Einrichten und Verwalten von Identitätspools

Um Identitätspools zu erstellen und zu verwalten, müssen Sie mit der Tableau REST OpenAPI entsprechend den Identitätspool-Methoden(Link wird in neuem Fenster geöffnet) programmgesteuert Aufrufe durchführen. Um Benutzer zu einem Identitätspool hinzuzufügen oder dort zu verwalten, können Sie die Tableau Server-Benutzeroberfläche (UI) direkt oder über die Tableau-REST-API verwenden.

Der Einrichtungsprozess für Identitätspools wird in den folgenden Schritten beschrieben.

  1. Konfigurieren Sie Tableau Server und richten Sie eine Sitzung ein.
  2. Sie können Benutzer bereitstellen, indem Sie eine neue lokale Identitätsspeicherinstanz einrichten. Hinweis: Sie können diesen Schritt überspringen, indem Sie einen vorhandenen lokalen Identitätsspeicher oder den externen Identitätsspeicher verwenden, den Sie während der Tableau Server-Einrichtung in TSM konfiguriert haben.
  3. Richten Sie die Authentifizierung ein, um Ihre Benutzer mit OpenID Connect (OIDC) bei Tableau Server zu authentifizieren.
  4. Erstellen Sie einen Identitätspool, der den Identitätsspeicher und die OIDC-Authentifizierung verwendet, die von Ihnen konfiguriert wurden.
  5. Fügen Sie Benutzer zu einem Identitätspool hinzu, indem Sie Benutzern über die Tableau Server-Benutzeroberfläche oder die REST-API die Anmeldung bei Tableau Server ermöglichen.

Nach der Einrichtung können Sie Ihre Identitätspools testen, verwalten und Fehler darin beheben .

Hinweis: Sie können die Postman-Sammlung Identitätspools(Link wird in neuem Fenster geöffnet) im Postman-Arbeitsbereich des Salesforce-Entwicklers verwenden, um die in diesem Thema beschriebenen Methoden kennenzulernen, zu entwickeln und zu testen.

Voraussetzungen

Bevor Sie mit Identitätspools beginnen, müssen die folgenden Voraussetzungen gegeben sein:

  • Die Integration mit einem OIDC-Identitätsanbieter (IdP) wie Okta wurde bereits konfiguriert.
  • Sie verwenden Tableau Server 2023.1 oder höher.
  • Sie haben die Identitätsmigration(Link wird in neuem Fenster geöffnet) abgeschlossen. Dies ist sowohl für neue Tableau Server-Bereitstellungen als auch für Tableau Server-Upgrades erforderlich.

Erste Schritte

Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten

Das Aktivieren von Änderungen im Zusammenhang mit der Einrichtung von Identitätspools erfordert eine einmalige TSM-Konfiguration und eine Deklaration von Sitzungs- und Hostvariablen.

  1. Öffnen Sie als Administrator eine Eingabeaufforderung auf dem Ausgangsknoten (auf dem TSM installiert ist) in dem Cluster.

  2. Führen Sie den folgenden Befehl aus:

    1. tsm configuration set -k gateway.external_url -v http://<host>
    2. tsm pending-changes apply

    Sie können beispielsweise die folgenden Befehle ausführen, um Ihren Tableau Server "http://myco" zu konfigurieren:

    tsm configuration set -k gateway.external_url -v http://myco
    tsm pending-changes apply

    Weitere Informationen finden Sie unter gateway.external_url(Link wird in neuem Fenster geöffnet).

  3. (Optional) Führen Sie die folgenden Befehle aus, um eine Beschreibung für den anfänglichen Pool hinzuzufügen (TSM konfiguriert):

    1. tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
    2. tsm pending-changes apply

    Sie können beispielsweise die folgenden Befehle ausführen, um die Beschreibung "Anmeldung für MyCo-Mitarbeiter" hinzuzufügen:

    tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
    tsm pending-changes apply

    Weitere Informationen finden Sie unter wgserver.authentication.identity_pools.default_pool_description(Link wird in neuem Fenster geöffnet).

