実行サービス アカウントを使用したデータ アクセス
Windows 認証が設定されている場合、実行サービス アカウントには Tableau Server からアクセスされるデータベースに対する読み取りパーミッションとクエリ パーミッションが必要です。このように設定した実行サービス アカウントのパーミッションによって、Creator ロールまたは Explorer (パブリッシュ可能) ロールを持つ Tableau Server ユーザーが同じデータベースにアクセスできるようになります。これらのロールを持つユーザーは、Tableau Server で [Windows 認証] オプションを使用してデータベースに接続するときに、実行サービス アカウントと同じレベルのアクセス権を使用してデータベースにアクセスし、表示できます。
たとえば、Creator ロールを持つユーザーは、実行サービス アカウントに対してアクセスが許可されているすべてのデータベースを表示できます。
Creator ロールを持つユーザーがデータベースのホスト名を指定し、Web ブラウザーから新しいデータ ソースを作成するときに Windows 認証を選択した場合、このユーザーは実行サービス アカウントに対してパーミッションが付与されたデータベースを表示できるようになります。
データベース アセットへの表示アクセスは、Web ブラウザーを使用して Tableau Server に接続しているユーザーに限定されません。上記と同じロールを持ち、データベース サーバー名を把握している熟練ユーザーは、Tableau Desktop でワークブックを作成して、実行サービス アカウントに対してパーミッションが付与されたデータベースを表示することもできます。
ここで説明する機能は、Tableau Server でのユーザーの認証方法に関係なく、実行サービス アカウントがアクセスするすべてのデータ ソースに対して共通です。たとえば、ユーザーが Kerberos または SAML を使用して Tableau Server に対する認証を行う場合でも、実行サービス アカウントに対して設定されたすべてのデータ ソースへのアクセスは同じになります。Creator または Explorer (パブリッシュ可能) ロールを持つユーザーは、実行サービス アカウントに対してパーミッションが付与されたすべてのデータにアクセスできます。
推奨事項
これらのシナリオでデータベースへのユーザー アクセスが許可されるかどうかを、組織で評価する必要があります。一般に、実行サービス アカウントの使用量および使用範囲を減らすと、ユーザーがデータベースのコンテンツに不注意にアクセスする可能性も減少します。ただし、実行サービス アカウントの使用量および使用範囲を減らすことで、管理者やユーザーの認証資格情報管理の負担が大きくなる場合もあります。
貴社のビジネス ニーズとデータ アクセス ポリシーに照らして、次の推奨を評価してください。
- まず、Creator ロールまたは Explorer (パブリッシュ可能) ロールを持つすべてのユーザーを必ず信頼してください。Tableau で整合性のあるアクションを実行するには、これらのユーザーに依存する必要があります。
- 実行サービス アカウントでアクセスするデータ ソースに対する権限をパブリッシュしているユーザーの中に信頼できないユーザーがいる場合は、それらのデータ ソースに認証資格情報を埋め込むことを検討する必要があります。
- データ ソースで抽出更新の自動化が設定されていない場合、つまり、データ ソースが主にライブ接続でアクセスされている場合は、Kerberos 委任を使用できる可能性があります。要件については、Kerberos 委任の有効化を参照してください。