Über die Identitätsmigration

Ab Version 2022.1 speichert und verwaltet Tableau Server Identitätsinformationen mithilfe des Identitätsdienstes. Mit dem Identitätsdienst verwendet Tableau Server für den Benutzerbereitstellungs- und -authentifizierungsprozess eine Identitätsstruktur, die moderner, sicherer und unveränderlich ist. Identitätsmigration ist eine Voraussetzung, um Identitätspools(Link wird in neuem Fenster geöffnet) konfigurieren und verwenden zu können.

Hinweis: Wenn Sie die Identitätspoolfunktion nicht nutzen möchten, empfehlen wir Ihnen, die Identitätsmigration nicht auszuführen. Das Ausführen der Identitätsmigration ohne Pläne zur Verwendung von Identitätspools bringt keine Vorteile für Ihre Tableau Server-Bereitstellung.

Alle neuen Bereitstellungen von Tableau Server 2022.1 (und höher) nutzen den Identitätsdienst standardmäßig und erfordern keine zusätzliche Aktion von Ihnen. Wenn Sie Tableau Server neue Benutzer hinzufügen, wird der standardmäßige Identitätsdienst verwendet.

Wenn Sie bei vorhandenen Bereitstellungen ein Upgrade von Tableau Server auf Version 2022.1 (oder höher) durchführen und ein Backup von Tableau 2021.4 (oder früher) wiederherstellen, können Sie die Identitätsmigration nach Abschluss des Tableau Server-Upgrades starten, um den neuen Identitätsdienst aufzufüllen. Die Identitätsmigration füllt zusätzliche Identitätsdienst-Tabellen für alle Tableau Server-Benutzer auf, die dann verwendet werden, um Benutzer über den Identitätsdienst zu authentifizieren. Die Migration wird im Hintergrund ausgeführt und unterbricht oder beeinträchtigt die Nutzung von Tableau Server durch Ihre Benutzer nicht.

Als Administrator können Sie die Migration auf einer dedizierten Identitätsmigrationsseite – die auf der Benutzerseite von Tableau Server verfügbar ist – überwachen und verwalten. Dort können Sie auch ändern, wann die Migration ausgeführt werden soll, oder potenzielle Migrationskonflikte lösen. Diese Seite ist für die Dauer des Migrationsprozesses verfügbar.

Zusammenfassung der Schritte für vorhandene Bereitstellungen

Für vorhandene Bereitstellungen müssen Sie Tableau Server so konfigurieren, dass der Identitätsdienst nach Abschluss der Migration verwendet wird, um die Verbesserungen der Identitätsstruktur zu nutzen und Identitätspools zu konfigurieren.

Schritt 1: Bevor Sie beginnen

Schritt 2: Starten der Identitätsmigration

Schritt 3: Abschließen der Identitätsmigration

Schritt 4: Konfigurieren von Tableau Server für die Verwendung des Identitätsdienstes

