Tableau Server では、さまざまなコネクタの OAuth に対応しています。ほとんどの場合、OAuth 機能を実装するために Tableau Server で追加の構成を行う必要ありません。

Tableau から、OAuth を使用するコネクタでデータにサインインすると、ユーザーは認証プロバイダーのサインイン ページにリダイレクトされます。ユーザーが認証資格情報を提示し、Tableau にデータへのアクセスを許可すると、認証プロバイダーは Tableau とユーザーを一意に識別するアクセス トークンを Tableau に送信します。このアクセス トークンは、ユーザーに代わってデータにアクセスするために使用されます。詳細については、次のOAuth プロセスの概要を参照してください。

OAuth ベースの接続を使用すると、次のような利点があります。

  • セキュリティ: データベースの認証資格情報が Tableau Server に知られたり保存されたりすることはなく、アクセス トークンはユーザーに代わって Tableau のみが使用します。

  • 利便性:複数の場所にデータ ソース ID とパスワードを埋め込む代わりに、そのデータ プロバイダーにアクセスするすべてのパブリッシュ済みワークブックとデータ ソースの特定のデータ プロバイダーに対して提供されるトークンを使用できます。

    さらに、Google BigQuery データへのライブ接続の場合、各ワークブック ビューアーは単一のユーザー名とパスワードの認証資格情報を共有するのではなく、ユーザーを識別する一意のアクセス トークンを持つことができます。

OAuth プロセスの概要

次の手順では、OAuthプロセスを呼び出す Tableau 環境における 1 つのワークフローについて説明します。

  1. ユーザーが取る行動は、クラウドベースのデータ ソースへのアクセスを必要とします。

    たとえば、Tableau Serverにパブリッシュされているワークブックを開きます。

  2. Tableau は、ユーザーをクラウド上のデータ プロバイダーのサインイン ページに誘導します。データ プロバイダーに送信される情報により、Tableau は要求サイトとして識別されます。

  3. ユーザーがデータにサインインすると、プロバイダーは Tableau Server のデータへのアクセスの認可を確認するようにユーザーに要求します。

  4. ユーザーの確認時に、データ プロバイダーはアクセス トークンを Tableau Server に送り返します。

  5. Tableau Server は、ワークブックとデータをユーザーに提示します。

    Oauth 認証の概要

次のユーザー ワークフローで OAuth プロセスを使用できます。

  • Tableau Desktop または Tableau Server からワークブックを作成してデータ ソースに接続する。

  • Tableau Desktop からデータ ソースをパブリッシュする。

  • Tableau Mobile や Tableau Desktop などの承認済みクライアントから Tableau Server にサインインします。

既定の保存済み認証資格情報コネクタ

保存済み認証資格情報とは、Tableau Server が OAuth 接続用のユーザー トークンを保存する機能を指します。これにより、ユーザーは OAuth 認証資格情報を Tableau Server 上のユーザー プロファイルに保存できます。認証資格情報を保存した後は、コネクタにアクセスしても、その後のパブリッシュ、編集、更新でメッセージが表示されることはありません。

次のコネクタは、保存された認証資格情報をデフォルトで使用し、Tableau Server で追加の構成を必要としません。

次のコネクタは、サーバー管理者が構成を追加することにより、保存された認証資格情報を使用できます。

サポートされるすべてのコネクタは、Tableau Server のユーザーの [マイ アカウント設定] ページにある [データ ソースの保存済み認証資格情報] に一覧表示されます。各コネクタのための保存済み認証資格情報はユーザーが管理します。

データ接続のためのアクセス トークン

初期認証プロセスの後にデータへの直接アクセスを可能にするために、アクセス トークンに基づいて認証資格情報をデータ接続と共に埋め込むことができます。アクセス トークンは Tableau Server ユーザーが削除するか、データ プロバイダーが取り消すまで有効です。

データ ソース プロバイダーが許可するアクセス トークンの数を超過する可能性があります。そのような場合、データ プロバイダーは新しいトークンがユーザーによって作成される際に前回のアクセスからの時間の長さを使用して、新しいトークンのためのスペースを空けるために無効にするトークンを決定します。

