Einrichten und Verwalten von Identitätspools
Um Identitätspools zu erstellen und zu verwalten, müssen Sie mit der Tableau REST OpenAPI entsprechend den Identitätspool-Methoden(Link wird in neuem Fenster geöffnet) programmgesteuert Aufrufe durchführen. Um Benutzer zu einem Identitätspool hinzuzufügen oder dort zu verwalten, können Sie die Tableau Server-Benutzeroberfläche (UI) direkt oder über die Tableau-REST-API verwenden.
Der Einrichtungsprozess für Identitätspools wird in den folgenden Schritten beschrieben.
- Konfigurieren Sie Tableau Server und richten Sie eine Sitzung ein.
- Sie können Benutzer bereitstellen, indem Sie eine neue lokale Identitätsspeicherinstanz einrichten. Hinweis: Sie können diesen Schritt überspringen, indem Sie einen vorhandenen lokalen Identitätsspeicher oder den externen Identitätsspeicher verwenden, den Sie während der Tableau Server-Einrichtung in TSM konfiguriert haben.
- Richten Sie die Authentifizierung ein, um Ihre Benutzer mit OpenID Connect (OIDC) bei Tableau Server zu authentifizieren.
- Erstellen Sie einen Identitätspool, der den Identitätsspeicher und die OIDC-Authentifizierung verwendet, die von Ihnen konfiguriert wurden.
- Fügen Sie Benutzer zu einem Identitätspool hinzu, indem Sie Benutzern über die Tableau Server-Benutzeroberfläche oder die REST-API die Anmeldung bei Tableau Server ermöglichen.
Nach der Einrichtung können Sie Ihre Identitätspools testen, verwalten und Fehler darin beheben .
Hinweis: Sie können die Postman-Sammlung Identitätspools(Link wird in neuem Fenster geöffnet) im Postman-Arbeitsbereich des Salesforce-Entwicklers verwenden, um die in diesem Thema beschriebenen Methoden kennenzulernen, zu entwickeln und zu testen.
Voraussetzungen
Bevor Sie mit Identitätspools beginnen, müssen die folgenden Voraussetzungen gegeben sein:
- Die Integration mit einem OIDC-Identitätsanbieter (IdP) wie Okta wurde bereits konfiguriert.
- Sie verwenden Tableau Server 2023.1 oder höher.
- Sie haben die Identitätsmigration(Link wird in neuem Fenster geöffnet) durchgeführt, falls Sie Tableau Server nach Ihrem Upgrade von Version 2021.4 oder früher verwenden.
Erste Schritte
Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten
Das Aktivieren von Änderungen im Zusammenhang mit der Einrichtung von Identitätspools erfordert eine einmalige TSM-Konfiguration und eine Deklaration von Sitzungs- und Hostvariablen.
Öffnen Sie als Administrator eine Eingabeaufforderung auf dem Ausgangsknoten (auf dem TSM installiert ist) in dem Cluster.
Führen Sie den folgenden Befehl aus:
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
Sie können beispielsweise die folgenden Befehle ausführen, um Ihren Tableau Server "http://myco" zu konfigurieren:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Weitere Informationen finden Sie unter gateway.external_url(Link wird in neuem Fenster geöffnet).
(Optional) Führen Sie die folgenden Befehle aus, um eine Beschreibung für den anfänglichen Pool hinzuzufügen (TSM konfiguriert):
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
Sie können beispielsweise die folgenden Befehle ausführen, um die Beschreibung "Anmeldung für MyCo-Mitarbeiter" hinzuzufügen:
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Weitere Informationen finden Sie unter wgserver.authentication.identity_pools.default_pool_description(Link wird in neuem Fenster geöffnet).
Melden Sie sich bei Tableau Server als Administrator an und gehen Sie folgendermaßen vor:
- Gehen Sie zu den Entwicklertools des Browsers und navigieren Sie zu den Cookies der Anwendung.
- Notieren Sie sich den Wert workgroup_session_id.
Wenn Sie beispielsweise in Chrome arbeiten, klicken Sie mit der rechten Maustaste auf eine beliebige Stelle auf der Tableau Server-Startseite und wählen Sie Überprüfen. Klicken Sie im oberen Navigationsbereich auf Anwendung und danach im linken Navigationsbereich auf Cookies. Klicken Sie unter "Cookies" auf Ihren Tableau Server-Namen, z. B. http://myco.com, und notieren Sie sich den Wert workgroup_session_id, den Sie im mittleren Bereich finden.
