Impostare e gestire i pool di identità
Per creare e gestire i pool di identità, è necessario effettuare chiamate a livello di codice rispetto ai Metodi dei pool di identità(Il collegamento viene aperto in una nuova finestra) utilizzando l’OpenAPI REST di Tableau. Per aggiungere o gestire utenti in un pool di identità, puoi utilizzare l’interfaccia utente (UI) di Tableau Server direttamente o tramite l’API REST di Tableau.
Il processo di configurazione dei pool di identità è riassunto nei passaggi seguenti.
- Configurare Tableau Server e stabilire una sessione.
- Esegui il provisioning degli utenti impostando una nuova istanza dell’archivio identità locale. Nota: puoi ignorare questo passaggio per utilizzare un archivio identità locale esistente o l’archivio identità esterno configurato in TSM durante l’installazione di Tableau Server.
- Configura l’autenticazione per autenticare gli utenti su Tableau Server utilizzando OpenID Connect (OIDC).
- Crea un pool di identità che utilizza l’archivio identità e l’autenticazione OIDC che hai configurato.
- Aggiungi utenti a un pool di identità utilizzando l’interfaccia utente di Tableau Server o l’API REST per consentire agli utenti di accedere a Tableau Server.
Dopo la configurazione, puoi testare, gestire e risolvere i problemi dei tuoi pool di identità.
Nota: puoi usare la raccolta Postman per i pool di identità(Il collegamento viene aperto in una nuova finestra) nell’area di lavoro Postman di Salesforce Developers per conoscere, sviluppare e testare i metodi descritti in questo argomento.
Prerequisiti
Prima di iniziare con i pool di identità, devono essere soddisfatti i seguenti requisiti:
- L’integrazione con un provider di identità (IdP) OIDC, ad esempio Okta, è già configurata
- È in esecuzione Tableau Server 2023.1 o versione successiva
- Hai eseguito la migrazione di identità(Il collegamento viene aperto in una nuova finestra): questa operazione è necessaria sia per le nuove distribuzioni di Tableau Server che per gli upgrade di Tableau Server
Introduzione
Fase 1. Configurare Tableau Server e stabilire una sessione
L’abilitazione delle modifiche associate all’impostazione dei pool di identità richiede una configurazione TSM monouso e una dichiarazione delle variabili di sessione e host.
Apri un prompt dei comandi come amministratore sul nodo iniziale (in cui è installato TSM) del cluster.
Esegui questo comando:
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
Ad esempio, puoi eseguire i seguenti comandi per configurare Tableau Server, http://myco:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Per maggiori informazioni, consulta gateway.external_url(Il collegamento viene aperto in una nuova finestra).
(Facoltativo) Esegui i seguenti comandi per aggiungere una descrizione per il pool iniziale (configurato TSM):
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
Ad esempio, puoi eseguire i seguenti comandi per aggiungere una descrizione "Accesso per dipendenti MyCo":
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Per maggiori informazioni, consulta wgserver.authentication.identity_pools.default_pool_description(Il collegamento viene aperto in una nuova finestra).
Accedi a Tableau Cloud come amministratore e procedi come segue:
- Vai agli strumenti per sviluppatori di un browser e vai ai cookie dell’applicazione.
- Prendi nota del valore workgroup_session_id.
Ad esempio, se lavori in Chrome, fai clic con il pulsante destro del mouse in un punto qualsiasi della home page di Tableau Server, fai clic con il pulsante destro del mouse e seleziona Ispeziona. Dal riquadro di navigazione superiore, fai clic su Applicazione, quindi dal riquadro di navigazione a sinistra fai clic su Cookie. In Cookie, fai clic sul nome di Tableau Server, ad esempio http://myco.com, e, nel riquadro centrale. prendi nota del valore workgroup_session_id.
Nello script o nello strumento per sviluppatori API che utilizzi per effettuare richieste di pool di identità utilizzando l’OpenAPI REST di Tableau, procedi come segue:
- Aggiungi il valore workgroup_session_id come variabile globale.
- Inoltre, aggiungi la porta 80, l’host (l’URL di Tableau Server) e il protocollo (HTTP o HTTPS) alle variabili globali.
Ad esempio, la tabella seguente mostra le variabili globali necessarie per Tableau Server, http://myco.
Variabile globale | Valore |
---|---|
ID sessione del gruppo di lavoro | XxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx |
Porta | 80 |
Host | http://myco |
Protocollo | HTTP |
Fase 2. Configurare un archivio identità
Tableau Server richiede di configurare un archivio identità per l’origine o il provisioning degli utenti di Tableau Server.
