Almacén de identidades
Tableau Server necesita un almacén de identidades para administrar la información de usuarios y grupos. Hay dos tipos de almacenes de identidades: locales y externos. Al instalar Tableau Server, debe configurar un almacén de identidades local o un almacén de identidades externo.
Para obtener información sobre las opciones de configuración para el almacén de identidades, consulte Entidad identityStore y Referencia de configuración del almacén de identidades externo. Para obtener más información sobre cómo agregar más flexibilidad al modelo de almacén de identidad único, consulte Aprovisionar y autenticar usuarios mediante grupos de identidades.
Almacén de identidades local
Al configurar Tableau Server con un almacén de identidades local, toda la información de usuarios y grupos se almacena y administra en el repositorio de Tableau Server. En la situación del almacén de identidades local, no hay ninguna fuente externa para los usuarios y grupos.
Almacén de identidades externo
Al configurar Tableau Server con un almacén externo, toda la información de usuarios y grupos la almacena y administra un servicio de directorio externo. Tableau Server debe sincronizarse con el almacén de identidades externo para que haya copias locales de los usuarios y los grupos en el repositorio de Tableau Server, pero el almacén de identidades externo es la fuente de autoridad para todos los datos de usuarios y grupos.
Si ha configurado el almacén de identidades de Tableau Server para que se comunique con un directorio LDAP externo, todos los usuarios (incluida la cuenta de administración inicial) que añada a Tableau Server deben tener una cuenta en el directorio.
Cuando Tableau Server está configurado para usar un directorio LDAP externo, primero debe importar las identidades de usuario del directorio externo al repositorio de Tableau Server como usuarios del sistema. Cuando los usuarios inician sesión en Tableau Server, sus credenciales se transfieren al directorio externo, que se encarga de autenticar al usuario; Tableau Server no realiza esta autenticación. Sin embargo, los nombres de usuario de Tableau guardados en el almacén de identidades están asociados a derechos y permisos de Tableau Server. Por tanto, una vez verificada la autenticación, Tableau Server administra el acceso de los usuarios (autorización) a los recursos de Tableau.
Active Directory es un ejemplo de un almacén de usuarios externo. Tableau Server está optimizado para interactuar con Active Directory. Por ejemplo, cuando instala Tableau Server en un equipo unido al dominio de Active Directory mediante la Configurar los ajustes de nodo iniciales, el programa de instalación detectará y configurará la mayoría de los ajustes de Active Directory. Si, por otro lado, utiliza TSM CLI para instalar Tableau Server, debe especificar todos los parámetros de Active Directory. En este caso, asegúrese de utilizar la plantilla LDAP - Active Directory para configurar el almacén de identidades.
Si instala en Active Directory, le recomendamos que revise Administración de usuarios en implementaciones con almacenes de identidades externos antes de realizar la implementación.
Para todos los demás almacenes externos, Tableau Server admite LDAP como método genérico de comunicación con el almacén de identidades. Por ejemplo, OpenLDAP es una de las distintas implementaciones del servidor LDAP con un esquema flexible. Tableau Server se puede configurar para consultar el servidor OpenLDAP. Para ello, el administrador del directorio debe proporcionar información sobre el esquema. Durante la instalación, debe usar la Configurar los ajustes de nodo iniciales para configurar la conexión con otros directorios LDAP.
Enlace LDAP
Los clientes que deseen consultar un almacén de usuarios con LDAP deben autenticarse y establecer una sesión. Esto se realiza mediante el enlace. Hay varias maneras de establecer un enlace. El enlace simple consiste en realizar la autenticación con un nombre de usuario y una contraseña. Para las organizaciones que se conectan a Tableau Server con el enlace simple, se recomienda configurar una conexión SSL cifrada; de lo contrario, las credenciales se envían en línea en texto plano. Otro tipo de enlace que admite Tableau Server es el enlace GSSAPI. GSSAPI utiliza Kerberos para realizar la autenticación. En el caso de Tableau Server, Tableau Server es el cliente y el almacén de usuarios externo es el servidor LDAP.
LDAP con enlace GSSAPI (Kerberos)
Se recomienda enlazar al directorio LDAP con GSSAPI mediante un archivo keytab para autenticarse en el servidor LDAP. Necesitará un archivo keytab específico para el servicio de Tableau Server. También recomendamos cifrar el canal con el servidor LDAP mediante SSL/TLS. Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.
Si va a efectuar la instalación en Active Directory y el equipo en el que va a instalar Tableau Server ya está vinculado al dominio, es posible que el equipo ya disponga de un archivo de configuración y de un archivo keytab. En tal caso, los archivos Kerberos están pensados para la funcionalidad y la autenticación en el sistema operativo. En términos estrictos, se pueden usar estos archivos para establecer un enlace GSSAPI, aunque no se recomienda. Póngase en contacto con el administrador de Active Directory y solicítele un archivo keytab específico para el servicio de Tableau Server. Consulte Información sobre los requisitos de keytab.
