Acerca de la migración de identidades
A partir de la versión 2022.1, Tableau Server almacena y administra la información de identidad mediante el servicio de identidad. Con el servicio de identidad, Tableau Server utiliza una estructura de identidad más moderna, más segura e inmutable para el proceso de autenticación y aprovisionamiento de usuarios. La migración de identidad es un requisito previo para configurar y usar grupos de identidad(El enlace se abre en una ventana nueva).
Nota: Si no tiene pensado utilizar la capacidad de grupos de identidades, le recomendamos que no ejecute la migración de identidades. Ejecutar la migración de identidades si no tiene pensado usar los grupos de identidades no aportará ventajas a su implementación de Tableau Server.
Todas las implementaciones nuevas de Tableau Server 2022.1 (y versiones posteriores) usan el servicio de identidad de forma predeterminada y no requieren ninguna acción adicional por su parte. A medida que agrega nuevos usuarios a Tableau Server, se usa el servicio de identidad predeterminado.
Para implementaciones existentes, si actualiza Tableau Server a la versión 2022.1 (o posterior) y restaura una copia de seguridad de Tableau 2021.4 (o anterior), puede iniciar la migración de identidades después de que finalice la actualización de Tableau Server para completar el nuevo servicio de identidad. La migración de identidades completa las tablas del servicio de identidad adicionales para todos los usuarios de Tableau Server, que luego se usan para autenticar a los usuarios a través del servicio de identidad. La migración se ejecuta en segundo plano y no interrumpirá ni interferirá con el uso de Tableau Server por parte de sus usuarios.
Como administrador, puede supervisar y administrar la migración, incluso cambiar cuándo se ejecuta la migración o resolver cualquier posible conflicto de migración, a través de la página Migración de identidades dedicada disponible en la página usuarios de Tableau Server. Esta página estará disponible todo el tiempo que dure el proceso de migración.
Resumen de los pasos para implementaciones existentes
Para implementaciones existentes, debe configurar Tableau Server para usar el servicio de identidad después de que se complete la migración para aprovechar las mejoras en la estructura de identidad y configurar grupos de identidades.
Paso 2: Iniciar la migración de identidades
Paso 3: Completar la migración de identidades
Paso 4: Configurar Tableau Server para usar el servicio de identidad
Términos clave
- Servicio de identidad: un servicio en Tableau Server 2022.1 (y versiones posteriores) que es responsable de la administración de las identidades de los usuarios, incluida la autenticación y el aprovisionamiento. El servicio utiliza un esquema de identidad en el que las identidades de los usuarios están representadas por las tablas del servicio de identidad y la tabla heredada "system_users".
- Grupos de identidades: una herramienta de administración de identidades que utiliza información de aprovisionamiento y autenticación para permitir el acceso de los usuarios a Tableau Server. Los grupos de identidades permiten un flujo de trabajo de administración de identidades más centralizado y flexible basado en el servicio de identidad para el almacenamiento y la administración de identidades de usuario en Tableau Server.
- Modo de almacenamiento de identidad heredado: un esquema de identidad limitado utilizado por Tableau Server 2021.4 (y versiones anteriores), donde las identidades de los usuarios solo se representan mediante la tabla heredada "system_users".
- Migración de identidades: el proceso de auditoría que evalúa las identidades de usuario existentes de Tableau Server, consulta los almacenes de identidades externos ascendentes para obtener información de identidad adicional (según corresponda) e importa esa información de identidad adicional al servicio de identidad.
- Almacén de identidades externo: un tipo de almacén de identidades externo y ascendente en Tableau Server donde toda la información de identidad se almacena y administra mediante un servicio de directorio externo [Active Directory (AD) o LDAP]. Si está configurado, Tableau Server se sincroniza con el directorio externo para que exista una copia de la información de identidades en Tableau Server.
- Almacén de identidades local: un tipo de almacén de identidades proporcionado por Tableau Server. Si está configurado, Tableau Server almacena y administra la información de identidades en el repositorio de Tableau Server sin ningún directorio externo configurado para esta información.