  4. Melden Sie sich bei Tableau Server als Administrator an und gehen Sie folgendermaßen vor:

    1. Gehen Sie zu den Entwicklertools des Browsers und navigieren Sie zu den Cookies der Anwendung.
    2. Notieren Sie sich den Wert workgroup_session_id.

    Wenn Sie beispielsweise in Chrome arbeiten, klicken Sie mit der rechten Maustaste auf eine beliebige Stelle auf der Tableau Server-Startseite und wählen Sie Überprüfen. Klicken Sie im oberen Navigationsbereich auf Anwendung und danach im linken Navigationsbereich auf Cookies. Klicken Sie unter "Cookies" auf Ihren Tableau Server-Namen, z. B. http://myco.com, und notieren Sie sich den Wert workgroup_session_id, den Sie im mittleren Bereich finden.

  5. Gehen Sie im Skript- oder API-Entwicklertool, das Sie zum Stellen von Identitätspoolanforderungen mit der Tableau REST OpenAPI verwenden, wie folgt vor:

    1. Fügen Sie den Wert workgroup_session_id als globale Variable hinzu.
    2. Fügen Sie außerdem Port 80, den Host (Ihre Tableau Server-URL) und das Protokoll (HTTP oder HTTPS) zu Ihren globalen Variablen hinzu.

    Die folgende Tabelle zeigt beispielsweise die für Ihren Tableau Server "http://myco" erforderlichen globalen Variablen.

Globale VariableWert
Arbeitsgruppensitzungs-IDXxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx
Port80
Hosthttp://myco
ProtokollHTTP

Schritt 2: Identitätsspeicher einrichten

Sie müssen für Tableau Server einen Identitätsspeicher konfigurieren, um Ihre Tableau Server-Benutzer beziehen oder bereitstellen zu können.

Beim Einrichten eines Identitätspools können Sie einen neuen oder vorhandenen lokalen Identitätsspeicher(Link wird in neuem Fenster geöffnet) verwenden oder auch einen externen Identitätsspeicher(Link wird in neuem Fenster geöffnet), entweder Active Directory (AD) oder Lightweight Directory Access Protocol (LDAP), wenn dieser externe Identitätsspeicher während der Einrichtung von Tableau Server konfiguriert wurde.

Hinweis: Zusätzliche AD- oder LDAP-Instanzen, bei denen es sich nicht um die AD- oder LDAP-Instanz handelt, die Sie während der Einrichtung von Tableau Server in TSM konfiguriert haben (auch als Anfangspool (TSM-konfiguriert) bezeichnet), können nicht mit Identitätspools konfiguriert werden.

Um einen neuen lokalen Identitätsspeicher einzurichten, verwenden Sie das folgende Verfahren. Sie können zu Schritt 3: Authentifizierung einrichten springen, wenn Sie einen vorhandenen lokalen Identitätsspeicher oder den Identitätsspeicher verwenden möchten, den Sie während der Einrichtung von Tableau Server konfiguriert haben.

  1. Stellen Sie eine Anmelde(Link wird in neuem Fenster geöffnet)-Anfrage an die Tableau-REST-API, um ein Anmeldeinformations-Token zu generieren.

    Beispiel

    URI

    POST https://myco/api/3.19/auth/signin

  2. Nachdem das Anmeldeinformations-Token generiert wurde, fügen Sie es dem Header aller nachfolgenden API-Anforderungen hinzu.

  3. Konfigurieren Sie den Identitätsspeicher, indem Sie mit der Tableau-REST-API OpenAPI den Endpunkt Identitätsspeicher konfigurieren(Link wird in neuem Fenster geöffnet) aufrufen.