Quando si configura un pool di identità, è possibile utilizzare un archivio identità locale(Il collegamento viene aperto in una nuova finestra) nuovo o esistente oppure un archivio identità esterno(Il collegamento viene aperto in una nuova finestra), AD (Active Directory) o LDAP (Lightweight Directory Access Protocol), se tale archivio identità esterno è stato configurato durante l’installazione di Tableau Server.
Nota: le nuove istanze AD o LDAP che non sono l’istanza AD o LDAP configurata in TSM durante l’installazione di Tableau Server, nota anche come pool iniziale (configurato in TSM), non sono configurabili con i pool di identità.
Per configurare un nuovo archivio identità locale, utilizza la procedura seguente. Procedi a Fase 3. Configurare l’autenticazione se desideri utilizzare un archivio identità locale esistente o l’archivio identità che hai configurato durante l’installazione di Tableau Server.
Effettua una richiesta di accesso(Il collegamento viene aperto in una nuova finestra) all’API REST di Tableau per generare un token delle credenziali.
Esempio
URI
POST https://myco/api/3.19/auth/signin
Dopo aver generato il token delle credenziali, aggiungilo all’intestazione di tutte le successive richieste API.
Configura l’archivio identità chiamando l’endpoint Configura archivio identità(Il collegamento viene aperto in una nuova finestra) mediante l’OpenAPI API REST di Tableau.
Nella richiesta specifica quanto segue:
- Tipo. Il valore del tipo è sempre 0 per un tipo di archivio identità locale. Se desideri utilizzare un archivio identità locale esistente o l’archivio identità che hai configurato in TSM durante l’installazione di Tableau Server, non è necessario configurare una nuova istanza dell’archivio identità locale. Procedi invece a Fase 3. Configurare l’autenticazione, di seguito.
- Nome. Il nome deve essere univoco.
- Nome visualizzato. Questa impostazione è facoltativa.
Esempio
URI
https://myco/api/services/authn-service/identity-stores/
Corpo della richiesta (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Corpo della risposta
Nessuno
Fase 3. Configurare l’autenticazione
Puoi configurare il metodo di autenticazione OpenID Connect (OIDC) per autenticare i tuoi utenti.
Nota: OIDC è attualmente l’unico metodo di autenticazione configurabile con i pool di identità, indipendentemente dal tipo di archivio identità utilizzato con il pool di identità.
Dopo aver configurato un archivio identità, chiama l’endpoint Crea configurazione di autenticazione(Il collegamento viene aperto in una nuova finestra) utilizzando l’OpenAPI API REST di Tableau.
Nella richiesta specifica quanto segue:
Tipo di autenticazione. I valori del tipo di autenticazione sono “
OIDC
”.- iFrame. Il valore predefinito di iFrame è “
false
”. L’ID client OIDC richiesto, il segreto client, l’URL di configurazione, l’attestazione dell’ID, l’autenticazione del client e l’attestazione del nome utente.
- L’ID client e il segreto client vengono forniti dal tuo IdP OIDC.
- Anche l’URL di configurazione viene fornito dal tuo IdP. L’URL in genere utilizza il seguente formato:
https://<idp_url>/.well-known/openid-configuration
. - Il valore predefinito dell’attestazione dell’ID è "
sub
". Per maggiori informazioni, consulta Modificare l’attestazione sub. - Il valore predefinito dell’autenticazione client è "
CLIENT_SECRET_BASIC
". - Il valore predefinito dell’attestazione del nome utente è "
email
". Per maggiori informazioni, consulta Predefinito: utilizzare l’attestazione e-mail per il mapping degli utenti.
Informazioni sull’attestazione del nome utente
Tableau utilizza l’attestazione del nome utente per scopi di corrispondenza dell’identità. Se fornisci identificatori quando aggiungi utenti a Tableau Server, l’identificatore viene utilizzato per la corrispondenza con il valore fornito nell’attestazione del nome utente. Se non vengono forniti identificatori, Tableau utilizza per impostazione predefinita il nome utente impostato in Tableau Server.
Note:
- se intendi usare questa configurazione di autenticazione con un pool di identità che usa AD come archivio identità, assicurati che l’utente assegnato disponga del valore AD sAMAccountName nell’attestazione del nome utente.
- Se intendi utilizzare questa configurazione di autenticazione con un pool di identità che utilizza LDAP come archivio identità, assicurati che l’utente assegnato disponga del valore del nome utente LDAP nell’attestazione del nome utente.
