Identitätsspeicher
Für Tableau Server ist zum Speichern von Benutzer- und Gruppeninformationen ein Identitätsspeicher erforderlich. Es gibt zwei Arten von Identitätsspeichern: lokal und extern. Wenn Sie Tableau Server installieren, müssen Sie entweder einen lokalen oder einen externen Identitätsspeicher konfigurieren.
Informationen zu den Konfigurationsoptionen für den Identitätsspeicher finden Sie unter identityStore-Entität und Konfigurationsreferenz für externe Identitätsspeicher. Weitere Informationen darüber, wie das Modell mit einem einzelnen Identitätsspeicher noch flexibler gestaltet werden kann, finden Sie unter Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools.
Lokaler Identitätsspeicher
Wenn Sie Tableau Server mit einem lokalen Identitätsspeicher konfigurieren, werden alle Benutzer- und Gruppeninformationen im Tableau Server-Repository gespeichert und verwaltet. Bei einem lokalen Identitätsspeicher ist keine externe Quelle für Benutzer und Gruppen vorhanden.
Externer Identitätsspeicher
Wenn Sie Tableau Server mit einem externen Speicher konfigurieren, werden alle Benutzer- und Gruppeninformationen von einem externen Verzeichnisdienst gespeichert und verwaltet. Tableau Server muss mit dem externen Identitätsspeicher synchronisiert werden, sodass lokale Kopien der Benutzer und Gruppen im Tableau Server-Repository enthalten sind, der externe Identitätsspeicher jedoch als maßgebliche Quelle für alle Benutzer- und Gruppendaten verwendet wird.
Wenn Sie den Tableau Server-Identitätsspeicher für die Kommunikation mit einem externen LDAP-Verzeichnis konfiguriert haben, müssen alle Benutzer, die Sie Tableau Server hinzufügen (auch das ursprüngliche Administratorkonto), über ein Konto im Verzeichnis verfügen.
Wenn Tableau Server für die Verwendung eines externen LDAP-Verzeichnisses konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus dem externen Verzeichnis als Systembenutzer in das Tableau Server-Repository importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an das externe Verzeichnis weitergegeben, das für die Authentifizierung des Benutzers zuständig ist. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.
Active Directory ist ein Beispiel für einen externen Benutzerspeicher. Tableau Server ist für die Interaktion mit Active Directory optimiert. Wenn Sie beispielsweise Tableau Server auf einem mit einer Active Directory-Domäne verbundenen Computer über die Konfigurieren der Einstellungen für den ursprünglichen Knoteninstallieren, erkennt und konfiguriert Setup die meisten Active Directory-Einstellungen. Wenn Sie hingegen TSM CLI zur Installation von Tableau Server verwenden, müssen Sie alle Active Directory-Einstellungen angeben. Stellen Sie in diesem Fall sicher, dass Sie die Vorlage LDAP – Active Directory verwenden, um den Identitätsspeicher zu konfigurieren.
Wenn Sie in Active Directory installieren, empfehlen wir Ihnen, die Benutzerverwaltung in Bereitstellungen mit externen Identitätsspeichern vor der Bereitstellung zu überprüfen.
Bei allen anderen externen Identitätsspeichern unterstützt Tableau Server LDAP als allgemeine Methode zur Kommunikation. OpenLDAP ist eine von mehreren LDAP-Serverimplementierungen mit einem flexiblen Schema. Tableau Server kann zur Abfrage des OpenLDAP-Servers konfiguriert werden. Dazu muss der Verzeichnisadministrator Informationen zum Schema bereitstellen. Während des Setups müssen Sie mithilfe der Konfigurieren der Einstellungen für den ursprünglichen Knoten eine Verbindung zu anderen LDAP-Verzeichnissen konfigurieren.
LDAP-Bindung
Clients, die einen Benutzerspeicher mit LDAP abfragen möchten, müssen sich authentifizieren und eine Sitzung einrichten. Dies erfolgt über die Bindung. Es gibt unterschiedliche Möglichkeiten zur Bindung. Eine einfache Bindung erfolgt durch Authentifizierung mit einem Benutzernamen und einem Kennwort. Für Organisationen, die eine einfache Bindung für Tableau Server verwenden, wird eine Verbindung mit SSL-Verschlüsselung empfohlen, andernfalls werden die Anmeldeinformationen als Klartext versendet. GSSAPI ist eine andere Bindungsart, die ebenfalls von Tableau Server unterstützt wird. GSSAPI verwendet Kerberos zur Authentifizierung. Im Fall von Tableau Server ist Tableau Server der Client, und der externe Benutzerspeicher ist der LDAP-Server.
