Entità identityStore

Tableau Server richiede un archivio di identità per la memorizzazione delle informazioni sugli utenti e sui gruppi. Prima di configurare l’archivio di identità per la prima volta, esamina gli argomenti Autenticazione e Archivio di identità. Dopo aver installato l’archivio di identità su Tableau Server, non è possibile modificarlo senza reinstallare il server.

Importante: per tutte le opzioni di entità viene applicata la distinzione tra maiuscole e minuscole.

Prima di iniziare

Esamina le informazioni seguenti:

  • Se non utilizzerai l’archivio di identità locale, verrà usata una qualche versione di LDAP. In questo caso, collabora con il tuo amministratore di directory/LDAP per configurare Tableau Server per il tuo schema LDAP e per i requisiti di binding.

  • La configurazione di Tableau Server è ottimizzata per Active Directory. Se stai installando in Active Directory, ti consigliamo di configurare l’archivio di identità con l’Configurare le impostazioni iniziali dei nodi.

  • Il binding LDAP è indipendente dall’autenticazione dell’utente. È ad esempio possibile configurare Tableau Server per l’utilizzo di un binding semplice per l’autenticazione nella directory LDAP e quindi configurare Tableau Server per autenticare gli utenti con Kerberos dopo l’installazione.

  • Non collegarti a LDAP con un binding semplice su una connessione non protetta. Per impostazione predefinita, LDAP con il binding semplice invia i dati come testo non crittografato. Utilizza LDAPS per crittografare il traffico con il binding semplice. Vedi Configurare il canale crittografato per l’archivio di identità esterno LDAP.

  • Per utilizzare l’autenticazione Kerberos per il binding di LDAP con il servizio Tableau Server, è necessario un file keytab per il binding GSSAPI, come descritto nelle sezioni seguenti. Vedi anche Comprendere i requisiti per i file keytab. Nel contesto di Kerberos, il binding GSSAPI è tutto ciò che serve durante l’installazione di base di Tableau Server. Dopo aver installato il server, è possibile configurare Kerberos per l’autenticazione degli utenti e la delegazione Kerberos alle origini dati.

  • In questo argomento viene descritta la distinzione tra LDAP (il protocollo per la connessione ai servizi di directory) e un server LDAP (un’implementazione di un servizio di directory). Ad esempio slapd è un server LDAP che fa parte del progetto OpenLDAP.

  • Convalida la configurazione LDAP prima di inizializzare il server. Consulta Configurare le impostazioni iniziali dei nodi.

  • Importa i file di configurazione JSON solo come parte della configurazione iniziale. Se devi apportare modifiche a LDAP dopo aver importato il file di configurazione JSON e inizializzato Tableau Server, non tentare di reimportare il file JSON. Apporta invece le singole modifiche con i comandi nativi di tsm o con tsm configuration set. Vedi Informazioni di riferimento sulla configurazione dell’archivio di identità esterno.

Modelli di configurazione

I modelli JSON in questa sezione vengono usati per configurare Tableau Server con diversi scenari per l’archivio di identità. A meno che tu non stia configurando un archivio di identità locale, dovrai selezionare e modificare un modello di file di configurazione specifico per l’ambiente LDAP in uso.

Considera l’utilizzo di Tableau Identity Store Configuration Tool(Il collegamento viene aperto in una nuova finestra) per generare il file di configurazione JSON di LDAP. Lo strumento non è supportato da Tableau. Tuttavia, utilizzare un file JSON creato dallo strumento invece di crearne uno manualmente non modifica lo stato supportato del server.

Seleziona un modello di configurazione dell’archivio di identità da modificare:

  • Locale
  • LDAP - Active Directory
  • OpenLDAP - Binding GSSAPI
  • OpenLDAP - Binding semplice

Per ulteriori spiegazioni sui file di configurazione, le entità e le chiavi, consulta Esempio di file di configurazione.

Locale

Configura l’archivio locale come tipo di archivio di identità se l’organizzazione non dispone già di un server Active Directory o di un server LDAP per l’autenticazione dell’utente. Quando selezioni locale come tipo di archivio di identità, utilizzi Tableau Server per creare e gestire gli utenti.

