アイデンティティ ストア

Tableau Server にはユーザーやグループの情報を格納するためのアイデンティティ ストアが必要です。アイデンティティ ストアには、ローカルと外部の 2 種類があります。Tableau Server をインストールする場合は、ローカルまたは外部のアイデンティティ ストアを構成する必要があります。

アイデンティティ ストアの構成オプションについては、identityStore エンティティおよびLDAP 構成リファレンス.を参照してください。

ローカル アイデンティティ ストア

ローカルのアイデンティティ ストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は Tableau Server リポジトリに格納されて管理されます。ローカル アイデンティティ ストアのシナリオでは、ユーザーおよびグループ用の外部のソースはありません。

外部のアイデンティティ ストア

外部のストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は外部ディレクトリ サービスによって格納され管理されます。Tableau Server は、ローカルのユーザーとグループのコピーが Tableau Server リポジトリに存在できるように外部のアイデンティティ ストアと同期する必要があります。しかし、ユーザーとグループのすべてのデータのマスター ソースは外部のアイデンティティ ストアです。

Tableau Server アイデンティティ ストアを構成して外部 LDAP ディレクトリと通信する場合は、Tableau Server に追加するすべてのユーザー (初期の管理アカウントを含む) にディレクトリのアカウントを指定する必要があります。

Tableau Serverが認証で外部 LDAP サーバーを使用するように構成されている場合、最初にユーザー ID を 外部ディレクトリからアイデンティティ ストアにインポートする必要があります。その後、ユーザーが Tableau Server にサインインすると、認証資格情報はユーザーの認証を処理する外部ディレクトリに渡されます。Tableau Server はこの認証を実行しません。ただし、アイデンティティ ストアに保存されている Tableau ユーザー名は Tableau Server の権限やパーミッションと関連付けられています。したがって、認証が検証された後、Tableau Server は Tableau リソースへのユーザー アクセス (認可) を管理します。

外部のユーザー ストアの一例となるのが Active Directory です。Tableau Server は Active Directory とのインターフェイスになるように最適化されています。たとえば、初期ノード設定の構成を使用して、Active Directory ドメインに参加している PC に Tableau Server をインストールする場合、ほとんどの Active Directory 設定はセットアップによって検出されて構成されます。一方、TSM CLI を使用して Tableau Server をインストールする場合は、すべての Active Directory 設定を指定する必要があります。この場合は、LDAP - Active Directory テンプレートを使用してアイデンティティ ストアを構成してください。

Active Directory にインストールする場合は、Active Directory ドメインに参加している PC に Tableau Server をインストールする必要があります。また、展開の前にActive Directory 展開におけるユーザー管理を確認することをお勧めします。

他のすべての外部ストアには、Tableau Server はアイデンティティ ストアとの通信を行う一般的な方法として LDAP をサポートします。たとえば、OpenLDAP は柔軟なスキーマを備えた LDAP サーバー実装の一種です。Tableau Server は、OpenLDAP サーバーにクエリを実行するように構成することができます。このためには、ディレクトリ管理者はスキーマに関する情報を提供する必要があります。セットアップ時に、 初期ノード設定の構成 を使用して他の LDAP ディレクトリへの接続を設定します。

LDAP バインド

LDAP を使用してユーザー ストアにクエリを実行するクライアントには、セッションの認証と確立が必要です。これを行うのがバインディングです。バインディングにはいくつかの方法があります。シンプル バインドはユーザー名とパスワードを使用する認証です。シンプル バインドで Tableau Server に接続する組織は、SSL 暗号化接続を構成することをお勧めします。そうでないと認証資格情報が平文の状態でネットワーク上に拡散します。Tableau Server がサポートするもう一つのバインド方法は GSSAPI です。GSSAPI は Kerberos を使用して認証します。Tableau Server の場合、Tableau Server がクライアントで外部のユーザー ストアが LDAP サーバーです。

GSSAPI (Kerberos) バインドを使用した LDAP

GSSAPI を使用して LDAP ディレクトリにバインドする方法が推奨されますが、GSSAPI を使用してバインドするには、Tableau Server サービス専用の keytab ファイルが必要です。

Active Directory にインストールしており、Tableau Server のインストール先のコンピューターが既にドメインに結合している場合、コンピューターには既に構成ファイルおよび keytab ファイルがある可能性があります。このような場合、Kerberos ファイルはオペレーティング システムの機能と認証のためのものです。厳密にはこれらのファイルを GSSAPI バインドに使用することはできますが、その使用を推奨していません。代わりに、Active Directory の管理者に連絡して Tableau Server サービス専用のキータブを要求してください。Keytab 要件の理解を参照してください。

お使いのオペレーティングシステムに定義域の認証用に適切に設定された keytab がある場合、Tableau Server のベース インストール二必要なものは GSSAPI バインド用の Kerberos キーファイルだけです。ユーザー向けに Kerberos 認証の使用を計画している場合は、インストール完了後に ユーザー認証向けに Kerberos を構成 および データソースへの Kerberos 委任 を行います。

SSL 経由の LDAP

既定では、シンプル バインドによる LDAP は暗号化されません。シンプル バインドで LDAP を構成する場合、SSL 経由で LDAP を有効にする方法 (LDAPS) を強くお勧めします。

Tableau Server を実行するコンピューターに LDAP の証明書をインストール済みの場合は、LDAPS はインストール プロセス中に最小構成で動作するはずです。

: Tableau Server を分散環境で実行している場合は、SSL 証明書をクラスタ内の各ノードに手動でコピーする必要があります。Tableau Server のアプリケーション サーバー プロセスが構成されているノードだけに証明書をコピーします。クラスタ環境内の他の共有ファイルとは異なり、LDAP で使用される SSL 証明書は、クライアント ファイル サービスによって自動的に配布されることはありません。

具体的には、Tableau Server をインストールし、Tableau キーストア (C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks) に有効な証明書をインストールしている場合、アイデンティティ ストアの構成時に SSL を指定することができます。

Java キーストアのパスワードは changeit です(Java キーストアのパスワードは変更しないでください)。

LDAP サーバー向けに構成したコンピューターに証明書をまだ配置していない場合は、LDAP サーバーで使用する SSL 証明書を入手し、システムの Tableau キーストアにインポートする必要があります。

Java ツールの "keytool" を使用して証明書をインポートします。既定では、このツールは C:\Program Files\Tableau\Tableau Server\packages\respository.<version>\jre\bin\keytool.exe で Tableau Server にインストールされます。

管理者として次のコマンドを実行し、証明書をインポートします (お使いの環境に合わせて <variables> を置き換える必要があります)。

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -import -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

 

クライアントの認証

Tableau Server の基本のユーザー認証は、ローカルと外部のユーザー ストアの両方において、ユーザー名とパスワードによるサインインで行います。ローカルの場合、ユーザーのパスワードはハッシュ化されたパスワードとしてリポジトリに保存されます。外部の場合は、Tableau Server から外部のユーザー ストアに認証資格情報が渡され、これらが有効かどうかの回答があるまで待機します。外部のユーザー ストアは、Kerberos や SSPI (Active Directory のみ) など他の種類の認証も処理できますが、コンセプトはこの場合も同じで、Tableau Server が認証資格情報またはユーザーを外部のストアに委任して応答を待機します。

ユーザー名とパスワードによるサインインを無効化するように Tableau Server を構成することができます。このようなシナリオでは、信頼できる認証、OpenID、または SAML など、他の認証方法を使用できます。認証を参照してください。

フィードバックをくださりありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください