Informazioni di riferimento sulla configurazione dell’archivio di identità esterno
Tableau Server supporta la connessione a una directory esterna tramite LDAP. In questo scenario, Tableau Server importa gli utenti dalla directory LDAP esterna nel repository di Tableau Server come utenti del sistema.
In questo argomento viene fornita una descrizione di tutte le opzioni di configurazione relative a LDAP supportate da Tableau Server. Se ti connetti ad Active Directory, è consigliabile configurare automaticamente la connessione LDAP con Tableau Server come parte del programma di installazione, anziché configurare manualmente la connessione. Consulta Configurare le impostazioni iniziali dei nodi.
Le opzioni elencate in queste informazioni di riferimento possono essere utilizzate per qualsiasi directory compatibile con LDAP. Se non hai esperienza nella configurazione di LDAP, collabora con l’amministratore della directory o con un esperto di LDAP.
Questo è un argomento di riferimento. Per maggiori informazioni sul modo in cui Tableau Server archivia e gestisce gli utenti, inizia da Archivio di identità.
Metodi di configurazione
I parametri di configurazione che consentono a Tableau Server di connettersi alla directory LDAP vengono memorizzati in file .yml. Questi file sono gestiti e sincronizzati dai vari servizi di Tableau Server. L’aggiornamento dei file .yml deve essere eseguito utilizzando un’interfaccia di Tableau Services Manager (TSM).
Non tentare di aggiornare direttamente i file .yml con un editor di testo. Per il corretto funzionamento, TSM deve gestire tutti gli aggiornamenti.
I file di configurazione .yml sono composti da coppie chiave-valore. Ad esempio, la chiave wgserver.domain.username
accetta un nome utente come valore. Questa chiave definisce il nome utente che verrà utilizzato per l’autenticazione nella directory LDAP durante l’operazione di binding.
Esistono quattro diversi metodi di TSM che possono impostare i valori delle chiavi yml. I quattro metodi sono descritti di seguito, usando la chiave wgserver.domain.username
come esempio per illustrarli:
Coppie chiave-valore configKey: puoi aggiornare una chiave del file di configurazione .yml aggiornando la chiave
wgserver.domain.username
eseguendo Opzioni di tsm configuration set o includendo la chiave in un’entità configKey di un file di configurazione JSON. Vedi Esempio di file di configurazione.Le coppie chiave-valore configKey in un file di configurazione JSON sono le stesse utilizzate per
tsm configuration set
, ma sono impostate in modo diverso. In questo argomento viene fatto riferimento a entrambi i metodi con il termine configKey.A differenza dell’utilizzo di configEntities e dei comandi tsm nativi descritti di seguito, l’input di configKey non viene convalidato. Quando imposti un’opzione con configKey, il valore immesso viene copiato come stringa letterale nei file di configurazione .yml sottostanti. Ad esempio, per una chiave in cui
true
ofalse
sono gli input validi, quando configuri la chiave utilizzando una coppia chiave-valore configKey, puoi immettere un valore stringa arbitrario che verrà salvato per la chiave. In questi casi, i valori non validi genereranno sicuramente errori di configurazione LDAP.È consigliabile usare configKey solo quando non è possibile impostare la configurazione con le altre tre opzioni elencate di seguito (configEntities, un comando tsm nativo o l’interfaccia utente Web di TSM). Quando utilizzi configKey, assicurati di controllare i valori e di mantenere la distinzione tra maiuscole e minuscole.
File JSON configEntities: puoi aggiornare un file di configurazione .yml passando l’opzione
username
in un file JSON configEntities.Quando configuri un valore utilizzando le opzioni configEntities in un file JSON, i valori vengono convalidati prima di essere salvati. Per i valori viene applicata la distinzione tra maiuscole e minuscole. Per informazioni dettagliate su come configurare un valore utilizzando configEntities, consulta l’esempio Entità identityStore. Il file JSON viene importato con il comando tsm settings import. Le opzioni disponibili per configEntities sono un sottoinsieme di tutte le coppie chiave-valore .yml.
La convalida significa che il comando di importazione avrà esito positivo solo se i tipi di dati di tutti i valori nel file JSON sono validi. Se ad esempio si immette
no
per un valore che accetta solotrue
ofalse
, verrà visualizzato un errore e la configurazione non verrà importata.Puoi importare i file di configurazione JSON solo come parte della configurazione iniziale. Se devi apportare modifiche a LDAP dopo aver importato il file di configurazione JSON e inizializzato Tableau Server, non tentare di reimportare il file JSON. Puoi invece apportare singole modifiche con i comandi tsm nativi, se disponibili, o utilizzando configKey e
tsm configuration set
.Comandi nativi di tsm: puoi aggiornare un file di configurazione .yml passando l’opzione
ldapuser
con il comando tsm nativotsm user-identity-store
. Come nel caso di configEntities, i valori immessi con il comando tsm nativo vengono convalidati prima di essere salvati.Non tutte le coppie chiave-valore in un file .yml possono essere impostate utilizzando i comandi tsm nativi.
Interfaccia grafica di TSM: puoi impostare i valori di configurazione durante l’installazione tramite l’interfaccia grafica di TSM. Se ti connetti ad Active Directory e configuri l’archivio identità di Tableau durante l’installazione con l’interfaccia grafica, viene richiesto di specificare un account con accesso in lettura ad Active Directory. La chiave
wgserver.domain.username
viene impostata quando immetti le credenziali.Questo scenario funziona solo se ti connetti ad Active Directory. Tableau Server non supporta una configurazione LDAP arbitraria nell’ambito del processo di installazione dell’interfaccia grafica.
Considera l’utilizzo del Tableau Identity Store Configuration Tool(Il collegamento viene aperto in una nuova finestra) per generare il file di configurazione json di LDAP. Tableau Identity Store Configuration Tool consente inoltre di generare un elenco di coppie chiave/valore che puoi impostare eseguendo Opzioni di tsm configuration set. Lo strumento non è supportato da Tableau. Tuttavia, utilizzare un file JSON creato dallo strumento invece di crearne uno manualmente non modifica lo stato supportato del server.
Configurazione di Active Directory
Se configuri Tableau Server per usare Active Directory, è consigliabile utilizzare l’interfaccia utente Web di TSM durante l’installazione. L’interfaccia utente Web di TSM è ottimizzata per configurare Tableau Server per Active Directory con l’input minimo necessario. Consulta Configurare le impostazioni iniziali dei nodi.
Tabella di riferimento per la configurazione
Opzione configEntities (Le opzioni sono sensibili alla differenza tra maiuscole e minuscole) | Comando tsm nativo | configKey (Utilizzato con il comando tsm configuration set o nella sezione configKeys di un file JSON) | Scenario | Note |
---|---|---|---|---|
tipo | Non applicabile | wgserver.authenticate | AD, LDAP, locale | Dove desideri archiviare le informazioni sull’identità dell’utente. Valori: local o activedirectory .Se vuoi connetterti a un server LDAP, immetti |
sslPort | Non applicabile | wgserver.domain.ssl_port | AD, LDAP | Utilizza questa opzione per specificare la porta sicura del server LDAP. Si consiglia un LDAP protetto per un’associazione semplice. LDAPS di solito è la porta 636. |
Non applicabile | Non applicabile | wgserver.domain.ldap.starttls.enabled | AD, LDAP | Valori: A partire dalla versione 2021.2, questa chiave è impostata su This key is set to Questa chiave è stata introdotta (ma non impostata) nella versione 2021.1. |
port | Non applicabile | wgserver.domain.port | AD, LDAP | Utilizza questa opzione per specificare la porta non sicura del server LDAP. Il testo semplice di solito è 389. |
dominio | dominio | wgserver.domain.default | AD | Negli ambienti Active Directory, specifica il dominio in cui è installato Tableau Server, ad esempio "example.lan". Per LDAP non AD: la stringa immessa per questo valore viene visualizzata nella colonna "Dominio" degli strumenti di gestione degli utenti. Puoi immettere una stringa arbitraria, ma la chiave non può essere vuota. Questa chiave è ridondante con wgserver.domain.fqdn. I valori per entrambe le chiavi devono essere uguali. Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
nome utente | ldapusername | wgserver.domain.username | AD, LDAP | Il nome utente che desideri utilizzare per connetterti al servizio di directory. L’account specificato deve avere il permesso di inviare query al servizio di directory. Per Active Directory, immetti il nome utente, ad esempio, Per i server LDAP, immetti il nome distinto (DN) dell’utente che desideri utilizzare per la connessione. Ad esempio, Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
