファレンス

Tableau Server は、LDAP を使用した外部ディレクトリへの接続に対応しています。このシナリオでは、Tableau Server は外部 LDAP ディレクトリから Tableau Server リポジトリにユーザーをシステム ユーザーとしてインポートします。

このトピックでは、Tableau Server が対応しているすべての LDAP 関連の構成オプションについて説明します。Active Directory に接続する場合は、手動で接続を構成するのではなく、セットアップの一部として Tableau Server との LDAP 接続を自動的に構成することを強くお勧めします。「初期ノード設定の構成」を参照してください。

このリファレンスに一覧表示されているオプションは、LDAP に準拠した任意のディレクトリに使用できます。LDAP を構成したことがない場合は、ディレクトリ管理者または LDAP の専門家と協力して行ってください。

このトピックはリファレンスに関するものです。Tableau Server でユーザー情報を格納して管理する方法の詳細については、「アイデンティティ ストア」を参照してください。

構成方法

Tableau Server を LDAP ディレクトリに接続できるようにする構成パラメーターは、yml ファイルに格納されます。これらのファイルは、Tableau Server のさまざまなサービスによって管理および同期されます。yml ファイルの更新は、Tableau サービス マネージャー (TSM) インターフェイスを使用して行う必要があります。

テキスト エディタを使用して yml ファイルを直接更新しないでください。適切に動作させるためには、TSM ですべての更新を管理する必要があります。

yml 構成ファイルは、キー値のペアで構成されます。たとえば、wgserver.domain.username というキーには、値としてユーザー名が入っています。このキーは、バインド操作中に LDAP ディレクトリの認証に使用するユーザー名を定義します。

TSM では yml キー値を設定できる 4 つの方法があります。例として wgserver.domain.username というキーを使用して、4 つの異なる設定方法を説明します。

  • tsm configuration set のオプション を実行して wgserver.domain.username を更新するか、configKey エンティティにある JSON 構成ファイルにキーを含めることによりキーを更新します。「構成ファイルの例」を参照してください。

    configKey エンティティに使用するキー値のペアは、tsm configuration set で使用するものと同じです。このトピックでは、どちらの方法も configKey と呼びます。

    以下に説明する configEntites やネイティブの tsm コマンドとは異なり、configKey の入力は検証されません。configKey を使用してオプションを設定する場合、入力する値は参照元となる yml 構成ファイルにリテラル文字列としてコピーされます。たとえば、true または false が特定のキーに対して有効な入力である場合、configEntites は任意の文字列をキーに保存できるようにします。このような場合、無効な値は確実に LDAP 構成のエラーにつながります。

    configKeys は、以下に示す他の 3 つのオプション (configEntites、ネイティブの tsm コマンド、TSM Web UI) で構成を設定するオプションがない場合にのみ使用することをお勧めします。configKeys を使用するときは、必ず値をダブルチェックして、大文字と小文字を区別するようにしてください。

  • configEntites JSON.で username オプションを渡します。

    configEntities: identityStore エンティティに記載されているように、オプションが JSON ファイルを使用して設定されます。JSON ファイルは、tsm settings import コマンドによりインポートされます。configEntities で使用できるオプションは、すべての yml キー値ペアのサブセットです。

    configEntites と入力する値は、保存する前に検証されます。値の大文字と小文字は区別されます。

    このコンテキストの検証では、JSON ファイル内のすべての値が有効なデータ型である場合にのみ、インポート コマンドが成功することになります。たとえば、true または false のみを受け入れる値に対して no を入力した場合は、エラーが返され、構成はインポートされません。

    JSON 構成ファイルは、初期構成の一部としてのみインポートします。JSON 構成ファイルをインポートして Tableau Server を初期化した後に LDAP に変更を加える必要がある場合は、JSON ファイルのインポートのやり直しはしないでください。その代わりに、ネイティブの tsm コマンドを使用するか、tsm configuration set を使用して、キーを個別に変更します。

  • ネイティブの tsm コマンド を使用して ldapuser オプションを渡します。LDAP 構成は、ネイティブの tsm コマンド tsm user-identity-store を使用して設定されます。configEntities と同様に、ネイティブの tsm コマンドを使用して入力する値は、保存する前に検証されます。

