Referencia de configuración del almacén de identidades externo
Tableau Server admite la conexión a un directorio externo mediante LDAP. En este escenario, Tableau Server importa usuarios desde el directorio LDAP externo al repositorio de Tableau Server como usuarios del sistema.
En este tema, se describen todas las opciones de configuración relacionadas con LDAP admitidas por Tableau Server. Si se conecta a Active Directory, le recomendamos que configure automáticamente la conexión LDAP con Tableau Server como parte de la instalación, en lugar de configurar la conexión manualmente. Consulte Configurar los ajustes de nodo iniciales.
Las opciones enumeradas en esta referencia se pueden utilizar para cualquier directorio compatible con LDAP. Si no tiene experiencia en la configuración de LDAP, contacte con el administrador del directorio o con un experto LDAP para que le ayude.
Este es un tema de referencia. Para obtener más información sobre cómo Tableau Server almacena y administra usuarios, comience con el Almacén de identidades.
Métodos de configuración
Los parámetros de configuración que permiten a Tableau Server conectarse al directorio LDAP se almacenan en archivos .yml. Estos archivos se administran y sincronizan mediante varios servicios de Tableau Server. La actualización de los archivos .yml debe realizarse utilizando una interfaz de Tableau Services Manager (TSM).
No intente actualizar archivos .yml directamente con un editor de texto. TSM debe administrar todas las actualizaciones para conseguir un funcionamiento correcto.
Los archivos de configuración .yml se componen de pares clave-valor. Por ejemplo, la clave wgserver.domain.username
toma un nombre de usuario como valor. Esta clave define el nombre de usuario que se utilizará para autenticarse en el directorio LDAP durante la operación de enlace.
Hay cuatro métodos TSM diferentes que pueden establecer valores de clave yml. Los cuatro métodos se describen aquí, utilizando la clave wgserver.domain.username
como ejemplo para ilustrar los diferentes métodos:
Pares clave-valor configKey: puede actualizar una clave de archivo de configuración .yml actualizando la clave
wgserver.domain.username
que ejecuta Opciones de tsm configuration set, o incluyendo la clave en un archivo de configuración JSON en una entidad configKey. Consulte Ejemplo de archivo de configuraciónLos pares clave-valor configKey de un archivo de configuración JSON son los mismos que se utilizan en
tsm configuration set
, pero se establecen de forma diferente. En este tema se hace referencia a ambos métodos como configKey.A diferencia de cuando se utilizan los comandos configEntities y tsm nativos que se describen a continuación, la entrada configKey no se valida. Si define una opción mediante una configKey, el valor especificado se copia como una cadena literal en los archivos de configuración .yml subyacente. Por ejemplo, para una clave donde
true
ofalse
son las entradas válidas, al configurar la clave mediante un par clave-valor configKey, puede introducir un valor de cadena arbitrario y se guardará para la clave. En estos casos, los valores no válidos sin duda conducirán a errores de configuración LDAP.Se recomienda usar configKeys solo cuando no existe ninguna opción para establecer la configuración con las otras tres opciones enumeradas a continuación (configEntities, un comando tsm nativo o la interfaz de usuario web de TSM). Cuando utilice configKeys, asegúrese de comprobar los valores y tenga en cuenta si se distingue entre mayúsculas y minúsculas.
configEntities JSON: puede actualizar un archivo de configuración .yml pasando la opción
username
en un JSON configEntities.Al configurar un valor mediante las opciones configEntities en un archivo JSON, los valores se validan antes de guardarlos. Los valores distinguen entre mayúsculas y minúsculas. Para obtener más información sobre cómo configurar un valor mediante configEntities, consulte el ejemplo Entidad identityStore. El archivo JSON se importa con el comando tsm settings import. Las opciones disponibles para configEntities son un subconjunto de todos los pares clave-valor .yml.
La validación significa que el comando import solo se aplicará correctamente si todos los valores del archivo JSON son tipos de datos válidos. Por ejemplo, si especifica
no
para un valor que solo aceptatrue
ofalse
, aparecerá un error y la configuración no se importará.Solo puede importar archivos de configuración JSON como parte de la configuración inicial. Si necesita realizar cambios de LDAP después de importar el archivo de configuración JSON e inicializar Tableau Server, no intente volver a importar el archivo JSON. En su lugar, realice cambios de teclas individuales con comandos tsm nativos, de haber, o utilizando configKeys y
tsm configuration set
.Comandos tsm nativos: puede actualizar un archivo de configuración .yml pasando la opción
ldapuser
con el comando tsm nativotsm user-identity-store
. Al igual que con configEntities, los valores introducidos con el comando tsm nativo se validan antes de guardarse.No todos los pares clave-valor de un archivo .yml se pueden establecer mediante comandos tsm nativos.
