Active Directory 展開のドメイン信頼要件
Tableau Server を複数のドメインにまたがる Active Directory 環境 (同じ Active Directory フォレスト内また異なるフォレスト内のいずれか) で使用している場合、一部の Tableau 機能はドメイン間の信頼関係に依存します。たとえば、一部の管理者が Tableau Server などのサーバー アプリケーションが展開されている場所とは別のドメイン内のユーザーを管理しています。他の組織では、Tableau Server の展開が、外部パートナーや、組織内の異なるパートナーと共有されている場合があります。最後に、Tableau Server が接続している SQL Server、MSAS、Oracle などの Windows で認証されたデータ ソースも、他のドメイン内に存在している場合があります。
実現可能な場合は、Tableau Server とやり取りするすべてのドメイン間で双方向の信頼関係を構成することをお勧めします。これが不可能な場合は、一方向信頼関係が構成されているユーザー認証をサポートするように Tableau Server を構成できます。このケースでは、Tableau Server がインストールされているドメインがユーザー アカウントの存在するドメインを信頼するように構成されている場合に、ドメイン間の一方向信頼関係がサポートされます。
次の図は、Tableau Server がインストールされているドメインとユーザー アカウントが存在するドメインとの間の一方向信頼関係を示しています。
このシナリオでは、Tableau Server は dev.local ドメイン内にあり、users.lan Active Directory ドメインのユーザーが Tableau Server にインポートされます。このシナリオでは一方向信頼関係が必要です。特に、dev.local ドメインは、users.lan ドメインを信頼するように構成されています。users.lan ドメイン内のユーザーは、通常の Active Directory 認証資格情報で dev.local 内の Tableau Server にアクセスできます。ただし、ユーザーがニックネームを使用してログオンする前に、Tableau Server でドメインのニックネームを更新する必要が生じることがあります。詳細については「Tableau ナレッジ ベース」(新しいウィンドウでリンクが開く)をご覧ください。
このシナリオで Tableau Server を構成する場合は、インストール時にプライマリユーザードメインを指定します。初期ノード設定の構成を参照してください。Tableau Server が他の Active Directory ドメインに接続できるようにするには TSM で wgserver.domain.accept_listオプションを設定して Tableau Server が接続する他のドメインも指定する必要があります。詳細については、wgserver.domain.accept_listを参照してください。
実行サービス アカウントには、ユーザーのインポート元となる各ドメインに対するクエリ (読み取り) アクセス権も必要です。
Kerberos シングル サインオンは、この一方向信頼関係シナリオでサポートされています。
外部 ID ストアを使用した展開におけるユーザー管理を見直し、複数のドメイン、ドメイン命名、NetBIOS、および Active Directory ユーザー名の形式が Tableau ユーザー管理にどのように影響するかを理解してください。
一方向信頼関係シナリオでのライブ データへの接続
一方向信頼関係シナリオでは、Tableau Server に接続しているユーザーは、クラウド内、または Windows 認証に依存していないオンプレミスの他のデータ ソースでホストされているライブ データに接続できます。
Windows 認証が必要なデータ ソースは、シナリオを複雑化する追加の認証要件を伴っていたり、Tableau Server ユーザーの接続を妨げたりすることがあります。これは、Tableau Server でこのようなデータ ソースの認証に