    ネイティブの tsm コマンドで使用できるオプションは、すべての yml キー値ペアのサブセットです。

  • Tableau のセットアップ中に TSM GUI を実行する - Active Directory に接続し、GUI セットアップの一部として Tableau アイデンティティ ストアを構成する場合は、AD の読み取りアクセス権を持つアカウントを求めるプロンプトが表示されます。wgserver.domain.username キーは、認証資格情報を入力するときに設定されます。

    このシナリオは、Active Directory に接続している場合にのみ機能します。Tableau Server では、GUI セットアップ プロセスの一部としての任意の LDAP 構成はサポートされていません。

Tableau のアイデンティティ ストア構成ツール(Link opens in a new window)を使用して LDAP json 構成ファイルを生成することを検討してください。Tableau のアイデンティティ ストア構成ツールでは、tsm configuration set のオプション を実行して設定できるキー/値のペアのリストも生成されます。ツール自体は Tableau ではサポートされていません。ただし、ファイルを手動で作成する代わりにこのツールで作成された JSON ファイルを使用しても、サポートされるサーバーのステータスは変わりません。

Active Directory の構成

Tableau Server を構成して Active Directory を使用する場合は、インストールに TSM Web UI を使用します。TSM Web UI は、必要な入力を最小限に抑えながら Active Directory 向けに Tableau Server を構成するよう最適化されています。初期ノード設定の構成を参照してください。

構成リファレンス テーブル

configEntities

(オプションでは、大文字と小文字が区別されます)

ネイティブの tsm コマンド configKey シナリオ

type N/A wgserver.authenticate AD、LDAP、ローカル

ユーザーの ID 情報を格納する場所。値: local または activedirectory

LDAP サーバーに接続する場合は、activedirectory と入力します。

sslPort N/A wgserver.domain.ssl_port AD、LDAP LDAP サーバーのセキュア ポートを指定します。シンプル バインドにはセキュア LDAP が推奨されます。通常 LDAPS はポート 636 です。
port N/A wgserver.domain.port AD、LDAP LDAP サーバーの非セキュア ポートを指定するためにこのオプションを使用します。プレーン テキストは通常 389 です。
domain domain wgserver.domain.default AD

Active Directory 環境で、Tableau Server がインストールされているドメインを指定します (例: "example.lan")。

Active Directory 環境ではない LDAP の場合: この値に入力した文字列は、ユーザー管理ツールの [ドメイン] 列に表示されます。任意の文字列は入力できますが、キーを空白にすることはできません。

このキーを wgserver.domain.fqdn にすると冗長です。両方のキーの値は同じにする必要があります。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

username ldapusername wgserver.domain.username AD、LDAP

ディレクトリ サービスとの接続に使用するユーザー名です。

指定するアカウントには、ディレクトリ サービスをクエリするパーミッションが必要です。

Active Directory にはユーザー名 (jsmith など) を入力します。

LDAP サーバーには、接続に使用するユーザーの識別名 (DN) を入力します。たとえば、"cn=jsmith,dc=example,dc=lan" とします。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

password ldappassword wgserver.domain.password AD、LDAP

LDAP サーバーとの接続に使用するユーザー アカウントのパスワード。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

directoryServiceType N/A wgserver.domain.directoryservice.type AD、LDAP

接続する LDAP ディレクトリ サービスのタイプ。値: activedirectory または openldap

kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD、LDAP

ホスト マシン上の Tableau Server のサービス プリンシパル名。keytab には、このプリンシパルに対するパーミッションがなくてはなりません。システムでは既存の keytab を使用しないでください。代わりに、新しいサービス プリンシパル名の登録を推奨しています。指定された keytab のプリンシパルを表示するには、klist -k コマンドを実行します。Keytab 要件の理解を参照してください。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

hostname hostname wgserver.domain.ldap.hostname AD、LDAP

LDAP サーバーのホスト名です。この値のホスト名または IP アドレスを入力できます。ここで指定するホストは、プライマリ ドメインのユーザー/グループ クエリに使用されます。ユーザー/グループ クエリが他のドメインにある場合、Tableau Server は DNS にクエリを実行して適切なドメイン コントローラーを識別します。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

membersRetrievalPageSize N/A wgserver.domain.ldap.members.retrieval.page.size AD、LDAP

このオプションによって、LDAP クエリで返される結果の最大数が決まります。

たとえば、Tableau Server で 50,000 ユーザーを含む LDAP グループをインポートするというシナリオについて検討します。単一の操作でこのような多数のユーザーが含まれるインポートを試行することは、ベスト プラクティスではありません。このオプションを 1,500 に設定すると、Tableau Server は最初の応答でまず 1,500 ユーザーをインポートします。それらのユーザーが処理されたら、Tableau Server で次の1,500 ユーザーを LDAP サーバーからリクエストする、という手順です。

