Tableau Server にはユーザーやグループの情報を格納するためのアイデンティティ ストアが必要です。アイデンティティ ストアには、ローカルと外部の 2 種類があります。Tableau Server をインストールする場合は、ローカルまたは外部のアイデンティティ ストアを構成する必要があります。

アイデンティティ ストアの構成オプションについては、identityStore エンティティおよび外部のアイデンティティ ストアの構成リファレンス.を参照してください。

ローカル アイデンティティ ストア

ローカルのアイデンティティ ストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は Tableau Server リポジトリに格納されて管理されます。ローカル アイデンティティ ストアのシナリオでは、ユーザーおよびグループ用の外部のソースはありません。

外部のアイデンティティ ストア

外部のストアで Tableau Server を構成する場合は、すべてのユーザー情報およびグループ情報は外部ディレクトリ サービスによって格納され管理されます。Tableau Server は、ローカルのユーザーとグループのコピーが Tableau Server リポジトリに存在できるように外部のアイデンティティ ストアと同期する必要があります。しかし、ユーザーとグループのすべてのデータの信頼できるソースは外部のアイデンティティ ストアです。

Tableau Server アイデンティティ ストアを構成して外部 LDAP ディレクトリと通信する場合は、Tableau Server に追加するすべてのユーザー (初期の管理アカウントを含む) にディレクトリのアカウントを指定する必要があります。

Tableau Server が外部の LDAP ディレクトリを使用するように構成されている場合、外部ディレクトリから Tableau Server リポジトリへ、ユーザー ID をシステム ユーザーとして最初にインポートする必要があります。その後、ユーザーが Tableau Server にサインインすると、認証資格情報はユーザーの認証を処理する外部ディレクトリに渡されます。Tableau Server はこの認証を実行しません。ただし、アイデンティティ ストアに保存されている Tableau ユーザー名は Tableau Server の権限やパーミッションと関連付けられています。したがって、認証が検証された後、Tableau Server は Tableau リソースへのユーザー アクセス (認可) を管理します。

外部のユーザー ストアの一例となるのが Active Directory です。Tableau Server は Active Directory とのインターフェイスになるように最適化されています。たとえば、初期ノード設定の構成を使用して、Active Directory ドメインに参加している PC に Tableau Server をインストールする場合、ほとんどの Active Directory 設定はセットアップによって検出されて構成されます。一方、TSM CLI を使用して Tableau Server をインストールする場合は、すべての Active Directory 設定を指定する必要があります。この場合は、LDAP - Active Directory テンプレートを使用してアイデンティティ ストアを構成してください。

Active Directory にインストールする場合は、Active Directory ドメインに参加している PC に Tableau Server をインストールする必要があります。また、展開の前に外部 ID ストアを使用した展開におけるユーザー管理を確認することをお勧めします。

他のすべての外部ストアには、Tableau Server はアイデンティティ ストアとの通信を行う一般的な方法として LDAP をサポートします。たとえば、OpenLDAP は柔軟なスキーマを備えた LDAP サーバー実装の一種です。Tableau Server は、OpenLDAP サーバーにクエリを実行するように構成することができます。このためには、ディレクトリ管理者はスキーマに関する情報を提供する必要があります。セットアップ時に、 初期ノード設定の構成 を使用して他の LDAP ディレクトリへの接続を設定します。

LDAP バインド

LDAP を使用してユーザー ストアにクエリを実行するクライアントには、セッションの認証と確立が必要です。これを行うのがバインディングです。バインディングにはいくつかの方法があります。シンプル バインドはユーザー名とパスワードを使用する認証です。シンプル バインドで Tableau Server に接続する組織は、SSL 暗号化接続を構成することをお勧めします。そうでないと認証資格情報が平文の状態でネットワーク上に拡散します。Tableau Server がサポートするもう一つのバインド方法は GSSAPI です。GSSAPI は Kerberos を使用して認証します。Tableau Server の場合、Tableau Server がクライアントで外部のユーザー ストアが LDAP サーバーです。

GSSAPI (Kerberos) バインドを使用した LDAP

キータブ ファイルを使用して LDAP サーバーへの認証を行う場合は、GSSAPI を使用して LDAP ディレクトリにバインドすることをお勧めします。Tableau Server サービス専用のキータブ ファイルが必要です。また、SSL/TLS を使用して LDAP サーバーでチャネルを暗号化することもお勧めします。外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成」を参照してください。

Active Directory にインストールしており、Tableau Server のインストール先のコンピューターが既にドメインに結合している場合、コンピューターには既に構成ファイルおよび keytab ファイルがある可能性があります。このような場合、Kerberos ファイルはオペレーティング システムの機能と認証のためのものです。厳密にはこれらのファイルを GSSAPI バインドに使用することはできますが、その使用を推奨していません。代わりに、Active Directory の管理者に連絡して Tableau Server サービス専用のキータブを要求してください。Keytab 要件の理解を参照してください。

お使いのオペレーティングシステムに定義域の認証用に適切に設定された keytab がある場合、Tableau Server のベース インストール二必要なものは GSSAPI バインド用の Kerberos キーファイルだけです。ユーザー向けに Kerberos 認証の使用を計画している場合は、インストール完了後に ユーザー認証向けに Kerberos を構成 および データソースへの Kerberos 委任 を行います。

 

SSL 経由の LDAP

既定では、任意の LDAP サーバーへのシンプル バインドの LDAP は暗号化されません。LDAP サーバーとのバインド セッションの確立に使用されるユーザー認証資格情報は、Tableau Server と LDAP サーバー間でプレーンテキストで通信されます。Tableau Server と LDAP サーバー間のチャネルを暗号化することを強くお勧めします。

組織で Active Directory 以外の LDAP ディレクトリを使用している場合は、外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成を参照してください。

クライアントの認証

Tableau Server の基本のユーザー認証は、ローカルと外部のユーザー ストアの両方において、ユーザー名とパスワードによるサインインで行います。ローカルの場合、ユーザーのパスワードはハッシュ化されたパスワードとしてリポジトリに保存されます。外部の場合は、Tableau Server から外部のユーザー ストアに認証資格情報が渡され、これらが有効かどうかの回答があるまで待機します。外部のユーザー ストアは、Kerberos や SSPI (Active Directory のみ) など他の種類の認証も処理できますが、コンセプトはこの場合も同じで、Tableau Server が認証資格情報またはユーザーを外部のストアに委任して応答を待機します。

ユーザー名とパスワードによるサインインを無効化するように Tableau Server を構成することができます。このようなシナリオでは、信頼できる認証、OpenID、または SAML など、他の認証方法を使用できます。認証を参照してください。

場合によっては、LDAP 外部ディレクトリを更新して、Tableau Server からのユーザー名 + DN 形式でのバインド操作を許可する必要があります。サインイン時のユーザー バインド動作参照してください。

ありがとうございます!