Gehen Sie im Skript- oder API-Entwicklertool, das Sie zum Stellen von Identitätspoolanforderungen mit der Tableau REST OpenAPI verwenden, wie folgt vor:
- Fügen Sie den Wert workgroup_session_id als globale Variable hinzu.
- Fügen Sie außerdem Port 80, den Host (Ihre Tableau Server-URL) und das Protokoll (HTTP oder HTTPS) zu Ihren globalen Variablen hinzu.
Die folgende Tabelle zeigt beispielsweise die für Ihren Tableau Server "http://myco" erforderlichen globalen Variablen.
Globale Variable | Wert |
---|---|
Arbeitsgruppensitzungs-ID | AbC_2abcDefDwGVzPu1hCQ|FJk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|ca608d3c-fc01-4e40-ae5e-9b2131e4e7mm |
Port | 80 |
Host | http://myco |
Protokoll | HTTP |
Schritt 2: Identitätsspeicher einrichten
Sie müssen für Tableau Server einen Identitätsspeicher konfigurieren, um Ihre Tableau Server-Benutzer beziehen oder bereitstellen zu können.
Beim Einrichten eines Identitätspools können Sie einen neuen oder vorhandenen lokalen Identitätsspeicher(Link wird in neuem Fenster geöffnet) verwenden oder auch einen externen Identitätsspeicher(Link wird in neuem Fenster geöffnet), entweder Active Directory (AD) oder Lightweight Directory Access Protocol (LDAP), wenn dieser externe Identitätsspeicher während der Einrichtung von Tableau Server konfiguriert wurde.
Hinweis: Zusätzliche AD- oder LDAP-Instanzen, bei denen es sich nicht um die AD- oder LDAP-Instanz handelt, die Sie während der Einrichtung von Tableau Server in TSM konfiguriert haben (auch als Anfangspool (TSM-konfiguriert) bezeichnet), können nicht mit Identitätspools konfiguriert werden.
Um einen neuen lokalen Identitätsspeicher einzurichten, verwenden Sie das folgende Verfahren. Sie können zu Schritt 3: Authentifizierung einrichten springen, wenn Sie einen vorhandenen lokalen Identitätsspeicher oder den Identitätsspeicher verwenden möchten, den Sie während der Einrichtung von Tableau Server konfiguriert haben.
Stellen Sie eine Anmelde(Link wird in neuem Fenster geöffnet)-Anfrage an die Tableau-REST-API, um ein Anmeldeinformations-Token zu generieren.
Beispiel
URI
POST https://myco/api/3.19/auth/signin
Nachdem das Anmeldeinformations-Token generiert wurde, fügen Sie es dem Header aller nachfolgenden API-Anforderungen hinzu.
Konfigurieren Sie den Identitätsspeicher, indem Sie mit der Tableau-REST-API OpenAPI den Endpunkt Identitätsspeicher konfigurieren(Link wird in neuem Fenster geöffnet) aufrufen.
Geben Sie in der Anfrage das Folgende an:
- Typ. Der Typwert ist für einen lokalen Identitätsspeichertyp immer 0. Wenn Sie einen vorhandenen lokalen Identitätsspeicher oder den Identitätsspeicher verwenden möchten, den Sie während der Einrichtung von Tableau Server in TSM konfiguriert haben, müssen Sie keine neue Instanz des lokalen Identitätsspeichers einrichten. Fahren Sie stattdessen unten fort mit Schritt 3: Authentifizierung einrichten.
- Name. Der Name muss eindeutig sein.
- Anzeigename. Dieser ist optional.
Beispiel
URI
https://myco/api/services/authn-service/identity-stores/
Anforderungstext (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Antworttext
Keine
Schritt 3: Authentifizierung einrichten
Sie können die Authentifizierungsmethode OpenID Connect (OIDC) konfigurieren, um Ihre Benutzer zu authentifizieren.
Hinweis: OIDC ist derzeit die einzige Authentifizierungsmethode, die mit Identitätspools konfiguriert werden kann, unabhängig vom Identitätsspeichertyp, den Sie mit dem Identitätspool verwenden.
Rufen Sie nach dem Einrichten eines Identitätsspeichers mit der Tableau-REST-API OpenAPI den Endpunkt Authentifizierungskonfiguration erstellen(Link wird in neuem Fenster geöffnet) auf.
Geben Sie in der Anfrage das Folgende an:
Authentifizierungstyp. Der Wert für den Authentifizierungstyp ist "
OIDC
".- iFrame. Der Standardwert für den iFrame lautet "
false
". Die erforderliche OIDC-Client-ID, das Client-Geheimnis, die Konfigurations-URL, der ID-Anspruch, die Client-Authentifizierung und der Benutzername-Anspruch.
