tsm authentication

Sie können die tsm authentication-Befehle zum Aktivieren, Deaktivieren und Konfigurieren der Optionen für die Benutzerauthentifizierung von Tableau Server verwenden.

tsm authentication identity-migration configure

Ändern Sie die Standardauftragseinstellungen für die Identitätsmigration. Weitere Informationen finden Sie unter Verwalten der Identitätsmigration.

Synopse

tsm authentication identity-migration configure –job-run-time

tsm authentication identity-migration configure –rate

Optionen

-j,--job-run-time <number>

Optional.

Bestimmt die längste zulässige Zeit in Minuten, die der geplante Migrationsauftrag ausgeführt werden kann. Der Standardwert beträgt 120 Minuten.

-r,--rate <number>

Optional.

Bestimmt die Anzahl der Anfragen während eines Migrationsauftrags, die pro Sekunde ausgeführt werden können. Der Standardwert ist 5 Anfragen pro Sekunde.

tsm authentication kerberos <commands>

Aktivieren, deaktivieren und konfigurieren Sie die Kerberos-Benutzerauthentifizierung auf Tableau Server. Siehe Konfigurieren von Kerberos.

Synopse

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

Optionen für "kerberos configure"

-kt, --keytab-file <keytab_file.keytab>

Erforderlich.

Gibt die .Keytab-Datei des Diensts an, die für Anforderungen an das KDC verwendet wird.

tsm authentication legacy-identity-mode <commands>

Aktivieren oder deaktivieren Sie den älteren Identitätsspeichermodus, der möglicherweise während der Identitätsmigration erforderlich ist. Gehen Sie den Abschnitt Sicherung kann nicht wiederhergestellt werden durch, um zu bestimmen, wann dieser Befehl verwendet werden soll.

Weitere Informationen finden Sie unter Über die Identitätsmigration.

Synopse

tsm authentication legacy-identity-mode enable

tsm authentication legacy-identity-mode disable

tsm authentication list

Listet die vorhandenen Einstellungen für die Authentifizierungskonfiguration des Servers auf.

Synopse

tsm authentication list [--verbose][global options]

Optionen

v, --verbose

Optional.

Zeigt alle konfigurierten Parameter an.

tsm authentication mutual-ssl <commands>

Aktivieren, deaktivieren und konfigurieren Sie gegenseitiges SSL zur Benutzerauthentifizierung auf Tableau Server. Näheres zu gegenseitigem SSL erfahren Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung.

Bevor Sie gegenseitiges SSL konfigurieren, müssen Sie SSL für die externe Kommunikation aktivieren und konfigurieren. Entsprechende Informationen finden Sie unter Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.

Synopse

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

Optionen

-cf, --ca-cert <certificate-file.crt>

Optional.

Gibt den Speicherort und den Dateinamen der Zertifikatdatei an. Bei der Datei muss es sich um ein gültiges, vertrauenswürdiges Zertifikat einer Zertifizierungsstelle (beispielsweise Verisign) handeln.

-fb, --fallback-to-basic <true | false>

Optional.

Gibt an, ob Tableau Server zur Authentifizierung den Benutzernamen und das Kennwort verwenden soll, wenn die SSL-Authentifizierung fehlschlägt.

Der Standardwert lautet "false", wodurch angegeben wird, dass Tableau Server bei einer Konfiguration zur gegenseitigen SSL-Authentifizierung keine Verbindung zulässt, wenn die SSL-Authentifizierung fehlschlägt. Tableau Serer akzeptiert jedoch username und password von REST, selbst wenn diese Option auf falsefestgelegt ist.

-m, --user-name-mapping <upn | ldap | cn>

Optional.

Gibt die Benutzernamenssyntax (UPN, LDAP oder CN) zum Abrufen aus dem Identitätsspeicher oder -verzeichnis an. Die Syntax muss dem Format für "Subject" oder "Subject Alternative Name" auf dem Benutzerzertifikat entsprechen.

-rf, --revocation-file <revoke-file.pem>

Optional.

Gibt den Speicherort und den Dateinamen für die Zertifikatwiderrufs-Listendatei an. Diese Datei kann die Erweiterung ".pem" oder ".der" aufweisen.

tsm authentication openid <commands>

Aktivieren, deaktivieren und konfigurieren Sie die OpenID Connect (OIDC)-Benutzerauthentifizierung auf Tableau Server.

