OAuth 接続

Tableau Server では、さまざまなコネクタの OAuth に対応しています。ほとんどの場合、OAuth 機能では Tableau Server での追加の構成は必要ありません。

Tableau から、OAuth を使用するプロバイダーを使用してデータにサインインすると、プロバイダーのサインイン ページにリダイレクトされます。認証資格情報を提供し、Tableau によるデータへのアクセスを認証した後、Tableau からの要求を一意的に識別するアクセス トークンを Tableau に送信します。詳細については、次のOAuth プロセスの概要を参照してください。

OAuth 接続を使用すると、次のような利点があります。

  • セキュリティ:データベースの認証資格情報は、Tableau Server に知られたり保存されたりしません。アクセス トークンを使用できるのは Tableau だけです。

  • 利便性:複数の場所にデータ ソース ID とパスワードを埋め込む代わりに、そのデータ プロバイダーにアクセスするすべてのパブリッシュ済みワークブックとデータ ソースの特定のデータ プロバイダーに対して提供されるトークンを使用できます。

    さらに、Google BigQuery データへのライブ接続の場合、各ワークブック ビューアーは単一のユーザー名とパスワードの認証資格情報を共有するのではなく、ユーザーを識別する一意のアクセス トークンを持つことができます。

OAuth プロセスの概要

次の手順では、OAuthプロセスを呼び出す Tableau 環境における 1 つのワークフローについて説明します。

  1. クラウド データ ソースへのアクセスが必要な行動を取ります。

    たとえば、Tableau Serverにパブリッシュされているワークブックを開きます。

  2. Tableau により、クラウド データ プロバイダーのサインイン ページに移動します。データ プロバイダーに送信される情報により、Tableau は要求サイトとして識別されます。

  3. データにサインインする場合、プロバイダーによって Tableau Server のデータへのアクセスの認可を確認するように要求されます。

  4. 確認すると、データ ソース プロバイダーがアクセス トークンを Tableau Server に送り返します。

  5. Tableau Server ワークブックとデータが表示されます。

    OAuth authentication overview

次のワークフローは、OAuth プロセスを使用できます。

  • Tableau Desktop または Tableau Server からワークブックを作成してデータ ソースに接続する。

  • Tableau Desktop からデータ ソースをパブリッシュする。

  • Tableau Mobile や Tableau Desktop などの承認済みクライアントから Tableau Server にサインインします。

既定の保存済み認証資格情報コネクタ

保存済み認証資格情報とは、Tableau Server が OAuth 接続用のユーザー トークンを格納する場所の機能を指します。これにより、ユーザーは Oauth 認証資格情報を Tableau Server 上のユーザー プロファイルに保存できます。認証資格情報を保存した後は、コネクタにアクセスしても、その後のパブリッシュ、編集、更新でメッセージが表示されることはありません。

次のコネクタでは、既定で保存済み認証資格情報が使用されます。これらのコネクタの OAuth 機能には、Tableau Server での追加の構成は必要ありません。

これらのコネクタは、Tableau Server でユーザーの [マイ アカウント設定] ページにある [データ ソースの保存済み認証資格情報] に一覧表示されます。

ユーザーは、各コネクタのタイプに対応する保存済み認証資格情報を管理します。

データ接続のためのアクセス トークン

初期認証プロセスの後にデータへの直接アクセスを可能にするために、アクセス トークンに基づいて認証資格情報をデータ接続と共に埋め込むことができます。アクセス トークンは Tableau Server ユーザーが削除するか、データ プロバイダーが取り消すまで有効です。

データ ソース プロバイダーが許可するアクセス トークンの数を超過する可能性があります。そのような場合、データ プロバイダーは新しいトークンがユーザーによって作成される際に前回のアクセスからの時間の長さを使用して、新しいトークンのためのスペースを空けるために無効にするトークンを決定します。

