Server CA – インストールと構成 (25%)【Tableau】

この記事は約9分で読めます。
sponsored link

インストール

手順

1. Tableau ServerインストールとTSM起動(インストールパスは「C:\Program Files\Tableau\Tableau Server」)
2. Tableau Serverのライセンス認証と登録
3. 初期ノード設定の構成(ゲートウェイポートは80)
4. 管理者アカウントの追加
5. インストールの検証
インストールのジャンプスタート

アイデンティティストアとSSO

  SAML サイトSAML Kerberos SSPI
(自動ログイン)
OpenID 信頼できる認証 相互SSL
ローカル ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
AD ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
LDAP ✔︎ ✔︎ ✔︎

アイデンティティストアには ①ローカル(Tableau Server), ②外部 (AD, LDAP) の2種類あり、一度設定したアイデンティティストアは変更できません。

①ローカル:Tableau Serverリポジトリに格納。
②外部:外部ディレクトリに格納。

ローカル認証:Tableau Server リポジトリで ID/PW を管理。

SAML:外部 IdP を利用したSSO。Oktaなど。一番楽な認証。

サイトSAML:サイト固有のSAML。外部認証 (AD, LDAP) を利用しておらず、サーバー全体の SAML が設定されていることが前提。

Kerberos:Windows AD を使う場合のSSO。

OpenID:Google系 のSSO。ローカルアイデンティティストア。

相互SSL:クライアントPC, Tableau Server の双方向で認証しあう。

信頼できる認証:Tableau Server, WEBサーバーが信頼済みであること。ビューの埋め込みなどに必要。WEBサーバーで SSPI が設定されていれば、信頼できる認証は設定しなくて良い。

自動ログインオプション

SSPI (Windows 自動ログイン) を使うと SAML, 信頼できる認証, ロードバランサー, プロキシサーバー が使えません。

SSL設定方法

SSL を使用するには Tableau Server にSSL証明証をインストールする必要があります。

HTTPとの相互SSL (443ポート):[構成] > [セキュリティ] > [外部SSL]

内部Postgre用SSL:[構成] > [セキュリティ] > [リポジトリSSL]

Tableau製品との相互SSL:[構成] > [ユーザーIDとアクセス] > [認証方法] > [相互SSL]

単一マシン環境でのインストール

初めての展開では基幹業務以外で限定的に使用し、作業負荷が大きくなってきたら複数ノードを検討しましょう。

例えば、8コアの単一マシンの場合
(i)VizQLサーバー, バックグラウンダー, キャッシュサーバー, データサーバーは「2」インスタンスに設定。
(ii)その他プロセスは「1」インスタンスに設定。

サイレントインストール

Tableau Serverのサイレントインストールとは、通常のインストーラを実行するやり方ではなく、コマンドラインから自動インストールするやり方のことです。
※ ただし、コミュニティサポートなのでTableauに問い合わせることはできません。

利点
・コマンド操作だけで、インストール/構成/作業中のTableau Serverインスタンスを実行できます。
・SilentInstaller.pyスクリプトはユーザーが入力しなくても自動化に適合します。
・一度設定した構成は全てのインストールに使えます。

Tableau Serverの構成

キャッシュ設定

Server上にパブリッシュされたビューでは、クエリされた結果が一定時間キャッシュとして保持されます。

キャッシュを設定するコマンドは「tsm data-access caching set -r <value>

<value>:「low または “”(空文字)」= 常にキャッシュを使用。「”<value>”」= 分数を指定。「always または 0」= 常に最新のデータ。

プロセス分散の適用

追加ノードのインストールと手順:TSMでノードbootstrapファイルの生成 → 追加ノードのインストールと初期化 → クラスタコントローラを使用した追加ノードの構成

データドリブンアラート/サブスクリプション設定

1. SMTP構成:TSMで[構成] > [通知] > [メールサーバー]
2. サーバーイベント通知の構成:TSMで[構成] > [通知] > [イベント]
3-1. データドリブンアラート:サイトの[設定] > [メール設定]
3-2. サブスクリプション:サイトの[設定] > [全般] > [サブスクリプション]
※メールを受信するには上記設定に加えて、Tableau Serverのメアド, [表示], [画像/PDFのDL]パーミッションが必要です。
※データドリブンアラートでは閾値と通知頻度を設定でき、ライブでは60分 / 抽出では更新するごとにデータを確認しています。

カスタマイズ

ロゴは「tsm customize」で設定できます。

tsm customize <option>
 ロゴ <option>
A – ウィンドウタブ 変更不可
B – サーバー名 –server-name <name>
C – ヘッダーロゴ –header-logo <path>
サインインロゴ –signin-logo <path>
ヘッダー/サインインロゴ –logo <path>
折りたたみロゴ –compact-logo <path>

