À propos de la migration d’identités
Depuis la version 2022.1, Tableau Server stocke et gère les informations d’identité à l’aide du service d’identité. Avec le service d’identité, Tableau Server utilise une structure d’identités plus moderne, plus sécurisée et immuable pour le processus de provisionnement et d’authentification des utilisateurs. La migration d’identités est une condition préalable à la configuration et à l’utilisation de pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).
Remarque : Si vous ne prévoyez pas d’utiliser la fonctionnalité de pools d’identités, nous vous recommandons de ne pas exécuter la migration d’identités. L’exécution de la migration d’identités sans prévoir d’utiliser des pools d’identités n’apportera aucun avantage à votre déploiement Tableau Server.
Tous les nouveaux déploiements de Tableau Server 2022.1 (et versions ultérieures) utilisent le service d’identité par défaut et ne nécessitent aucune action supplémentaire de votre part. Lorsque vous ajoutez de nouveaux utilisateurs à Tableau Server, le service d’identité par défaut est utilisé.
Pour les déploiements existants, si vous mettez à niveau Tableau Server vers la version 2022.1 (ou version ultérieure) et restaurez une sauvegarde de Tableau 2021.4 (ou version antérieure), vous pouvez débuter la migration d’identités après la mise à niveau de Tableau Server pour renseigner le nouveau service d’identité. La migration d’identités renseigne des tables supplémentaires du service d’identité pour tous les utilisateurs de Tableau Server, qui sont ensuite utilisées pour authentifier les utilisateurs via le service d’identité. La migration s’exécute en arrière-plan et n’interrompt ni interfère l’utilisation de Tableau Server par vos utilisateurs.
En tant qu’administrateur, vous pouvez surveiller et gérer la migration, notamment en modifiant le moment où la migration s’exécute ou en résolvant tout conflit de migration potentiel, via une page dédiée à la migration d’identités disponible sur la page Utilisateurs de Tableau Server. Cette page est disponible pendant toute la durée du processus de migration.
Résumé des étapes pour les déploiements existants
Pour les déploiements existants, vous devez configurer Tableau Server pour utiliser le service d’identité une fois la migration terminée afin de tirer parti des améliorations de la structure d’identités et configurer les pools d’identités.
Étape 2 : Démarrer la migration d’identités
Étape 3 : Terminer la migration d’identités
Étape 4 : Configurer Tableau Server pour utiliser le service d’identité
Mots clés
- Service d’identité : service dans Tableau Server 2022.1 (et versions ultérieures) qui est responsable de l’administration des identités des utilisateurs, y compris l’authentification et le provisionnement. Le service utilise un schéma d’identité dans lequel les identités des utilisateurs sont représentées par des tables du service d’identité et la table héritée « system_users ».
- Pools d’identités – un outil de gestion des identités qui utilise les informations de provisionnement et d’authentification pour permettre l’accès des utilisateurs à Tableau Server. Les pools d’identités permettent un flux de travail de gestion des identités plus centralisé et flexible, basé sur le Service d’identité pour le stockage et la gestion des identités des utilisateurs dans Tableau Server.
- Ancien mode de magasin d’identités : schéma d’identité limité utilisé par Tableau Server 2021.4 (et versions antérieures), où les identités des utilisateurs sont uniquement représentées par la table héritée « system_users ».
- Migration d’identités : le processus d’audit qui évalue les identités d’utilisateur existants de Tableau Server, interroge les magasins d’identité externes en amont pour obtenir des informations d’identité supplémentaires (le cas échéant) et importe ces informations d’identité supplémentaires dans le service d’identité.
- Magasin d’identités externe : type de magasin d’identités externe et en amont de Tableau Server où toutes les informations d’identité sont stockées et gérées par un service d’annuaire externe (Active Directory (AD) ou LDAP). S’il est configuré, Tableau Server se synchronise avec l’annuaire externe afin qu’une copie des informations d’identité existe dans Tableau Server.
- Magasin d’identités local : type de magasin d’identités fourni par Tableau Server. S’il est configuré, Tableau Server stocke et gère les informations d’identité dans le référentiel Tableau Server sans aucun annuaire externe configuré pour ces informations.