承認済みクライアントからの認証用のアクセス トークン

既定では、Tableau Server で、ユーザーは、初回サインイン時に認証資格情報を入力した後、承認済み Tableau クライアントからサイトに直接アクセスできます。また、このタイプの認証は、OAuth アクセス トークンを使用して、ユーザーの認証資格情報を安全に保存します。

詳細については、「自動クライアント認証を無効にする」を参照してください。

既定の管理対象キーチェーン コネクタ

管理対象キーチェーンとは、OAuth トークンがプロバイダーによって Tableau Server 用に生成され、同じサイト内のすべてのユーザーによって共有される機能を指します。ユーザーが最初にデータ ソースにパブリッシュすると、Tableau Server でデータ ソースの認証資格情報を求めるメッセージが表示されます。Tableau Server は、ユーザーに代わって使用する OAuth トークンを返すデータ ソース プロバイダーに認証資格情報を送信します。その後のパブリッシュ操作では、同じクラスとユーザー名に対して Tableau Server で格納された OAuth トークンが使用されるため、ユーザーに OAuth 認証資格情報の入力を求めるメッセージが表示されることはありません。データ ソースのパスワードが変更された場合、上記のプロセスが繰り返され、古いトークンが Tableau Server 上の新しいトークンに置き換えられます。

Tableau Server での追加の OAuth 構成は、次の既定の管理対象キーチェーン コネクタでは必要ありません。

  • Google Analytics
  • Google BigQuery
  • Google スプレッドシート
  • Salesforce

トークンの制限とストレージ

Google では、クライアント アプリケーションごとにユーザーあたり 50 トークンの制限があります (このシナリオでは、Tableau Server がクライアント アプリケーションです)。OAuth トークンは Tableau Server に格納され、ユーザーによって再利用されるため、ユーザーがトークンの制限を超える可能性は低いです。

すべてのユーザー トークンは、Tableau Server に保存されるときに暗号化されます。詳細については、サーバー シークレットの管理を参照してください。

未使用のキーチェーン レコードの削除

管理対象のキーチェーン レコードには、dbClass、ユーザー名、および OAuth シークレット属性などの接続属性が含まれます。特定のサイトで管理対象のキーチェーン レコードはすべてマージおよび暗号化されてから、Postgres に保存されます。

レコードは、ワークブックやデータ ソースが削除された場合でも保持されます。これらのレコードは時間の経過とともにサイズが拡大するため、問題を引き起こす可能性があります。

定期的なメンテナンス タスクとして、使用されていないキーチェーン レコードを定期的に削除することをお勧めします。各サイトに保存されているレコード数と未使用レコード数を表示できます。未使用のレコードを削除することもできます。

[Managed Keychain Clean Up (管理対象のキーチェーンのクリーン アップ)] にアクセスするには、Tableau Server 管理ページにサインインして、未使用のレコードを削除するサイトに移動し、[設定] をクリックします。

管理対象キーチェーンでのシナリオの制限

Tableau Server で管理対象キーチェーンの OAuth を使用する場合、次の 3 つのシナリオには対応しません。

  • ライブ接続で Oauth 認証資格情報の入力を求めるプロンプトを表示する。ユーザーは、管理対象キーチェーン OAuth を使用してライブ接続に認証資格情報を埋め込む必要があります。
  • Tableau Server で OAuth データ ソース接続を編集する。
  • Web を作成する。

管理対象キーチェーンの保存済み認証資格情報への変換

各コネクタの OAuth クライアント ID とシークレットを使用して Tableau Server を構成することで、管理キーチェーンを使用するコネクタを変換し、保存済み認証資格情報を使用することができます。これらのコネクタを保存済み認証資格情報に変換することで、ユーザーは Tableau Server の [マイ アカウント設定] ページで各コネクタのタイプに対応する認証資格情報を管理できるようになります。さらに、ライブ接続に関するプロンプト、接続の編集、Web 作成にも対応しています。

このセクションの他の記事

ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直してください。