Informazioni sulla migrazione delle identità
A partire dalla versione 2022.1, Tableau Server archivia e gestisce le informazioni sull’identità utilizzando il servizio di identità. Con il servizio di identità, Tableau Server utilizza una struttura di identità più moderna, più sicura e immutabile per il processo di autenticazione e provisioning degli utenti. La migrazione delle identità è un prerequisito per la configurazione e l’utilizzo dei pool di identità(Il collegamento viene aperto in una nuova finestra).
Nota: se non prevedi di utilizzare la funzionalità dei pool di identità, ti consigliamo di non eseguire la migrazione delle identità. Eseguire la migrazione delle identità senza aver pianificato l’utilizzo dei pool di identità non offre vantaggi alla distribuzione di Tableau Server.
Tutte le nuove distribuzioni di Tableau Server 2022.1 (e versioni successive) utilizzano il servizio di identità per impostazione predefinita e non richiedono alcuna azione aggiuntiva da parte tua. Quando aggiungi nuovi utenti a Tableau Server, viene utilizzato il servizio di identità predefinito.
Per le distribuzioni esistenti, se esegui l’upgrade di Tableau Server alla versione 2022.1 (o successiva) e ripristini un backup di Tableau 2021.4 (o versione precedente), puoi avviare la migrazione delle identità dopo il completamento dell’upgrade di Tableau Server per popolare il nuovo servizio di identità. La migrazione delle identità popola le tabelle del servizio di identità supplementari per tutti gli utenti di Tableau Server, che vengono quindi utilizzate per autenticare gli utenti tramite il servizio di identità. La migrazione viene eseguita in background e non interromperà né interferirà con l’utilizzo di Tableau Server da parte degli utenti.
In qualità di amministratore, puoi monitorare e gestire la migrazione, comprese le modifiche durante l’esecuzione della migrazione o la risoluzione di potenziali conflitti di migrazione, tramite una pagina dedicata alla migrazione dell’identità disponibile nella pagina Utenti di Tableau Server. Questa pagina è disponibile per tutta la durata del processo di migrazione.
Riepilogo delle fasi per le distribuzioni esistenti
Per le distribuzioni esistenti, devi configurare Tableau Server per utilizzare il servizio di identità al termine della migrazione per sfruttare i miglioramenti della struttura dell’identità e configurare i pool di identità.
Fase 2. Avviare la migrazione delle identità
Fase 3. Completare la migrazione delle identità
Fase 4. Configurare Tableau Server per l’utilizzo del servizio di identità
Termini chiave
- Servizio di identità: un servizio in Tableau Server 2022.1 (e versioni successive) responsabile dell’amministrazione delle identità degli utenti, inclusi l’autenticazione e il provisioning. Il servizio utilizza uno schema di identità in cui le identità degli utenti sono rappresentate dalle tabelle del servizio di identità e dalla tabella legacy "system_users".
- Pool di identità: uno strumento di gestione delle identità che utilizza le informazioni di provisioning e autenticazione per consentire l’accesso utente a Tableau Server. I pool di identità consentono un workflow di gestione delle identità più centralizzato e flessibile basato sul servizio di identità per l’archiviazione e la gestione delle identità degli utenti in Tableau Server.
- Modalità archivio identità legacy: uno schema di identità limitato utilizzato da Tableau Server 2021.4 (e versioni precedenti), in cui le identità utente sono rappresentate solo dalla tabella "system_users" legacy.
- Migrazione delle identità: il processo di controllo che valuta le identità utente di Tableau Server esistenti, interroga gli archivi identità esterni a monte per ulteriori informazioni sull’identità (a seconda dei casi) e importa tali informazioni aggiuntive sull’identità nel servizio di identità.
- Archivio identità esterno: un tipo di archivio identità esterno e a monte di Tableau Server in cui tutte le informazioni sull’identità sono archiviate e gestite da un servizio di directory esterno, Active Directory (AD) o LDAP. Se configurato, Tableau Server si sincronizza con la directory esterna in modo che esista una copia delle informazioni sull’identità in Tableau Server.
- Archivio identità locale: un tipo di archivio identità fornito da Tableau Server. Se configurato, Tableau Server archivia e gestisce le informazioni sull’identità nel repository di Tableau Server senza alcuna directory esterna configurata per queste informazioni.
