Entidad identityStore

Tableau Server necesita un almacén de identidades para almacenar la información de usuarios y grupos. Consulte los temas Autenticación y Almacén de identidades antes de configurar el almacén de identidades por primera vez. Una vez instalado el almacén de identidades en Tableau Server, no podrá modificarlo sin reinstalar el servidor.

Importante: Todas las opciones de entidad distinguen entre mayúsculas y minúsculas.

Antes de empezar

Revise la información siguiente:

  • Si no va a utilizar el almacén de identidades local, utilizará alguna versión de LDAP. En este caso, colabore con el administrador del directorio o de LDAP para configurar Tableau Server para que cumpla los requisitos de enlace y de esquema LDAP.

  • La configuración de Tableau Server está optimizada para Active Directory. Si va a hacer la instalación en Active Directory, se recomienda configurar el almacén de identidades con la Configurar los ajustes de nodo iniciales.

  • El enlace LDAP es independiente de la autenticación de usuario. Por ejemplo, puede configurar Tableau Server para que use un enlace simple con el objetivo de autenticarse en el directorio de LDAP y, después, configurar Tableau Server de modo que autentique a los usuarios con Kerberos tras la instalación.

  • No establezca ninguna conexión con LDAP con un enlace simple a través de una conexión no segura. De forma predeterminada, LDAP con enlace simple envía datos en texto sin cifrar. Utilice LDAPS para cifrar el tráfico con un enlace simple. Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.

  • Para usar la autenticación de Kerberos en el servicio de enlace LDAP con Tableau Server, necesitará un archivo keytab para el enlace GSSAPI, como se describe en las secciones siguientes. Consulte también Información sobre los requisitos de keytab. En el contexto de Kerberos, lo único que necesitará durante la instalación de Tableau Server es un enlace GSSAPI. Una vez instalado el servidor, puede pasar a configurar Kerberos para la autenticación de usuario y efectuar la delegación de Kerberos a las fuentes de datos.

  • En este tema se distingue LDAP (protocolo para establecer conexión con servicios de directorio) de servidor LDAP (implementación de un servicio de directorio). Por ejemplo, slapd es un servidor LDAP que forma parte del proyecto OpenLDAP.

  • Valide la configuración de LDAP antes de inicializar el servidor. Para ello, consulte Configurar los ajustes de nodo iniciales.

  • Importe archivos de configuración JSON solo como parte de la configuración inicial. Si necesita realizar cambios de LDAP después de importar el archivo de configuración JSON e inicializar Tableau Server, no intente volver a importar el archivo JSON. En su lugar, realice cambios de teclas individuales con comandos tsm nativos o con tsm configuration set. Consulte Referencia de configuración del almacén de identidades externo.

Plantillas de configuración

Las plantillas JSON de esta sección se utilizan para configurar Tableau Server con diferentes casos de almacén de identidades. A menos que vaya a configurar un almacén de identidades local, deberá seleccionar y editar una plantilla de archivo de configuración específica para su entorno de LDAP.

Puede usar la herramienta de configuración del almacén de identidades de Tableau(El enlace se abre en una ventana nueva) para generar el archivo JSON de configuración LDAP. La herramienta no recibe asistencia de Tableau. Sin embargo, usar un archivo JSON creado con la herramienta en lugar de crear un archivo manualmente no cambia el estado de compatibilidad del servidor.

Seleccione una plantilla de configuración de almacén de identidades para editarla:

  • Local
  • LDAP - Active Directory
  • OpenLDAP - Enlace GSSAPI
  • OpenLDAP - Enlace simple

Para obtener más información sobre los archivos de configuración, las entidades y las claves, consulte Ejemplo de archivo de configuración.

Local

Configure "local" como el tipo de almacén de identidades si su organización no dispone de un servidor LDAP o de Active Directory para la autenticación de usuario. Si selecciona "local" como tipo de almacén de identidades, debe utilizar Tableau Server para crear y administrar usuarios.