  4. Geben Sie in der Anfrage das Folgende an:

    1. Typ. Der Typwert ist für einen lokalen Identitätsspeichertyp immer 0. Wenn Sie einen vorhandenen lokalen Identitätsspeicher oder den Identitätsspeicher verwenden möchten, den Sie während der Einrichtung von Tableau Server in TSM konfiguriert haben, müssen Sie keine neue Instanz des lokalen Identitätsspeichers einrichten. Fahren Sie stattdessen unten fort mit Schritt 3: Authentifizierung einrichten.
    2. Name. Der Name muss eindeutig sein.
    3. Anzeigename. Dieser ist optional.

    Beispiel

    URI

    https://myco/api/services/authn-service/identity-stores/

    Anforderungstext (JSON)
    {
    "type": "0",
    "name": "Local identity store #1",
    "display_name": "Local identity store #1"
    }
    Antworttext

    Keine

Schritt 3: Authentifizierung einrichten

Sie können die Authentifizierungsmethode OpenID Connect (OIDC) konfigurieren, um Ihre Benutzer zu authentifizieren.

Hinweis: OIDC ist derzeit die einzige Authentifizierungsmethode, die mit Identitätspools konfiguriert werden kann, unabhängig vom Identitätsspeichertyp, den Sie mit dem Identitätspool verwenden.

  1. Rufen Sie nach dem Einrichten eines Identitätsspeichers mit der Tableau-REST-API OpenAPI den Endpunkt Authentifizierungskonfiguration erstellen(Link wird in neuem Fenster geöffnet) auf.

  2. Geben Sie in der Anfrage das Folgende an:

    1. Authentifizierungstyp. Der Wert für den Authentifizierungstyp ist "OIDC".

    2. iFrame. Der Standardwert für den iFrame lautet "false".
    3. Die erforderliche OIDC-Client-ID, das Client-Geheimnis, die Konfigurations-URL, der ID-Anspruch, die Client-Authentifizierung und der Benutzername-Anspruch.

      • Die Client-ID und das Client-Geheimnis werden von Ihrem OIDC-IdP bereitgestellt.
      • Die Konfigurations-URL wird auch von Ihrem IdP bereitgestellt. Für die URL kann normalerweise das folgende Format verwendet werden: https://<idp_url>/.well-known/openid-configuration.
      • Der Standardwert des ID-Anspruchs ist "sub". Weitere Informationen finden Sie unter Ändern des sub-Anspruchs.
      • Der Standardwert der Client-Authentifizierung ist "CLIENT_SECRET_BASIC".
      • Der Standardwert des Benutzername-Anspruchs ist "email". Weitere Informationen finden Sie unter Standard: Verwenden des "email"-Anspruchs zum Zuordnen von Benutzern.

      Über den Benutzernamen-Anspruch

      Tableau verwendet den Benutzernamen-Anspruch für den Identitätsabgleich. Wenn Sie beim Hinzufügen von Benutzern zu Tableau Server eine Kennung angeben, wird diese verwendet, um mit dem im Benutzernamen-Anspruch bereitgestellten Wert einen Abgleich vorzunehmen. Wenn keine Kennung angegeben wird, verwendet Tableau standardmäßig den in Tableau Server angegebenen Benutzernamen.

      Hinweise:

      • Wenn Sie beabsichtigen, diese Authentifizierungskonfiguration mit einem Identitätspool zu verwenden, der AD als Identitätsspeicher nutzt, stellen Sie sicher, dass der zugewiesene Benutzer den AD-Wert "sAMAccountName" im Benutzernamen-Anspruch hat.
      • Wenn Sie beabsichtigen, diese Authentifizierungskonfiguration mit einem Identitätspool zu verwenden, der LDAP als Identitätsspeicher nutzt, stellen Sie sicher, dass der zugewiesene Benutzer den LDAP-Wert "username" im Benutzernamen-Anspruch hat.