Un modo alternativo per configurare Tableau Server per l’archivio di identità locale consiste nell’eseguire l’interfaccia grafica del programma di installazione e selezionare "Locale" durante il processo di installazione. Consulta Configurare le impostazioni iniziali dei nodi.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

Importante

I seguenti modelli di configurazione LDAP seguenti sono alcuni esempi. I modelli, come presentati, non configurano la connettività LDAP nella tua organizzazione. Per modificare i valori del modello LDAP per una distribuzione corretta, devi collaborare con il tuo amministratore della directory.

Inoltre, tutti i file a cui si fa riferimento in configEntities devono trovarsi nel computer locale. Non specificare i percorsi UNC.

LDAP - Active Directory

La configurazione di Tableau Server è ottimizzata per Active Directory. Se stai eseguendo l’installazione in Active Directory, configura l’archivio di identità con l’Configurare le impostazioni iniziali dei nodi.

È richiesta una connessione crittografata ad Active Directory. Consulta Configurare il canale crittografato per l’archivio di identità esterno LDAP.

Se per qualche motivo non è possibile configurare l’archivio di identità per la comunicazione con Active Directory tramite l’interfaccia Web di TSM, utilizza questo modello JSON per configurare Tableau Server per la connessione ad Active Directory. Questo modello utilizza il binding GSSAPI (Kerberos) per autenticare il servizio Tableau Server con Active Directory. Tableau Server include il supporto dello schema di Active Directory. Pertanto, se imposti l’opzione "directoryServiceType" su "activedirectory" non è necessario fornire informazioni sullo schema nell’opzione "identityStoreSchemaType".

Se stai installando Tableau Server per Linux in Active Directory e il computer in cui installi Tableau Server è già stato aggiunto al dominio, il computer dispone già di un file di configurazione Kerberos e di un file keytab. A rigor di termini, è possibile utilizzare questi file per l’associazione GSSAPI, ma non è consigliato. È consigliabile invece contattare l’amministratore di Active Directory e richiedere una keytab specifica per il servizio Tableau Server.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

Per il binding ad Active Directory è consigliabile utilizzare GSSAPI. Tuttavia, è possibile connettersi con un binding semplice e LDAPS. Per connetterti con il binding semplice, imposta bind su simple, rimuovi le tre entità Kerberos e aggiungi le opzioni port/sslPort, username e password. Nell’esempio seguente viene illustrato Active Directory con binding semplice di json.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP - Binding GSSAPI

Utilizza il modello seguente per configurare OpenLDAP con il binding GSSAPI. Non utilizzare questo modello se la tua organizzazione esegue Active Directory. Se stai eseguendo l’installazione in Active Directory, utilizza il modello precedente, ovvero LDAP - Active Directory.

Nella maggior parte dei casi, le organizzazioni che utilizzano OpenLDAP con GSSAPI (Kerberos) useranno un file keytab per archiviare le credenziali. Nell’esempio seguente viene utilizzato un file keytab per le credenziali di autenticazione.

È tuttavia possibile fornire le credenziali tramite le entità username e password.

È inoltre possibile specificare sia un keytab che una coppia di nome utente e password. In questo caso, Tableau Server tenterà di utilizzare keytab, ma se l’autenticazione ha esito negativo per un qualsiasi motivo, si verificherà il fallback e utilizzerà le credenziali nome utente e password.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP - Binding semplice

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

Riferimento del modello di configurazione

Opzioni di archivio di identità condivise

tipo
Dove desideri archiviare le informazioni sull’identità dell’utente. local o activedirectory. Se desideri connetterti a un server LDAP, seleziona activedirectory.
dominio
Il dominio del computer in cui è stato installato Tableau Server.
nickname
Il nickname del dominio. Questo nome è anche noto come nome NetBIOS negli ambienti Windows.
L’opzione nickname è necessaria per tutte le entità LDAP. Se la tua organizzazione non richiede un nickname/NetBIOS, utilizza una chiave vuota, ad esempio: "nickname": "".