- Die Client-ID und das Client-Geheimnis werden von Ihrem OIDC-IdP bereitgestellt.
- Die Konfigurations-URL wird auch von Ihrem IdP bereitgestellt. Für die URL kann normalerweise das folgende Format verwendet werden:
https://<idp_url>/.well-known/openid-configuration
. - Der Standardwert des ID-Anspruchs ist "
sub
". Weitere Informationen finden Sie unter Ändern des sub-Anspruchs. - Der Standardwert der Client-Authentifizierung ist "
CLIENT_SECRET_BASIC
". - Der Standardwert des Benutzername-Anspruchs ist "
email
". Weitere Informationen finden Sie unter Standard: Verwenden des "email"-Anspruchs zum Zuordnen von Benutzern.
Über den Benutzernamen-Anspruch
Tableau verwendet den Benutzernamen-Anspruch für den Identitätsabgleich. Wenn Sie beim Hinzufügen von Benutzern zu Tableau Server eine Kennung angeben, wird diese verwendet, um mit dem im Benutzernamen-Anspruch bereitgestellten Wert einen Abgleich vorzunehmen. Wenn keine Kennung angegeben wird, verwendet Tableau standardmäßig den in Tableau Server angegebenen Benutzernamen.
Hinweise:
- Wenn Sie beabsichtigen, diese Authentifizierungskonfiguration mit einem Identitätspool zu verwenden, der AD als Identitätsspeicher nutzt, stellen Sie sicher, dass der zugewiesene Benutzer den AD-Wert "sAMAccountName" im Benutzernamen-Anspruch hat.
- Wenn Sie beabsichtigen, diese Authentifizierungskonfiguration mit einem Identitätspool zu verwenden, der LDAP als Identitätsspeicher nutzt, stellen Sie sicher, dass der zugewiesene Benutzer den LDAP-Wert "username" im Benutzernamen-Anspruch hat.
Beispiel
URI
https://myco/api/services/authn-service/auth-configurations/
Anforderungstext (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "0oa1hotzhjv4tyCd08",
"client_secret": "EsKd2NCxY-BiLu_zcIwr2lJZLziT_7sw9Fi6HV3",
"config_url": "https://dev-532601-admin.oktapreview.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Antworttext
Keine
Schritt 4: Identitätspool erstellen
Abhängig vom Identitätsspeicher, den Sie während der Einrichtung von Tableau Server konfiguriert haben, kann der von Ihnen erstellte Identitätspool nur eine der folgenden Kombinationen aus Identitätsspeicher und Authentifizierungsmethode aufweisen:
- AD-Identitätsspeicher + OIDC-Authentifizierung
- LDAP-Identitätsspeicher + OIDC-Authentifizierung
- Lokaler Identitätsspeicher + OIDC-Authentifizierung
Bei den ersten beiden Kombinationen muss der anfängliche Pool (TSM konfiguriert) für die Verwendung von AD oder LDAP konfiguriert sein.
Das unten beschriebene Verfahren erstellt einen Identitätspool mit der letzten Kombination „Lokaler Identitätsspeicher + OIDC-Authentifizierung“.
Rufen Sie nach dem Konfigurieren der OIDC-Authentifizierung den Endpunkt Identitätspool erstellen(Link wird in neuem Fenster geöffnet) mit der Tableau-REST-API OpenAPI auf.
Geben Sie in der Anfrage das Folgende an:
Name und Beschreibung für den Identitätspool. Sowohl der Name als auch die Beschreibung des Identitätspools sind auf der Zielseite von Tableau Server für alle Benutzer sichtbar.
Identitätsspeicher-Instanz-ID und Authentifizierungstyp-Instanz-ID.
Hinweise:
- Die Instanz-ID des Identitätsspeichers und des Authentifizierungstyps können Sie über die Endpunkte Identitätsspeicher auflisten(Link wird in neuem Fenster geöffnet) und Authentifizierungskonfigurationen auflisten(Link wird in neuem Fenster geöffnet) abrufen.
Wenn Sie einen Identitätspool erstellen möchten, der den Identitätsspeicher verwendet, den Sie in TSM während der Einrichtung von Tableau Server konfiguriert haben, lautet der Wert der Identitätsspeicherinstanz immer
'1'
.
Beispiel
URI
https://myco/api/services/authn-service/identity-pools/
Anforderungstext (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Beispielantworttext
Keine
Wechseln Sie nach dem Erstellen des Identitätspools zu Ihren IdP-Konfigurationen und legen Sie den Anmeldungsumleitungs-URI folgendermaßen fest:
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Beispiel:
http://myco/authn-service/authenticate/oidc/57tgfe21-74d2-3h78-bdg6-g2g6h4734564/login
.Hinweis: Um die Identitätspool-ID zu erhalten, können Sie den Endpunkt Identitätspools auflisten(Link wird in neuem Fenster geöffnet) aufrufen.