GUI de TSM: puede establecer los valores de configuración durante la configuración, usando la GUI de TSM. Si se conecta a Active Directory y configura el almacén de identidades de Tableau durante la configuración, con la GUI, se le pedirá una cuenta con acceso de lectura de AD. La clave
wgserver.domain.username
se establece al escribir credenciales.Este caso solo funciona si se conecta a Active Directory. Tableau Server no admite la configuración LDAP arbitraria como parte del proceso de configuración de la GUI.
Puede usar la herramienta de configuración del almacén de identidades de Tableau(El enlace se abre en una ventana nueva) para generar el archivo json de configuración LDAP. La herramienta de configuración del almacén de identidades de Tableau generará además una lista de pares de clave/valor que puede definir ejecutando Opciones de tsm configuration set. La herramienta no recibe asistencia de Tableau. Sin embargo, usar un archivo JSON creado con la herramienta en lugar de crear un archivo manualmente no cambia el estado de compatibilidad del servidor.
Configurar Active Directory
Si configura Tableau Server para usar Active Directory, se recomienda utilizar la interfaz de usuario web de TSM durante la instalación. La interfaz de usuario web de TSM está optimizada para configurar Tableau Server para Active Directory con una intervención mínima. Consulte Configurar los ajustes de nodo iniciales.
Tabla de referencia de configuración
opción configEntities (En las opciones, se distinguen mayúsculas de minúsculas). | Comandos tsm nativos | configKey (Se utiliza con el comando tsm configuration set o en la sección configKeys de un archivo JSON) | Escenario | Notas |
---|---|---|---|---|
type | N/D | wgserver.authenticate | AD, LDAP, local | Ubicación en la que desea almacenar la información de identidad del usuario. Valores: local o activedirectory .Si desea conectarse a cualquier servidor LDAP, escriba |
sslPort | N/D | wgserver.domain.ssl_port | AD, LDAP | Utilice esta opción para especificar el puerto seguro del servidor LDAP. Para los enlaces simples se recomienda utilizar LDAP seguro. LDAPS suele ser el puerto 636. |
N/D | N/D | wgserver.domain.ldap.starttls.enabled | AD, LDAP | Valores: A partir de la versión 2021.2, esta clave está definida en This key is set to Esta clave se introdujo (pero no se configuró) en la versión 2021.1. |
port | N/D | wgserver.domain.port | AD, LDAP | Utilice esta opción para especificar el puerto no seguro del servidor LDAP. El puerto suele ser el 389. |
domain | domain | wgserver.domain.default | AD | En entornos de Active Directory, especifique el dominio en que Tableau Server está instalado (por ejemplo, “example.lan”). Para un LDAP que no sea AD: la cadena que especifique para este valor se muestra en la columna "Dominio" de las herramientas de administración de usuarios. Puede escribir una cadena arbitraria, pero la clave no puede estar en blanco. Esta clave es redundante con wgserver.domain.fqdn. Los valores de ambas claves deben ser los mismos. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
username | ldapusername | wgserver.domain.username | AD, LDAP | El nombre de usuario que desea usar para conectarse al servicio de directorio. La cuenta que especifique debe tener permiso para realizar consultas en el servicio de directorio. Para Active Directory, escriba el nombre de usuario (por ejemplo, Para los servidores LDAP, escriba el nombre distintivo (DN) del usuario que desee utilizar para la conexión. Por ejemplo, Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
password | ldappassword | wgserver.domain.password | AD, LDAP | La contraseña de la cuenta de usuario que desea utilizar para conectarse al servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
directoryServiceType | N/D | wgserver.domain.directoryservice.type | AD, LDAP | El tipo de servicio de directorio LDAP al que desea conectarse. Valores: activedirectory o openldap . |
kerberosPrincipal | kerbprincipal | wgserver.domain.ldap.principal | AD, LDAP | El nombre de entidad de seguridad de servicio de Tableau Server en el equipo host. El archivo keytab debe tener permisos para esta entidad de seguridad. /etc/krb5.keytab .klist -k . Consulte Información sobre los requisitos de keytab.Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