Opzioni di binding LDAP GSSAPI

directoryservicetype
Il tipo di servizio di directory al quale intendi connetterti. activedirectory o openldap.
kerberosConfig
Il percorso del file di configurazione Kerberos sul computer locale. Se stai installando in Active Directory, non è consigliato utilizzare il file di configurazione Kerberos o il file keytab che potrebbe essere già presente sul computer collegato al dominio. Vedi Archivio di identità.
kerberosKeytab
Il percorso del file keytab Kerberos sul computer locale. Si consiglia di creare un file keytab con chiavi specifiche per il servizio Tableau Server e di non condividerlo con altre applicazioni sul computer. Ad esempio, su Linux potresti collocare il file keytab nella directory /var/opt/tableau/keytab.
kerberosPrincipal
Il nome per il principal di servizio per Tableau Server sulla macchina host. La keytab deve avere l’autorizzazione per questo principal. Non utilizzare la keytab di sistema esistente in /etc/krb5.keytab. Si consiglia piuttosto di registrare un nuovo nome per il principal di servizio. Per visualizzare i principal in una determinata keytab, esegui il comando klist -k. Vedi Comprendere i requisiti per i file keytab.

Opzioni di binding semplice LDAP

directoryservicetype
Il tipo di servizio di directory al quale intendi connetterti. activedirectory o openldap.
hostname
Il nome dell’host del server LDAP. Puoi immettere un nome dell’host o un indirizzo IP per questo valore. L’host specificato qui verrà utilizzato solo per le query utente/di gruppo sul dominio primario. Se le query utente/di gruppo sono in altri domini (non nel dominio primario), Tableau Server non utilizzerà questo valore, ma eseguirà una query DNS per identificare il controller di dominio appropriato.
port
Utilizza questa opzione per specificare la porta non sicura del server LDAP. Il testo semplice di solito è 389.
sslPort
Utilizza questa opzione per abilitare LDAPS. Specifica la porta protetta del server LDAP. LDAPS di solito è la porta 636. Per utilizzare LDAPS, devi specificare anche l’opzione hostname. Vedi Configurare il canale crittografato per l’archivio di identità esterno LDAP.
nome utente
Il nome utente che desideri utilizzare per connetterti al servizio di directory. L’account specificato deve avere il permesso di inviare query al servizio di directory. Per Active Directory, immetti il nome utente, ad esempio, jsmith. Per i server LDAP, immetti il nome distinto (DN) dell’utente che desideri utilizzare per la connessione. È ad esempio possibile immettere cn=username,dc=your-local-domain,dc=lan.
password
La password dell’utente che desideri utilizzare per connetterti al server LDAP.

LDAPS e sottodomini

Se stai abilitando LDAPS in Active Directory e ti connetti a sottodomini, dovrai eseguire il seguente comando TSM per configurare la porta LDAPS (TCP 636) per i sottodomini. Il comando accetta argomenti che specificano subdomainFQDN:port.

Esempio: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v subdomain1.lan:636,subdomain2.lan:636,subdomain3.lan:636

Per maggiori informazioni, consulta Opzioni di tsm configuration set.

Opzioni LDAP condivise

Le opzioni seguenti possono essere impostate per implementazioni generiche LDAP, OpenLDAP o Active Directory.

bind
La modalità che desideri per l’autenticazione della comunicazione dal servizio Tableau Server al servizio directory LDAP. Immetti gssapi per GSSAPI (Kerberos).
dominio
Negli ambienti Active Directory, specifica il dominio in cui è installato Tableau Server, ad esempio "example.lan".
Per LDAP non AD: la stringa immessa per questo valore viene visualizzata nella colonna "Dominio" degli strumenti di gestione degli utenti. Puoi immettere una stringa arbitraria, ma la chiave non può essere vuota.