- Utilisateur système : utilisateur de Tableau Server. Un utilisateur correspond à un enregistrement de connexion (« system_users ») à la fois dans le service d’identité (via la table « system_users_identities ») et dans l’ancien mode de magasin d’identités. Un enregistrement « system_users » peut potentiellement être associé à plusieurs identités d’utilisateur et permettre de se connecter à plusieurs sites. Le lien entre un enregistrement « system_users » et des sites est défini dans la table « users ».
Objet de la migration d’identités
Lorsque vous créez une sauvegarde Tableau Server, les informations d’identité sont enregistrées dans le schéma d’identité utilisé par la version de Tableau Server pour laquelle la sauvegarde a été créée. La migration est nécessaire pour renseigner les informations d’identité du schéma d’identité utilisé dans la sauvegarde vers le schéma d’identité utilisé par le service d’identité.
Schéma d’identité de Tableau Server 2021.4 et versions antérieures
Le schéma d’identité utilisé par l’ancien mode de magasin d’identités se compose de deux tables, « system_users » et « domains ».
Schéma d’identité de Tableau Server 2022.1 et versions ultérieures
Le schéma d’identité utilisé par le service d’identité inclut les anciennes tables « system_users » et des tables supplémentaires du service d’identité (*_identity_stores et *identities) qui capturent davantage d’informations d’identité. Les tables supplémentaires permettent de réduire les problèmes pouvant être causés par des modifications en amont dans les magasins d’identités externes.
Que se passe-t-il pendant la migration d’identités
Lorsque les informations sur les identités des utilisateurs sont migrées, les informations d’identité stockées dans la table héritée « system_users » sont complétées par les tables du service d’identité.
Le type de tables de service d’identité avec lesquelles les informations d’identité sont complétées dépend du type de magasin d’identités pour lequel Tableau Server est configuré : local, Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP).
Pour les types de magasins d’identité AD, les tables du service d’identité héritent uniquement des attributs non ambigus ou des attributs qui ne sont pas stockés dans le même enregistrement de base de données.
Par exemple, sAMAccountNAme et userPrincipalName (UPN) peuvent être stockés dans le même enregistrement de nom d’une table « systems_users » héritée, ce qui peut se produire à la suite d’une série complexe de règles. Dans la plupart des cas, la migration peut interpréter correctement et migrer avec succès l’identité de l’utilisateur. Toutefois, si la migration produit des résultats ambigus, vous devez soit reconnaître manuellement l’ambiguïté, soit résoudre manuellement le conflit à l’aide de la page dédiée à la migration d’identités. Pour plus d’informations, consultez Résoudre les conflits de migration d’identité.
Pour les types de magasins d’identités LDAP, comme les types de magasins d’identités AD, les tables du service d’identité héritent uniquement d’attributs non ambigus. Dans la plupart des cas, la migration peut interpréter correctement et migrer avec succès l’identité de l’utilisateur. Toutefois, si la migration produit des résultats ambigus, vous devez soit reconnaître manuellement l’ambiguïté, soit résoudre manuellement le conflit à l’aide de la page dédiée à la migration d’identités. Pour plus d’informations, consultez Résoudre les conflits de migration d’identité.
Pour les magasins d’identités de type Local, les tables du service d’identité héritent directement des champs d’utilisateur et de domaine. Cela signifie qu’aucune information supplémentaire ou résolution manuelle n’est requise de votre part. Lorsque Tableau Server est configuré pour ce type de magasin d’identités, la migration d’identités des utilisateurs se produit après le processus de restauration de la sauvegarde de Tableau Server.
Étape 1 : Avant de commencer
Avant de commencer, identifiez votre méthode de mise à niveau de Tableau Server ci-dessous pour déterminer quelles sont les prochaines étapes de la migration d’identités.
Si vous effectuez une mise à niveau Bleu/Vert ou une mise à niveau manuelle de Tableau Server en 1) installant Tableau Server sur une nouvelle machine, puis 2) en sauvegardant et en restaurant Tableau Server à l’aide des commandes tsm maintenance (backup et restore), vous devez prendre des mesures supplémentaires pour lancer la migration.
Pour plus d’informations, consultez Résoudre les problèmes liés à la migration des identités.