Schlüsselbegriffe

  • Identitätsdienst: Ein Dienst in Tableau Server 2022.1 (und höher), der für die Verwaltung von Benutzeridentitäten verantwortlich ist, einschließlich der Authentifizierung und Bereitstellung. Der Dienst verwendet ein Identitätsschema, in dem Benutzeridentitäten durch Identitätsdienst-Tabellen und die alte "system_users"-Tabelle dargestellt werden.
  • Identitätspools sind ein Identitätsverwaltungstool, das Bereitstellungs- und Authentifizierungsinformationen verwendet, um den Zugriff von Benutzern auf Tableau Server zu gewähren. Identitätspools ermöglichen einen stärker zentralisierten und flexibleren Identitätsmanagement-Workflow, der auf dem Identitätsdienst für die Speicherung und Verwaltung von Benutzeridentitäten in Tableau Server basiert.
  • Alter Identitätsspeicher-Modus: Ein eingeschränktes Identitätsschema, das von Tableau Server 2021.4 (und früher) verwendet wird, wobei Benutzeridentitäten nur durch die alte "system_users"-Tabelle dargestellt werden.
  • Identitätsmigration: Der Prüfungsprozess, der vorhandene Tableau Server-Benutzeridentitäten auswertet, zusätzliche Identitätsinformationen aus vorgelagerten externen Identitätsspeichern abfragt (sofern erforderlich) und diese zusätzlichen Identitätsinformationen in den Identitätsdienst importiert.
  • Externer Identitätsspeicher: Ein Identitätsspeichertyp außerhalb von und Upstream zu Tableau Server, in dem alle Identitätsinformationen von einem externen Verzeichnisdienst – Active Directory (AD) oder LDAP – gespeichert und verwaltet werden. Wenn konfiguriert, synchronisiert Tableau Server mit dem externen Verzeichnis, sodass eine Kopie der Identitätsinformationen in Tableau Server vorhanden ist.
  • Lokaler Identitätsspeicher: Ein von Tableau Server bereitgestellter Identitätsspeichertyp. Wenn konfiguriert, speichert und verwaltet Tableau Server Identitätsinformationen im Tableau Server-Repository, ohne dass ein externes Verzeichnis für diese Informationen konfiguriert ist.
  • Systembenutzer: Ein Tableau Server-Benutzer. Ein Benutzer entspricht sowohl im Identitätsdienst (über die Tabelle "system_users_identities") als auch im alten Identitätsspeicher-Modus einem Anmeldedatensatz ("system_users"). Einem "system_users"-Datensatz können potenziell mehrere Benutzeridentitäten zugeordnet und für die Anmeldung bei mehreren Sites aktiviert sein. Die Verknüpfung zwischen einem "system_user"-Datensatz und Sites wird in der "user"-Tabelle definiert.

Zweck der Identitätsmigration

Wenn Sie eine Tableau Server-Sicherung erstellen, werden Identitätsinformationen in dem Identitätsschema gespeichert, das von der Version von Tableau Server verwendet wird, für die die Sicherung erstellt wurde. Die Migration ist erforderlich, um Identitätsinformationen aus dem Identitätsschema, das in der Sicherung verwendet wird, in das vom Identitätsdienst verwendete Identitätsschema zu füllen.

Identitätsschema von Tableau Server 2021.4 (und früher)

Das Identitätsschema, das von dem alten Identitätsspeicher-Modus verwendet wird, besteht aus zwei Tabellen, "system_users" und "domains".

Identitätsschema von Tableau Server 2022.1 (und höher)

Das vom Identitätsdienst verwendete Identitätsschema umfasst die alten "system_users"-Tabellen und ergänzende Identitätsdienst-Tabellen (*_identity_stores und *identities), in denen weitere Identitätsinformationen erfasst werden. Mithilfe dieser zusätzlichen Tabellen können Probleme reduziert werden, die durch Upstream-Änderungen in den externen Identitätsspeichern verursacht werden können.

Was während der Identitätsmigration passiert

Wenn Informationen über Benutzeridentitäten migriert werden, werden Identitätsinformationen, die in der alten "system_users"-Tabelle gespeichert sind, durch die Identitätsdienst-Tabellen ergänzt.

Mit welchem Typ von Identitätsdienst-Tabellen die Identitätsinformationen ergänzt werden, hängt davon ab, für welchen Typ von Identitätsspeicher Tableau Server konfiguriert ist: lokal, AD (Active Directory) oder LDAP (Lightweight Directory Access Protocol).

  • Bei Identitätsspeichern vom Typ AD erben Identitätsdienst-Tabellen nur eindeutige Attribute oder Attribute, die nicht in dem selben Datenbank-Datensatz gespeichert sind.