Hinweise:
- Sie können so viele Identitätspools erstellen, wie Ihre Organisation benötigt.
- Vom anfänglichen Pool (TSM konfiguriert) werden andere Identitätsspeichertypen und Authentifizierungsmethoden unterstützt. Weitere Informationen finden Sie unter Authentifizierung.
Schritt 5: Benutzer einem Identitätspool hinzufügen
Sie können Tableau Server direkt verwenden, um Benutzer zu einem Identitätspool hinzuzufügen. Benutzer müssen zum anfänglichen Pool (TSM konfiguriert) gehören oder zu einem Identitätspool hinzugefügt werden, damit sie sich bei Tableau Server anmelden können. Beim Hinzufügen von Benutzern zu einem Identitätspool kann sich Ihr Workflow abhängig vom Identitätsspeicher, der mit dem Identitätspool konfiguriert wurde, ändern.
Im Folgenden wird beschrieben, wie Sie Benutzer über die Tableau Server-Benutzeroberfläche zu einem Identitätspool hinzufügen. Sie können Benutzer jedoch auch mithilfe der Tableau-REST-API zu einem Identitätspool hinzufügen, indem Sie den Endpunkt Benutzer zum Identitätspool hinzufügen(Link wird in neuem Fenster geöffnet) aufrufen.
Melden Sie sich bei Tableau Server als Administrator an.
Wählen Sie im linken Navigationsbereich Benutzer (oder bei einem Tableau Server mit mehreren Sites Alle Sites > Benutzer) aus.
Klicken Sie auf die Schaltfläche Benutzer hinzufügen und wählen Sie Neuen Benutzer erstellen oder Benutzer aus Datei importieren.
Für Neuen Benutzer erstellen:
Wählen Sie den Identitätspool aus, dem Sie den neuen Benutzer hinzufügen möchten, und klicken Sie dann auf "Weiter".
Wenn Sie einen Identitätspool ausgewählt haben, der mit einem AD- oder LDAP-Identitätsspeicher konfiguriert ist, geben Sie Benutzernamen ein und weisen Sie die Site-Mitgliedschaft und Site-Rollen zu. Klicken Sie danach auf die Schaltfläche "Benutzer importieren".
Wenn Sie einen Identitätspool ausgewählt haben, der mit einem lokalen Identitätsspeicher konfiguriert ist, geben Sie den Benutzernamen ein. Das Dialogfeld wird erweitert, sodass Sie einen Anzeigenamen, eine Kennung (in den meisten Fällen) und eine E-Mail-Adresse hinzufügen sowie Sites und Site-Rollen festlegen können. Klicken Sie danach auf die Schaltfläche Benutzer erstellen.
Weitere Informationen zu Benutzernamen und zum Zuweisen von Site-Mitgliedschaften und Site-Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern.
Über Benutzernamen und Kennungen in Tableau
Ein Benutzername ist die Information, die den Systembenutzer darstellt. Ein Bezeichner wird verwendet, um die Information "Benutzernamen" zu ergänzen, und kann von externen Identitätsspeichern als Alternative zu Benutzernamen verwendet werden.
Ein Benutzername ist in Tableau ein unumstößlicher Wert, der zur Anmeldung bei Tableau verwendet wird, während Bezeichner flexible Werte sind, die in der Identitätsstruktur von Tableau als eine Möglichkeit verwendet werden, um Benutzer ihren Benutzernamen zuzuordnen. Bezeichner ermöglichen Tableau eine größere Flexibilität, da sie vom Benutzernamen abweichen können. Wenn an dem Benutzernamen im externen Identitätsspeicher Änderungen vorgenommen werden, können Tableau Server-Administratoren den Bezeichner aktualisieren, um sicherzustellen, dass Benutzer den korrekten Benutzernamen zugeordnet werden.
Wenn Sie einem Identitätspool einen vorhandenen Benutzer hinzufügen, erwarten Sie möglicherweise, dass Sie einen Bezeichner festlegen können. Wenn beispielsweise ein vorhandener Benutzer zu einem Identitätspool gehört, der mit einem lokalen Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem AD-Identitätsspeicher konfiguriert ist, werden Sie gebeten, den Benutzernamen anzugeben, um nach Bezeichnern zu suchen, die diesem Benutzer zugeordnet sind. Gehört andererseits ein vorhandener Benutzer zu einem Identitätspool, der mit einem AD-Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem lokalen Identitätsspeicher konfiguriert ist, werden Sie gebeten, einen optionalen Bezeichner anzugeben. Eine Ausnahme hiervon ist, wenn Sie einen Benutzer dem Ausgangspool (TSM-konfiguriert) hinzufügen möchten, der mit einem lokalen Identitätsspeicher und lokaler Authentifizierung konfiguriert ist. Für diesen Benutzer wird es Ihnen nicht möglich sein, einen Bezeichner festzulegen.