Synopse

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

Optionen für "openid configure"

Hinweis: Die Optionen müssen bei der Erstkonfiguration oder bei der Neukonfiguration eingestellt werden. Einzeloptionen können nicht einzeln eingestellt werden.

-a, --client-authentication <string>

Erforderlich.

Legt die benutzerdefinierte Client-Authentifizierungsmethode für OpenID Connect fest.

Um Tableau Server für die Verwendung des Salesforce IdP zu konfigurieren, legen Sie für diesen Wert client_secret_post fest.

-cs, --client-secret <string>

Erforderlich.

Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden.

-cu, --config-url <URL>

Erforderlich.

Gibt den Speicherort des Dokuments zur Auffindung der Anbieterkonfiguration an, das OpenID-Anbieter-Metadaten enthält. Wenn der Anbieter eine öffentliche JSON-Datei hostet, verwenden Sie die Option "--config-url". Andernfalls geben Sie stattdessen mittels "--metadata-file" einen Pfad auf dem lokalen Computer inklusive Dateinamen an.

-mf, --metadata-file <Dateipfad>, --config-file <Konfigurationsdatei.json>

Optional.

Gibt den lokalen Pfad zum statischen OIDC Discovery JSON-Dokument an.

-i, --client-id <Client-ID>

Erforderlich.

Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat.

-id, --ignore-domain <true | false>

Optional. Standard: false

Legen Sie diesen Ausdruck auf true fest, wenn Folgendes zutrifft:

  • Sie verwenden in Tableau Server E-Mail-Adressen als Benutzernamen

  • Sie haben Benutzer im IdP mit mehreren Domänennamen bereitgestellt.

  • Sie möchten den Teil des Domänennamens des email-Claims vom IdP ignorieren.

Bevor Sie den Vorgang fortsetzen, überprüfen Sie die Benutzernamen, die infolge der Festlegung dieser Option auf true verwendet werden. Es können Konflikte mit dem Benutzernamen auftreten. Im Falle eines Benutzernamenskonflikts besteht ein hohes Risiko, dass Informationen offengelegt werden. Siehe Anforderungen für die Verwendung von OpenID Connect.

-if, --iframed-idp-enabled <true | false>

Optional. Standard: false

Gibt an, ob der IdP innerhalb eines iFrame erlaubt ist. Der IdP muss den Clickjack-Schutz deaktivieren, um die iFrame-Darstellung zuzulassen.

-ij, --ignore-jwk <true | false>

Optional. Standard: false

Legen Sie diesen Ausdruck auf true fest, wenn Ihr IdP die JWK-Validierung nicht unterstützt. In diesem Fall wird empfohlen, die Kommunikation mit Ihrem IdP durch gegenseitiges TLS oder über ein anderes Sicherheitsprotokoll auf Netzwerkebene zu authentifizieren.

-r, --return-url <return-url>

Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B. "http://example.tableau.com".

-sn, --custom-scope-name <string>

Optional.

Gibt einen benutzerbezogenen Wert für den benutzerdefinierten Bereich an, den Sie zum Abrufen des IdP verwenden können. Siehe Anforderungen für die Verwendung von OpenID Connect.

Optionen für "openid map-claims"

Verwenden Sie diese Optionen, um die OIDC-Standardansprüche zu ändern, die Tableau Server zur Kommunikation mit Ihrem IdP verwendet. Siehe Anforderungen für die Verwendung von OpenID Connect.

-i, --id <string>

Optional. Standard: sub

Ändern Sie diesen Wert, wenn Ihr IdP den Claim sub nicht zum eindeutigen Identifizieren von Benutzern im ID-Token verwendet. Der von Ihnen angegebene IdP-Claim sollte eine einzelne, eindeutige Zeichenfolge beinhalten.

-un, --user-name <string>

Optional. Standard: email

Ändern Sie diesen Wert in den IdP-Anspruch, den Ihre Organisation zum Abgleichen der Benutzernamen gemäß Speicherung in Tableau Server verwendet.

tsm authentication pat-impersonation <commands>

Aktivieren und deaktivieren Sie den persönlichen Zugriffstoken-Identitätswechsel für Administratoren von Tableau Server.

Informationen zum Identitätswechsel mit persönlichen Zugriffstoken finden Sie unter Persönliche Zugangstoken.