Si vous effectuez une mise à niveau « sur place » d’un serveur unique ou de plusieurs nœuds de Tableau Server à l’aide de la méthode décrite ici, aucune étape supplémentaire n’est requise de votre part pour lancer la migration. La migration démarre une fois la mise à niveau de Tableau Server vers la version 2022.1 (ou ultérieure) terminée.
Passez à l’étape 2.
Si vous mettez à niveau manuellement Tableau Server en 1) installant Tableau Server sur une nouvelle machine, puis 2) en exportant et en important les informations de configuration et de topologie à l’aide de commandes tsm settings (export et import), aucune étape supplémentaire n’est non plus requise de votre part pour lancer la migration. La migration démarre une fois le processus d’importation terminé sur la nouvelle machine Tableau Server.
Passez à l’étape 2.
Étape 2 : Démarrer la migration d’identités
Pour démarrer la migration d’identités, vous devez activer la fonctionnalité de migration d’identités à l’aide de la commande tsm features.IdentityMigrationBackgroundJob.
Remarque : Si vous avez effectué une mise à niveau vers les versions 2021.4.21, 2022.1.17, 2022.3.9 et 2023.1.5 de Tableau Server, la migration d’identités démarre par défaut et vous pouvez passer à l’Étape 3 : Terminer la migration d’identités.
Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (le nœud sur lequel TSM est installé) du groupement.
Exécutez la commande suivante :
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Une fois la migration d’identités commencée, vous verrez une notification dans Tableau Server qui vous relie à la page Migration d’identités. La page Migration d’identités vous permet de surveiller l’état de la migration d’identités et les conflits d’identité qui doivent être résolus.
Étape 3 : Terminer la migration d’identités
Pour terminer la migration d’identités, tous les conflits d’identité doivent être résolus ou reconnus avant de pouvoir activer le service d’identité pour Tableau Server.
- Connectez-vous à Tableau Server en tant qu’administrateur.
Dans le volet de navigation de gauche, sélectionnez Utilisateurs (ou Tous les sites > Utilisateurs pour une instance multisite de Tableau Server), puis cliquez sur la page Migration d’identité pour vérifier que la migration a commencé.
Vous pouvez surveiller et gérer sa progression à l’aide de la page dédiée à la migration des identités disponible sur la page Utilisateurs de Tableau Server. Pour plus d’informations, consultez Gérer la migration des identités.
Résolvez ou reconnaissez tous les conflits d’identité comme décrit dans Résoudre les conflits de migration d’identité afin que l’onglet Tous les échecs affiche « 0 » comme dans l’image ci-dessous.
Effectuez l’une des actions suivantes :
Pour exécuter la tâche de migration d’identité maintenant, en regard de l’en-tête Vue d’ensemble de la migration, cliquez sur la flèche déroulante Modifier la planification, puis sélectionnez Exécuter maintenant.
- Vous pouvez également attendre que la tâche de migration s’exécute à la prochaine heure planifiée.
Une fois la migration terminée, à partir de la page Migration d’identité, vérifiez que la vue d’ensemble de la migration indique 100 % terminé.
Étape 4 : Configurer Tableau Server pour utiliser le service d’identité
Une fois la migration d’identité terminée, configurez Tableau Server pour utiliser le service d’identité afin de garantir une structure d’identité plus sécurisée et immuable pour le processus de provisionnement et d’authentification des utilisateurs.
- Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (le nœud sur lequel TSM est installé) du groupement.
Exécutez les commandes suivantes :
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
Remarque : après avoir exécuté les commandes ci-dessus, la page dédiée à la migration des identités est supprimée et n’est plus accessible. La page n’est accessible que lorsque
tsm authentication legacy-identity-mode
est autorisé.
Une fois que Tableau Server est configuré pour utiliser le service d’identité, lorsque les utilisateurs se connectent à Tableau Server, Tableau Server recherche leurs identités d’utilisateur à l’aide de leurs identifiants dans le magasin d’identités configuré. À partir des identifiants, les identifiants universels uniques (UUID) sont renvoyés et utilisés pour correspondre aux identités d’utilisateur Tableau Server existantes. Ce processus génère ensuite des sessions pour les utilisateurs et termine le workflow d’authentification.