LDAP mit GSSAPI-Bindung (Kerberos)
Es wird empfohlen, die Bindung an das LDAP-Verzeichnis mit GSSAPI mithilfe einer Keytab-Datei durchzuführen, um sich beim LDAP-Server zu authentifizieren. Sie benötigen eine spezielle Keytab-Datei für den Tableau Server-Dienst. Ferner wird empfohlen, den Kanal mit dem LDAP-Server mit SSL/TLS zu verschlüsseln. Siehe Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.
Wenn Sie die Installation in Active Directory durchführen und der Computer, auf dem Sie Tableau Server installieren, bereits der Domäne beigetreten ist, existiert auf dem Computer möglicherweise bereits eine Konfigurationsdatei und eine Keytab-Datei. In diesem Fall sind die Kerberos-Dateien für die Funktionalität des Betriebssystems und die Authentifizierung vorgesehen. Genau genommen können Sie diese Dateien für die GSSAPI-Bindung verwenden, wir raten jedoch von der Verwendung ab. Wenden Sie sich stattdessen an Ihren Active Directory-Administrator und fordern Sie eine für den Tableau Server-Dienst spezifische "keytab"-Datei an. Siehe Einführung in keytab-Anforderungen.
Angenommen, Ihr Betriebssystem verfügt über eine ordnungsgemäß konfigurierte Keytab-Datei für die Authentifizierung bei der Domäne, dann benötigen Sie für die Basisinstallation von Tableau Server lediglich die Kerberos-Schlüsseldatei für die GSSAPI-Bindung. Wenn Sie für Benutzer die Kerberos-Authentifizierung verwenden möchten, konfigurieren Sie Kerberos für die Benutzerauthentifizierung und die Kerberos-Delegierung für Datenquellen, nachdem die Installation abgeschlossen ist.
LDAP über SSL
Standardmäßig ist LDAP mit einer einfachen Bindung mit beliebigen LDAP-Servern nicht verschlüsselt. Benutzeranmeldeinformationen, die zum Einrichten der Bindungssitzung mit dem LDAP-Server verwendet werden, werden im Klartext zwischen Tableau Server und dem LDAP-Server übermittelt. Es wird dringend empfohlen, den Kanal zwischen Tableau Server und dem LDAP-Server zu verschlüsseln.
Ab Version 2021.2 benötigt Tableau Server unter Linux einen verschlüsselten LDAP-Kanal, wenn Sie Active Directory als Identitätsspeicher verwenden. Sie müssen ein gültiges SSL/TSL-Zertifikat installieren, bevor Sie 2021.2 oder höher installieren oder darauf aktualisieren. Obwohl nicht empfohlen, können Sie auch den standardmäßig verschlüsselten LDAP-Kanal deaktivieren. Weitere Informationen zum Aktivieren oder Deaktivieren der Verschlüsselung für Active Directory und andere LDAP-Server finden Sie unter Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.
Systembenutzer und -gruppen
Tableau Server unter Linux benötigt für die ordnungsgemäße Funktion einen Benutzer und zwei Gruppen. Der Benutzer und die Gruppen können lokal sein oder aus einem LDAP-Verzeichnisdienst stammen.
Benutzer
Tableau Server benötigt ein Dienstkonto. Bei diesem Konto handelt es sich um einen Benutzer ohne Zugriffsrechte mit normalen Anmeldeberechtigungen. Standardmäßig erstellt die Tableau Server-Installation einen lokalen Benutzer – tableau
– für das Dienstkonto.
Wenn Sie ein vorhandenes Benutzerkonto für das Tableau Server-Dienstkonto verwenden möchten, müssen Sie die Kontoerstellung während der Installation deaktivieren.