このオプションは、お使いの LDAP サーバーの要件に対応する場合にのみ変更することをお勧めします。

N/A N/A wgserver.domain.ldap.connectionpool.enabled AD、LDAP このオプションを true に設定すると、Tableau Server は LDAP サーバーにクエリを送信するときに同じ接続を再利用しようとします。この動作によって、新規リクエストごとに LDAP サーバーで再認証を行うオーバーヘッドを軽減することができます。接続プールは、シンプル バインドおよび TSL/SSL バインドによる接続でのみ機能します。接続プールは、GSSAPI バインド接続ではサポートされていません。
N/A N/A wgserver.domain.whitelist AD

Tableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインはユーザーが同期するときに Tableau Server が接続するドメインですが、Tableau Server はインストールされていません。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で wgserver.domain.whitelist オプションを設定して信頼されるドメインを指定する必要があります。詳細については、wgserver.domain.whitelistを参照してください。

kerberosConfig

kerbconfig

ダイレクト マッピングなし AD、LDAP

ローカル コンピューター上の Kerberos 構成ファイルのパス。Active Directory にインストールしている場合、ドメインで結合したコンピューターにある可能性がある既存の Kerberos 構成ファイルや keytab ファイルを使用することは推奨されていません。アイデンティティ ストアを参照してください。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

kerberosKeytab kerbkeytab ダイレクト マッピングなし AD、LDAP

ローカル コンピューター上の Kerberos keytab ファイルのパス。Tableau Server サービス専用のキーで keytab ファイルを作成し、この keytab ファイルをコンピューター上の他のアプリケーションと共有しないことが推奨されます。

ネイティブの tsm コマンド: tsm user-identity-store set-connection [options] コマンドを使用します。

nickname N/A wgserver.domain.nickname AD、LDAP

ドメインのニックネーム。これは Windows/Active Directory 環境の NetBIOS 名としても参照されます。すべての LDAP エンティティに nickname オプションが必要です。値を NULLにすることはできません。組織でニックネームや NetBIOS 名が不要な場合は、ブランク キーを渡します (例: "")。

root N/A wgserver.domain.ldap.root LDAP LDAP ルートでドメイン コンポーネントを使用しない場合、またはより複雑なルートを指定する必要がある場合には、LDAP ルートの設定が必要です。"o=my,u=root" の形式を使用します。たとえば、example.lan ドメインのルートは "o=example,u=lan" となります。
serverSideSorting N/A wgserver.domain.ldap.server_side_sorting LDAP クエリ結果をサーバー側で並べ替えるように LDAP サーバーを構成しているかどうかを示します。お使いの LDAP サーバーがサーバー側の並べ替えをサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
rangeRetrieval N/A wgserver.domain.ldap.range_retrieval LDAP リクエストに対するクエリ結果の範囲を返すように LDAP サーバーを構成しているかどうかを示します。これは、多数のユーザーが含まれるグループが一度にではなく小分けにしてリクエストされることを意味します。範囲取得をサポートする LDAP サーバーは、クエリが大きい場合により良いパフォーマンスを発揮します。お使いの LDAP サーバーが範囲取得をサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
bind N/A wgserver.domain.ldap.bind LDAP ディレクトリ サービスへの通信を保護する方法。Kerberos で LDAP サーバーに接続しているのでなければ、LDAP には「simple」と入力してください。Kerberos には、「gssapi」と入力します。
N/A N/A wgserver.domain.ldap.domain_custom_ports LDAP

: このキーは、Tableau Server on Linux でのみサポートされます。

子ドメインとその LDAP ポートをマッピングできます。ドメインとポートはコロン (:) で区切られ、ドメインとポートのペア間は FQDN1:port,FQDN2:port の形式のようにコンマ (,) で区切られます。

例: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttribute N/A wgserver.domain.ldap.dnAttribute LDAP

