Über die Identitätsmigration
Ab Version 2022.1 speichert und verwaltet Tableau Server Identitätsinformationen mithilfe des Identitätsdienstes. Mit dem Identitätsdienst verwendet Tableau Server für den Benutzerbereitstellungs- und -authentifizierungsprozess eine Identitätsstruktur, die moderner, sicherer und unveränderlich ist. Identitätsmigration ist eine Voraussetzung, um Identitätspools(Link wird in neuem Fenster geöffnet) konfigurieren und verwenden zu können.
Wichtig: Wenn Sie nicht beabsichtigen, die Identitätspoolfunktion zu nutzen, empfehlen wir Ihnen, die Identitätsmigration nicht auszuführen. Das Ausführen der Identitätsmigration ohne eine beabsichtigte Verwendung von Identitätspools bringt keine Vorteile für Ihre Tableau Server-Bereitstellung.
Wenn Sie bei vorhandenen Bereitstellungen ein Upgrade von Tableau Server auf Version 2022.1 (oder höher) durchführen und ein Backup von Tableau 2021.4 (oder früher) wiederherstellen, können Sie die Identitätsmigration nach Abschluss des Tableau Server-Upgrades starten, um den neuen Identitätsdienst aufzufüllen. Die Identitätsmigration füllt zusätzliche Identitätsdienst-Tabellen für alle Tableau Server-Benutzer auf, die dann verwendet werden, um Benutzer über den Identitätsdienst zu authentifizieren. Die Migration wird im Hintergrund ausgeführt und unterbricht oder beeinträchtigt die Nutzung von Tableau Server durch Ihre Benutzer nicht.
Als Administrator können Sie die Migration auf einer dedizierten Identitätsmigrationsseite – die auf der Benutzerseite von Tableau Server verfügbar ist – überwachen und verwalten. Dort können Sie auch ändern, wann die Migration ausgeführt werden soll, oder potenzielle Migrationskonflikte lösen. Diese Seite ist für die Dauer des Migrationsprozesses verfügbar.
Für neue und vorhandene Bereitstellungen müssen Sie Tableau Server so konfigurieren, dass nach Abschluss der Migration der Identitätsdienst verwendet wird, damit Sie die Verbesserungen bei der Identitätsstruktur nutzen und Identitätspools konfigurieren können.
Schritt 2: Aktivieren von neuem Schema und neuer Anmeldefunktion
Schritt 3: Starten der Identitätsmigration
Schritt 4: Abschließen der Identitätsmigration
Schritt 5: Konfigurieren von Tableau Server für die Verwendung des Identitätsdienstes
Schlüsselbegriffe
- Identitätsdienst: Ein Dienst in Tableau Server 2022.1 (und höher), der für die Verwaltung von Benutzeridentitäten verantwortlich ist, einschließlich der Authentifizierung und Bereitstellung. Der Dienst verwendet ein Identitätsschema, in dem Benutzeridentitäten durch Identitätsdienst-Tabellen und die alte "system_users"-Tabelle dargestellt werden.
- Identitätspools sind ein Identitätsverwaltungstool, das Bereitstellungs- und Authentifizierungsinformationen verwendet, um den Zugriff von Benutzern auf Tableau Server zu gewähren. Identitätspools ermöglichen einen stärker zentralisierten und flexibleren Identitätsmanagement-Workflow, der auf dem Identitätsdienst für die Speicherung und Verwaltung von Benutzeridentitäten in Tableau Server basiert.
- Alter Identitätsspeicher-Modus: Ein eingeschränktes Identitätsschema, das von Tableau Server 2021.4 (und früher) verwendet wird, wobei Benutzeridentitäten nur durch die alte "system_users"-Tabelle dargestellt werden.
- Identitätsmigration: Der Prüfungsprozess, der vorhandene Tableau Server-Benutzeridentitäten auswertet, zusätzliche Identitätsinformationen aus vorgelagerten externen Identitätsspeichern abfragt (sofern erforderlich) und diese zusätzlichen Identitätsinformationen in den Identitätsdienst importiert.
- Externer Identitätsspeicher: Ein Identitätsspeichertyp außerhalb von und Upstream zu Tableau Server, in dem alle Identitätsinformationen von einem externen Verzeichnisdienst – Active Directory (AD) oder LDAP – gespeichert und verwaltet werden. Wenn konfiguriert, synchronisiert Tableau Server mit dem externen Verzeichnis, sodass eine Kopie der Identitätsinformationen in Tableau Server vorhanden ist.
