À propos de la migration d’identité

Depuis la version 2022.1, Tableau Server stocke et gère les informations d’identité à l’aide du service d’identité. Avec le service d’identité, Tableau Server utilise une structure d’identité plus moderne, plus sécurisée et immuable pour le processus d’activation et d’authentification des utilisateurs. La migration d’identité est une condition préalable à la configuration et à l’utilisation pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre).

Remarque : si vous ne prévoyez pas d’utiliser la fonctionnalité de pools d’identités, nous vous recommandons de ne pas exécuter la migration d’identité. L’exécution de la migration d’identité alors que vous ne comptez pas utiliser des pools d’identités n’apportera aucun avantage à votre déploiement Tableau Server.

Pour les déploiements existants, si vous mettez à niveau Tableau Server vers la version 2022.1 (ou version ultérieure) et restaurez une sauvegarde de Tableau 2021.4 (ou version antérieure), vous pouvez démarrer une migration d’identité après la mise à niveau de Tableau Server pour remplir le nouveau Service d’identité. La migration d’identité remplit des tables supplémentaires du service d’identité pour tous les utilisateurs de Tableau Server, qui sont ensuite utilisées pour authentifier les utilisateurs via le service d’identité. La migration s’exécute en arrière-plan et n’interrompt ni n’interfère avec l’utilisation de Tableau Server par vos utilisateurs.

En tant qu’administrateur, vous pouvez surveiller et gérer la migration, notamment en modifiant le moment où la migration s’exécute ou en résolvant tout conflit de migration potentiel, via une page Migration d’identité dédiée disponible sur la page Utilisateurs de Tableau Server. Cette page est disponible pendant toute la durée du processus de migration.

Résumé des étapes pour les déploiements existants

Pour les déploiements existants, vous devez configurer Tableau Server de manière à ce qu’il utilise le Service d’identité une fois la migration terminée pour tirer partie des améliorations de la structure des identités et configurer les pools d’identités.

Étape 1 : Avant de commencer

Étape 2 : Démarrer la migration d’identité

Étape 3 : Terminer la migration d’identité

Étape 4 : Configurer Tableau Server pour utiliser le Service d’identité

Mots-clés

  • Service d’identité : un service dans Tableau Server 2022.1 (et versions ultérieures) qui est responsable de l’administration des identités des utilisateurs, y compris l’authentification et l’activation. Le service utilise un schéma d’identité dans lequel les identités des utilisateurs sont représentées par les tables Service d’identité et la table héritée "system_users".
  • Les pools d’identités sont un outil de gestion des identités qui utilise les informations d’activation et d’authentification pour permettre l’accès des utilisateurs à Tableau Server. Les pools d’identités aident à centraliser et flexibiliser le workflow de gestion des identités qui est basé sur le Service d’identité pour le stockage et la gestion des identités d’utilisateurs dans Tableau Server.
  • Mode du magasin d’identités hérité : un schéma d’identité limité utilisé par Tableau Server 2021.4 (et versions antérieures), où les identités des utilisateurs sont uniquement représentées par la table héritée "system_users".
  • Migration d’identité : le processus d’audit qui évalue les identités d’utilisateur existantes de Tableau Server interroge les magasins d’identité externes en amont pour obtenir des informations d’identité supplémentaires (le cas échéant) et importe ces informations d’identité supplémentaires dans le service d’identité.
  • Magasin d’identités externe : type de magasin d’identités externe et en amont de Tableau Server où toutes les informations d’identité sont stockées et gérées par un service d’annuaire externe (Active Directory (AD) ou LDAP). S’il est configuré, Tableau Server se synchronise avec l’annuaire externe afin qu’il existe une copie des informations d’identité dans Tableau Server.
  • Magasin d’identités local : type de magasin d’identités fourni par Tableau Server. S’il est configuré, Tableau Server stocke et gère les informations d’identité dans le référentiel Tableau Server sans aucun répertoire externe configuré pour ces informations.
  • Utilisateur système : un utilisateur Tableau Server. Un utilisateur correspond à un enregistrement de connexion ("system_users") à la fois dans le service d’identité (via la table "system_users_identities") et dans le mode de magasin d’identités hérité. Un enregistrement "system_users" peut potentiellement être associé à plusieurs identités d’utilisateurs et permettre de se connecter à plusieurs sites. La liaison entre un enregistrement "system_users" et ses sites est définie dans la table "users" .