ユーザーの識別名を格納する属性です。この属性はオプションですが、LDAP クエリのパフォーマンスが大きく向上します。

重要: 初期構成の一部としてこのオプションを設定しないでください。このオプションは、LDAP の全体的な機能を検証した後にのみ設定します。このキーを設定する前に、組織内で dnAttribute を設定する必要があります。

groupBaseDn N/A wgserver.domain.ldap.group.baseDn LDAP

グループに代替ルートを指定します。たとえば、グループの全員が「groups」と呼ばれるベース組織に保存されている場合は、"o=groups" と入力します。

N/A classnames wgserver.domain.ldap.group.classnames LDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。

グループ名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、グループ名が groupOfNames, top の場合は、"groupOfNames\, top" と入力します。

Tableau の LDAP 実装では、LDAP オブジェクトはユーザーまたはグループとして解釈されます。したがって、最も具体的なクラス名を入力するようにしてください。ユーザーとグループの間でクラス名が重複すると、競合が発生する可能性があります。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupBaseFilter basefilter wgserver.domain.ldap.group.baseFilter LDAP

Tableau Server のユーザー グループが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。例:

"(&(objectClass=groupofNames)(ou=Group))"

"(&(objectClass=inetOrgPerson)(ou=People))" が LDAP 実装で機能しない場合は、Tableau ユーザーベースに対して機能する基本フィルターを指定します。

これは必須のキーです。空白にすることはできません。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupName groupname wgserver.domain.ldap.group.name LDAP

LDAP サーバーのグループ名に対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupEmail groupEmail wgserver.domain.ldap.group.email LDAP

LDAP サーバーのグループの電子メール アドレスに対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupDescription description wgserver.domain.ldap.group.description LDAP

LDAP サーバーのグループの説明に対応する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

member member wgserver.domain.ldap.group.member LDAP

グループに含まれるユーザーの識別名のリストを含む LDAP 属性を指定します。

ネイティブの tsm コマンド: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

N/A N/A wgserver.domain.ldap.group.memberURL LDAP 動的なグループに LDAP クエリを格納する LDAP 属性の名前を指定します。
userBaseDn N/A wgserver.domain.ldap.user.baseDn LDAP ユーザーに代替ルートを指定します。たとえば、すべてのユーザーが「users」と呼ばれるベース組織に保存されている場合は、"o=users" と入力します。
N/A classnames wgserver.domain.ldap.user.classnames LDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。例: "userclass1, userclass2"

ユーザー名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、名前が Names, top の場合は、"Names\, top" と入力します。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

Tableau Server のユーザーが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。

例:

"(&(objectClass=inetOrgPerson)(ou=People))"

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

LDAP サーバーのユーザー名に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

LDAP サーバーのユーザーの表示名に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userEmail email wgserver.domain.ldap.user.email LDAP

LDAP サーバーのユーザーのメール アドレスに該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userCertificate certificate wgserver.domain.ldap.user.usercertificate LDAP

LDAP サーバーのユーザーの証明書に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

N/A thumbnail wgserver.domain.ldap.user.thumbnail LDAP

LDAP サーバーのユーザーのサムネイル画像に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

LDAP サーバーのユーザー プロファイル画像に該当する属性です。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

ユーザーがメンバーになっているグループです。

ネイティブの tsm コマンド: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

groupClassNames N/A wgserver.domain.ldap.group.classnames LDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["basegroup","othergroup"]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "basegroup,othergroup”

userClassNames N/A wgserver.domain.ldap.user.classnames LDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["userclass1",userclass2”]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "userclass1,userclass2”

計算済みの configKeys

以下の Kerberos 関連の configKeys が計算され、複数の環境入力に従って設定されます。このため、configKeys は ネイティブの tsm コマンドや configEnties で設定する必要があります。これらの configKeys を手動で設定しようとしないでください。

計算済みの configKeys ネイティブの TSM コマンドを使用するには: configEntity json を使用する場合:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Kerberos 構成ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbconfig オプションで設定します。

Kerberos 構成ファイルの場所を、kerberosConfig configEntity オプションで設定します。

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Kerberos キータブ ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbkeytab オプションで設定します。 Kerberos キータブ ファイルの場所を、kerberosKeytab configEntity オプションで設定します。

サポート対象外の configKeys

参照元となる YAML 構成ファイルには、サポート対象外の configKeys がいくつか存在します。以下のキーは標準の展開向けではありません。これらのキーを構成しないようにしてください。

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • Wgserver.domain.fqdn: このキーを wgserver.domain.default にすると冗長です。両方のキーの値は同じにする必要があります。値が wgserver.domain.default と一致しない場合にのみ、wgserver.domain.fqdn を更新します。
ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直してください。