hostname | hostname | wgserver.domain.ldap.hostname | AD, LDAP | Nombre de host del servidor LDAP. Puede escribir un nombre de host o una dirección IP para este valor. El host que especifique aquí se utilizará para las consultas de usuarios/grupos en el dominio principal. En el caso de que las consultas de usuarios/grupos se realicen en otros dominios, Tableau Server consultará el DNS para identificar el controlador de dominio adecuado. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
membersRetrievalPageSize | N/D | wgserver.domain.ldap.members.retrieval.page.size | AD, LDAP | Esta opción determina el número máximo de resultados que indica una consulta LDAP. Por ejemplo, imagínese que Tableau Server va a importar un grupo LDAP que contiene 50 000 usuarios. No se recomienda intentar importar una cantidad tan elevada de usuarios en una única operación. Si esta opción se establece en 1500, Tableau Server importará los primeros 1500 usuarios en la primera respuesta. Una vez procesados estos usuarios, Tableau Server solicitará los siguientes 1500 usuarios del servidor LDAP, etc. Solo se recomienda modificar esta opción para adaptarse a los requisitos de su servidor LDAP. |
N/D | N/D | wgserver.domain.ldap.connectionpool.enabled | AD, LDAP | Si se define el valor true en esta opción, Tableau Server intentará utilizar la misma conexión al enviar consultas al servidor LDAP. Este comportamiento evita la molestia de tener que autenticarse de nuevo en el servidor LDAP en cada nueva solicitud. La agrupación de conexiones solo funciona con enlaces simples y conexiones de enlace TSL/SSL. No se admite la agrupación de conexiones en conexiones de enlace GSSAPI. |
N/D | N/D | wgserver.domain.accept_list | AD | Permite la conexión desde Tableau Server a dominios secundarios de Active Directory. Un dominio secundario es aquel al que Tableau Server se conecta para la sincronización de usuarios, pero es un dominio donde Tableau Server no está instalado. Para asegurarse de que Tableau Server puede conectarse a otros dominios de Active Directory, debe especificar los dominios de confianza estableciendo la opción wgserver.domain.accept_list con TSM. Para obtener más información, consulte wgserver.domain.accept_list. |
N/D | N/D | wgserver.domain.whitelist | AD | Importante: Obsoleto a partir de la versión 2020.4.0. Utilice wgserver.domain.accept_list en su lugar. Permite la conexión desde Tableau Server a dominios secundarios de Active Directory. Un dominio secundario es aquel al que Tableau Server se conecta para la sincronización de usuarios, pero es un dominio donde Tableau Server no está instalado. Para asegurarse de que Tableau Server puede conectarse a otros dominios de Active Directory, debe especificar los dominios de confianza estableciendo la opción |
kerberosConfig | kerbconfig | No hay un mapeo directo | AD, LDAP | Ruta del archivo de configuración de Kerberos en el equipo local. Si realiza la instalación en Active Directory, no se recomienda utilizar el archivo keytab ni el archivo de configuración de Kerberos que ya existan en el equipo unido a un dominio. Consulte Almacén de identidades. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
kerberosKeytab | kerbkeytab | No hay un mapeo directo | AD, LDAP | Ruta del archivo keytab de Kerberos en el equipo local. Se recomienda crear un archivo keytab con claves específicas para el servicio Tableau Server y no compartirlo con otras aplicaciones del equipo. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-connection [options]. |
nickname | N/D | wgserver.domain.nickname | AD, LDAP | Alias del dominio. También se denomina “nombre NetBIOS” en los entornos de Windows o Active Directory. La opción |
root | N/D | wgserver.domain.ldap.root | LDAP | Si no utiliza un componente dc en la raíz LDAP o quiere especificar una raíz más compleja, deberá establecer la raíz LDAP. Utilice el formato “o=my,u=root”. Por ejemplo, para el dominio example.lan , la raíz sería "o=example,u=lan" . |
serverSideSorting | N/D | wgserver.domain.ldap.server_side_sorting | LDAP | Determina si el servidor LDAP está configurado para la ordenación de resultados de consulta en el servidor. Si el servidor LDAP admite la ordenación del lado servidor, defina el valor true en esta opción. Si no está seguro de si su servidor LDAP admite esta opción, defina el valor false , ya que una configuración equivocada podría causar errores. |
