Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools
Neu in der Tableau Server-Version 2023.1 sind Identitätspools, ein Tool zur Verwaltung von Identitäten, das Bereitstellungs- und Authentifizierungsinformationen verwendet, um den Zugriff von Benutzern auf Tableau Server zu gewähren. Identitätspools ermöglichen einen stärker zentralisierten und flexibleren Identitätsmanagement-Workflow, der auf dem Identitätsdienst(Link wird in neuem Fenster geöffnet) für die Speicherung und Verwaltung von Benutzeridentitäten in Tableau Server basiert.
Identitätspools ersetzen nicht die Benutzerbereitstellungs- und Authentifizierungskonfigurationen, die Sie mit Tableau Services Manager (TSM) während der Einrichtung von Tableau Server vornehmen. Stattdessen sind Identitätspools darauf ausgelegt, zusätzliche Benutzerbereitstellungs- und Authentifizierungsoptionen zu bieten und zu unterstützen, die Sie möglicherweise in Ihrer Organisation benötigen, insbesondere wenn TSM mit Active Directory (AD) oder Lightweight Directory Access Protocol (LDAP) konfiguriert ist. Nach der Einrichtung von Tableau Server bieten Identitätspools eine alternative Methode für Tableau Server-Administratoren, Ihrer Tableau Server-Bereitstellung Benutzer hinzuzufügen. Hierbei handelt es sich häufig um externe Benutzer, Partner oder Auftragnehmer.
Identitätspools sind für die folgenden Anwendungsfälle optimiert:
Externe Benutzer: Eine großes Unternehmen, das keine externen Benutzer zum internen AD hinzufügen möchte.
Angenommen, Ihre Organisation hat zwei Arten von Mitarbeitern: reguläre Mitarbeiter und Vertragsmitarbeiter. Ihre regulären Mitarbeiter werden über Active Directory (AD) mit SAML authentifiziert. Die Verwaltung der Authentifizierung erfolgt über Ihren IdP Okta. Ihre Vertragsmitarbeiter setzen sich aus Benutzern zusammen, denen normalerweise eine temporäre Gruppenmitgliedschaft zugewiesen wird oder die Teil einer anderen Organisation sind, die Benutzer außerhalb von AD bereitstellt und separat authentifiziert. Mit Identitätspools können Sie Tableau Server-Benutzer hinzufügen, die sich außerhalb Ihres AD befinden.
Mehrere Identitätsspeicher: Eine Organisation, die SaaS-Anwendungen hostet, die Benutzer aus mehreren Identitätsspeichern bezieht.
Angenommen, Ihre Organisation gibt Tableau-Inhalte von einer einzigen Site aus für mehrere externe Organisationen frei. Sie können diese Benutzer mithilfe verschiedener Identitätspools, die mit lokalen Identitätsspeichern konfiguriert sind, trennen, um die Benutzer aus jeder Organisation einfacher zu identifizieren und zu verwalten.
Sicherheitsgrenzen zwischen internen Organisationen: Eine Organisation bestehend aus mehreren erworbenen Unterorganisationen mit unterschiedlichen Sicherheitsgrenzen.
Sie können beispielsweise Benutzer aus der neu erworbenen Organisation zu einem Identitätspool hinzufügen, der mit einem lokalen Identitätsspeicher konfiguriert ist, um die Komplexität zu vermeiden, die beim Kombinieren von Identitätsspeichern auftritt.
Was sind Identitätspools?
Ein Identitätspool besteht aus drei Hauptkomponenten: einem Identitätsspeicher zur Bereitstellung von Benutzern, der OpenID-Connect-Authentifizierung (OIDC) und zugewiesenen Benutzern.
Identitätsspeicher: Der Identitätsspeicher(Link wird in neuem Fenster geöffnet), über den Sie Ihre Benutzer beziehen oder bereitstellen, kann ein lokaler Identitätsspeicher oder ein externer Identitätsspeicher sein.
Im Falle eines lokalen Identitätsspeichers kann ein Identitätspool so konfiguriert werden, dass er einen vorhandenen oder einen neuen lokalen Identitätsspeicher verwendet. Hinweis: Lokale Authentifizierung wird nicht unterstützt.
Im Falle eines externen Identitätspools muss ein Identitätspool jedoch denselben externen Identitätsspeicher (AD oder LDAP) verwenden, den Sie während der Einrichtung von Tableau Server in TSM konfiguriert haben. Sie können einen Identitätspool nicht so konfigurieren, dass er einen anderen externen Identitätsspeicher verwendet.
Die Bereitstellungs- und Authentifizierungskonfigurationen, die Sie während der Einrichtung von Tableau Server in TSM vornehmen, werden als Standard-Pool oder "anfänglicher Pool (TSM konfiguriert)" bezeichnet.
Authentifizierung: Die einzige unterstützte Authentifizierungsmethode für einen Identitätspool ist OIDC(Link wird in neuem Fenster geöffnet).