Beispiel

URI

https://myco/api/services/authn-service/auth-configurations/

Anforderungstext (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
	"client_id": "Xxx1hotzhjv4tyCxxX",
	"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
	"config_url": "https://admin.okta.com/.well-known/openid-configuration",
	"custom_scope": "",
	"id_claim": "sub",
	"username_claim": "email",
	"client_authentication": "CLIENT_SECRET_BASIC",
	"essential_acr_values": "",
	"voluntary_acr_values": "",
	"prompt": "login,consent",
	"connection_timeout": 100,
	"read_timeout": 100,
	"ignore_domain": false,
	"ignore_jwk": false
	}
}
Antworttext

Keine

Schritt 4: Identitätspool erstellen

Abhängig vom Identitätsspeicher, den Sie während der Einrichtung von Tableau Server konfiguriert haben, kann der von Ihnen erstellte Identitätspool nur eine der folgenden Kombinationen aus Identitätsspeicher und Authentifizierungsmethode aufweisen:

  • AD-Identitätsspeicher + OIDC-Authentifizierung
  • LDAP-Identitätsspeicher + OIDC-Authentifizierung
  • Lokaler Identitätsspeicher + OIDC-Authentifizierung

Bei den ersten beiden Kombinationen muss der anfängliche Pool (TSM konfiguriert) für die Verwendung von AD oder LDAP konfiguriert sein.

Das unten beschriebene Verfahren erstellt einen Identitätspool mit der letzten Kombination „Lokaler Identitätsspeicher + OIDC-Authentifizierung“.

  1. Rufen Sie nach dem Konfigurieren der OIDC-Authentifizierung den Endpunkt Identitätspool erstellen(Link wird in neuem Fenster geöffnet) mit der Tableau-REST-API OpenAPI auf.

  2. Geben Sie in der Anfrage das Folgende an:

    1. Name und Beschreibung für den Identitätspool. Sowohl der Name als auch die Beschreibung des Identitätspools sind auf der Zielseite von Tableau Server für alle Benutzer sichtbar.

    2. Identitätsspeicher-Instanz-ID und Authentifizierungstyp-Instanz-ID.

      Hinweise:

    Beispiel

    URI

    https://myco/api/services/authn-service/identity-pools/

    Anforderungstext (JSON)
    {
    "name": "MyCo contractors",
    "identity_store_instance": "2",
    "auth_type_instance": "0",
    "is_enabled": true,
    "description": "Sign-in for MyCo contractors"
    }

    Beispielantworttext

    Keine

  3. Wechseln Sie nach dem Erstellen des Identitätspools zu Ihren IdP-Konfigurationen und legen Sie den Anmeldungsumleitungs-URI folgendermaßen fest: http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.

    Beispiel: http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login.

    Hinweis: Um die Identitätspool-ID zu erhalten, können Sie den Endpunkt Identitätspools auflisten(Link wird in neuem Fenster geöffnet) aufrufen.

Hinweise:

  • Sie können so viele Identitätspools erstellen, wie Ihre Organisation benötigt.
  • Vom anfänglichen Pool (TSM konfiguriert) werden andere Identitätsspeichertypen und Authentifizierungsmethoden unterstützt. Weitere Informationen finden Sie unter Authentifizierung.

Schritt 5: Benutzer einem Identitätspool hinzufügen

Sie können Tableau Server direkt verwenden, um Benutzer zu einem Identitätspool hinzuzufügen. Benutzer müssen zum anfänglichen Pool (TSM konfiguriert) gehören oder zu einem Identitätspool hinzugefügt werden, damit sie sich bei Tableau Server anmelden können. Beim Hinzufügen von Benutzern zu einem Identitätspool kann sich Ihr Workflow abhängig vom Identitätsspeicher, der mit dem Identitätspool konfiguriert wurde, ändern.

Im Folgenden wird beschrieben, wie Sie Benutzer über die Tableau Server-Benutzeroberfläche zu einem Identitätspool hinzufügen. Sie können Benutzer jedoch auch mithilfe der Tableau-REST-API zu einem Identitätspool hinzufügen, indem Sie den Endpunkt Benutzer zum Identitätspool hinzufügen(Link wird in neuem Fenster geöffnet) aufrufen.

  1. Melden Sie sich bei Tableau Server als Administrator an.

  2. Wählen Sie im linken Navigationsbereich Benutzer (oder bei einem Tableau Server mit mehreren Sites Alle Sites > Benutzer) aus.