rangeRetrieval | N/D | wgserver.domain.ldap.range_retrieval | LDAP | Determina si el servidor LDAP está configurado para indicar un intervalo de resultados de consulta de una solicitud. Esto quiere decir que los grupos que tengan un gran número de usuarios se solicitarán en conjuntos pequeños, en lugar de todos a la vez. Los servidores LDAP que admitan la recuperación por rangos tendrán un mejor rendimiento en consultas de gran tamaño. Si el servidor LDAP admite la recuperación por rangos, defina el valor true en esta opción. Si no está seguro de si su servidor LDAP admite la recuperación por rangos, defina el valor false , ya que una configuración equivocada podría causar errores. |
bind | N/D | wgserver.domain.ldap.bind | LDAP | Modo en que se protegerá la comunicación con el servicio de directorio. Escriba simple para LDAP, a menos que se esté conectando a un servidor LDAP con Kerberos. Para Kerberos, escriba gssapi . |
N/D | N/D | wgserver.domain.ldap.domain_custom_ports | LDAP | Nota: Esta clave solo es compatible para Tableau Server en Linux. Le permite asignar dominios secundarios y sus puertos LDAP. El dominio y el puerto se separan con dos puntos (:) y cada par de dominio:puerto se separa con una coma (,), con este formato: Ejemplo: |
distinguishedNameAttribute | N/D | wgserver.domain.ldap.dnAttribute | LDAP | Atributo que almacena los nombres distintivos de los usuarios. Este atributo es opcional, pero mejora significativamente el rendimiento de las consultas LDAP. Importante: No establezca esta opción como parte de la configuración inicial. Establezca esta opción solo después de validar la funcionalidad general de LDAP. Debe tener un dnAttribute establecido en su organización antes de establecer esta clave. |
groupBaseDn | N/D | wgserver.domain.ldap.group.baseDn | LDAP | Use esta opción para especificar una raíz alternativa para los grupos. Por ejemplo, si todos sus grupos están almacenados en la organización base “groups”, escriba |
N/D | classnames | wgserver.domain.ldap.group.classnames | LDAP | De forma predeterminada, Tableau Server busca clases de objetos de grupos LDAP que contengan la cadena “group”. Si los objetos de grupos LDAP no se ajustan al nombre de clase predeterminado, sustituya el valor predeterminado estableciendo este valor. Puede proporcionar múltiples nombres de clase separados por comas. Si los nombres de grupo contienen comas, debe utilizar la barra diagonal inversa (\) como carácter de escape. Por ejemplo, para el nombre de grupo La implementación de LDAP de Tableau interpreta los objetos de LDAP como usuario o grupo. Por lo tanto, asegúrese de que está introduciendo el nombre de clase más específico. Los nombres de clase superpuestos entre usuarios y grupos pueden provocar errores. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
groupBaseFilter | basefilter | wgserver.domain.ldap.group.baseFilter | LDAP | Filtro que desea usar para los grupos de usuarios de Tableau Server. Podría especificar un atributo de clase de objeto y un atributo de unidad de organización. Por ejemplo:
Si Esta clave es obligatoria. No puede estar en blanco. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
groupName | groupname | wgserver.domain.ldap.group.name | LDAP | Atributo correspondiente a los nombres de los grupos del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
groupEmail | groupemail | wgserver.domain.ldap.group.email | LDAP | Atributo correspondiente a las direcciones de correo electrónico de los grupos del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
groupDescription | descripción | wgserver.domain.ldap.group.description | LDAP | Atributo correspondiente a las descripciones de los grupos del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
member | member | wgserver.domain.ldap.group.member | LDAP | Especifique el atributo LDAP que contenga una lista de nombres distintivos de usuarios que forman parte del grupo. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-group-mappings [options]. |
N/D | N/D | wgserver.domain.ldap.group.memberURL | LDAP | Especifique el nombre del atributo LDAP que almacene la consulta LDAP para grupos dinámicos. |
userBaseDn | N/D | wgserver.domain.ldap.user.baseDn | LDAP | Use esta opción para especificar una raíz alternativa para los usuarios. Por ejemplo, si todos sus usuarios están almacenados en la organización base “users”, escriba "o=users" . |
N/D | classnames | wgserver.domain.ldap.user.classnames | LDAP | De forma predeterminada, Tableau Server busca clases de objetos de usuarios de LDAP que contengan las cadenas “user” e “inetOrgPerson”. Si los objetos de usuarios de LDAP no utilizan estos nombres de clase predeterminados, sustituya el valor predeterminado estableciendo este valor. Puede proporcionar múltiples nombres de clase separados por comas. Por ejemplo: Si los nombres contienen comas, debe utilizar la barra diagonal inversa (\) como carácter de escape. Por ejemplo, para el nombre Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