Una forma alternativa de configurar Tableau Server para el almacén de identidades local es ejecutar la GUI de instalación y seleccionar "Local" durante el proceso de instalación. Consulte Configurar los ajustes de nodo iniciales.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

Importante

Las siguientes plantillas de configuración de LDAP son ejemplos. Estas plantillas no configuran la conectividad LDAP en la organización. Debe trabajar con su administrador de directorios para editar los valores de las plantillas LDAP con el fin de lograr una correcta implementación.

Además, todos los archivos a los que se hace referencia en configEntities se deben ubicar en un equipo local. No especifique rutas UNC.

LDAP - Active Directory

La configuración de Tableau Server está optimizada para Active Directory. Si va a hacer la instalación en Active Directory, configure el almacén de identidades con la Configurar los ajustes de nodo iniciales.

Se requiere una conexión cifrada a Active Directory. Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.

Si por alguna razón no puede configurar el almacén de identidades para comunicarse con Active Directory usando la interfaz web de TSM, utilice esta plantilla JSON para configurar Tableau Server para que se conecte a Active Directory. La plantilla usa el enlace GSSAPI (Kerberos) para autenticar el servicio Tableau Server en Active Directory. Tableau Server admite el esquema de Active Directory. Por lo tanto, si establece la opción "directoryServiceType" en "activedirectory", no será necesario proporcionar la información del esquema en la opción "identityStoreSchemaType".

Si está realizando la instalación de Tableau Server para Linux en Active Directory y el equipo donde está instalando Tableau Server ya está vinculado al dominio, el equipo ya tendrá un archivo keytab y un archivo de configuración de Kerberos. En términos estrictos, se pueden usar estos archivos para establecer un enlace GSSAPI, aunque no se recomienda. Póngase en contacto con el administrador de Active Directory y solicítele un archivo keytab específico para el servicio de Tableau Server.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

Recomendamos el enlace a Active Directory con GSSAPI. Sin embargo, puede conectarse con un enlace simple y LDAPS. Para establecer una conexión con un enlace simple, cambie bind por simple, elimine las tres entidades Kerberos y añada las opciones port/sslPort, username y password. En el siguiente ejemplo aparece Active Directory con un archivo JSON de unión simple.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP - Enlace GSSAPI

Use la siguiente plantilla para configurar OpenLDAP con el enlace GSSAPI. No utilice esta plantilla si su organización ejecuta Active Directory. Si va a efectuar la instalación en Active Directory, use la plantilla anterior: LDAP - Active Directory.

En la mayoría de los casos, las organizaciones que utilizan OpenLDAP con GSSAPI (Kerberos) utilizarán un archivo keytab para almacenar las credenciales. En el siguiente ejemplo, se utiliza un archivo keytab para las credenciales de autenticación.

Sin embargo, puede proporcionar credenciales a través de las entidades username y password.

También puede especificar un archivo keytab y una combinación de nombre de usuario y contraseña. En este caso, Tableau Server intentará utilizar el archivo keytab, pero si la autenticación no se produce correctamente por cualquier motivo, la alternativa será el uso de las credenciales de nombre de usuario y contraseña.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP - Enlace simple

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

Referencia de la plantilla de configuración

Opciones de almacén de identidades compartido

type
Ubicación en la que desea almacenar la información de identidad del usuario. Puede ser local o activedirectory (si desea conectarse a cualquier servidor LDAP, seleccione activedirectory).
domain
Dominio del equipo donde instaló Tableau Server.
nickname
Alias del dominio. También se denomina "nombre NetBIOS" en los entornos de Windows.
La opción nickname es necesaria para todas las entidades LDAP. Si su organización no necesita un alias/NetBIOS, pase una clave en blanco, por ejemplo: "nickname": "".