- Lokaler Identitätsspeicher: Ein von Tableau Server bereitgestellter Identitätsspeichertyp. Wenn konfiguriert, speichert und verwaltet Tableau Server Identitätsinformationen im Tableau Server-Repository, ohne dass ein externes Verzeichnis für diese Informationen konfiguriert ist.
- Systembenutzer: Ein Tableau Server-Benutzer. Ein Benutzer gehört sowohl im Identitätsdienst (über die Tabelle „system_users_identities“) als auch im alten Identitätsspeicher-Modus zu einem Anmelde-Datensatz („system_users“). Einem "system_users"-Datensatz können potenziell mehrere Benutzeridentitäten zugeordnet und für die Anmeldung bei mehreren Sites aktiviert sein. Die Verknüpfung zwischen einem "system_user"-Datensatz und Sites wird in der "user"-Tabelle definiert.
Zweck der Identitätsmigration
Wenn Sie eine Tableau Server-Sicherung erstellen, werden Identitätsinformationen in dem Identitätsschema gespeichert, das von der Version von Tableau Server verwendet wird, für die die Sicherung erstellt wurde. Die Migration ist erforderlich, um Identitätsinformationen aus dem Identitätsschema, das in der Sicherung verwendet wird, in das vom Identitätsdienst verwendete Identitätsschema zu füllen.
Identitätsschema von Tableau Server 2021.4 (und früher)
Das Identitätsschema, das von dem alten Identitätsspeicher-Modus verwendet wird, besteht aus zwei Tabellen, "system_users" und "domains".
Identitätsschema von Tableau Server 2022.1 (und höher)
Das vom Identitätsdienst verwendete Identitätsschema umfasst die alten "system_users"-Tabellen und ergänzende Identitätsdienst-Tabellen (*_identity_stores und *identities), in denen weitere Identitätsinformationen erfasst werden. Mithilfe dieser zusätzlichen Tabellen können Probleme reduziert werden, die durch Upstream-Änderungen in den externen Identitätsspeichern verursacht werden können.
Was während der Identitätsmigration passiert
Wenn Informationen über Benutzeridentitäten migriert werden, werden Identitätsinformationen, die in der alten "system_users"-Tabelle gespeichert sind, durch die Identitätsdienst-Tabellen ergänzt.
Mit welchem Typ von Identitätsdienst-Tabellen die Identitätsinformationen ergänzt werden, hängt davon ab, für welchen Typ von Identitätsspeicher Tableau Server konfiguriert ist: lokal, AD (Active Directory) oder LDAP (Lightweight Directory Access Protocol).
Bei Identitätsspeichern vom Typ AD erben Identitätsdienst-Tabellen nur eindeutige Attribute oder Attribute, die nicht in dem selben Datenbank-Datensatz gespeichert sind.
So können beispielsweise "sAMAccountNAme" und "userPrincipalName" (UPN) im gleichen Namensdatensatz einer alten "systems_users"-Tabelle gespeichert werden (was als Ergebnis einer komplexen Reihe von Regeln vorkommen kann). In den meisten Fällen ist die Migration in der Lage, die Benutzeridentität richtig zu interpretieren und erfolgreich zu migrieren. Wenn die Migration jedoch zu mehrdeutigen Ergebnissen führt, müssen Sie die Mehrdeutigkeit entweder manuell bestätigen oder den Konflikt auf der dedizierten Identitätsmigrationsseite manuell lösen. Weitere Informationen finden Sie unter Lösen von Konflikten bei der Identitätsmigration.
Bei Identitätsspeichern vom Typ LDAP erben Identitätsdienst-Tabellen wie bei AD-Identitätsspeichertypen nur eindeutige Attribute. In den meisten Fällen ist die Migration in der Lage, die Benutzeridentität richtig zu interpretieren und erfolgreich zu migrieren. Wenn die Migration jedoch zu mehrdeutigen Ergebnissen führt, müssen Sie die Mehrdeutigkeit entweder manuell bestätigen oder den Konflikt auf der dedizierten Identitätsmigrationsseite manuell lösen. Weitere Informationen finden Sie unter Lösen von Konflikten bei der Identitätsmigration.
Bei Identitätsspeichern vom Typ Lokal erben Identitätsdienst-Tabellen die Benutzer- und Domänenfelder direkt. Das bedeutet, dass Sie keine zusätzlichen Informationen angeben oder Konflikte manuell lösen müssen. Wenn Tableau Server für diesen Typ von Identitätsspeicher konfiguriert ist, erfolgt die Migration von Benutzeridentitäten nach dem Sicherungs-Wiederherstellungs-Prozess von Tableau Server.