    So können beispielsweise "sAMAccountNAme" und "userPrincipalName" (UPN) im gleichen Namensdatensatz einer alten "systems_users"-Tabelle gespeichert werden (was als Ergebnis einer komplexen Reihe von Regeln vorkommen kann). In den meisten Fällen ist die Migration in der Lage, die Benutzeridentität richtig zu interpretieren und erfolgreich zu migrieren. Wenn die Migration jedoch zu mehrdeutigen Ergebnissen führt, müssen Sie die Mehrdeutigkeit entweder manuell bestätigen oder den Konflikt auf der dedizierten Identitätsmigrationsseite manuell lösen. Weitere Informationen finden Sie unter Lösen von Konflikten bei der Identitätsmigration.

  • Bei Identitätsspeichern vom Typ LDAP erben Identitätsdienst-Tabellen wie bei AD-Identitätsspeichertypen nur eindeutige Attribute. In den meisten Fällen ist die Migration in der Lage, die Benutzeridentität richtig zu interpretieren und erfolgreich zu migrieren. Wenn die Migration jedoch zu mehrdeutigen Ergebnissen führt, müssen Sie die Mehrdeutigkeit entweder manuell bestätigen oder den Konflikt auf der dedizierten Identitätsmigrationsseite manuell lösen. Weitere Informationen finden Sie unter Lösen von Konflikten bei der Identitätsmigration.

  • Bei Identitätsspeichern vom Typ Lokal erben Identitätsdienst-Tabellen die Benutzer- und Domänenfelder direkt. Das bedeutet, dass Sie keine zusätzlichen Informationen angeben oder Konflikte manuell lösen müssen. Wenn Tableau Server für diesen Typ von Identitätsspeicher konfiguriert ist, erfolgt die Migration von Benutzeridentitäten nach dem Sicherungs-Wiederherstellungs-Prozess von Tableau Server.

Schritt 1: Bevor Sie beginnen

Bevor Sie beginnen, identifizieren Sie unten Ihre Tableau Server-Upgrade-Methode, um die nächsten Schritte bei der Identitätsmigration festzulegen.

  • Wenn Sie ein Blue/Green-Upgrade durchführen oder ein manuelles Upgrade von Tableau Server vornehmen, indem Sie (1.) Tableau Server zuerst auf einem neuen Computer installieren und dann (2) Tableau Server mithilfe der tsm maintenance (backup und restore)-Befehle sichern und wiederherstellen, müssen Sie einige zusätzliche Schritte durchführen, um die Migration zu initiieren.

    Weitere Informationen dazu finden Sie unter Fehlerbehebung bei Problemen mit der Identitätsmigration.

  • Wenn Sie mit der hier beschriebenen Methode ein direktes Upgrade von Tableau Server auf einem einzelnen Server oder auf mehreren Knoten vornehmen, sind keine zusätzlichen Schritte erforderlich, um die Migration einzuleiten. Die Migration wird initiiert, nachdem das Tableau Server-Upgrade auf Version 2022.1 (oder höher) abgeschlossen ist.

    Machen Sie mit Schritt 2 weiter.

  • Wenn Sie ein manuelles Upgrade von Tableau Server vornehmen, indem Sie Tableau Server zuerst auf einem neuen Computer installieren und dann Konfigurations- und Topologieinformationen mithilfe der tsm settings (export und import)-Befehle exportieren und importieren, müssen Sie ebenfalls keine zusätzlichen Schritte durchführen, um die Migration einzuleiten. Die Migration wird initiiert, nachdem der Importvorgang auf dem neuen Tableau Server-Computer abgeschlossen ist.

    Machen Sie mit Schritt 2 weiter.

Schritt 2: Starten der Identitätsmigration

Um die Identitätsmigration zu starten, müssen Sie die Identitätsmigrationsfunktion mit dem tsm-Befehl Features.IdentityMigrationBackgroundJob aktivieren.

Hinweis: Wenn Sie ein Upgrade auf die Tableau Server-Versionen 2021.4.21, 2022.1.17, 2022.3.9 und 2023.1.5 durchgeführt haben, startet die Identitätsmigration standardmäßig und Sie können fortfahren mit Schritt 3: Abschließen der Identitätsmigration.