- Utente di sistema: un utente di Tableau Server. Un utente corrisponde a un record di accesso ("system_users") sia nel servizio di identità (tramite la tabella "system_users_identities") che nella modalità archivio identità legacy. Un record "system_users" può potenzialmente avere più identità utente associate e abilitate per l’accesso a più siti. Il collegamento tra un record "system_users" e i siti è definito attraverso la tabella "users".
Scopo della migrazione delle identità
Quando crei un backup di Tableau Server, le informazioni sulle identità vengono salvate nello schema di identità utilizzato dalla versione di Tableau Server per cui è stato creato il backup. La migrazione è necessaria per popolare le informazioni sulle identità dallo schema di identità utilizzato nel backup allo schema di identità utilizzato dal servizio di identità.
Schema di identità di Tableau Server 2021.4 e versioni precedenti
Lo schema di identità utilizzato dalla modalità archivio identità legacy è costituito da due tabelle, "system_users" e "domains".
Schema di identità di Tableau Server 2022.1 e versioni successive
Lo schema di identità utilizzato dal servizio di identità include le tabelle legacy "system_users" e le tabelle del servizio di identità supplementari (*_identity_stores e *identities), che acquisiscono più informazioni sull’identità. Le tabelle aggiuntive consentono di ridurre i problemi che possono essere causati da modifiche a monte negli archivi di identità esterni.
Cosa succede durante la migrazione delle identità
Quando le informazioni sulle identità degli utenti vengono migrate, le informazioni sull’identità archiviate nella tabella legacy "system_users" vengono integrate con le tabelle del servizio di identità.
Il tipo di tabelle del servizio di identità con cui vengono integrate le informazioni sull’identità dipende dal tipo di archivio identità per cui Tableau Server è configurato: locale, Active Directory (AD) o Lightweight Directory Access Protocol (LDAP).
Per i tipi di archivio identità AD, le tabelle del servizio di identità ereditano solo attributi non ambigui o attributi che non sono archiviati nello stesso record di database.
Ad esempio, sAMAccountNAme e userPrincipalName (UPN) possono essere archiviati nel record con lo stesso nome di una tabella "systems_users" legacy, cosa che può verificarsi come risultato di una serie complessa di regole. Nella maggior parte dei casi, la migrazione è in grado di interpretare e migrare correttamente l’identità dell’utente. Tuttavia, se la migrazione produce risultati ambigui, è necessario riconoscere manualmente l’ambiguità o risolvere manualmente il conflitto utilizzando la pagina dedicata Migrazione delle identità. Per maggiori informazioni, consulta Risolvere i conflitti di migrazione delle identità.
Per i tipi di archivio identità LDAP, come i tipi di archivio identità AD, le tabelle del servizio di identità ereditano solo gli attributi non ambigui. Nella maggior parte dei casi, la migrazione è in grado di interpretare e migrare correttamente l’identità dell’utente. Tuttavia, se la migrazione produce risultati ambigui, è necessario riconoscere manualmente l’ambiguità o risolvere manualmente il conflitto utilizzando la pagina dedicata Migrazione delle identità. Per maggiori informazioni, consulta Risolvere i conflitti di migrazione delle identità.
Per i tipi di archivio identità locale, le tabelle del servizio di identità ereditano direttamente i campi utente e dominio. Ciò significa che non è richiesta alcuna informazione aggiuntiva o risoluzione manuale da parte tua. Quando Tableau Server è configurato per questo tipo di archivio identità, la migrazione delle identità degli utenti avviene dopo il processo di ripristino del backup di Tableau Server.
Fase 1. Prima di iniziare
Prima di iniziare, identifica il metodo di upgrade di Tableau Server di seguito per determinare le fasi successive nella migrazione delle identità.
Se stai eseguendo un upgrade Blue/Green o eseguendo manualmente l’upgrade di Tableau Server 1) installando Tableau Server su un nuovo computer e quindi 2) eseguendo il backup e il ripristino di Tableau Server utilizzando i comandi tsm maintenance (backup e restore), è necessario eseguire alcuni passaggi aggiuntivi per avviare la migrazione.
Per le fasi successive, consulta Risolvere i problemi relativi alla migrazione delle identità.