Benutzer: Damit sich Benutzer bei Tableau Server anmelden können, müssen sie entweder aus dem anfänglichen Pool stammen (TSM konfiguriert) oder Mitglied mindestens eines Identitätspools sein.
Wann sollten Identitätspools verwendet werden?
Als Tableau Server-Administrator können Sie einen Identitätspool verwenden, um Ihre Benutzer entsprechend ihrer Herkunft und Authentifizierungsmethode bei Tableau Server in Identitätskohorten zu segmentieren. Obwohl die Identitätsspeicher- und Authentifizierungskonfigurationen, die Sie während der Einrichtung von Tableau Server in TSM vornehmen, auch als anfänglicher Pool bezeichnet (TSM konfiguriert), unverändert bleiben, können Identitätspools über Tableau Server konfiguriert werden.
Hinweis: Identitätspools sind derzeit nur für die Konfiguration auf Serverebene verfügbar. Identitätspools können nicht auf eine Site bezogen werden.
Mehr über Identitätspools
Anfänglicher Pool (TSM konfiguriert) im Vergleich zu Identitätspools
Wie oben erwähnt, wird die Kombination aus Bereitstellungs- und Authentifizierungskonfigurationen, die Sie während der Einrichtung von Tableau Server in TSM vornehmen, als "anfänglicher Pool (TSM konfiguriert)" bezeichnet. Der anfängliche Pool (TSM konfiguriert) ist eine erforderliche Komponente des Einrichtungsprozesses von Tableau Server und kann nicht geändert werden.
Dagegen ist ein Identitätspool optional, und Sie können beliebig viele Identitätspools direkt in Tableau Server erstellen.
Wie sich Identitätspools auf die Anmeldung von Benutzern auswirken
Wenn keine Identitätspools für Tableau Server erstellt werden, ändert sich nichts daran, wie Ihre Benutzer zur Tableau Server-Zielseite navigieren und sich bei Tableau Server anmelden.
Wenn ein oder mehrere Identitätspools erstellt werden, werden auf der Tableau Server-Zielseite mehrere Anmeldeoptionen angezeigt. Die primäre Anmeldeoption wird oben auf der Seite angezeigt. Über sie können sich diejenigen Benutzer anmelden, die zum anfänglichen Pool (TSM konfiguriert) gehören.
Unterhalb der primären Anmeldeoption befinden sich die sekundären Anmeldeoptionen. Jede Option stellt einen Identitätspool dar, der in der Reihenfolge angezeigt wird, in der er erstellt wurde. Benutzer, die diesen Pools zugewiesen sind, müssen sich mit der Option für den Identitätspool anmelden, zu dem sie gehören. Um Ihre Benutzer zur richtigen Anmeldeoption zu führen, ist es empfehlenswert, bei der Erstellung eines Identitätspools eine Beschreibung hinzufügen.
Anmerkung: Alle Benutzer können unabhängig von ihrer Poolmitgliedschaft alle für Tableau Server konfigurierten Pools sehen.
Benutzernamen und Kennungen in Tableau
Ein Benutzername ist die Information, die den Systembenutzer darstellt. Ein Bezeichner wird verwendet, um die Information "Benutzernamen" zu ergänzen, und kann von externen Identitätsspeichern als Alternative zu Benutzernamen verwendet werden.
Ein Benutzername ist in Tableau ein unumstößlicher Wert, der zur Anmeldung bei Tableau verwendet wird, während Bezeichner flexible Werte sind, die in der Identitätsstruktur von Tableau als eine Möglichkeit verwendet werden, um Benutzer ihren Benutzernamen zuzuordnen. Bezeichner ermöglichen Tableau eine größere Flexibilität, da sie vom Benutzernamen abweichen können. Wenn an dem Benutzernamen im externen Identitätsspeicher Änderungen vorgenommen werden, können Tableau Server-Administratoren den Bezeichner aktualisieren, um sicherzustellen, dass Benutzer den korrekten Benutzernamen zugeordnet werden.
Wenn Sie einem Identitätspool einen vorhandenen Benutzer hinzufügen, erwarten Sie möglicherweise, dass Sie einen Bezeichner festlegen können. Wenn beispielsweise ein vorhandener Benutzer zu einem Identitätspool gehört, der mit einem lokalen Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem AD-Identitätsspeicher konfiguriert ist, werden Sie gebeten, den Benutzernamen anzugeben, um nach Bezeichnern zu suchen, die diesem Benutzer zugeordnet sind. Gehört andererseits ein vorhandener Benutzer zu einem Identitätspool, der mit einem AD-Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem lokalen Identitätsspeicher konfiguriert ist, werden Sie gebeten, einen optionalen Bezeichner anzugeben. Eine Ausnahme hiervon ist, wenn Sie einen Benutzer dem Ausgangspool (TSM-konfiguriert) hinzufügen möchten, der mit einem lokalen Identitätsspeicher und lokaler Authentifizierung konfiguriert ist. Für diesen Benutzer wird es Ihnen nicht möglich sein, einen Bezeichner festzulegen.