Server – インストールと構成 (25%)

この記事は約9分で読めます。
sponsored link

インストール

手順

1. Tableau ServerインストールとTSM起動(インストールパスは、C:\Program Files\Tableau\Tableau Server

2. Tableau Serverのライセンス認証と登録

3. 初期ノード設定の構成(ゲートウェイポートは80)

4. 管理者アカウントの追加

5. インストールの検証

インストールのジャンプスタート

アイデンティティストアとSSO

  SAML サイトSAML Kerberos SSPI
(自動ログイン)
OpenID 信頼できる認証 相互SSL
ローカル ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
AD ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
LDAP ✔︎ ✔︎ ✔︎

・アイデンティティストアには、ローカル(Tableau Server)と外部(AD, LDAP)の2種類あり、一度設定したアイデンティティストアは変更できない。
(i)ローカル:Tableau Serverリポジトリに格納。
(ii)外部:外部ディレクトリに格納。

ローカル認証:Tableau ServerリポジトリでID/PWを管理。

SAML:外部IdPを利用したSSO。Oktaとか。一番楽な認証。

サイトSAML:サイト固有のSAML。外部認証(AD, LDAP)を利用しておらず、サーバー全体のSAMLが設定されていることが前提。

Kerberos:Windows ADを使う場合のSSO。

OpenID:Google系のSSO。ローカルアイデンティティストア。

相互SSL:クライアントPCとTableau Serverの双方向で認証しあう。

信頼できる認証:Tableau ServerとWEBサーバーが信頼済みであること。ビューの埋め込みなどに必要。WEBサーバーでSSPIが設定されていれば、信頼できる認証は設定しなくて良い。

自動ログインオプション

・SSPI(Windows 自動ログイン)を使うと、SAML/信頼できる認証/ロードバランサー/プロキシサーバーが使えない。

SSL設定方法

・SSLを使用するにはTableau ServerにSSL証明証をインストールする必要がある。

HTTPとの相互SSL (443ポート):[構成] > [セキュリティ] > [外部SSL]

内部Postgre用SSL:[構成] > [セキュリティ] > [リポジトリSSL]

Tableau製品との相互SSL:[構成] > [ユーザーIDとアクセス] > [認証方法] > [相互SSL]

単一マシン環境でのインストール

・初めての展開では基幹業務以外で限定的に使用し、作業負荷が大きくなってきたら複数ノードを検討する。

例えば、8コアの単一マシンの場合
(i)VizQLサーバー, バックグラウンダー, キャッシュサーバー, データサーバーは「2」インスタンスに設定。
(ii)その他プロセスは「1」インスタンスに設定。

サイレントインストール

・Tableau Serverのサイレントインストールとは、通常のインストーラを実行するやり方ではなく、コマンドラインから自動インストールするやり方のこと。(ただし、コミュニティサポート)

利点
・コマンド操作だけで、インストール/構成/作業中のTableau Serverインスタンスを実行できる。
・SilentInstaller.pyスクリプトはユーザーが入力しなくても自動化に適合する。
・一度設定した構成は全てのインストールに使える。

Tableau Serverの構成

キャッシュ設定

・Server上にパブリッシュされたビューでは、クエリされた結果が一定時間キャッシュとして保持される。

キャッシュを設定するコマンドは「tsm data-access caching set -r <value>

<value>:「low または “”(空文字)」= 常にキャッシュを使用。「”<value>”」= 分数を指定。「always または 0」= 常に最新のデータ。

プロセス分散の適用

追加ノードのインストールと手順:TSMでノードbootstrapファイルの生成 → 追加ノードのインストールと初期化 → クラスタコントローラを使用した追加ノードの構成

データドリブンアラート/サブスクリプション設定

1. SMTP構成(TSMで[構成] > [通知] > [メールサーバー])

2. サーバーイベント通知の構成(TSMで[構成] > [通知] > [イベント])

3-1. データドリブンアラート(サイトの[設定] > [メール設定])

3-2. サブスクリプション(サイトの[設定] > [全般] > [サブスクリプション])

※メールを受信するには上記設定に加えて、Tableau Serverのメアド, [表示], [画像/PDFのDL]パーミッションが必要。
※データドリブンアラートでは閾値と通知頻度を設定でき、ライブでは60分 / 抽出では更新するごとにデータを確認している。

カスタマイズ

・ロゴは tsm customize で設定する。

tsm customize <option>
 ロゴ <option>
A – ウィンドウタブ 変更不可
B – サーバー名 –server-name <name>
C – ヘッダーロゴ –header-logo <path>
サインインロゴ –signin-logo <path>
ヘッダー/サインインロゴ –logo <path>
折りたたみロゴ –compact-logo <path>