userBaseFilter | basefilter | wgserver.domain.ldap.user.baseFilter | LDAP | Filtro que desea usar para los usuarios de Tableau Server. Podría especificar un atributo de clase de objeto y un atributo de unidad de organización. Por ejemplo:
Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
userUsername | ldapusername | wgserver.domain.ldap.user.username | LDAP | Atributo correspondiente a los nombres de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
userDisplayName | displayname | wgserver.domain.ldap.user.displayname | LDAP | Atributo correspondiente a los nombres para mostrar de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
userEmail | wgserver.domain.ldap.user.email | LDAP | Atributo correspondiente a las direcciones de correo electrónico de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. | |
userCertificate | certificate | wgserver.domain.ldap.user.usercertificate | LDAP | Atributo correspondiente a los certificados de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
N/D | thumbnail | wgserver.domain.ldap.user.thumbnail | LDAP | Atributo correspondiente a las miniaturas de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
userJpegPhoto | jpegphoto | wgserver.domain.ldap.user.jpegphoto | LDAP | Atributo correspondiente a las imágenes de perfil de los usuarios del servidor LDAP. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
memberOf | memberof | wgserver.domain.ldap.user.memberof | LDAP | Grupo al que pertenece el usuario. Comando de tsm nativo: utiliza el comando tsm user-identity-store set-user-mappings [options]. |
groupClassNames | N/D | wgserver.domain.ldap.group.classnames | LDAP | De forma predeterminada, Tableau Server busca clases de objetos de grupos LDAP que contengan la cadena “group”. Si los objetos de grupos LDAP no se ajustan al nombre de clase predeterminado, sustituya el valor predeterminado estableciendo este valor. Para configEntity: Esta opción usa una lista de cadenas que requiere pasar cada clase entre comillas, separadas por una coma (sin espacio) y entre paréntesis. Por ejemplo: Para configKey: Introduzca cada clase, separada por una coma (sin espacios) y entre comillas dobles. Por ejemplo: |
userClassNames | N/D | wgserver.domain.ldap.user.classnames | LDAP | De forma predeterminada, Tableau Server busca clases de objetos de usuarios de LDAP que contengan las cadenas “user” e “inetOrgPerson”. Si los objetos de usuarios de LDAP no utilizan estos nombres de clase predeterminados, sustituya el valor predeterminado estableciendo este valor. Para configEntity: Esta opción usa una lista de cadenas que requiere pasar cada clase entre comillas, separadas por una coma (sin espacio) y entre paréntesis. Por ejemplo: Para configKey: Introduzca cada clase, separada por una coma (sin espacios) y entre comillas dobles. Por ejemplo: |
configKeys calculadas
Las configKeys siguientes relacionadas con Kerberos se calculan según diversas entradas de valores de entorno. Por tanto, deben definirse mediante el comando tsm nativo o configEntities. No intente definir estas configKeys manualmente.
configKey calculada | Para utilizar el comando TSM nativo: | Para usar la configEntity json: |
---|---|---|
wgserver.domain.ldap.kerberos.conf, cfs.ldap.kerberos.conf | Defina la ubicación del archivo de configuración de Kerberos mediante la opción | Defina la ubicación del archivo de configuración de Kerberos mediante la opción de configEntity kerberosConfig . |
wgserver.domain.ldap.kerberos.keytab, cfs.ldap.kerberos.keytab | Defina la ubicación del archivo keytab de Kerberos mediante la opción kerbkeytab del comando tsm user-identity-store set-connection [options]. | Defina la ubicación del archivo keytab de Kerberos mediante la opción de configEntity kerberosKeytab . |
configKeys no admitidas
Hay algunas configKeys no admitidas presentes en archivos de configuración .yml subyacentes. Las claves siguientes no están destinadas a implementaciones estándar. No configure estas claves:
- wgserver.domain.ldap.kerberos.login
- wgserver.domain.ldap.guid
- wgserver.domain.fqdn: esta clave es redundante con wgserver.domain.default. Los valores de ambas claves deben ser los mismos. Actualice solamente wgserver.domain.fqdn si el valor no coincide con wgserver.domain.default.