Se stai eseguendo un upgrade "sul posto" a server singolo o multi-nodo di Tableau Server utilizzando il metodo descritto, non sono richiesti passaggi aggiuntivi per avviare la migrazione. La migrazione viene avviata al termine dell’upgrade di Tableau Server alla versione 2022.1 (o successiva).
Procedi con la fase 2.
Se stai eseguendo manualmente l’upgrade di Tableau Server 1) installando Tableau Server su un nuovo computer e quindi 2) esportando e importando le informazioni di configurazione e topologia utilizzando i comandi tsm settings (export e import), non sono inoltre necessari passaggi aggiuntivi per avviare la migrazione. La migrazione viene avviata al termine del processo di importazione sul nuovo computer Tableau Server.
Procedi con la fase 2.
Fase 2. Avviare la migrazione delle identità
Per avviare la migrazione delle identità, è necessario abilitare la funzionalità di migrazione delle identità utilizzando le opzioni features.IdentityMigrationBackgroundJob del comando tsm.
Nota: se hai eseguito l’upgrade alle versioni 2021.4.21, 2022.1.17, 2022.3.9 e 2023.1.5 di Tableau Server, la migrazione delle identità viene avviata per impostazione predefinita e puoi passare a Fase 3. Completare la migrazione delle identità.
Apri un prompt dei comandi come amministratore sul nodo iniziale (in cui è installato TSM) del cluster.
Esegui questo comando:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Una volta iniziata la migrazione delle identità, in Tableau Server verrà visualizzata una notifica che ti consente di collegarti alla pagina Migrazione delle identità. Nella pagina Migrazione delle identità puoi monitorare lo stato della migrazione delle identità e i conflitti di identità che devono essere risolti.
Fase 3. Completare la migrazione delle identità
Per completare la migrazione delle identità, tutti i conflitti di identità devono essere risolti o riconosciuti prima di poter abilitare il servizio di identità per Tableau Server.
- Accedi a Tableau Server come amministratore.
Dal riquadro di navigazione a sinistra, seleziona Utenti (o Tutti i siti > Utenti per un Tableau Server multisito), quindi fai clic sulla pagina Migrazione identità per verificare che la migrazione sia iniziata.
Puoi monitorarne e gestirne l’avanzamento utilizzando la pagina dedicata alla migrazione dell’identità disponibile nella pagina Utenti di Tableau Server. Per maggiori informazioni, consulta Gestire la migrazione delle identità.
Risolvi o conferma tutti i conflitti di identità come descritto in Risolvere i conflitti di migrazione delle identità in modo che la scheda Tutti gli errori visualizzi "0" come nell’immagine seguente.
Esegui una di queste operazioni:
Per eseguire subito il processo di migrazione dell’identità, accanto all’intestazione Panoramica migrazione, fare clic sulla freccia a discesa Modifica pianificazione e quindi selezionare Esegui ora .
- In alternativa, puoi attendere che il processo di migrazione venga eseguito al successivo orario pianificato.
Al termine della migrazione, dalla pagina Migrazione dell’identità, verifica che la Panoramica migrazione indichi il completamento al 100% .
Fase 4. Configurare Tableau Server per l’utilizzo del servizio di identità
Al termine della migrazione delle identità, configura Tableau Server in modo da utilizzare il servizio di identità per garantire una struttura dell’identità più sicura e immutabile per il processo di autenticazione e provisioning degli utenti.
- Apri un prompt dei comandi come amministratore sul nodo iniziale (in cui è installato TSM) del cluster.
Esegui questi comandi:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
Nota: dopo aver eseguito i comandi precedenti, la pagina dedicata alla migrazione delle identità viene rimossa e non è più accessibile. La pagina è accessibile solo quando
tsm authentication legacy-identity-mode
è abilitato.
Dopo che Tableau Server è stato configurato per utilizzare il servizio di identità, quando gli utenti accedono a Tableau Server, Tableau Server cerca le loro identità utente utilizzando i rispettivi identificatori nell’archivio identità configurato. Dagli identificatori, gli identificatori univoci universali (UUID) vengono restituiti e utilizzati per abbinare le identità utente esistenti di Tableau Server. Questo processo genera quindi sessioni per gli utenti e completa il flusso di lavoro di autenticazione.