  3. Klicken Sie auf die Schaltfläche Benutzer hinzufügen und wählen Sie Neuen Benutzer erstellen oder Benutzer aus Datei importieren.

    Für Neuen Benutzer erstellen:

    1. Wählen Sie den Identitätspool aus, dem Sie den neuen Benutzer hinzufügen möchten, und klicken Sie dann auf "Weiter".

      1. Wenn Sie einen Identitätspool ausgewählt haben, der mit einem AD- oder LDAP-Identitätsspeicher konfiguriert ist, geben Sie Benutzernamen ein und weisen Sie die Site-Mitgliedschaft und Site-Rollen zu. Klicken Sie danach auf die Schaltfläche "Benutzer importieren".

      2. Wenn Sie einen Identitätspool ausgewählt haben, der mit einem lokalen Identitätsspeicher konfiguriert ist, geben Sie den Benutzernamen ein. Das Dialogfeld wird erweitert, sodass Sie einen Anzeigenamen, eine Kennung (in den meisten Fällen) und eine E-Mail-Adresse hinzufügen sowie Sites und Site-Rollen festlegen können. Klicken Sie danach auf die Schaltfläche Benutzer erstellen.

        Weitere Informationen zu Benutzernamen und zum Zuweisen von Site-Mitgliedschaften und Site-Rollen finden Sie unter Festlegen der Site-spezifischen Rollen von Benutzern.

        Über Benutzernamen und Kennungen in Tableau

        Ein Benutzername ist die Information, die den Systembenutzer darstellt. Ein Bezeichner wird verwendet, um die Information "Benutzernamen" zu ergänzen, und kann von externen Identitätsspeichern als Alternative zu Benutzernamen verwendet werden.

        Ein Benutzername ist in Tableau ein unumstößlicher Wert, der zur Anmeldung bei Tableau verwendet wird, während Bezeichner flexible Werte sind, die in der Identitätsstruktur von Tableau als eine Möglichkeit verwendet werden, um Benutzer ihren Benutzernamen zuzuordnen. Bezeichner ermöglichen Tableau eine größere Flexibilität, da sie vom Benutzernamen abweichen können. Wenn an dem Benutzernamen im externen Identitätsspeicher Änderungen vorgenommen werden, können Tableau Server-Administratoren den Bezeichner aktualisieren, um sicherzustellen, dass Benutzer den korrekten Benutzernamen zugeordnet werden.

        Wenn Sie einem Identitätspool einen vorhandenen Benutzer hinzufügen, erwarten Sie möglicherweise, dass Sie einen Bezeichner festlegen können. Wenn beispielsweise ein vorhandener Benutzer zu einem Identitätspool gehört, der mit einem lokalen Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem AD-Identitätsspeicher konfiguriert ist, werden Sie gebeten, den Benutzernamen anzugeben, um nach Bezeichnern zu suchen, die diesem Benutzer zugeordnet sind. Gehört andererseits ein vorhandener Benutzer zu einem Identitätspool, der mit einem AD-Identitätsspeicher konfiguriert ist, und Sie diesen Benutzer zu einem Identitätspool hinzufügen möchten, der mit einem lokalen Identitätsspeicher konfiguriert ist, werden Sie gebeten, einen optionalen Bezeichner anzugeben. Eine Ausnahme hiervon ist, wenn Sie einen Benutzer dem Ausgangspool (TSM-konfiguriert) hinzufügen möchten, der mit einem lokalen Identitätsspeicher und lokaler Authentifizierung konfiguriert ist. Für diesen Benutzer wird es Ihnen nicht möglich sein, einen Bezeichner festzulegen.

    Für Benutzer aus Datei importieren:

    1. Laden Sie eine CSV-Datei hoch, die die folgenden Spalten in der angegebenen Reihenfolge enthält:

      username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier

      Hinweis: Benutzername und Kennwort sind die einzigen erforderlichen Spalten. Wenn Sie jedoch den Namen des Identitätspools nicht angeben, wird der Benutzer dem anfänglichen Pool hinzugefügt (TSM konfiguriert). Weitere Informationen finden Sie in den Richtlinien für CSV-Importdatei.