Synopse

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

Führen Sie den folgenden Befehl aus, um anzuzeigen, ob der Identitätswechsel mit persönlichen Zugriffstoken aktiviert ist:

tsm authentication list

tsm authentication saml <commands>

Konfigurieren Sie Tableau Server zur Unterstützung von Single Sign-on mit dem Standard SAML 2.0, aktivieren oder deaktivieren Sie SAML für eine Site, und ordnen Sie Assertion-Attributnamen von Tableau Server und dem Identitätsanbieter (IdP) einander zu.

Verfügbare Befehle

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

Konfigurieren Sie die SAML-Einstellungen für den Server. Geben Sie die SAML-Zertifikat- und Metadatendateien an, stellen Sie weitere erforderliche Informationen bereit, und legen Sie zusätzliche Optionen fest.

Wenn Sie SAML erstmals konfigurieren oder es zuvor deaktiviert haben, müssen Sie zunächst diesen Befehl mit tsm authentication saml enable ausführen. Weitere Informationen finden Sie unter Konfigurieren der serverweiten SAML.

Synopse

tsm authentication saml configure [options] [global options]

Optionen

-e, --idp-entity-id <id>

Für die SAML-Erstkonfiguration erforderlich, ansonsten optional. Wert der IdP-Entitäts-ID.

Üblicherweise ist dieser identisch mit der Tableau Server-Rückgabe-URL (wird im Parameter --idp-return-url angegeben). Die von Ihnen eingegebene Entitäts-ID wird als Grundlage zum Erstellen von standortspezifischen Entitäts-IDs verwendet. Wenn Sie beispielsweise Folgendes eingeben:

http://tableau-server

zeigt eine für SAML konfigurierte Site möglicherweise folgende Entitäts-ID an:

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

Navigieren Sie zum Anzeigen der Entitäts-ID einer Site zur Seite Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus. Wenn SAML aktiviert ist, wird die Entitäts-ID im ersten Schritt zum Konfigurieren der Site-spezifischen SAML für das Exportieren von Metadaten angezeigt.

-r, --idp-return-url <idp-return-url>

Für die SAML-Erstkonfiguration erforderlich, ansonsten optional. Die im IdP konfigurierte SAML-Rückgabe-URL. Dies ist üblicherweise die externe Tableau Server-URL, beispielsweise https://tableau-server.

Hinweise

  • Die Angabe http://localhost kann nicht für einen externen Server verwendet werden.

  • Das Hinzufügen eines nachgestellten Schrägstrichs zur URL (https://tableau-server/) wird nicht unterstützt.

-i, --idp-metadata <idp-metadata.xml>

Für die SAML-Erstkonfiguration erforderlich, ansonsten optional. Gibt den Speicherort und den Namen der XML-Metadatendatei an, die Sie aus den IdP-Einstellungen exportiert haben.

Beispiel: /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

-cf, --cert-file <certificate.crt>

Für die SAML-Erstkonfiguration erforderlich, ansonsten optional. Gibt den Speicherort und den Dateinamen der x509-Zertifikatdatei für SAML an. Anforderungen an die Zertifikatdatei finden Sie unter SAML-Anforderungen.

Beispiel: /var/opt/tableau/tableau_server/data/saml/<file.crt>

-kf, --key-file <certificate.key>

Für die SAML-Erstkonfiguration erforderlich, ansonsten optional. Speicherort und Name der Schlüsseldatei für das Zertifikat.

Beispiel: /var/opt/tableau/tableau_server/data/saml/<file.key>

-a, --max-auth-age <max-auth-age>

Optional. Der Standardwert ist -1 (ab Tableau Server-Version 2020.4.15, 2021.1.12, 2021.2.9, 2021.3.8, 2021.4.4, 2022 und höher). Der vorherige Standardwert betrug 7.200 (2 Stunden).

Die Anzahl der Sekunden, die maximal zwischen der Authentifizierung eines Benutzers und der Verarbeitung der AuthNResponse-Meldung erlaubt ist.