Esempio
URI
https://myco/api/services/authn-service/auth-configurations/
Corpo della richiesta (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "Xxx1hotzhjv4tyCxxX",
"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
"config_url": "https://admin.okta.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Corpo della risposta
Nessuno
Fase 4. Creare un pool di identità
A seconda dell’archivio identità che hai configurato durante l’installazione di Tableau Server, il pool di identità che crei può avere solo una delle seguenti combinazioni di archivio identità e metodo di autenticazione:
- Archivio identità AD e autenticazione OIDC
- Archivio identità LDAP e autenticazione OIDC
- Archivio identità locale e autenticazione OIDC
Le prime due combinazioni richiedono che il pool iniziale (configurato TSM) sia configurato per l’utilizzo di AD o LDAP.
La procedura descritta di seguito crea un pool di identità con l’ultima combinazione, “Archivio identità locale e autenticazione OIDC”.
Dopo aver configurato l’autenticazione OIDC, chiama l’endpoint Crea pool di identità(Il collegamento viene aperto in una nuova finestra) utilizzando l’OpenAPI API REST di Tableau.
Nella richiesta specifica quanto segue:
Nome e descrizione per il pool di identità. Sia il nome che la descrizione del pool di identità sono visibili a tutti gli utenti nella pagina di destinazione di Tableau Server.
ID istanza dell’archivio identità e ID istanza del tipo di autenticazione.
Note:
- Per ottenere l’ID istanza dell’archivio identità e l’ID istanza del tipo di autenticazione, puoi chiamare gli endpoint Elenca gli archivi identità(Il collegamento viene aperto in una nuova finestra) ed Elenca le configurazioni di autenticazione(Il collegamento viene aperto in una nuova finestra).
Se desideri creare un pool di identità che utilizza l’archivio identità configurato in TSM durante l’installazione di Tableau Server, il valore dell’istanza dell’archivio identità è sempre
'1'
.
Esempio
URI
https://myco/api/services/authn-service/identity-pools/
Corpo della richiesta (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Corpo della risposta di esempio
Nessuno
Dopo aver creato il pool di identità, vai alle configurazioni IdP e imposta l’URI di reindirizzamento dell’accesso su
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Ad esempio,
http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login
Nota: per ottenere l’ID del pool di identità, puoi chiamare l’endpoint Elenca pool di identità(Il collegamento viene aperto in una nuova finestra).
Note:
- puoi creare tutti i pool di identità necessari alla tua organizzazione.
- Altri tipi di archivi identità e metodi di autenticazione sono supportati dal pool iniziale (configurato TSM). Per maggiori informazioni, consulta Autenticazione.
Fase 5. Aggiungere utenti a un pool di identità
Puoi utilizzare Tableau Server direttamente per aggiungere utenti a un pool di identità. Gli utenti devono appartenere al pool iniziale (configurato TSM) o essere aggiunti a un pool di identità per accedere a Tableau Server. Quando si aggiungono utenti a un pool di identità, il workflow può cambiare a seconda dell’archivio identità configurato con il pool di identità.
La procedura seguente descrive come aggiungere utenti a un’identità tramite l’interfaccia utente di Tableau Server. Tuttavia, puoi aggiungere utenti a un pool di identità utilizzando l’API REST di Tableau chiamando l’endpoint Aggiungi utente al pool di identità(Il collegamento viene aperto in una nuova finestra).
Accedi a Tableau Server come amministratore.
Dal riquadro di navigazione a sinistra, seleziona Utenti (o Tutti i siti > Utenti per Tableau Server multi-sito).
Fai clic sul pulsante Aggiungi utenti e seleziona Crea nuovo utente o Importa utenti da file.
Per Crea nuovo utente:
Seleziona il pool di identità a cui desideri aggiungere il nuovo utente, quindi fai clic su Avanti.
Se hai selezionato un pool di identità configurato con un archivio identità AD o LDAP, inserisci i nomi utente, assegna l’appartenenza al sito e i ruoli del sito. Al termine, fai clic sul pulsante Importa utenti.
Se hai selezionato un pool di identità configurato con un archivio identità locale, inserisci il nome utente. La finestra di dialogo si espande in modo da poter aggiungere un nome visualizzato, un identificatore (nella maggior parte dei casi), un indirizzo e-mail e impostare il sito e i ruoli del sito. Al termine, fai clic sul pulsante Crea utente.
Per ulteriori informazioni sui nomi utente e su come assegnare l’appartenenza al sito e i ruoli del sito, consulta Impostare i ruoli sul sito degli utenti.
Informazioni su nomi utente e identificatori in Tableau
Un nome utente è l’informazione che rappresenta l’utente del sistema. Un identificatore consente di integrare le informazioni sul nome utente e può essere utilizzato da archivi identità esterni in alternativa ai nomi utente.