Opciones de enlace GSSAPI de LDAP

directoryservicetype
Tipo de servicio de directorio al que desea conectarse. Puede ser activedirectory o openldap
kerberosConfig
Ruta del archivo de configuración de Kerberos en el equipo local. Si realiza la instalación en Active Directory, no se recomienda utilizar el archivo keytab ni el archivo de configuración de Kerberos que ya existan en el equipo unido a un dominio. Consulte Almacén de identidades.
kerberosKeytab
Ruta del archivo keytab de Kerberos en el equipo local. Se recomienda crear un archivo keytab con claves específicas para el servicio Tableau Server y no compartirlo con otras aplicaciones del equipo. Por ejemplo, en Linux, podría colocar el archivo keytab en el directorio /var/opt/tableau/keytab.
kerberosPrincipal
El nombre de entidad de seguridad de servicio de Tableau Server en el equipo host. El archivo keytab debe tener permisos para esta entidad de seguridad. No use el archivo keytab del sistema existente en /etc/krb5.keytab. En su lugar, le recomendamos que registre un nuevo nombre de entidad de seguridad de servicio. Para ver las entidades de seguridad en un archivo keytab determinado, ejecute el comando klist -k. Consulte Información sobre los requisitos de keytab.

Opciones de enlace simple de LDAP

directoryservicetype
Tipo de servicio de directorio al que desea conectarse. Puede ser activedirectory o openldap
hostname
Nombre de host del servidor LDAP. Puede escribir un nombre de host o una dirección IP para este valor. El host que especifique aquí se utilizará solamente para las consultas de usuarios/grupos en el dominio principal. Si las consultas de usuarios/grupos están en otros dominios (no en el dominio principal), Tableau Server no usará este valor, sino que consultará al DNS para identificar el controlador de dominio apropiado.
port
Utilice esta opción para especificar el puerto no seguro del servidor LDAP. El puerto suele ser el 389.
sslPort
Utilice esta opción para habilitar LDAPS. Especifique el puerto seguro del servidor LDAP. LDAPS suele ser el puerto 636. Para utilizar LDAPS también debe especificar la opción hostname (nombre de host). Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.
username
El nombre de usuario que desea usar para conectarse al servicio de directorio. La cuenta que especifique debe tener permiso para realizar consultas en el servicio de directorio. Para Active Directory, escriba el nombre de usuario (por ejemplo, jsmith). Para los servidores LDAP, escriba el nombre distintivo (DN) del usuario que desee utilizar para la conexión. Por ejemplo, podría escribir cn=username,dc=your-local-domain,dc=lan.
password
Contraseña del usuario que desea utilizar para conectarse al servidor LDAP.

LDAPS y subdominios

Si habilita LDAPS en Active Directory y se conecta a subdominios, deberá ejecutar el siguiente comando de TSM para configurar el puerto LDAPS (TCP 636) para subdominios. El comando toma argumentos que especificansubdomainFQDN:port .

Ejemplo: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v subdomain1.lan:636,subdomain2.lan:636,subdomain3.lan:636

Para obtener más información, consulte Opciones de tsm configuration set.

Opciones de LDAP compartidas

Las siguientes opciones se pueden establecer para implementaciones genéricas de LDAP, OpenLDAP o Active Directory.

bind
El modo de comunicación de autenticación desde el servicio Tableau Server al servicio de directorio LDAP. Escriba gssapi para GSSAPI (Kerberos).
domain
En entornos de Active Directory, especifique el dominio en que Tableau Server está instalado (por ejemplo, “example.lan”).
Para un LDAP que no sea AD: la cadena que especifique para este valor se muestra en la columna "Dominio" de las herramientas de administración de usuarios. Puede escribir una cadena arbitraria, pero la clave no puede estar en blanco.

root

Solo para LDAP. No especifique esta opción para Active Directory.
Si no utiliza un componente dc en la raíz LDAP o quiere especificar una raíz más compleja, deberá establecer la raíz LDAP. Utilice el formato “o=my,u=root”. Por ejemplo, para el dominio example.lan, la raíz sería "o=example,u=lan".
membersRetrievalPageSize
Esta opción determina el número máximo de resultados que indica una consulta LDAP.
Por ejemplo, imagínese que Tableau Server va a importar un grupo LDAP que contiene 50 000 usuarios. No se recomienda intentar importar una cantidad tan elevada de usuarios en una única operación. Si esta opción se establece en 1500, Tableau Server importará los primeros 1500 usuarios en la primera respuesta. Una vez procesados estos usuarios, Tableau Server solicitará los siguientes 1500 usuarios del servidor LDAP, etc.
Solo se recomienda modificar esta opción para adaptarse a los requisitos de su servidor LDAP.