Wir empfehlen Ihnen, diesen Standardwert beizubehalten, wodurch die Prüfung des maximalen Authentifizierungsalters deaktiviert wird. Wenn sich dieser Wert von dem Ihres IdP unterscheidet, wird Benutzern, die sich bei Tableau Server anmelden, möglicherweise ein Anmeldefehler angezeigt. Weitere Informationen zu diesem Fehler finden Sie im Artikel Zeitweiliger Fehler „Unable to Sign In“ bei SAML SSO auf Tableau Server(Link wird in neuem Fenster geöffnet) in der Tableau-Wissensdatenbank.

-d, --desktop-access <enable | disable>

Optional. Der Standardwert lautet "enable".

Diese Option gilt nur für das serverweite SAML. Nutzen Sie SAML, um sich von Tableau Desktop aus beim Server anzumelden. Wenn die Single Sign-on-Funktion von Tableau-Clientanwendungen bei Ihrem Identitätsanbieter nicht funktioniert, können Sie diese Einstellung auf disable festlegen.

-m, --mobile-access <enable | disable>

Optional. Der Standardwert lautet "enable".

Erlauben Sie die Verwendung von SAML bei der Anmeldung über ältere Versionen der Tableau Mobile-App. Diese Option wird von Geräten mit Tableau Mobile Version 19.225.1731 und höher ignoriert. Um Geräte zu deaktivieren, auf denen Tableau Mobile App Version 19.225.1731 und höher ausgeführt wird, deaktivieren Sie SAML als Client-Anmeldeoption auf Tableau Server.

-so, --signout <enable | disable>

Optional. Ist standardmäßig aktiviert.

Aktivieren oder deaktivieren Sie die SAML-Abmeldung für Tableau Server.

-su, --signout-url <url>

Optional. Geben Sie die URL für die Umleitung an, nachdem sich Benutzer beim Server abgemeldet haben. Standardmäßig ist dies die Seite für die Anmeldung bei Tableau Server. Sie können eine absolute oder eine relative URL angeben.

Beispiel

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

"tsm authentication saml enable" und "tsm authentication saml disable"

Aktiviert oder deaktiviert die serverweite SAML-Authentifizierung. In diesem Kontext werden alle Sites und Benutzer, die Sie für SAML aktivieren, über einen einzelnen Identitätsanbieter authentifiziert.

Synopse

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

Exportieren Sie die .xml-Metadatendatei für Tableau Server, die Sie zum Konfigurieren des SAML IdP verwenden möchten.

Synopse

tsm authentication saml export-metadata [options] [global options]

Optionen

-f, --file [/path/to/file.xml]

Optional.

Gibt den Speicherort und den Dateinamen an, in die die Metadaten geschrieben werden. Wenn Sie diese Option nicht einschließen, speichert export-metadata die Datei im aktuellen Verzeichnis und benennt sie samlmetadata.xml.

-o, --overwrite

Optional.

Überschreibt eine bestehende Datei mit dem gleichen Namen, der in -f angegeben wurde, oder mit dem Standardnamen, wenn -f nicht enthalten ist. Wenn in -f eine Datei angegeben wurde und -o nicht enthalten ist, überschreibt der Befehl nicht die vorhandene Datei.

tsm authentication saml map-assertions

Ordnet die Attribute des IdP und von Tableau Server einander zu. Geben Sie den Namen an, den der IdP für das Attribut verwendet, das in jedem Argument angegeben wird.

Synopse

tsm authentication saml map-assertions --user-name <user-name> [global options]

Optionen

-r, --user-name <Benutzername-Attribut>

Optional. Das Attribut, in dem der IdP den Benutzernamen speichert. In Tableau Server entspricht dies dem Anzeigenamen.

-e, --email <E-Mail-Name-Attribut>

Nicht verwenden. Diese Option wird von Tableau nicht unterstützt.

-o, --domain <Domänenname-Attribut>

Optional. Das Attribut, in dem der IdP den Domänennamen speichert. Verwenden Sie diese Option, wenn Sie Benutzer aus einer Domäne hinzufügen, die sich von der Domäne des Tableau Server-Computers unterscheidet. Weitere Informationen finden Sie unter Bei Ausführung mehrerer Domänen.

-d --display-name <Anzeigename-Attribut>

Nicht verwenden. Diese Option wird von Tableau nicht unterstützt.