password | ldappassword | wgserver.domain.password | AD, LDAP | Password dell’account utente da utilizzare per la connessione al server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
directoryServiceType | Non applicabile | wgserver.domain.directoryservice.type | AD, LDAP | Il tipo di servizio di LDAP directory al quale intendi connetterti. Valori: activedirectory o openldap . |
kerberosPrincipal | kerbprincipal | wgserver.domain.ldap.principal | AD, LDAP | Il nome per il principal di servizio per Tableau Server sulla macchina host. La keytab deve avere l’autorizzazione per questo principal. /etc/krb5.keytab .klist -k . Vedi Comprendere i requisiti per i file keytab.Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
hostname | hostname | wgserver.domain.ldap.hostname | AD, LDAP | Il nome dell’host del server LDAP. Puoi immettere un nome dell’host o un indirizzo IP per questo valore. L’host specificato qui verrà utilizzato per le query utente/di gruppo sul dominio primario. Nel caso in cui le query utente/di gruppo si trovino in altri domini, Tableau Server eseguirà una query DNS per identificare il controller di dominio appropriato. Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
membersRetrievalPageSize | Non applicabile | wgserver.domain.ldap.members.retrieval.page.size | AD, LDAP | Questa opzione determina il numero massimo di risultati restituiti da una query LDAP. Considera, ad esempio, uno scenario in cui Tableau Server importa un gruppo LDAP contenente 50.000 utenti. Tentare di importare un numero così elevato di utenti in un’unica operazione non è una best practice. Quando questa opzione è impostata su 1.500, Tableau Server importa i primi 1.500 utenti nella prima risposta. Una volta che questi utenti sono stati elaborati, Tableau Server richiede i successivi 1.500 utenti al server LDAP e così via. Si consiglia di modificare questa opzione solo per soddisfare i requisiti del server LDAP. |
Non applicabile | Non applicabile | wgserver.domain.ldap.connectionpool.enabled | AD, LDAP | Quando questa opzione è impostata su true , Tableau Server tenterà di riutilizzare la stessa connessione quando si inviano query al server LDAP. Questo comportamento riduce il sovraccarico dovuto alla nuova autenticazione del server LDAP su ogni nuova richiesta. Il pool di connessioni funziona solo con connessioni di binding semplici e TSL/SSL. Il pool di connessioni non è supportato per le connessioni di binding GSSAPI. |
Non applicabile | Non applicabile | wgserver.domain.accept_list | AD | Consente la connessione da Tableau Server ai domini di Active Directory secondari. Un dominio secondario è un dominio a cui Tableau Server si connette per la sincronizzazione degli utenti, ma in cui Tableau Server non è installato. Per garantire che Tableau Server possa connettersi ad altri domini di Active Directory, devi specificare i domini trusted impostando l’opzione wgserver.domain.accept_list con TSM. Per maggiori informazioni, consulta wgserver.domain.accept_list. |
Non applicabile | Non applicabile | wgserver.domain.whitelist | AD | Importante: deprecato a partire dalla versione 2020.4.0. Usa invece wgserver.domain.accept_list. Consente la connessione da Tableau Server ai domini di Active Directory secondari. Un dominio secondario è un dominio a cui Tableau Server si connette per la sincronizzazione degli utenti, ma in cui Tableau Server non è installato. Per garantire che Tableau Server possa connettersi ad altri domini di Active Directory, devi specificare i domini trusted impostando l’opzione |
kerberosConfig | kerbconfig | Nessun mapping diretto | AD, LDAP | Il percorso del file di configurazione Kerberos sul computer locale. Se stai installando in Active Directory, non è consigliato utilizzare il file di configurazione Kerberos o il file keytab che potrebbe essere già presente sul computer collegato al dominio. Vedi Archivio di identità Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
kerberosKeytab | kerbkeytab | Nessun mapping diretto | AD, LDAP | Il percorso del file keytab Kerberos sul computer locale. Si consiglia di creare un file keytab con chiavi specifiche per il servizio Tableau Server e di non condividerlo con altre applicazioni sul computer. Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni]. |
nickname | Non applicabile | wgserver.domain.nickname | AD, LDAP | Il nickname del dominio. Questo nome è anche noto come nome NetBIOS in ambienti Windows/Active Directory. L’opzione |
root | Non applicabile | wgserver.domain.ldap.root | LDAP | Se non utilizzi un componente dc nella root LDAP o desideri specificare una root più complessa, dovrai impostare la root LDAP. Utilizza il formato "o=my,u=root". Ad esempio, per il dominio example.lan la root sarebbe "o=example,u=lan" . |