Durchführen der Identitätsmigration
Bevor Sie beginnen, suchen Sie in der folgenden Tabelle nach Ihrer Tableau Server-Version und Upgrade-Methode (sofern zutreffend), um festzustellen, wie die nächsten Schritte bei der Identitätsmigration aussehen.
| Upgrade von | Upgrade auf | Upgrade-Methode | Nächste Schritte |
|---|---|---|---|
| k. A. | Tableau Server-Versionen: 2022.1.0 (und höher), 2022.3.0 (und höher), 2023.1 (und höher), und höher | Neuinstallation | Gehen Sie zu Schritt 2. |
| Tableau Server-Versionen: 2022.1–2022.1.7, 2022.3–2022.3.9 oder 2023.1–2023.1.5 | Tableau Server-Versionen: 2022.1.8 (und höher), 2022.3.10 (und höher), 2023.1.6 (und höher), und höher | k. A. | Haben Sie das neue Schema für die Anmeldung aktiviert (d. h. |
| Tableau Server-Versionen: 2021.4.x oder früher | Tableau Server-Versionen: 2022.1.8 (und höher), 2022.3.10 (und höher), 2023.1.6 (und höher), und höher | k. A. | Gehen Sie zu Schritt 2. |
| Tableau Server-Versionen: 2021.4.x oder früher | Tableau Server-Versionen: 2022.1.0–2022.1.7, 2022.3.0–2022.3.9 oder 2023.1.0–2023.1.5 | Wenn Sie ein Blue/Green-Upgrade durchführen oder ein manuelles Upgrade von Tableau Server vornehmen, indem Sie (1.) Tableau Server zuerst auf einem neuen Computer installieren und dann (2) Tableau Server mithilfe der tsm maintenance (backup und restore)-Befehle sichern und wiederherstellen, müssen Sie einige zusätzliche Schritte durchführen, um die Migration zu initiieren. | Gehen Sie zu Fehlerbehebung bei Problemen mit der Identitätsmigration. |
| Wenn Sie mit der hier beschriebenen Methode ein direktes Upgrade von Tableau Server auf einem einzelnen Server oder auf mehreren Knoten vornehmen, sind keine zusätzlichen Schritte erforderlich, um die Migration einzuleiten. Die Migration wird initiiert, nachdem das Tableau Server-Upgrade auf Version 2022.1 (oder höher) abgeschlossen ist. | Gehen Sie zu Schritt 2. | ||
| Wenn Sie ein manuelles Upgrade von Tableau Server vornehmen, indem Sie Tableau Server zuerst auf einem neuen Computer installieren und dann Konfigurations- und Topologieinformationen mithilfe der tsm settings (export und import)-Befehle exportieren und importieren, müssen Sie ebenfalls keine zusätzlichen Schritte durchführen, um die Migration einzuleiten. Die Migration wird initiiert, nachdem der Importvorgang auf dem neuen Tableau Server-Computer abgeschlossen ist. | Gehen Sie zu Schritt 2. |
Vor dem Start der Identitätsmigration muss das neue Identitätsschema mit dem tsm-Befehl Features.NewIdentityMode aktiviert werden. Und während des Identitätsmigrationsprozesses müssen die tsm-Befehle wgserver.authentication.legacy_identity_mode.enabled oder tsm authentication legacy-identity-mode <commands> ausgeführt werden, damit Anmeldungen in Tableau Server weiterhin möglich sind.
Öffnen Sie auf dem Ausgangsknoten (dem Knoten, auf dem TSM installiert ist) als Admin eine Eingabeaufforderung im Cluster.
Führen Sie den folgenden Befehl aus:
tsm configuration set -k features.NewIdentityMode -v trueFühren Sie je nach der von Ihnen verwendeten Version von Tableau Server die folgenden Befehle aus:
Für Tableau Server-Versionen 2022.1.8 (und höher), 2022.3.10 (und höher), 2023.1.6 (und höher), und höher:
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v true tsm pending-changes applyFür Tableau Server-Versionen 2022.1.0–2022.1.7, 2022.3–2022.3.9 oder 2023.1–2023.1.5:
tsm authentication legacy-identity-mode enable tsm pending-changes apply
Hinweis: Das Ausführen dieser Befehle führt zum Neustart von Tableau Server.
Hinweis: Wenn Sie ein Upgrade auf die Tableau Server-Version 2022.1–2022.1.7, 2022.3–2022.3.9 oder 2023.1–2023.1.5 durchgeführt haben, wird die Identitätsmigration standardmäßig gestartet, und Sie können den Vorgang mit Schritt 4: Abschließen der Identitätsmigration fortsetzen.