※ Tableau Onlineサイト名の変更は「tabcmd editsite <site_name>

フォントを変更する場合 Tableau Server と同じマシンにフォントをインストールします。

Server の言語を決める優先度は「ワークブックの言語 > Server上のユーザーの言語設定 > WEBブラウザの言語 > Server全体の言語設定 > ホストマシンの言語設定」で設定可能です。

サインイン/ウェルカムバナーは Tableau Server 上で[すべてのサイトの管理] > [設定] > [カスタマイズ] から設定し、プロジェクト画像は、URLを「!」(ビックリマーク)で囲むことで設定できます。

Pythonスクリプトを使うときは TabPy (=TableauのPythonサーバー) を構成する必要があります。

サイト構成オプション

サーバー管理者はサイトロールを制限して、特定のサイトで利用できるユーザー数を絞ることができます。
(Server上で、[設定] > [全般] > [ユーザーの管理] > [ユーザー数を制限] > [サイトロールを制限])

1サイトの最大容量:「100GB」
1コンテンツの最大容量:「15GB」
Server の容量制限変更:[設定] > [ストレージ] (制限なし / GB指定)
サブスク編集:[設定] > [サブスクリプション] (ユーザーへの許可 / コンテンツ所有者の権限)

サイトにユーザーを追加できるのは、サーバー管理者, サイト管理者(サーバー管理者に許可されている場合のみ) のみです。

※Tableau Server自体の容量は物理サーバーに依存します。

ユーザーの追加 / 削除 / 非アクティブ化

ライセンスタイプとサイトロール

追加方法は ①メールアドレス (tableau ID, SAML, OpenID), ②CSV, ③AD の3つで、追加と同時にそれぞれのサイトロールを決定します。

サイトロール 閲覧/操作 サブスク/アラート Web編集 パブリッシュ データソースの作成 管理
サイト管理者Creator ✔︎ ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
Creator ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
サイト管理者Explorer ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
Explorer(パブリッシュ可) ✔︎ ✔︎ ✔︎ ✔︎
Explorer ✔︎ ✔︎ ✔︎
Viewer ✔︎ ✔︎
ライセンスなし

※ データソースの作成とは「WEB編集から外部データに接続, データソースをパブリッシュすること」です。
※ Viewerはアラートを受信でできますが、自身で設定することはできません。

ローカル(CSV)から追加

CSVファイルはヘッダー不要で、ユーザー名とPWがあれば作成できます。
※ 他に設定できる項目は「表示名, サイトロール, 管理者レベル, パブリッシュ権限, メアド」があります。

ADから追加

Tableauの画面で [ADから追加] を選択しユーザー名のみを入力します。

ADを取り込むことで既存ユーザーが更新される場合、ロールレベルを上げることはできても下げることはできません。

AD認証で設定している場合でもCSVから取り込むことは可能で、その場合PW部分は空欄にしましょう。

削除 / 非アクティブ化

ユーザーの削除は[ユーザー]ページから行います。

・「ユーザーがコンテンツを持っていない」→ 削除可能。
・「ユーザーがコンテンツを持っている」→ サイトロールが “ライセンスなし” に設定され、削除できない。
・「ユーザーが複数サイトに属している」→ コンテンツを持っていないサイトのみ削除される。

ユーザーを非アクティブ化するには、TSMで[構成] > [ライセンス発行] > プロダクトキーを選択 > [ライセンス認証を削除] をクリックします。なお、初期管理ユーザーは「tsm reset」で削除でき、その後「tabcmd initialuser」で新しい管理者を追加できます。

セキュリティ

サイトの構造


※サイト同士は完全に分離されているので他サイトの存在を確認することすらできません。
※できるだけサイトではなくプロジェクト単位で管理しましょう。

サイト内でできることは、ユーザー毎に割り振られたパーミッションにより決まり、パーミッションの上限はサイトロールで決まります。

パーミッション

「拒否」は許可より優先されます。

ユーザーが1つでも拒否されているグループに属していれば「拒否」されます。

ユーザーは明示的に「許可」されていないとコンテンツを閲覧できません。

未指定の場合、他にパーミッションがないと「拒否」になります。

グループレベルより「ユーザーレベル」が優先され、親レベルより「子レベル」が優先されます。

プロジェクト/グループ単位でまとめて設定しましょう。(ビュー単位でもできるが非推奨)

プロジェクトは[ロック]をかけることで、パーミッション管理が楽になります。(REST APIで自動化)

サイト管理者/プロジェクトリーダー/コンテンツ所有者は、それぞれのサイト/プロジェクト/コンテンツにおける全ての権限をもちます。

認証情報が埋め込まれたビューの所有権を変更した場合、その認証情報は削除されます。

プロジェクトを移動するとリーダーの権限は消え、移動先のパーミッションに従います。
※プロジェクトリーダーは必ず1人です。(パブリッシュ可能なユーザー)