      Angenommen, Sie möchten Henry Wilson und Fred Suzuki zum Generalunternehmer-Identitätspool hinzufügen. Ihre CSV-Datei könnte in diesem Fall die folgenden Werte enthalten:

      henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
      freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki

Hinweis: Wenn ein oder mehrere Identitätspools erstellt werden, wird die Tableau Server-Zielseite aktualisiert, sodass Anmeldeoptionen für Benutzer enthalten sind, die Mitglieder dieser Identitätspools sind. Weitere Informationen finden Sie unter Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools.

Testen von Identitätspools

Nachdem Sie einen Identitätspool eingerichtet haben, empfehlen wir Ihnen, ihn zu testen, indem Sie sich von Tableau Server abmelden und sich erneut als Benutzer anmelden, der zum Identitätspool gehört. Schließen Sie den Anmeldevorgang ab, um sicherzustellen, dass die OIDC-Authentifizierung richtig konfiguriert wurde.

Hinweis: Wenn Sie eine optionale Beschreibung für den anfänglichen Pool (TSM konfiguriert) in Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten konfiguriert haben oder für Tableau Server der Hinweis Servereinstellungen (Allgemein und Anpassung) angezeigt wird, empfehlen wir, die Beschreibung für diejenigen Benutzer zu verwenden, die sich über den anfänglichen Pool (TSM konfiguriert) anmelden, und den Hinweis zur Anpassung der Anmeldung für alle Benutzer zu verwenden, die sich bei Tableau Server anmelden.

Verwalten von Identitätspools

Sie können die Benutzer in Identitätspools auf der Seite "Benutzer" sowohl auf Server- als auch auf Site-Ebene verwalten. Auf der Seite "Benutzer" können Sie sehen, zu welchen Identitätspools Benutzer gehören, sowie zusammenfassende Details zum Identitätspool anzeigen.

Verwenden Sie für alle anderen Verwaltungsaufgaben von Identitätspools, einschließlich der Aktualisierung einer Authentifizierungskonfiguration oder eines Identitätspools und des Löschens eines lokalen Identitätsspeichers oder Identitätspools, die Tableau REST API OpenAPI, die in den Identitätspool-Methoden(Link wird in neuem Fenster geöffnet) beschrieben wird.

Fehlerbehebung bei Identitätspools

Einschränkungen bei Identitätspools

Identitätspools sind nur mit Tableau Server verfügbar.

Hinweis: Identitätspools sind derzeit nur für die Konfiguration auf Serverebene verfügbar. Identitätspools können nicht auf eine Site bezogen werden.

Die Zielseite von Tableau Server zeigt IdP-Fehler an

Auf der Zielseite von Tableau Server wird unter der primären Anmeldeoption neben einer Identitätspool-Anmeldeoption möglicherweise eine IdP-bezogene Fehlermeldung angezeigt. Dieses Problem im Zusammenhang mit der OIDC-Authentifizierung kann auftreten, wenn eine oder beide der folgenden Bedingungen zutreffen: 1) Tableau Server wurde nicht zum Senden einer externen URL an den IdP konfiguriert und 2) die globalen Variablen wurden nicht deklariert.

Um dieses Problem zu beheben, stellen Sie sicher, dass Sie das oben in Schritt 1: Tableau Server konfigurieren und eine Sitzung einrichten beschriebene Verfahren durchführen.

Auf der Zielseite von Tableau Server werden keine Identitätspools angezeigt

Wenn die Identitätspoolfunktion deaktiviert ist, können Sie sie mit den folgenden TSM-Befehlen wieder aktivieren:

tsm configuration set -k features.IdentityPools -v true

tsm configuration set -k features.NewIdentityMode -v true

tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false

tsm pending-changes apply

Hinweis: Das Ausführen dieser Befehle führt zum Neustart von Tableau Server.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.