OAuth 接続
Tableau Server では、さまざまなコネクタの OAuth に対応しています。ほとんどの場合、OAuth 機能を実装するために Tableau Server で追加の構成を行う必要ありません。
Tableau から、OAuth を使用するコネクタでデータにサインインすると、ユーザーは認証プロバイダーのサインイン ページにリダイレクトされます。ユーザーが認証資格情報を提示し、Tableau にデータへのアクセスを許可すると、認証プロバイダーは Tableau とユーザーを一意に識別するアクセス トークンを Tableau に送信します。このアクセス トークンは、ユーザーに代わってデータにアクセスするために使用されます。詳細については、次のOAuth プロセスの概要を参照してください。
OAuth ベースの接続を使用すると、次のような利点があります。
セキュリティ: データベースの認証資格情報が Tableau Server に知られたり保存されたりすることはなく、アクセス トークンはユーザーに代わって Tableau のみが使用します。
利便性: 複数の場所にデータ ソース ID とパスワードを埋め込む代わりに、そのデータ プロバイダーにアクセスするすべてのパブリッシュ済みワークブックとデータ ソースの特定のデータ プロバイダーに対して提供されるトークンを使用できます。
注: さらに、Google BigQuery データへのライブ接続の場合、各ワークブックの Viewer は単一のユーザー名とパスワードの認証資格情報を共有するのではなく、ユーザーを識別する一意のアクセス トークンを持つことができます。
OAuth プロセスの概要
次の手順では、OAuth プロセスを呼び出す Tableau 環境におけるワークフローについて説明します。
ユーザーが取る行動は、クラウドベースのデータ ソースへのアクセスを必要とします。
たとえば、Tableau Serverにパブリッシュされているワークブックを開きます。
Tableau は、ユーザーをクラウド上のデータ プロバイダーのサインイン ページに誘導します。データ プロバイダーに送信される情報により、Tableau は要求サイトとして識別されます。
ユーザーがデータにサインインすると、プロバイダーは Tableau Server のデータへのアクセスの認可を確認するようにユーザーに要求します。
ユーザーの確認時に、データ プロバイダーはアクセス トークンを Tableau Server に送り返します。
Tableau Server は、ワークブックとデータをユーザーに提示します。
次のユーザー ワークフローで OAuth プロセスを使用できます。
Tableau Desktop または Tableau Server からワークブックを作成してデータ ソースに接続する。
Tableau Desktop からデータ ソースをパブリッシュする。
Tableau Mobile や Tableau Desktop などの承認済みクライアントから Tableau Server にサインインします。
既定の保存済み認証資格情報コネクタ
保存済み認証資格情報とは、Tableau Server が OAuth 接続用のユーザー トークンを保存する機能を指します。これにより、ユーザーは OAuth 認証資格情報を Tableau Server 上のユーザー プロフィールに保存できます。認証資格情報を保存すると、その後コネクタにアクセスして、パブリッシュ、編集、更新する際にメッセージが表示されることはありません。
注: Web 上で Tableau Prep フローを編集する場合、再認証を求められる場合があります。
次のコネクタは、保存された認証資格情報をデフォルトで使用し、Tableau Server で追加の構成を必要としません。
- Anaplan
- Box
- Dropbox
- Esri ArcGIS サーバー
- Google 広告、Google ドライブ
- LinkedIn Sales Navigator
- Marketo
- OneDrive (2022.3 以降、追加の設定が必要です)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake - 「プライベート リンク」を使用するには、追加の構成が必要です。詳細については、Snowflake Web サイトの「パートナー アプリケーション用 Snowflake OAuth の構成(新しいウィンドウでリンクが開く)」および「Snowflake OAuth を保存済み認証資格情報に変更する」を参照してください。
次のコネクタは、サーバー管理者が構成を追加することにより、保存された認証資格情報を使用できます。
Azure Data Lake Storage Gen2、Azure Synapse、Azure SQL データベース、Databricks
詳細については、「OAuth と最新の認証用に Azure AD を構成する」を参照してください。
Dremio
詳細については、「Dremio 向け OAuth の設定」を参照してください。
Google アナリティクス、Google BigQuery、Google スプレッドシート (Tableau バージョン 2022.1 で非推奨)
詳細については、「Google での OAuth の設定」を参照してください。
Intuit QuickBooks Online
詳細については、「Intuit QuickBooks Online 向け OAuth の設定」を参照してください。
OneDrive (2022.3 以降)
詳細については、「サイトのカスタム OAuth の構成」を参照してください。
Salesforce
詳細については、「Salesforce.com OAuth を保存済み認証資格情報に変更するを参照してください。
Salesforce CDP
詳細については、「Tableau Server を Salesforce Data Cloud に接続する」を参照してください。
注: Tableau Server が Google 管理コンソールの [アクセスしたアプリ] リストに表示されていない場合は、クライアント ID を使用して新しいアプリを手動でリストに追加できます。詳細については、「Google OAuth を保存済み認証資格情報に変更する」を参照してください。
サポートされるすべてのコネクタは、Tableau Server のユーザーの [マイ アカウント設定] ページにある [データ ソースの保存済み認証資格情報] に一覧表示されます。各コネクタのための保存済み認証資格情報はユーザーが管理します。