- Usuario del sistema: un usuario de Tableau Server. Un usuario corresponde a un registro de inicio de sesión ("system_users"), tanto en el servicio de identidad (mediante la tabla "system_users_identities") como en el modo de almacenamiento de identidad heredado. Un registro "system_users" puede tener varias identidades de usuario asociadas y habilitarse para iniciar sesión en varios sitios. El vínculo entre un registro "system_user" y los sitios se define en la tabla "users".
Propósito de la migración de identidades
Cuando crea una copia de seguridad de Tableau Server, la información de identidades se guarda en el esquema de identidades utilizado por la versión de Tableau Server para la que se creó la copia de seguridad. La migración es necesaria para completar la información del esquema de identidades utilizado en la copia de seguridad al esquema de identidades utilizado por el servicio de identidad.
Esquema de identidades de Tableau Server 2021.4 y versiones anteriores
El esquema de identidades utilizado por el modo de almacenamiento de identidades heredado consta de dos tablas: "system_users" y "domains".
Esquema de identidades de Tableau Server 2022.1 y versiones posteriores
El esquema de identidades utilizado por el servicio de identidad incluye las tablas heredadas "system_users" y las tablas complementarias del servicio de identidad (*_identity_stores e *identities) que recopilan más información de identidad. Las tablas adicionales ayudan a reducir los problemas que pueden causar los cambios ascendentes en los almacenes de identidades externos.
Qué sucede durante la migración de identidades
Cuando se migra la información sobre las identidades de los usuarios, la información de identidades almacenada en la tabla heredada "system_users" se complementa con las tablas del servicio de identidad.
El tipo de tablas de servicio de identidad con las que se complementa la información de identidad depende del tipo de almacén de identidades para el que esté configurado Tableau Server: local, Active Directory (AD) o protocolo ligero de acceso a directorios (LDAP).
Para los tipos de almacén de identidades de AD, las tablas del servicio de identidad solo heredan atributos inequívocos o atributos que no están almacenados en el mismo registro de la base de datos.
Por ejemplo, sAMAccountNAme y userPrincipalName (UPN) se pueden almacenar en el mismo registro de nombre de una tabla "systems_users" heredada, lo que puede ocurrir como resultado de una serie compleja de reglas. En la mayoría de los casos, la migración puede interpretar correctamente y migrar correctamente la identidad del usuario. Sin embargo, si la migración produce resultados ambiguos, debe reconocer manualmente la ambigüedad o resolver manualmente el conflicto mediante la página dedicada a la migración de identidades. Para obtener más información, consulte Resolver conflictos de migración de identidades.
Para los tipos de almacén de identidades de LDAP, como los tipos de almacén de identidades de AD, las tablas del servicio de identidad solo heredan atributos inequívocos. En la mayoría de los casos, la migración puede interpretar correctamente y migrar correctamente la identidad del usuario. Sin embargo, si la migración produce resultados ambiguos, debe reconocer manualmente la ambigüedad o resolver manualmente el conflicto mediante la página dedicada a la migración de identidades. Para obtener más información, consulte Resolver conflictos de migración de identidades.
Para los tipos de almacén de identidad local, las tablas del servicio de identidad heredan los campos de usuario y dominio directamente. Esto significa que no se necesita información adicional o resolución manual de su parte. Cuando Tableau Server está configurado para este tipo de almacén de identidades, la migración de las identidades de los usuarios ocurre después del proceso de restauración de la copia de seguridad de Tableau Server.
Paso 1: Antes de comenzar
Antes de comenzar, identifique su método de actualización de Tableau Server a continuación para determinar los próximos pasos en la migración de identidades.
Si quiere realizar una actualización Azul/Verde o una actualización manual para Tableau Server 1) al instalar Tableau Server en un nuevo equipo y luego 2) realizar una copia de seguridad y restaurar Tableau Server con los comandos de mantenimiento de tsm (copia de seguridad y restauración), debe realizar algunos pasos adicionales para iniciar la migración.