Beispiel für "saml map-assertions"

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> oder tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

"tsm authentication sitesaml enable" und "sitesaml disable"

Legen Sie mit diesen Befehlen den Server so fest, dass die SAML-Authentifizierung auf Site-Ebene gestattet oder nicht gestattet ist. Ist die Site-spezifische SAML aktiviert, können Sie auf die Registerkarte EinstellungenAuthentifizierung auf der Tableau Server-Web-Benutzeroberfläche zugreifen. Die Registerkarte Authentifizierung enthält die Site-spezifischen SAML-Konfigurationseinstellungen.

Verwenden Sie den Befehl sitesaml enable zusammen mit dem Befehl saml configure, wenn Sie den Server noch nicht so konfiguriert haben, dass die Site-spezifische SAML aktiviert ist. Weitere Informationen finden Sie unter Konfigurieren von Site-spezifischer SAML.

Synopse

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication sspi <commands>

Dieser Befehl kann nur in Tableau Server unter Windows ausgeführt werden. Wenn Sie versuchen, SSPI in Tableau Server auf einem Linux-System zu aktivieren, wird ein Fehler ausgegeben.

Aktivieren oder deaktivieren Sie die automatische Anmeldung mit Microsoft-SSPI.

Wenn Sie Active Directory zur Authentifizierung verwenden, können Sie optional die automatische Anmeldung aktivieren, wobei Microsoft-SSPI zur automatischen Anmeldung der Benutzer mit ihrem Windows-Benutzernamen und -Kennwort verwendet wird. Dieser Vorgang ähnelt dem SSO-Verfahren für die einmalige Anmeldung.

Aktivieren Sie SSPI nicht, wenn Sie Tableau Server für SAML, die vertrauenswürdige Authentifizierung, einen Lastausgleich oder einen Proxyserver konfigurieren möchten. SSPI wird in diesen Szenarien nicht unterstützt.

Synopse

tsm authentication sspi disable [global options]

tsm authentication sspi enable [global options]

Wie bei allen Authentifizierungsbefehlen müssen Sie tsm pending-changes apply nach der Ausführung dieses Befehls ausführen.

tsm authentication trusted <commands>

Konfigurieren Sie die vertrauenswürdige Authentifizierung (vertrauenswürdige Tickets) zur Benutzerauthentifizierung auf Tableau Server.

Synopse

tsm authentication trusted configure [options] [global options]

Optionen

-th, --hosts <string>

Optional.

Gibt die vertrauenswürdigen Hostnamen (oder IPv4-Adressen) der Webserver an, die Seiten mit Tableau-Inhalt hosten.

Geben Sie bei mehreren Werten die Namen in einer kommagetrennten Liste ein, bei der jeder Wert in doppelte Anführungszeichen eingeschlossen ist.

Beispiel:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

oder

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

Optional.

Legt die Anzahl der Zeichen in jedem vertrauenswürdigen Ticket fest. Die Standardeinstellung von 24 Zeichen ergibt eine Zufälligkeit von 144 Bit. Der Wert kann auf jede beliebige Ganzzahl zwischen 9 und 255 (einschließlich) festgelegt werden.

Globale Optionen

-h, --help

Optional.

Hilfe zum Befehl anzeigen.

-p, --password <Kennwort>

Zusammen mit -u oder --username erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie das Kennwort für den in -u oder --username angegebenen Benutzer an.

Wenn das Kennwort Leerzeichen oder Sonderzeichen enthält, schließen Sie es in Anführungszeichen ein:

--password 'my password'

-s, --server https://<hostname>:8850

Optional.

Adresse, die für Tableau Services Manager verwendet wird. Die URL muss mit https beginnen, Port 8850 enthalten und den Servernamen nicht als IP-Adresse verwenden. Zum Beispiel https://<tsm_hostname>:8850. Wenn kein Server angegeben wird, dann wird https://<localhost | dnsname>:8850 verwendet.

--trust-admin-controller-cert

Optional.

Verwenden Sie dieses Flag, um dem selbstsignierten Zertifikat auf dem TSM-Controller zu vertrauen. Weitere Informationen zu vertrauenswürdigen Zertifikaten und CLI-Verbindungen finden Sie unter Verbinden von TSM-Clients.

-u, --username <Benutzer>

Zusammen mit -p oder --password erforderlich, wenn keine Sitzung aktiv ist.

Geben Sie ein Benutzerkonto an. Wenn Sie diese Option nicht einschließen, wird der Befehl mit den Anmeldeinformationen ausgeführt, mit denen Sie sich angemeldet haben.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.