Opciones de identityStoreSchemaType

Si configura una conexión LDAP a un servidor LDAP, puede introducir información de esquema específica de su servidor LDAP en el objeto identityStoreSchemaType.

Importante: Si va a conectarse a Active Directory ("directoryServiceType": "activedirectory"), no debe configurar estas opciones.

userBaseFilter
Filtro que desea usar para los usuarios de Tableau Server. Por ejemplo, podría especificar un atributo de clase de objeto y un atributo de unidad de organización.
userUsername
Atributo correspondiente a los nombres de los usuarios del servidor LDAP.
userDisplayName
Atributo correspondiente a los nombres para mostrar de los usuarios del servidor LDAP.
userEmail
Atributo correspondiente a las direcciones de correo electrónico de los usuarios del servidor LDAP.
userCertificate
Atributo correspondiente a los certificados de los usuarios del servidor LDAP.
userThumbnail
Atributo correspondiente a las miniaturas de los usuarios del servidor LDAP.
userJpegPhoto
Atributo correspondiente a las imágenes de perfil de los usuarios del servidor LDAP.
groupBaseFilter
Filtro que desea usar para los grupos de usuarios de Tableau Server. Por ejemplo, podría especificar un atributo de clase de objeto y un atributo de unidad de organización.
groupName
Atributo correspondiente a los nombres de los grupos del servidor LDAP.
groupEmail
Atributo correspondiente a las direcciones de correo electrónico de los grupos del servidor LDAP.
groupDescription
Atributo correspondiente a las descripciones de los grupos del servidor LDAP.
member
Atributo que describe la lista de usuarios de un grupo.
distinguishedNameAttribute
Atributo que almacena los nombres distintivos de los usuarios. Este atributo es opcional, pero mejora significativamente el rendimiento de las consultas LDAP.
serverSideSorting
Determina si el servidor LDAP está configurado para la ordenación de resultados de consulta en el servidor. Si el servidor LDAP admite la ordenación del lado servidor, defina el valor true en esta opción. Si no está seguro de si su servidor LDAP admite esta opción, defina el valor false, ya que una configuración equivocada podría causar errores.
rangeRetrieval
Determina si el servidor LDAP está configurado para indicar un intervalo de resultados de consulta de una solicitud. Esto quiere decir que los grupos que tengan un gran número de usuarios se solicitarán en conjuntos pequeños, en lugar de todos a la vez. Los servidores LDAP que admitan la recuperación por rangos tendrán un mejor rendimiento en consultas de gran tamaño. Si el servidor LDAP admite la recuperación por rangos, defina el valor true en esta opción. Si no está seguro de si su servidor LDAP admite la recuperación por rangos, defina el valor false, ya que una configuración equivocada podría causar errores.
groupClassNames
De forma predeterminada, Tableau Server busca clases de objetos de grupos LDAP que contengan la cadena “group”. Si los objetos de grupos LDAP no se ajustan al nombre de clase predeterminado, sustituya el valor predeterminado estableciendo este valor. Puede proporcionar múltiples nombres de clase separados por comas. Esta opción toma una lista de cadenas, que requiere pasar cada clase entre comillas, separadas por una coma (sin espacio) y entre paréntesis. Por ejemplo: ["basegroup","othergroup"].
userClassNames
De forma predeterminada, Tableau Server busca clases de objetos de usuarios de LDAP que contengan las cadenas “user” e “inetOrgPerson”. Si los objetos de usuarios de LDAP no utilizan estos nombres de clase predeterminados, sustituya el valor predeterminado estableciendo este valor. Puede proporcionar múltiples nombres de clase separados por comas. Esta opción toma una lista de cadenas, que requiere pasar cada clase entre comillas, separadas por una coma (sin espacio) y entre paréntesis. Por ejemplo: ["userclass1",userclass2”].

Importación del archivo JSON

Cuando haya terminado de editar el archivo JSON, pase el archivo y aplique la configuración usando los siguientes comandos:

tsm settings import -f path-to-file.json

tsm pending-changes apply.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!