In Tableau, un nome utente è un valore non modificabile che viene utilizzato per accedere a Tableau, mentre gli identificatori sono valori modificabili utilizzati nella struttura dell’identità di Tableau per abbinare gli utenti ai rispettivi nomi utente. Gli identificatori permettono a Tableau di essere più flessibile perché possono discostarsi dal nome utente. Se vengono apportate modifiche al nome utente nell’archivio identità esterno, gli amministratori di Tableau Server possono aggiornare l’identificatore per garantire che gli utenti siano abbinati ai nomi utente corretti.
Quando aggiungi un utente esistente a un pool di identità, potrebbe essere prevista la possibilità di impostare un identificatore. Ad esempio, se un utente esistente appartiene a un pool di identità configurato con un archivio identità locale e desideri aggiungerlo a un pool di identità configurato con un archivio identità AD, ti chiediamo di specificare il nome utente per cercare gli identificatori associati a tale utente. D’altra parte, se un utente esistente appartiene a un pool di identità configurato con un archivio identità AD e desideri aggiungerlo a un pool di identità configurato con un archivio identità locale, ti chiediamo di specificare un identificatore facoltativo. Un’eccezione a questa condizione si verifica quando si desidera aggiungere un utente al pool iniziale (configurato per TSM) che è configurato con un archivio identità locale e l’autenticazione locale. In tal caso non sarai in grado di impostare un identificatore per tale utente.
Per Importa utenti da file:
Carica un file .csv che contenga le seguenti colonne nell’ordine elencato:
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Nota: nome utente e password sono le uniche colonne obbligatorie. Tuttavia, se non si specifica il nome del pool di identità, l’utente verrà aggiunto al pool iniziale (configurato TSM). Per maggiori informazioni, consulta le Linee guida per l’importazione di file CSV.
Si supponga, ad esempio, di voler aggiungere Henry Wilson e Fred Suzuki al pool di identità degli appaltatori generali. Il tuo file .csv potrebbe contenere i seguenti valori:
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Nota: quando vengono creati uno o più pool di identità, la pagina di destinazione di Tableau Server si aggiorna per includere le opzioni di accesso per gli utenti che sono membri di tali pool di identità. Per ulteriori informazioni, consulta Provisioning e autenticazione degli utenti tramite pool di identità.
Testare i pool di identità
Dopo aver configurato un pool di identità, ti consigliamo di testarlo disconnettendoti da Tableau Server e accedendo nuovamente come utente che appartiene a quel pool di identità. Assicurati di completare la procedura di accesso per verificare che l’autenticazione OIDC sia stata configurata correttamente.
Nota: se hai configurato una descrizione facoltativa per il pool iniziale (configurato TSM) in Fase 1. Configurare Tableau Server e stabilire una sessione o disponi di una nota Impostazioni del server (Generale e Personalizzazione) per Tableau Server, è consigliabile fare in modo che la descrizione sia specifica per gli utenti che accedono utilizzando il pool iniziale (configurato TSM) e che la nota Personalizzazione dell’accesso venga applicata a tutti gli utenti che accedono a Tableau Server.
Gestire i pool di identità
Puoi gestire gli utenti nei pool di identità dalla pagina Utenti sia a livello di server che a livello di sito. Nella pagina Utenti è possibile vedere a quali pool di identità appartengono gli utenti e i dettagli di riepilogo sul pool di identità.
Per tutte le altre attività di gestione dei pool di identità, incluso l’aggiornamento di una configurazione di autenticazione o di un pool di identità e l’eliminazione di un archivio identità o di un pool di identità locale, utilizza l’OpenAPI API REST di Tableau descritta in Metodi dei pool di identità(Il collegamento viene aperto in una nuova finestra).
Risolvere i problemi relativi ai pool di identità
Limitazioni dei pool di identità
I pool di identità sono disponibili solo con Tableau Server.
Nota: i pool di identità sono attualmente disponibili solo per la configurazione a livello di server. I pool di identità non possono essere limitati all’ambito di un sito.
La pagina di destinazione di Tableau Server mostra errori IdP
Nella pagina di destinazione di Tableau Server, sotto l’opzione di accesso principale, potrebbe essere visualizzato un messaggio di errore relativo all’IdP accanto a un’opzione di accesso al pool di identità. Questo problema relativo all’autenticazione OIDC si può verificare quando una o entrambe le seguenti condizioni sono vere: 1) Tableau Server non è stato configurato per l’invio di un URL esterno all’IdP e 2) le variabili globali non sono state dichiarate.
Per risolvere questo problema, assicurati di completare la procedura descritta sopra nella Fase 1. Configurare Tableau Server e stabilire una sessione.
La pagina di destinazione di Tableau Server non mostra i pool di identità
Se la funzionalità dei pool di identità è disabilitata, puoi abilitarla nuovamente utilizzando i seguenti comandi TSM:
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Nota: l’esecuzione di questi comandi implica il riavvio di Tableau Server.