Objectif de la migration d’identité

Lorsque vous créez une sauvegarde Tableau Server, les informations d’identité sont enregistrées dans le schéma d’identité utilisé par la version de Tableau Server pour laquelle la sauvegarde a été créée. La migration est nécessaire pour renseigner les informations d’identité du schéma d’identité utilisé dans la sauvegarde vers le schéma d’identité utilisé par le service d’identité.

Schéma d’identité de Tableau Server 2021.4 et versions antérieures

Le schéma d’identité utilisé par le mode de magasin d’identités hérité se compose de deux tables, "system_users" et "domains".

Schéma d’identité de Tableau Server 2022.1 et versions ultérieures

Le schéma d’identité utilisé par le service d’identité inclut les tables héritées "system_users" et les tables supplémentaires du service d’identité (*_identity_stores et *identities) qui capturent davantage d’informations d’identité. Les tables supplémentaires permettent de réduire les problèmes éventuellement générés par des modifications en amont dans les magasins d’identités externes.

Que se passe-t-il pendant la migration d’identité ?

Lorsque les informations relatives aux identités des utilisateurs sont migrées, les informations d’identité stockées dans la table héritée "system_users" sont complétées par les tables du service d’identité.

Le type de tables de service d’identité avec lesquelles les informations d’identité sont complétées dépend du type de magasin d’identités pour lequel Tableau Server est configuré : local, Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP).

  • Pour les types de magasins d’identité AD, les tables du service d’identité héritent uniquement des attributs non ambigus ou des attributs qui ne sont pas stockés dans le même enregistrement de base de données.

    Par exemple, sAMAccountNAme et userPrincipalName (UPN) peuvent être stockés dans le même enregistrement de nom d’une table "systems_users" héritée, ce qui peut se produire à la suite d’une série complexe de règles. Dans la plupart des cas, la migration est capable d’interpréter correctement l’identité de l’utilisateur et de la migrer avec succès. Toutefois, si la migration produit des résultats ambigus, vous devez soit reconnaître manuellement l’ambiguïté, soit résoudre manuellement le conflit à l’aide de la page dédiée à la migration d’identité. Pour plus d’informations, consultez Résoudre les conflits de migration d’identité.

  • Pour les types de magasins d’identités LDAP, tels que les types de magasins d’identités AD, les tables du service d’identité héritent uniquement d’attributs non ambigus. Dans la plupart des cas, la migration est capable d’interpréter correctement l’identité de l’utilisateur et de la migrer avec succès. Toutefois, si la migration produit des résultats ambigus, vous devez soit reconnaître manuellement l’ambiguïté, soit résoudre manuellement le conflit à l’aide de la page dédiée à la migration d’identité. Pour plus d’informations, consultez Résoudre les conflits de migration d’identité.

  • Pour les types de magasins d’identités locaux, les tables du service d’identité héritent directement des champs d’utilisateur et de domaine. Cela signifie qu’aucune information supplémentaire ou résolution manuelle n’est requise de votre part. Lorsque Tableau Server est configuré pour ce type de magasin d’identités, la migration d’identité des utilisateurs se produit après le processus de restauration de la sauvegarde de Tableau Server.

Étape 1 : Avant de commencer

Avant de commencer, identifiez votre méthode de mise à niveau de Tableau Server ci-dessous pour déterminer les prochaines étapes de la migration d’identité.

  • Si vous effectuez une mise à niveau Bleu/Vert ou une mise à niveau manuelle de Tableau Server 1) en installant Tableau Server sur une nouvelle machine, puis 2) en sauvegardant et en restaurant Tableau Server à l’aide des commandes tsm maintenance (sauvegarde et restauration), vous devez prendre des mesures supplémentaires pour lancer la migration.

    Pour les étapes suivantes, consultez Résoudre les problèmes liés à la migration d’identité.

  • Si vous effectuez une mise à niveau « sur place » d’un serveur unique ou de plusieurs nœuds de Tableau Server à l’aide de la méthode décrite ici, aucune étape supplémentaire n’est requise de votre part pour lancer la migration. La migration démarre une fois la mise à niveau de Tableau Server vers la version 2022.1 (ou ultérieure) terminée.