承認済みクライアントからの認証用のアクセス トークン

既定では、Tableau Server サイトでユーザーが初回サインイン時に認証資格情報を入力した後、承認済み Tableau クライアントからサイトに直接アクセスできます。また、このタイプの認証は、OAuth アクセス トークンを使用して、ユーザーの認証資格情報を安全に保存します。

詳細については、「自動クライアント認証を無効にする」を参照してください。

既定の管理対象キーチェーン コネクタ

管理対象キーチェーンとは、OAuth トークンがプロバイダーによって Tableau Server に対して生成され、同じサイト内のすべてのユーザーによって共有される機能を指します。まずユーザーがデータ ソースをパブリッシュすると、Tableau Server からデータ ソースの認証資格情報を求めるメッセージが表示されます。Tableau Server は、データ ソース プロバイダーに認証資格情報を送信します。プロバイダーは、使用する Tableau Server の OAuth トークンをユーザーに代わって返します。その後のパブリッシュ操作では、同じクラスとユーザー名に対して Tableau Server に保存された OAuth トークンが使用されるため、ユーザーに OAuth 認証資格情報の入力を求めるメッセージが表示されることはありません。データ ソースのパスワードが変更された場合、上記のプロセスが繰り返され、古いトークンが Tableau Server 上の新しいトークンに置き換えられます。

次の既定の管理対象キーチェーン コネクタでは、Tableau Server で追加の OAuth を構成する必要はありません。

  • Google Analytics、Google BigQuery、Google スプレッドシート

  • Salesforce

トークンの制限とストレージ

Google では、クライアント アプリケーションごとにユーザーあたり 50 トークンの制限があります (このシナリオでは、Tableau Server がクライアント アプリケーションです)。OAuth トークンは Tableau Server に格納され、ユーザーによって再利用されるため、ユーザーがトークンの制限を超える可能性は低いです。

すべてのユーザー トークンは、Tableau Server に保存されるときに暗号化されます。詳細については、サーバー シークレットの管理を参照してください。

未使用のキーチェーン レコードの削除

管理対象のキーチェーン レコードには、dbClass、ユーザー名、および OAuth シークレット属性などの接続属性が含まれます。特定のサイトで管理対象のキーチェーン レコードはすべてマージおよび暗号化されてから、PostgreSQL に保存されます。

レコードは、ワークブックやデータ ソースが削除された場合でも保持されます。これらのレコードは時間の経過とともにサイズが拡大するため、問題を引き起こす可能性があります。

定期的なメンテナンス タスクとして、使用されていないキーチェーン レコードを定期的に削除することをお勧めします。各サイトに保存されているレコード数と未使用レコード数を表示できます。未使用のレコードを削除することもできます。

[Managed Keychain Clean Up (管理対象のキーチェーンのクリーン アップ)] にアクセスするには、Tableau Server 管理ページにサインインして、未使用のレコードを削除するサイトに移動し、[設定] をクリックします。

管理対象キーチェーンでのシナリオの制限

Tableau Server で管理対象キーチェーンの OAuth を使用する場合、次の 3 つのシナリオには対応しません。

  • ライブ接続で Oauth 認証資格情報の入力を求めるプロンプトを表示する。ユーザーは、管理対象キーチェーン OAuth を使用してライブ接続に認証資格情報を埋め込む必要があります。

  • Tableau Server での OAuth データ ソース接続の編集

  • Web 作成

管理対象キーチェーンを保存された認証資格情報へ変換

各コネクタの OAuth クライアント ID とシークレットを使用して Tableau Server を構成することで、管理キーチェーンを使用するコネクタを変換し、保存済み認証資格情報を使用することができます。これらのコネクタを保存済み認証資格情報に変換することで、ユーザーは Tableau Server の [マイ アカウント設定] ページで各コネクタのタイプに対応する認証資格情報を管理できるようになります。さらに、ライブ接続に関するプロンプト、接続の編集、Web 作成にも対応しています。

サイトのカスタム OAuth の構成

コネクタのサブセットの場合、カスタム OAuth クライアントを構成することでサイトレベルの OAuth を構成できます。詳細については、次のいずれかを参照してください。

ありがとうございます!