Für Benutzer aus Datei importieren:
Laden Sie eine CSV-Datei hoch, die die folgenden Spalten in der angegebenen Reihenfolge enthält:
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Hinweis: Benutzername und Kennwort sind die einzigen erforderlichen Spalten. Wenn Sie jedoch den Namen des Identitätspools nicht angeben, wird der Benutzer dem anfänglichen Pool hinzugefügt (TSM konfiguriert). Weitere Informationen finden Sie in den Richtlinien für CSV-Importdatei.
Angenommen, Sie möchten Henry Wilson und Fred Suzuki zum Generalunternehmer-Identitätspool hinzufügen. Ihre CSV-Datei könnte in diesem Fall die folgenden Werte enthalten:
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Hinweis: Wenn ein oder mehrere Identitätspools erstellt werden, wird die Tableau Server-Zielseite aktualisiert, sodass Anmeldeoptionen für Benutzer enthalten sind, die Mitglieder dieser Identitätspools sind. Weitere Informationen finden Sie unter Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools.
Testen von Identitätspools
Nachdem Sie einen Identitätspool eingerichtet haben, empfehlen wir Ihnen, ihn zu testen, indem Sie sich von Tableau Server abmelden und sich erneut als Benutzer anmelden, der zum Identitätspool gehört. Schließen Sie den Anmeldevorgang ab, um sicherzustellen, dass die OIDC-Authentifizierung richtig konfiguriert wurde.
Hinweis: Wenn Sie eine optionale Beschreibung für den anfänglichen Pool (TSM konfiguriert) in Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten konfiguriert haben oder für Tableau Server der Hinweis Servereinstellungen (Allgemein und Anpassung) angezeigt wird, empfehlen wir, die Beschreibung für diejenigen Benutzer zu verwenden, die sich über den anfänglichen Pool (TSM konfiguriert) anmelden, und den Hinweis zur Anpassung der Anmeldung für alle Benutzer zu verwenden, die sich bei Tableau Server anmelden.
Verwalten von Identitätspools
Sie können die Benutzer in Identitätspools auf der Seite "Benutzer" sowohl auf Server- als auch auf Site-Ebene verwalten. Auf der Seite "Benutzer" können Sie sehen, zu welchen Identitätspools Benutzer gehören, sowie zusammenfassende Details zum Identitätspool anzeigen.
Verwenden Sie für alle anderen Verwaltungsaufgaben von Identitätspools, einschließlich der Aktualisierung einer Authentifizierungskonfiguration oder eines Identitätspools und des Löschens eines lokalen Identitätsspeichers oder Identitätspools, die Tableau REST API OpenAPI, die in den Identitätspool-Methoden(Link wird in neuem Fenster geöffnet) beschrieben wird.
Fehlerbehebung bei Identitätspools
Einschränkungen bei Identitätspools
Identitätspools sind nur mit Tableau Server verfügbar.
Hinweis: Identitätspools sind derzeit nur für die Konfiguration auf Serverebene verfügbar. Identitätspools können nicht auf eine Site bezogen werden.
Die Zielseite von Tableau Server zeigt IdP-Fehler an
Auf der Zielseite von Tableau Server wird unter der primären Anmeldeoption neben einer Identitätspool-Anmeldeoption möglicherweise eine IdP-bezogene Fehlermeldung angezeigt. Dieses Problem im Zusammenhang mit der OIDC-Authentifizierung kann auftreten, wenn eine oder beide der folgenden Bedingungen zutreffen: 1) Tableau Server wurde nicht zum Senden einer externen URL an den IdP konfiguriert und 2) die globalen Variablen wurden nicht deklariert.
Um dieses Problem zu beheben, stellen Sie sicher, dass Sie das oben in Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten beschriebene Verfahren durchführen.
Auf der Zielseite von Tableau Server werden keine Identitätspools angezeigt
Wenn die Identitätspoolfunktion deaktiviert ist, können Sie sie mit den folgenden TSM-Befehlen wieder aktivieren:
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Hinweis: Das Ausführen dieser Befehle führt zum Neustart von Tableau Server.