serverSideSorting | Non applicabile | wgserver.domain.ldap.server_side_sorting | LDAP | Se il server LDAP è configurato per l’ordinamento lato server dei risultati delle query. Se il tuo server LDAP supporta l’ordinamento lato server, imposta questa opzione su true . Se non sei sicuro che il tuo server LDAP supporti l’opzione, immetti false , in quanto un’errata configurazione può causare errori. |
rangeRetrieval | Non applicabile | wgserver.domain.ldap.range_retrieval | LDAP | Se il server LDAP è configurato per restituire una serie di risultati di query per una richiesta. Questo significa che i gruppi con molti utenti saranno richiesti in piccoli insiemi invece che tutti in una volta. I server LDAP che supportano il recupero dell’intervallo funzioneranno meglio con le query di grandi dimensioni. Se il tuo server LDAP supporta il recupero dell’intervallo, imposta questa opzione su true . Se non sei sicuro che il tuo server LDAP supporti il recupero dell’intervallo, immetti false , in quanto un’errata configurazione può causare errori. |
bind | Non applicabile | wgserver.domain.ldap.bind | LDAP | La modalità che desideri utilizzare per la comunicazione sicura al servizio di directory. Immetti simple per LDAP a meno che tu non sia connesso a un server LDAP con Kerberos. Per Kerberos, immetti gssapi . |
Non applicabile | Non applicabile | wgserver.domain.ldap.domain_custom_ports | LDAP | Nota: questa chiave è supportata solo per Tableau Server su Linux. Consente di mappare i domini figlio e le loro porte LDAP. Dominio e porta sono separati da due punti (:) e ogni coppia dominio:porta è separata da una virgola (,) utilizzando questo formato: Esempio: |
distinguishedNameAttribute | Non applicabile | wgserver.domain.ldap.dnAttribute | LDAP | L’attributo che archivia i nomi distinti degli utenti. Questo attributo è facoltativo, ma migliora notevolmente le prestazioni delle query LDAP. Importante: non impostare questa opzione nell’ambito della configurazione iniziale. Imposta questa opzione solo dopo aver convalidato la funzionalità LDAP complessiva. Devi disporre di un valore dnAttribute configurato nell’organizzazione prima di impostare questa chiave. |
groupBaseDn | Non applicabile | wgserver.domain.ldap.group.baseDn | LDAP | Utilizza questa opzione per specificare una radice alternativa per i gruppi. Ad esempio, se tutti i gruppi sono memorizzati nell’organizzazione base denominata "gruppi", immetti |
Non applicabile | classnames | wgserver.domain.ldap.group.classnames | LDAP | Per impostazione predefinita, Tableau Server cerca classi di oggetti gruppo LDAP contenenti la stringa "group". Se gli oggetti gruppo LDAP non corrispondono al nome predefinito della classe, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole. Se i nomi dei gruppi includono virgole, devi integrarle con una barra rovesciata (\). Ad esempio, se disponi di un nome gruppo L’implementazione LDAP di Tableau interpreta gli oggetti LDAP come utente o gruppo. Pertanto, assicurati di immettere il nome di classe più specifico. I nomi di classe sovrapposti tra utenti e gruppi possono causare conflitti. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
groupBaseFilter | basefilter | wgserver.domain.ldap.group.baseFilter | LDAP | Il filtro che desideri utilizzare per i gruppi di utenti di Tableau Server. È possibile specificare un attributo di classe oggetto e un attributo di unità organizzativa. Ad esempio:
Se Questa è una chiave obbligatoria. Non può essere vuota. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
groupName | groupname | wgserver.domain.ldap.group.name | LDAP | L’attributo che corrisponde ai nomi dei gruppi sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
groupEmail | groupemail | wgserver.domain.ldap.group.email | LDAP | L’attributo che corrisponde agli indirizzi e-mail dei gruppi sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
groupDescription | description | wgserver.domain.ldap.group.description | LDAP | L’attributo che corrisponde alle descrizioni dei gruppi sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
member | member | wgserver.domain.ldap.group.member | LDAP | Specifica l’attributo LDAP che contiene un elenco di nomi distinti di utenti che fanno parte di tale gruppo. Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni]. |
Non applicabile | Non applicabile | wgserver.domain.ldap.group.memberURL | LDAP | Specifica il nome dell’attributo LDAP che memorizza la query LDAP per i gruppi dinamici. |