Asumiendo que su sistema operativo dispone de un keytab configurado correctamente para la autenticación en el dominio, todo lo que necesita para la instalación básica de Tableau Server es el archivo de claves de Kerberos para el enlace GSSAPI. Si tiene pensado usar la autenticación de Kerberos para los usuarios, entonces debe configurar Kerberos para la autenticación de usuario y la delegación de Kerberos a las fuentes de datos una vez que haya finalizado la instalación.
LDAP sobre SSL
De forma predeterminada, LDAP con enlace simple a servidores LDAP arbitrarios no está cifrado. Las credenciales de usuario que se utilizan para establecer la sesión de enlace con el servidor LDAP se comunican en texto sin formato entre Tableau Server y el servidor LDAP. Le recomendamos encarecidamente que cifre el canal entre Tableau Server y el servidor LDAP.
A partir de la versión 2021.2, Tableau Server en Linux requiere un canal LDAP cifrado cuando use Active Directory como un almacén de identidades. Debe instalar un certificado SSL/TSL válido antes de instalar o actualizar a 2021.2 o más reciente. Aunque no se recomienda, también puede deshabilitar el canal LDAP cifrado predeterminado. Para obtener más información sobre cómo habilitar o deshabilitar el cifrado para Active Directory y otros servidores LDAP, consulte Configurar un canal cifrado al almacén de identidades externo LDAP.
Usuarios y grupos del sistema
En Linux, Tableau Server utiliza un usuario y dos grupos para un correcto funcionamiento. El usuario y los grupos pueden ser locales o proceder de un servicio de directorio LDAP.
Usuario
Tableau Server necesita una cuenta de servicio. Esta cuenta es un usuario sin privilegios con privilegios de inicio de sesión normal. De forma predeterminada, la instalación de Tableau Server creará un usuario local, tableau
para la cuenta de servicio.
Si desea utilizar una cuenta de usuario existente para la cuenta de servicio de Tableau Server, debe deshabilitar la creación de cuentas durante la instalación.
Concretamente, tendrá que definir la opción --disable-account-creation
cuando ejecute el script initialize-tsm. También deberá especificar el nombre de la cuenta con la opción --unprivileged-user
. Si la cuenta que especifique no existe, el script initialize-tsm la creará. Consulte Resultado de ayuda para el script initialize-tsm para obtener más información.
Si desea especificar una cuenta existente con la opción --unprivileged-user
, compruebe que la cuenta de usuario es un usuario sin privilegios con privilegios de inicio de sesión normales. Configure la cuenta con las siguientes características:
Shell definido en
/bin/bash
.Por comodidad, sopese la posibilidad de establecer el directorio de inicio en la ruta del directorio de datos. La cuenta debe tener privilegios de propiedad y de escritura en el directorio de inicio.
Si especifica una cuenta sin privilegios diferente durante la configuración, debe agregar manualmente ese mismo usuario al grupo systemd-journal. El usuario sin privilegios debe ser miembro del grupo systemd-journal para que Tableau Server pueda recopilar registros de algunos servicios (como Pregunte a los datos) al ejecutar el comando tsm maintenance ziplogs Si el usuario sin privilegios no es miembro del grupo, los ziplogs no contendrán registros de los servicios afectados
Grupos
Tableau Server usa dos grupos para funcionar.
En una instalación predeterminada, la cuenta de servicio local de tableau
pertenece a un grupo principal denominado tableau
. No obstante, si especifica un usuario sin privilegios alternativo durante la instalación, se usará el grupo principal de esa cuenta alternativa. Por comodidad se puede añadir a este grupo cualquier cuenta para leer los archivos de registro de Tableau Server (sin ser usuario raíz).
El segundo grupo se usa para definir qué usuarios tienen permiso para autenticarse en Tableau Services Manager (TSM). Cualquier usuario en este grupo podrá enviar comandos a TSM, por lo que su acceso debe restringirse a administradores de Tableau Server. De forma predeterminada, este grupo se denomina tsmadmin
.
Si no va a usar los nombres predeterminados, tendrá que especificar el nombre del grupo con la opción --tsm-authorized-group
cuando ejecute el comando initialize-tsm. Consulte Resultado de ayuda para el script initialize-tsm para obtener más información.
Clientes de autenticación
La autenticación de usuario básica en Tableau Server se realiza al iniciar sesión por nombre de usuario y contraseña tanto para almacenes de usuarios locales como externos. En el caso local, las contraseñas de usuario se almacenan como una contraseña mediante hash en el repositorio. En el caso externo, Tableau Server pasa las credenciales al almacén de usuarios externo y espera una respuesta sobre si las credenciales son válidas. Los almacenes de usuarios externos también pueden admitir otros tipos de autenticación como Kerberos , pero el concepto sigue siendo el mismo, Tableau Server delega las credenciales o el usuario al almacén externo y espera respuesta.
Puede configurar Tableau Server para que el inicio de sesión con nombre de usuario y contraseña esté deshabilitado. En estos escenarios se pueden usar otros métodos de autenticación, con la autenticación confiable, OpenID o SAML. Consulte Autenticación.
En algunos casos, es posible que deba actualizar los directorios externos LDAP para permitir operaciones de enlace con el formato de nombre de usuario + DN de Tableau Server. Consulte Comportamiento de vinculación del usuario al iniciar sesión.