Magasin d’identités
Tableau Server a besoin d’un magasin d’identités pour stocker les informations sur les utilisateurs et les groupes. On distingue deux types de magasins d’identités : local et externe. Lorsque vous installez Tableau Server, vous devez configurer un magasin d’identités local ou externe.
Pour des informations sur les options de configuration du magasin d’identités, consultez Entité identityStore et Référence de configuration du magasin d’identités externe. Pour plus d’informations sur l’ajout de davantage de flexibilité au modèle du magasin d’identité unique, consultez Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.
Magasin d’identités local
Lorsque vous configurez Tableau Server avec un magasin d’identités local, toutes les informations d’utilisateurs et de groupes sont stockées et gérées dans le référentiel Tableau Server. Dans le cas d’un magasin d’identités local, il n’y a pas de source externe pour les utilisateurs et les groupes.
Magasin d’identités externe
Lorsque vous configurez Tableau Server avec un magasin d'identités externe, toutes les informations des utilisateurs et des groupes sont stockées et gérées par un service de répertoire externe. Tableau Server doit se synchroniser avec le magasin d’identités externe pour que les copies locales des utilisateurs et des groupes figurent dans le référentiel Tableau Server. Le magasin d’identités externe est toutefois la source principale pour toutes les données d’utilisateurs et de groupes.
Si vous avez configuré le magasin d’identités Tableau Server pour communiquer avec un répertoire LDAP externe, tous les utilisateurs (y compris le compte administrateur initial) que vous ajoutez à Tableau Server doivent avoir un compte dans le répertoire.
Si Tableau Server est configuré pour utiliser un répertoire LDAP externe, vous devez d’abord importer les identités des utilisateurs depuis le répertoire externe dans le référentiel Tableau Server en tant qu’utilisateurs système. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d’identification sont transmises au répertoire externe, qui prend la responsabilité de l’authentification de l’utilisateur ; Tableau Server n’effectue pas cette authentification. Cependant, les noms d’utilisateur Tableau stockés dans le magasin d’identités sont associés avec des droits et des autorisations pour Tableau Server. Donc, une fois l’authentification vérifiée, Tableau Server gère l’accès de l’utilisateur (autorisation) pour les ressources Tableau.
Active Directory est un exemple de banque d’utilisateurs externe. Tableau Server est optimisé pour l’interface avec Active Directory. Par exemple, lorsque vous installez Tableau Server sur un ordinateur lié au domaine Active Directory à l’aide de l’Configurer les paramètres du nœud initial, le programme d’installation détecte et configure la plupart des paramètres Active Directory. Si, d’autre part, vous utilisez l’interface en ligne de commande TSM pour installer Tableau Server, vous devez spécifier tous les paramètres Active Directory. Dans ce cas, assurez-vous d’utiliser le modèle LDAP - Active Directory pour configurer le magasin d’identité.
Si vous effectuez l’installation dans Active Directory, nous vous recommandons de consulter Gestion des utilisateurs dans les déploiements avec magasins d’identités externes avant le déploiement.
Pour tous les autres magasins externes, Tableau Server prend en charge LDAP comme moyen générique de communiquer avec le magasin d’identités. Par exemple, OpenLDAP est l'une des nombreuses mises en œuvre de serveur LDAP avec un schéma flexible. Il est possible de configurer Tableau Server pour qu’il interroge un serveur OpenLDAP. Pour cela, l’administrateur de répertoires doit fournir des informations relatives au schéma. Lors de la configuration, vous devez utiliser l’Configurer les paramètres du nœud initial pour configurer une connexion à d’autres répertoires LDAP.
Liaison LDAP
Les clients qui souhaitent interroger une banque d’utilisateurs à l’aide de LDAP doivent s’authentifier et établir une session, ce qui s’effectue via une liaison. Il existe de nombreuses façons d’établir une liaison. La liaison simple correspond à une authentification avec nom d’utilisateur et mot de passe. Pour les organisations qui se connectent à Tableau Server avec liaison simple, nous vous recommandons de configurer une connexion cryptée SSL, sans quoi les informations d’identification sont envoyées en ligne sous forme de texte ordinaire. Un autre type de liaison pris en charge par Tableau Server est la liaison GSSAPI. GSSAPI utilise Kerberos pour l’authentification. Dans le cas de Tableau Server, Tableau Server est le client, et la banque d’utilisateurs externe est le serveur LDAP.
LDAP avec liaison GSSAPI (Kerberos)
Nous vous recommandons une liaison à l’annuaire LDAP avec GSSAPI à l’aide d’un fichier keytab pour l’authentification sur le serveur LDAP. Vous aurez besoin d’un fichier keytab spécifiquement pour le service Tableau Server. Nous vous recommandons également de crypter le canal avec le serveur LDAP à l’aide de SSL/TLS. Consultez Configurer le canal crypté vers le magasin d’identités externe LDAP.
Si vous effectuez l’installation sur Active Directory, et que l’ordinateur sur lequel vous installez Tableau Server est déjà lié au domaine, il se peut que l’ordinateur dispose déjà d’un fichier de configuration et d’un fichier keytab. Dans ce cas, les fichiers Kerberos sont destinés à l’authentification et au fonctionnement du système d’exploitation. À proprement parler, vous pouvez utiliser ces fichiers pour la liaison GSSAPI, mais nous déconseillons de les utiliser. Au lieu de cela, contactez votre administrateur Active Directory et demandez un fichier keytab spécifiquement pour le service Tableau Server. Consultez Comprendre la configuration requise du fichier keytab.