userBaseDn | Non applicabile | wgserver.domain.ldap.user.baseDn | LDAP | Utilizza questa opzione per specificare una radice alternativa per gli utenti. Se ad esempio tutti gli utenti sono archiviati nell’organizzazione base denominata "utenti", immetti "o=users" . |
Non applicabile | classnames | wgserver.domain.ldap.user.classnames | LDAP | Per impostazione predefinita, Tableau Server cerca classi di oggetti utente LDAP contenenti la stringa "user" e "inetOrgPerson". Se gli oggetti utente LDAP non utilizzano questi nomi di classe predefiniti, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole. Ad esempio: Se i nomi includono virgole, devi integrarle con una barra rovesciata (\). Ad esempio, se disponi di un nome Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
userBaseFilter | basefilter | wgserver.domain.ldap.user.baseFilter | LDAP | Il filtro che desideri utilizzare per gli utenti di Tableau Server. È possibile specificare un attributo di classe oggetto e un attributo di unità organizzativa. Ad esempio:
Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
userUsername | ldapusername | wgserver.domain.ldap.user.username | LDAP | L’attributo che corrisponde ai nomi utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
userDisplayName | displayname | wgserver.domain.ldap.user.displayname | LDAP | L’attributo che corrisponde ai nomi di visualizzazione utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
userEmail | wgserver.domain.ldap.user.email | LDAP | L’attributo che corrisponde agli indirizzi e-mail utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. | |
userCertificate | certificato | wgserver.domain.ldap.user.usercertificate | LDAP | L’attributo che corrisponde ai certificati utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
Non applicabile | anteprima | wgserver.domain.ldap.user.thumbnail | LDAP | L’attributo che corrisponde alle immagini thumbnail utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
utenteJpegPhoto | jpegphoto | wgserver.domain.ldap.user.jpegphoto | LDAP | L’attributo che corrisponde alle immagini profilo utente sul server LDAP. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
memberOf | memberof | wgserver.domain.ldap.user.memberof | LDAP | Gruppo di cui l’utente è membro. Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni]. |
groupClassNames | Non applicabile | wgserver.domain.ldap.group.classnames | LDAP | Per impostazione predefinita, Tableau Server cerca classi di oggetti gruppo LDAP contenenti la stringa "group". Se gli oggetti gruppo LDAP non corrispondono al nome predefinito della classe, sovrascrivi il nome predefinito impostando questo valore. Per configEntity: questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: Per configKey: immetti le classi, separate da una virgola (senza spazio) e tra virgolette. Ad esempio: |
userClassNames | Non applicabile | wgserver.domain.ldap.user.classnames | LDAP | Per impostazione predefinita, Tableau Server cerca classi di oggetti utente LDAP contenenti la stringa "user" e "inetOrgPerson". Se gli oggetti utente LDAP non utilizzano questi nomi di classe predefiniti, sovrascrivi il nome predefinito impostando questo valore. Per configEntity: questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: Per configKey: immetti le classi, separate da una virgola (senza spazio) e tra virgolette. Ad esempio: |
configKey calcolate
Le seguenti configKey relative a Kerberos vengono calcolate e impostate in base a più input ambientali. Pertanto, devono essere impostate dal comando tsm nativo o da configEntities. Non tentare di impostare queste configKey manualmente.
configKey calcolata | Per utilizzare il comando TSM nativo: | Per utilizzare configEntity json: |
---|---|---|
wgserver.domain.ldap.kerberos.conf, cfs.ldap.kerberos.conf | Imposta la posizione del file di configurazione Kerberos con l’opzione | Imposta la posizione del file di configurazione Kerberos con l’opzione configEntity kerberosConfig . |
wgserver.domain.ldap.kerberos.keytab, cfs.ldap.kerberos.keytab | Imposta la posizione del file keytab Kerberos con l’opzione kerbkeytab di comando tsm user-identity-store set-connection [opzioni]. | Imposta la posizione del file ketytab Kerberos con l’opzione configEntity kerberosKeytab . |
configKeys non supportate
Alcune configKeys non supportate sono presenti nei file di configurazione .yml sottostanti. Le chiavi seguenti non sono destinate alle distribuzioni standard. Non configurare queste chiavi:
- wgserver.domain.ldap.kerberos.login
- wgserver.domain.ldap.guid
- wgserver.domain.fqdn: questa chiave è ridondante con wgserver.domain.default. I valori per entrambe le chiavi devono essere uguali. Aggiorna wgserver.domain.fqdn solo se il valore non corrisponde a wgserver.domain.default.