Para conocer los siguientes pasos, consulte Solucionar problemas con la migración de identidades.
Si utiliza una actualización "in situ" de un solo servidor o de varios nodos de Tableau Server con el método que se describe aquí, no es necesario que realice ningún paso adicional para iniciar la migración. La migración se inicia después de que se complete la actualización de Tableau Server a la versión 2022.1 (o posterior).
Omita el paso 2.
Si quiere actualizar Tableau Server 1) al instalar Tableau Server en un nuevo equipo y luego 2) exportar e importar información de configuración y topología con los comandos de configuración de tsm (exportar e importar), tampoco se requieren pasos adicionales para iniciar la migración. La migración se inicia después de que se complete el proceso de importación en el nuevo equipo de Tableau Server.
Omita el paso 2.
Paso 2: Iniciar la migración de identidades
Para iniciar la migración de identidades, debe habilitar la capacidad de migración de identidades mediante el comando tsm features.IdentityMigrationBackgroundJob.
Nota: Si actualizó a las versiones 2021.4.21, 2022.1.17, 2022.3.9 y 2023.1.5 de Tableau Server, la migración de identidades comienza de forma predeterminada y puede pasar al Paso 3: Completar la migración de identidades.
Abra un símbolo del sistema como administrador en el primer nodo (donde está instalado TSM) en el clúster.
Ejecute el siguiente comando:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Una vez que comience la migración de identidades, verá una notificación en Tableau Server que lo vincula a la página Migración de identidades. La página Migración de identidades es donde puede supervisar el estado de la migración de identidades y los conflictos de identidades que deben resolverse.
Paso 3: Completar la migración de identidades
Para completar la migración de identidades, todos los conflictos de identidad deben resolverse o reconocerse antes de que pueda habilitar el servicio de identidad para Tableau Server.
- Inicie sesión en Tableau Server como administrador.
En el panel de navegación izquierdo, seleccione Usuarios (o Todos los sitios > Usuarios para un Tableau Server de varios sitios) y luego haga clic en la página Migración de identidad para verificar que la migración haya comenzado.
Puede supervisar y administrar su progreso mediante la página de migración de identidad dedicada disponible en la página de usuarios de Tableau Server. Para obtener más información, consulte Administrar la migración de identidades.
Resuelva o reconozca todos los conflictos de identidad como se describe en Resolver conflictos de migración de identidades para que la pestaña Todos los errores muestre "0" como en la imagen a continuación.
Aplique una de las siguientes opciones:
Para ejecutar el trabajo de migración de identidad ahora, junto al encabezado Descripción general de la migración, haga clic en la flecha desplegable Editar programa y luego seleccione Ejecutar ahora.
- Como alternativa, puede esperar a que se ejecute el trabajo de migración durante la próxima hora programada.
Una vez completada la migración, desde la página Migración de identidad, valide que la Descripción general de la migración muestre 100 % completa.
Paso 4: Configurar Tableau Server para usar el servicio de identidad
Una vez completada la migración de identidades, configure Tableau Server para usar el servicio de identidad a fin de garantizar una estructura de identidades más segura e inmutable para el proceso de autenticación y aprovisionamiento de usuarios.
- Abra un símbolo del sistema como administrador en el nodo inicial (nodo en el que esté instalado TSM).
Ejecute los comandos siguientes:
tsm authentication legacy-identity-mode disabletsm pending-changes applyNota: Después de ejecutar los comandos anteriores, la página Migración de identidad dedicada se elimina y ya no se puede acceder a ella. Se puede acceder a la página solo cuando
tsm authentication legacy-identity-modeestá habilitado.
Una vez que Tableau Server está configurado para usar el servicio de identidad, cuando los usuarios inician sesión en Tableau Server, Tableau Server busca sus identidades de usuario usando sus identificadores en el almacén de identidades configurado. A partir de los identificadores, se devuelven los identificadores únicos universales (UUID) y se usan para hacer coincidir las identidades de usuario existentes de Tableau Server. Este proceso luego genera sesiones para los usuarios y completa el flujo de trabajo de autenticación.