  1. Öffnen Sie auf dem Ausgangsknoten (dem Knoten, auf dem TSM installiert ist) als Admin eine Eingabeaufforderung im Cluster.

  2. Führen Sie den folgenden Befehl aus:

    tsm configuration set -k features.IdentityMigrationBackgroundJob -v true

Nachdem die Identitätsmigration begonnen hat, wird in Tableau Server eine Benachrichtigung angezeigt, die Sie zur Seite „Identitätsmigration“ weiterleitet. Auf der Seite „Identitätsmigration“ können Sie den Status der Identitätsmigration und Identitätskonflikte überwachen, die gelöst werden müssen.

Schritt 3: Abschließen der Identitätsmigration

Um die Identitätsmigration abzuschließen, müssen alle Identitätskonflikte gelöst oder bestätigt werden, bevor Sie den Identitätsdienst für Tableau Server aktivieren können.

  1. Melden Sie sich als Administrator in Tableau Server an.
  2. Wählen Sie im linken Navigationsbereich Benutzer (oder bei einem Tableau Server mit mehreren Sites Alle Sites > Benutzer) aus und klicken Sie dann auf die Seite Identitätsmigration, um zu überprüfen, dass die Migration gestartet wurde.

    Sie können den Fortschritt mithilfe der dedizierten Identitätsmigrationsseite überwachen und verwalten, die auf der Seite "Benutzer" von Tableau Server verfügbar ist. Weitere Informationen finden Sie unter Verwalten der Identitätsmigration.

  3. Lösen oder bestätigen Sie alle Identitätskonflikte wie unter Lösen von Konflikten bei der Identitätsmigration beschrieben, sodass auf der Registerkarte Alle Fehler wie in der Abbildung unten "0" angezeigt wird.

  4. Führen Sie einen der folgenden Schritte aus:

    • Wenn der Identitätsmigrationsauftrag sofort ausgeführt werden soll, klicken Sie auf den Dropdown-Pfeil "Zeitplan bearbeiten" neben der Überschrift "Migrationsübersicht", und wählen Sie dann Jetzt ausführen aus.

    • Alternativ dazu können Sie auch warten, bis der Migrationsauftrag zum nächsten geplanten Zeitpunkt ausgeführt wird.
  5. Überprüfen Sie nach Abschluss der Migration, dass auf der Seite "Identitätsmigration" in der "Migrationsübersicht" der Eintrag 100 % abgeschlossen angezeigt wird.

Schritt 4: Konfigurieren von Tableau Server für die Verwendung des Identitätsdienstes

Nach Abschluss der Identitätsmigration konfigurieren Sie Tableau Server für die Verwendung des Identitätsdienstes, um eine sicherere und unveränderliche Identitätsstruktur für den Benutzerbereitstellungs- und -authentifizierungsprozess zu gewährleisten.

  1. Öffnen Sie als Administrator eine Eingabeaufforderung auf dem Ausgangsknoten (auf dem TSM installiert ist) in dem Cluster.
  2. Führen Sie die folgenden Befehle aus:

    tsm authentication legacy-identity-mode disable
    tsm pending-changes apply

    Hinweis: Nach dem Ausführen der obigen Befehle wird die dedizierte Identitätsmigrationsseite entfernt und ist nicht mehr zugänglich. Die Seite ist nur dann zugänglich, wenn tsm authentication legacy-identity-mode aktiviert ist.

Wenn sich Benutzer bei Tableau Server anmelden, nachdem Tableau Server für die Verwendung des Identitätsdienstes konfiguriert wurde, sucht Tableau Server anhand ihrer Bezeichner im konfigurierten Identitätsspeicher nach ihren Benutzeridentitäten. Ausgehend von den Bezeichnern werden die universellen eindeutigen Bezeichner (UUID) zurückgegeben und verwendet, um vorhandene Tableau Server-Benutzeridentitäten abzugleichen. Dieser Prozess generiert dann Sitzungen für die Benutzer und schließt den Authentifizierungsworkflow ab.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.