root

Solo LDAP. Non specificare per Active Directory.
Se non utilizzi un componente dc nella root LDAP o desideri specificare una root più complessa, dovrai impostare la root LDAP. Utilizza il formato "o=my,u=root". Ad esempio, per il dominio example.lan la root sarebbe "o=example,u=lan".
membersRetrievalPageSize
Questa opzione determina il numero massimo di risultati restituiti da una query LDAP.
Considera, ad esempio, uno scenario in cui Tableau Server importa un gruppo LDAP contenente 50.000 utenti. Tentare di importare un numero così elevato di utenti in un’unica operazione non è una best practice. Quando questa opzione è impostata su 1.500, Tableau Server importa i primi 1.500 utenti nella prima risposta. Una volta che questi utenti sono stati elaborati, Tableau Server richiede i successivi 1.500 utenti al server LDAP e così via.
Si consiglia di modificare questa opzione solo per soddisfare i requisiti del server LDAP.

Opzioni identityStoreSchemaType

Se configuri una connessione LDAP a un server LDAP, è possibile immettere informazioni sullo schema specifiche del server LDAP nell’oggetto identityStoreSchemaType.

Importante Se ti stai connettendo ad Active Directory ("directoryServiceType": "activedirectory"), non configurare queste opzioni.

userBaseFilter
Il filtro che desideri utilizzare per gli utenti di Tableau Server. Ad esempio, potresti specificare un attributo classe oggetto e un attributo unità organizzativa.
userUsername
L’attributo che corrisponde ai nomi utente sul server LDAP.
userDisplayName
L’attributo che corrisponde ai nomi di visualizzazione utente sul server LDAP.
userEmail
L’attributo che corrisponde agli indirizzi e-mail utente sul server LDAP.
userCertificate
L’attributo che corrisponde ai certificati utente sul server LDAP.
userThumbnail
L’attributo che corrisponde alle immagini thumbnail utente sul server LDAP.
utenteJpegPhoto
L’attributo che corrisponde alle immagini profilo utente sul server LDAP.
groupBaseFilter
Il filtro che desideri utilizzare per i gruppi di utenti di Tableau Server. Ad esempio, potresti specificare un attributo classe oggetto e un attributo unità organizzativa.
groupName
L’attributo che corrisponde ai nomi dei gruppi sul server LDAP.
groupEmail
L’attributo che corrisponde agli indirizzi e-mail dei gruppi sul server LDAP.
groupDescription
L’attributo che corrisponde alle descrizioni dei gruppi sul server LDAP.
member
L’attributo che descrive l’elenco di utenti in un gruppo.
distinguishedNameAttribute
L’attributo che archivia i nomi distinti degli utenti. Questo attributo è facoltativo, ma migliora notevolmente le prestazioni delle query LDAP.
serverSideSorting
Se il server LDAP è configurato per l’ordinamento lato server dei risultati delle query. Se il tuo server LDAP supporta l’ordinamento lato server, imposta questa opzione su true. Se non sei sicuro che il tuo server LDAP supporti l’opzione, immetti false, in quanto un’errata configurazione può causare errori.
rangeRetrieval
Se il server LDAP è configurato per restituire una serie di risultati di query per una richiesta. Questo significa che i gruppi con molti utenti saranno richiesti in piccoli insiemi invece che tutti in una volta. I server LDAP che supportano il recupero dell’intervallo funzioneranno meglio con le query di grandi dimensioni. Se il tuo server LDAP supporta il recupero dell’intervallo, imposta questa opzione su true. Se non sei sicuro che il tuo server LDAP supporti il recupero dell’intervallo, immetti false, in quanto un’errata configurazione può causare errori.
groupClassNames
Per impostazione predefinita, Tableau Server cerca classi di oggetti gruppo LDAP contenenti la stringa "group". Se gli oggetti gruppo LDAP non corrispondono al nome predefinito della classe, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole. Questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: ["basegroup","othergroup"].
userClassNames
Per impostazione predefinita, Tableau Server cerca classi di oggetti utente LDAP contenenti la stringa "user" e "inetOrgPerson". Se gli oggetti utente LDAP non utilizzano questi nomi di classe predefiniti, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole. Questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: ["userclass1",userclass2”].

Importazione del file JSON

Dopo aver completato la modifica del file JSON, passa il file e applica le impostazioni con i comandi seguenti:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!