※Tableau Onlineサイト名の変更は tabcmd editsite <site_name>

・フォントを変更する場合、Tableau Serverと同じマシンにフォントをインストールする。

・Serverの言語を決める優先度は「ワークブックの言語 > Server上のユーザーの言語設定 > WEBブラウザの言語 > Server全体の言語設定 > ホストマシンの言語設定」

・サインイン / ウェルカムバナーは、Tableau Server上で[すべてのサイトの管理] > [設定] > [カスタマイズ] から設定する。

・プロジェクト画像は、URLを「!」(ビックリマーク)で囲むことで設定できる。

・Pythonスクリプトを使うときは、TabPy (=TableauのPythonサーバー) を構成する。

サイト構成オプション

・サーバー管理者はサイトロールを制限して、特定のサイトで利用できるユーザー数を絞ることができる。
(Server上で、[設定] > [全般] > [ユーザーの管理] > [ユーザー数を制限] > [サイトロールを制限])

・1サイトの最大容量は「100GB」, 1コンテンツの最大容量は「15GB」

・Tableau Serverの容量制限:[設定] > [ストレージ] (制限なし / GB指定)

・サブスク編集:[設定] > [サブスクリプション] (ユーザーへの許可 / コンテンツ所有者の権限)

・サイトにユーザーを追加できるのは、サーバー管理者、サイト管理者(サーバー管理者に許可されている場合のみ)

※Tableau Server自体の容量は物理サーバーに依存する。

ユーザーの追加 / 削除 / 非アクティブ化

ライセンスタイプとサイトロール

・追加方法は「メールアドレス(tableau ID, SAML, OpenID)」「CSV」「AD」の3つで、追加と同時にそれぞれのサイトロールを決める。

サイトロール 閲覧/操作 サブスク/アラート Web編集 パブリッシュ データソースの作成 管理
サイト管理者Creator ✔︎ ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
Creator ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
サイト管理者Explorer ✔︎ ✔︎ ✔︎ ✔︎ ✔︎
Explorer(パブリッシュ可) ✔︎ ✔︎ ✔︎ ✔︎
Explorer ✔︎ ✔︎ ✔︎
Viewer ✔︎ ✔︎
ライセンスなし

※データソースの作成とは、WEB編集から外部データに接続, データソースをパブリッシュすること。
※Viewerはアラートを受信できるが、自身で設定することはできない。

ローカル(CSV)から追加

・CSVファイルはヘッダー不要で、ユーザー名とPWがあれば作成できる。
※他に設定できる項目は「表示名, サイトロール, 管理者レベル, パブリッシュ権限, メアド」がある。

ADから追加

・Tableauの画面で[ADから追加]を選択し、ユーザー名のみを入力すればよい。

・ADを取り込むことで既存ユーザーが更新される場合、ロールレベルを上げることはできても下げることはできない。

・AD認証で設定している場合でもCSVから取り込むことは可能で、その場合PW部分は空欄にする。

削除 / 非アクティブ化

・ユーザーの削除は[ユーザー]ページから行う。

(i)ユーザーがコンテンツを持っていない → 削除可能。
(ii)ユーザーがコンテンツを持っている → サイトロールが “ライセンスなし” に設定され、削除できない。
(iii)ユーザーが複数サイトに属している → コンテンツを持っていないサイトのみ削除される。

・ユーザーを非アクティブ化するには、TSMで[構成] > [ライセンス発行] > プロダクトキーを選択 > [ライセンス認証を削除]

・初期管理ユーザーは tsm reset で削除でき、その後 tabcmd initialuser で新しい管理者を追加する。

セキュリティ

サイトの構造


※サイト同士は完全に分離されているので他サイトの存在を確認することすらできない。できるだけサイトではなくプロジェクト単位で管理する。

・サイト内でできることは、ユーザー毎に割り振られたパーミッションにより決まり、パーミッションの上限はサイトロールで決まる。

パーミッション

・「拒否」は許可より優先される。

・ユーザーが1つでも拒否されているグループに属していれば「拒否」される。

・ユーザーは明示的に「許可」されていないとコンテンツを閲覧できない。

・未指定の場合、他にパーミッションがないと「拒否」になる。

・グループレベルより「ユーザーレベル」が優先され、親レベルより「子レベル」が優先される。

・プロジェクト/グループ単位でまとめて設定するのがベスト。(ビュー単位でもできるが非推奨)

・プロジェクトは[ロック]をかけることで、パーミッション管理が楽に。(REST APIで自動化)

・サイト管理者/プロジェクトリーダー/コンテンツ所有者は、それぞれのサイト/プロジェクト/コンテンツにおける全ての権限をもつ。

・認証情報が埋め込まれたビューの所有権を変更した場合、その認証情報は削除される。

・プロジェクトを移動するとリーダーの権限は消え、移動先のパーミッションに従う。
※プロジェクトリーダーは必ず1人。(パブリッシュ可能なユーザー)