    Passez à l’Étape 2.

  • Si vous effectuez une mise à niveau manuelle de Tableau Server 1) en installant Tableau Server sur une nouvelle machine, puis 2) en exportant et en important les informations de configuration et de topologie à l’aide des commandes tsm settings (export et import), aucune étape supplémentaire n’est également requise de votre part pour initier la migration. La migration démarre une fois le processus d’importation terminé sur la nouvelle machine Tableau Server.

    Passez à l’Étape 2.

Étape 2 : Démarrer la migration d’identité

Pour démarrer la migration d’identité, vous devez activer la fonctionnalité correspondante à l’aide de la commande tsm features.IdentityMigrationBackgroundJob.

Remarque : si vous avez effectué une mise à niveau vers les versions 2021.4.21, 2022.1.17, 2022.3.9 et 2023.1.5 de Tableau Server, la migration d’identité démarre par défaut et vous pouvez passer à l’Étape 3 : Terminer la migration d’identité.

  1. Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (sur lequel TSM est installé) du cluster.

  2. Exécutez la commande suivante :

    tsm configuration set -k features.IdentityMigrationBackgroundJob -v true

Une fois que la migration d’identité a démarré, vous voyez une notification dans Tableau Server avec un lien vers la page Migration d’identité. Cette page vous permet de surveiller l’état de la migration d’identité et les conflits d’identités à résoudre.

Étape 3 : Terminer la migration d’identité

Pour terminer la migration d’identité, tous les conflits d’identité doivent être résolus ou reconnus avant l’activation du service d’identité pour Tableau Server.

  1. Connectez-vous à Tableau Server en tant qu’administrateur.
  2. Dans le volet de navigation de gauche, sélectionnez Utilisateurs (ou Tous les sites > Utilisateurs pour un Tableau Server multisite), puis cliquez sur la page Migration d’identité pour vérifier que la migration a démarré.

    Vous pouvez surveiller et gérer sa progression à l’aide de la page dédiée à la migration d’identité, qui est disponible sur la page Utilisateurs de Tableau Server. Pour en savoir plus, consultez Gérer la migration d’identité.

  3. Résolvez ou reconnaissez tous les conflits d’identité comme décrit dans Résoudre les conflits de migration d’identité afin que l’onglet Tous les échecs affiche « 0 » comme dans l’image ci-dessous.

  4. Effectuez l’une des actions suivantes :

    • Pour exécuter la tâche de migration d’identité maintenant, en regard de l’en-tête Vue d’ensemble de la migration, cliquez sur la flèche de la liste déroulante Modifier la planification, puis sélectionnez Exécuter maintenant.

    • Vous pouvez également attendre que la tâche de migration s’exécute à la prochaine heure planifiée.
  5. Une fois la migration terminée, dans la page Migration d’identité, vérifiez que l’aperçu de la migration indique 100 % terminé.

Étape 4 : Configurer Tableau Server pour utiliser le Service d’identité

Une fois la migration d’identité terminée, configurez Tableau Server pour utiliser le service d’identité afin de garantir une structure d’identité plus sécurisée et immuable pour le processus de gestion et d’authentification des utilisateurs.

  1. Ouvrez une invite de commande en tant qu’administrateur sur le nœud initial (le nœud sur lequel TSM est installé) du cluster.
  2. Exécutez les commandes suivantes :

    tsm authentication legacy-identity-mode disable
    tsm pending-changes apply

    Remarque : après avoir exécuté les commandes ci-dessus, la page dédiée à la Migration d’identité est supprimée et n’est plus accessible. La page est accessible uniquement lorsque tsm authentication legacy-identity-mode est activé.

Une fois que Tableau Server est configuré pour utiliser le service d’identité, lorsque les utilisateurs se connectent à Tableau Server, Tableau Server recherche leurs identités utilisateur à l’aide de leurs identifiants dans le magasin d’identités configuré. À partir des identifiants, les identifiants universels uniques (UUID) sont renvoyés et utilisés pour être associés aux identités utilisateur Tableau Server existantes. Ce processus génère ensuite des sessions pour les utilisateurs et termine le workflow d’authentification.

Merci de vos commentaires !Avis correctement envoyé. Merci