En présupposant que votre système d’exploitation dispose d’un fichier keytab correctement configuré pour l’authentification sur le domaine, l’installation de base de Tableau Server ne nécessite rien d’autre qu’un fichier de clé Kerberos pour la liaison GSSAPI. Si vous comptez utiliser l’authentification Kerberos pour les utilisateurs, configurez Kerberos pour l’authentification utilisateur et la délégation Kerberos pour les sources de données une fois l’installation terminée.
LDAP sur SSL
Par défaut, LDAP avec liaison simple à des serveurs LDAP arbitraires n’est pas crypté. Les informations d’identification des utilisateurs utilisées pour établir la session de liaison avec le serveur LDAP sont communiquées en texte ordinaire entre Tableau Server et le serveur LDAP. Nous vous recommandons vivement de crypter le canal entre Tableau Server et le serveur LDAP.
Depuis la version 2021.2, Tableau Server sur Linux nécessite un canal LDAP crypté lorsque vous utilisez Active Directory comme magasin d’identités. Vous devez installer un certificat SSL/TSL valide avant d’installer ou de mettre à niveau vers la version 2021.2 ou version plus récente. Bien que cela ne soit pas recommandé, vous pouvez également désactiver le canal LDAP crypté par défaut. Pour plus d’informations sur l’activation ou la désactivation du cryptage pour Active Directory et d’autres serveurs LDAP, consultez Configurer le canal crypté vers le magasin d’identités externe LDAP.
Utilisateurs et groupes système
Tableau Server sur Linux utilise un utilisateur, et deux groupes, pour fonctionner correctement. Les utilisateurs et les groupes peuvent être locaux ou provenir d’un service d’annuaire LDAP.
Utilisateur
Tableau Server requiert un compte de service. Le compte est un utilisateur sans privilèges qui est doté de privilèges de connexion standard. Par défaut, l’installation Tableau Server créera un utilisateur local, tableau
, pour le compte de service.
Si vous souhaitez utiliser un compte utilisateur existant pour le compte de service Tableau Server, vous devez désactiver la création de compte lors de l’installation.
Plus spécifiquement, vous devez configurer l’option --disable-account-creation
lorsque vous exécutez le script initialize-tsm. Vous devrez également spécifier le nom du compte avec l’option--unprivileged-user
. Si le compte spécifié n’existe pas, le script initialize-tsm le créera. Consultez Résultat de l’aide pour le script initialize-tsm pour plus de détails.
Si vous souhaitez spécifier un compte existant avec l’option --unprivileged-user
, vérifiez que le compte utilisateur est un utilisateur non privilégié avec des privilèges de connexion standard. Configurez le compte avec les caractéristiques suivantes :
Interpréteur de commandes défini sur
/bin/bash
.Pour plus de facilité, envisagez de définir le répertoire de base sur le chemin d’accès du répertoire de données. Le compte doit disposer de la propriété et de privilèges d’accès pour le répertoire de base.
Si vous spécifiez un compte non privilégié différent lors de l’installation, vous devez ajouter manuellement ce même utilisateur au groupe systemd-journal. L’utilisateur non privilégié doit être membre du groupe systemd-journal afin que Tableau Server puisse collecter les journaux de certains services (tels que Parlez aux données) lors de l’exécution de la commande tsm maintenance ziplogs. Si l’utilisateur non privilégié n’est pas membre du groupe, les ziplogs ne contiendront pas de journaux provenant des services concernés
Groupes
Tableau Server requiert deux groupes pour fonctionner.
Dans une installation par défaut, le compte de service local tableau
appartient à un groupe principal appelé tableau
. Toutefois, si vous spécifiez un utilisateur sans privilèges pendant l’installation, le groupe principal pour ce compte alternatif sera utilisé. Pour plus de facilité, tout compte peut être ajouté à ce groupe afin de pouvoir lire les fichiers journaux Tableau Server (sans devenir la racine).
Le second groupe est utilisé pour autoriser les utilisateurs pouvant s’authentifier sur Tableau Services Manager (TSM). Tout utilisateur de ce groupe pourra envoyer des commandes à TSM, d’où la nécessité de le limiter aux administrateurs de Tableau Server. Par défaut, ce groupe est appelé tsmadmin
.
Si vous ne comptez pas utiliser le nom par défaut, vous devez aussi spécifier le nom du groupe avec l’option --tsm-authorized-group
lorsque vous exécutez la commande initialize-tsm. Consultez Résultat de l’aide pour le script initialize-tsm pour plus de détails.
Authentification des clients
L’authentification utilisateur de base dans Tableau Server s’effectue par connexion avec un nom d’utilisateur et un mot de passe à la fois pour les banques utilisateur locales et externes. Dans le cas local, les mots de passe utilisateur sont stockés en tant que mot de passé haché dans le référentiel. Dans le cas externe, Tableau Server transmet les informations d’identification à la banque d’utilisateurs externe et attend une réponse sur la validité des informations d’identification. Les banques d’utilisateurs externes peuvent également gérer d’autres types d’authentification tels que Kerberos, mais le concept est identique. Tableau Server délègue les informations d’identification ou l’utilisateur à la banque externe et attend une réponse.
Vous pouvez configurer Tableau Server de manière à ce que la connexion nom d’utilisateur-mot de passe soit désactivée. Dans ces scénarios, d’autres méthodes d’authentification telles que l’authentification de confiance, OpenID ou SAML peuvent être utilisées. Consultez Authentification.
Dans certains cas, vous devrez peut-être mettre à jour les annuaires externes LDAP pour autoriser les opérations de liaison avec le format nom d’utilisateur + DN depuis Tableau Server. Voir Comportement de liaison de l’utilisateur lors de la connexion.