Genauer gesagt müssen Sie die Option --disable-account-creation
festlegen, wenn Sie das "initialize-tsm"-Skript ausführen. Sie müssen auch den Kontonamen mit der --unprivileged-user
-Option angeben. Wenn das angegebene Konto nicht vorhanden ist, wird es vom "initialize-tsm"-Skript erstellt. Weitere Einzelheiten finden Sie unter Hilfe-Ausgabe für das Skript initialize-tsm.
Wenn Sie ein vorhandenes Konto mit der Option --unprivileged-user
angeben möchten, stellen Sie sicher, dass es sich bei dem Benutzerkonto um einen nicht privilegierten Benutzer mit normalen Anmeldeberechtigungen handelt. Konfigurieren Sie das Konto wie folgt:
Einstellung für Shell:
/bin/bash
.Der Einfachheit halber sollten Sie das Basisverzeichnis auf den Datenverzeichnispfad festlegen. Das Konto benötigt die Besitzrechte und Schreibberechtigungen für das Basisverzeichnis.
Wenn Sie bei der Einrichtung ein anderes unprivilegiertes Konto angeben, müssen Sie denselben Benutzer manuell zur Gruppe "systemd-journal" hinzufügen. Der nicht privilegierte Benutzer muss Mitglied der Gruppe systemd-journal sein, damit Tableau Server beim Ausführen des Befehls tsm maintenance ziplogs Protokolle von einigen Diensten (z. B. "Frag die Daten") sammeln kann. Wenn der nicht privilegierte Benutzer kein Mitglied der Gruppe ist, enthalten Ziplogs keine Protokolle der betroffenen Dienste
Gruppen
Tableau Server benötigt für die ordnungsgemäße Funktion zwei Gruppen.
In einer Standardinstallation gehört das lokale tableau
-Dienstkonto zu einer primären Gruppe mit der Bezeichnung tableau
. Wenn Sie jedoch während der Installation einen alternativen Benutzer ohne Zugriffsrechte angeben, wird die primäre Gruppe für dieses alternative Konto verwendet. Der Einfachheit halber können dieser Gruppe beliebige Konten hinzugefügt werden. Somit können sie die Tableau Server-Protokolldateien lesen (ohne zum Root-Konto zu werden).
Die zweite Gruppe wird verwendet, um zu bestimmen, welche Benutzer berechtigt sind, sich bei Tableau Services Manager (TSM) zu authentifizieren. Jeder beliebige Benutzer in der Gruppe kann Befehle an TSM senden, also sollte diese Gruppe Tableau Server-Administratoren vorbehalten sein. Diese Gruppe heißt standardmäßig tsmadmin
.
Wenn Sie den Standardnamen nicht verwenden möchten, müssen Sie den Gruppennamen festlegen, und zwar über die Option --tsm-authorized-group
, wenn Sie "initialize-tsm" ausführen. Weitere Einzelheiten finden Sie unter Hilfe-Ausgabe für das Skript initialize-tsm.
Authentifizieren von Clients
Die grundlegende Benutzerauthentifizierung in Tableau Server erfolgt über eine Anmeldung mit Benutzernamen und Kennwort für lokale und externe Benutzerspeicher. Bei einem lokalen Speicher werden Benutzerkennwörter als gehashte Kennwörter im Repository gespeichert. Bei einem externen Speicher übergibt Tableau Server die Anmeldeinformationen an den externen Benutzerspeicher und wartet auf eine Antwort, die angibt, ob die Informationen gültig sind. Externe Benutzerspeicher können auch andere Arten der Authentifizierung wie Kerberos verarbeiten, das Prinzip bleibt jedoch gleich: Tableau Server übergibt die Anmeldeinformationen oder Benutzerdaten an den externen Speicher und wartet auf eine Antwort.
Sie können Tableau Server so konfigurieren, dass die Anmeldung mit einem Benutzernamen und einem Kennwort deaktiviert ist. In diesem Fall können andere Authentifizierungsmethoden wie die vertrauenswürdige Authentifizierung, OpenID oder SAML verwendet werden. Weitere Informationen finden Sie unter Authentifizierung.
In manchen Fällen müssen Sie externe LDAP-Verzeichnisse aktualisieren, um Bindungsoperationen mit dem Format "Benutzername + DN" von Tableau Server zuzulassen. Siehe Benutzerbindungsverhalten bei der Anmeldung.