Um die Identitätsmigration zu starten, müssen Sie die Identitätsmigrationsfunktion mit dem tsm-Befehl Features.IdentityMigrationBackgroundJob aktivieren.
Führen Sie den folgenden Befehl aus:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Nachdem die Identitätsmigration begonnen hat, wird in Tableau Server eine Benachrichtigung angezeigt, die Sie zur Seite „Identitätsmigration“ weiterleitet. Auf der Seite „Identitätsmigration“ können Sie den Status der Identitätsmigration und Identitätskonflikte überwachen, die gelöst werden müssen.
Hinweis: Bei einer Neuinstallation können Sie diesen Schritt überspringen.
Um die Identitätsmigration abzuschließen, müssen alle Identitätskonflikte gelöst oder bestätigt werden, bevor Sie den Identitätsdienst für Tableau Server aktivieren können.
- Melden Sie sich als Administrator in Tableau Server an.
Wählen Sie im linken Navigationsbereich Benutzer (oder bei einem Tableau Server mit mehreren Sites Alle Sites > Benutzer) aus und klicken Sie dann auf die Seite Identitätsmigration, um zu überprüfen, dass die Migration gestartet wurde.
Sie können den Fortschritt mithilfe der dedizierten Identitätsmigrationsseite überwachen und verwalten, die auf der Seite "Benutzer" von Tableau Server verfügbar ist. Weitere Informationen finden Sie unter Verwalten der Identitätsmigration.
Lösen oder bestätigen Sie alle Identitätskonflikte wie unter Lösen von Konflikten bei der Identitätsmigration beschrieben, sodass auf der Registerkarte Alle Fehler wie in der Abbildung unten "0" angezeigt wird.
Führen Sie einen der folgenden Schritte aus:
Wenn der Identitätsmigrationsauftrag sofort ausgeführt werden soll, klicken Sie auf den Dropdown-Pfeil "Zeitplan bearbeiten" neben der Überschrift "Migrationsübersicht", und wählen Sie dann Jetzt ausführen aus.
- Alternativ dazu können Sie auch warten, bis der Migrationsauftrag zum nächsten geplanten Zeitpunkt ausgeführt wird.
Überprüfen Sie nach Abschluss der Migration, dass auf der Seite "Identitätsmigration" in der "Migrationsübersicht" der Eintrag 100 % abgeschlossen angezeigt wird.
Nach Abschluss der Identitätsmigration konfigurieren Sie Tableau Server für die Verwendung des Identitätsdienstes, um eine sicherere und unveränderliche Identitätsstruktur für den Benutzerbereitstellungs- und -authentifizierungsprozess zu gewährleisten.
- Öffnen Sie als Administrator eine Eingabeaufforderung auf dem Ausgangsknoten (auf dem TSM installiert ist) in dem Cluster.
Führen Sie abhängig von der von Ihnen ausgeführten Tableau Server-Version die folgenden Befehle aus:
Für Tableau Server-Versionen 2022.1.8 (und höher), 2022.3.10 (und höher), 2023.1.6 (und höher) und höher:
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v falseFür Tableau Server-Versionen 2022.1–2022.1.7, 2022.3–2022.3.9 oder 2023.1–2023.1.5:
tsm authentication legacy-identity-mode disable
Hinweis: Nach dem Ausführen eines der obigen Befehle wird die dedizierte Identitätsmigrationsseite entfernt und ist nicht mehr zugänglich. Die Seite ist nur dann zugänglich, wenn
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabledistrueodertsm authentication legacy-identity-modeaktiviert ist.
Wenn sich Benutzer bei Tableau Server anmelden, nachdem Tableau Server für die Verwendung des Identitätsdienstes konfiguriert wurde, sucht Tableau Server anhand ihrer Bezeichner im konfigurierten Identitätsspeicher nach ihren Benutzeridentitäten. Ausgehend von den Bezeichnern werden die universellen eindeutigen Bezeichner (UUID) zurückgegeben und verwendet, um vorhandene Tableau Server-Benutzeridentitäten abzugleichen. Dieser Prozess generiert dann Sitzungen für die Benutzer und schließt den Authentifizierungsworkflow ab.
Wenn Sie die Identitätsmigration abgeschlossen und den Identitätsdienst aktiviert haben, müssen Sie die Identitätspool-Funktion zur Vorbereitung auf das Konfigurieren von Identitätspools(Link wird in neuem Fenster geöffnet) aktivieren.
Führen Sie die folgenden Befehle aus:
tsm configuration set -k features.IdentityPools -v true tsm pending-changes apply
Hinweis: Das Ausführen dieser Befehle führt zum Neustart von Tableau Server.