データ接続のためのアクセス トークン
初期認証プロセスの後にデータへの直接アクセスを可能にするために、アクセス トークンに基づいて認証資格情報をデータ接続と共に埋め込むことができます。アクセス トークンは Tableau Server ユーザーが削除するか、データ プロバイダーが取り消すまで有効です。
データ ソース プロバイダーが許可するアクセス トークンの数を超過する可能性があります。そのような場合、データ プロバイダーは新しいトークンがユーザーによって作成される際に前回のアクセスからの時間の長さを使用して、新しいトークンのためのスペースを空けるために無効にするトークンを決定します。
承認済みクライアントからの認証用のアクセス トークン
既定では、Tableau Server サイトでユーザーが初回サインイン時に認証資格情報を入力した後、承認済み Tableau クライアントからサイトに直接アクセスできます。また、このタイプの認証は、OAuth アクセス トークンを使用して、ユーザーの認証資格情報を安全に保存します。
詳細については、「自動クライアント認証を無効にする」を参照してください。
既定の管理対象キーチェーン コネクタ
管理対象キーチェーンとは、OAuth トークンがプロバイダーによって Tableau Server に対して生成され、同じサイト内のすべてのユーザーによって共有される機能を指します。まずユーザーがデータ ソースをパブリッシュすると、Tableau Server からデータ ソースの認証資格情報を求めるメッセージが表示されます。Tableau Server は、データ ソース プロバイダーに認証資格情報を送信します。プロバイダーは、使用する Tableau Server の OAuth トークンをユーザーに代わって返します。その後のパブリッシュ操作では、同じクラスとユーザー名に対して Tableau Server に保存された OAuth トークンが使用されるため、ユーザーに OAuth 認証資格情報の入力を求めるメッセージが表示されることはありません。データ ソースのパスワードが変更された場合、上記のプロセスが繰り返され、古いトークンが Tableau Server 上の新しいトークンに置き換えられます。
次の既定の管理キーチェーン コネクタでは、Tableau Server で追加の OAuth を構成する必要はありません。
Google アナリティクス、Google BigQuery、Google スプレッドシート(
- Salesforce
トークンの制限とストレージ
Google では、クライアント アプリケーションごとにユーザーあたり 50 トークンの制限があります (このシナリオでは、Tableau Server がクライアント アプリケーションです)。OAuth トークンは Tableau Server に格納され、ユーザーによって再利用されるため、ユーザーがトークンの制限を超える可能性は低いです。
すべてのユーザー トークンは、Tableau Server に保存されるときに暗号化されます。詳細については、サーバー シークレットの管理を参照してください。
未使用のキーチェーン レコードの削除
管理対象のキーチェーン レコードには、dbClass、ユーザー名、および OAuth シークレット属性などの接続属性が含まれます。特定のサイトで管理対象のキーチェーン レコードはすべてマージおよび暗号化されてから、PostgreSQL に保存されます。
レコードは、ワークブックやデータ ソースが削除された場合でも保持されます。これらのレコードは時間の経過とともにサイズが拡大するため、問題を引き起こす可能性があります。
定期的なメンテナンス タスクとして、使用されていないキーチェーン レコードを定期的に削除することをお勧めします。各サイトに保存されているレコード数と未使用レコード数を表示できます。未使用のレコードを削除することもできます。
[Managed Keychain Clean Up (管理対象のキーチェーンのクリーン アップ)] にアクセスするには、Tableau Server 管理ページにサインインして、未使用のレコードを削除するサイトに移動し、[設定] をクリックします。
管理対象キーチェーンでのシナリオの制限
Tableau Server で管理対象キーチェーンの OAuth を使用する場合、次の 3 つのシナリオには対応しません。
ライブ接続で Oauth 認証資格情報の入力を求めるプロンプトを表示する。ユーザーは、ライブ接続時に管理キーチェーン OAuth を使用して認証資格情報を埋め込む必要があります
Tableau Server での OAuth データ ソース接続の編集
Web 作成
管理対象キーチェーンを保存された認証資格情報へ変換
各コネクタの OAuth クライアント ID とシークレットを使用して Tableau Server を構成することで、管理キーチェーンを使用するコネクタを変換し、保存済み認証資格情報を使用することができます。これらのコネクタを保存済み認証資格情報に変換することで、ユーザーは Tableau Server の [マイ アカウント設定] ページで各コネクタのタイプに対応する認証資格情報を管理できるようになります。さらに、ライブ接続に関するプロンプト、接続の編集、Web 作成にも対応しています。
サイトのカスタム OAuth の構成
コネクタのサブセットの場合、カスタム OAuth クライアントを構成することでサイトレベルの OAuth を構成できます。詳細については、次のいずれかを参照してください。
Azure Data Lake Storage Gen2、Azure SQLデータベース、Azure Synapse、Databricks については、「 サイトのカスタム OAuth の構成」を参照してください。
Dremioについては、「Dremio 向け OAuth の設定」を参照してください。
Google アナリティクス、Google BigQuery、Google スプレッドシート (Tableau バージョン 2022.1 で非推奨) については、「サイトのカスタム OAuth の構成」を参照してください。
Salesforce については、「サイトのカスタム OAuth の構成」を参照してください。
Salesforce CDP については、「Tableau Server を Salesforce Data Cloud に接続する」を参照してください。
Snowflake については、「サイトのカスタム OAuth の構成を参照してください。