Informazioni di riferimento sulla configurazione dell'archivio di identità esterno

Tableau Server supporta la connessione a una directory esterna tramite LDAP. In questo scenario, Tableau Server importa gli utenti dalla directory LDAP esterna nel repository Tableau Server come utenti del sistema.

In questo argomento viene fornita una descrizione di tutte le opzioni di configurazione relative a LDAP supportate da Tableau Server. Se ti connetti ad Active Directory, è consigliabile configurare automaticamente la connessione LDAP con Tableau Server come parte del programma di installazione, anziché configurare manualmente la connessione. Consulta Configurare le impostazioni iniziali dei nodi.

Le opzioni elencate in queste informazioni di riferimento possono essere utilizzate per qualsiasi directory compatibile con LDAP. Se non hai esperienza nella configurazione di LDAP, collabora con l'amministratore della directory o con un esperto di LDAP.

Questo è un argomento di riferimento. Per maggiori informazioni sul modo in cui Tableau Server archivia e gestisce gli utenti, inizia da Archivio di identità.

Metodi di configurazione

I parametri di configurazione che consentono a Tableau Server di connettersi alla directory LDAP vengono memorizzati in file .yml. Questi file sono gestiti e sincronizzati dai vari servizi di Tableau Server. L'aggiornamento dei file .yml deve essere eseguito con un'interfaccia di Tableau Services Manager (TSM).

Non tentare di aggiornare direttamente i file .yml con un editor di testo. Per il corretto funzionamento, TSM deve gestire tutti gli aggiornamenti.

I file di configurazione .yml sono composti da coppie chiave-valore. Ad esempio, la chiave wgserver.domain.username accetta un nome utente come valore. Questa chiave definisce il nome utente che verrà utilizzato per l'autenticazione nella directory LDAP durante l'operazione di binding.

Esistono quattro diversi metodi di TSM che possono impostare i valori delle chiavi yml. I quattro metodi sono descritti di seguito, usando la chiave wgserver.domain.username come esempio per illustrarli:

  • Aggiornamento della chiave wgserver.domain.username eseguendo Opzioni di tsm configuration set o includendo la chiave in un file di configurazione JSON in un'entità configKey. Vedi Esempio di file di configurazione.

    Le coppie chiave-valore usate per le entità configKey sono le stesse utilizzate per tsm configuration set. In questo argomento viene fatto riferimento a entrambi i metodi con il termine configKey.

    A differenza di configEntities e dei comandi tsm nativi descritti di seguito, l'input di configKey non viene convalidato. Quando imposti un'opzione con configKey, il valore immesso viene copiato come stringa letterale nei file di configurazione .yml sottostanti. Ad esempio, se gli input validi per una determinata chiave sono true o false, configEntities consentirà il salvataggio di qualsiasi stringa arbitraria per la chiave. In questi casi, i valori non validi genereranno sicuramente errori di configurazione LDAP.

    È consigliabile usare configKey solo quando non è possibile impostare la configurazione con le altre tre opzioni elencate di seguito (configEntities, un comando tsm nativo o l'interfaccia utente Web di TSM). Quando utilizzi configKey, assicurati di controllare i valori e di mantenere la distinzione tra maiuscole e minuscole.

  • Passaggio dell'opzione username in un file JSON configEntities.

    Le opzioni configEntities vengono impostate con un file JSON, come descritto in Entità identityStore. Il file JSON viene importato con il comando tsm settings import. Le opzioni disponibili per configEntities sono un sottoinsieme di tutte le coppie chiave-valore .yml.

    I valori immessi come configEntities vengono convalidati prima di essere salvati. Per i valori viene applicata la distinzione tra maiuscole e minuscole.

    La convalida in questo contesto significa che il comando di importazione avrà esito positivo solo se i tipi di dati di tutti i valori nel file JSON sono validi. Se ad esempio si immette no per un valore che accetta solo true o false, verrà visualizzato un errore e la configurazione non verrà importata.

    Importa i file di configurazione JSON solo come parte della configurazione iniziale. Se devi apportare modifiche a LDAP dopo aver importato il file di configurazione JSON e inizializzato Tableau Server, non tentare di reimportare il file JSON. Apporta invece le singole modifiche con i comandi nativi di tsm o con tsm configuration set.

  • Passaggio dell'opzione ldapuser con il comando tsm nativo. Le configurazioni LDAP vengono impostate con il comando tsm nativo, tsm user-identity-store. Come nel caso di configEntities, i valori immessi con il comando tsm nativo vengono convalidati prima di essere salvati.

    Le opzioni disponibili per i comandi tsm nativi sono un sottoinsieme di tutte le coppie chiave-valore .yml.

  • Esecuzione dell'interfaccia grafica di TSM durante l'installazione di Tableau: se ti connetti ad Active Directory e configuri l'archivio identità di Tableau nell'ambito dell'installazione dell'interfaccia grafica, viene richiesto di specificare un account con accesso in lettura ad Active Directory. La chiave wgserver.domain.username viene impostata quando immetti le credenziali.

    Questo scenario funziona solo se ti connetti ad Active Directory. Tableau Server non supporta una configurazione LDAP arbitraria nell'ambito del processo di installazione dell'interfaccia grafica.

Considera l'utilizzo del Tableau Identity Store Configuration Tool(Link opens in a new window) per generare il file di configurazione json di LDAP. Tableau Identity Store Configuration Tool consente inoltre di generare un elenco di coppie chiave/valore che puoi impostare eseguendo Opzioni di tsm configuration set. Lo strumento non è supportato da Tableau. Tuttavia, utilizzare un file JSON creato dallo strumento invece di crearne uno manualmente non modifica lo stato supportato del server.

Configurazione di Active Directory

Se configuri Tableau Server per l'utilizzo di Active Directory, è necessario usare l'interfaccia utente Web di TSM per l'installazione. L'interfaccia utente Web di TSM è ottimizzata per configurare Tableau Server per Active Directory con l'input minimo necessario. Consulta Configurare le impostazioni iniziali dei nodi.

Tabella di riferimento per la configurazione

configEntities

(Le opzioni sono sensibili alla differenza tra maiuscole e minuscole)

Comando tsm nativo configKey Scenario

Note

tipo n/d wgserver.authenticate AD, LDAP, locale

Dove desideri archiviare le informazioni sull'identità dell'utente. Valori: local o activedirectory.

Se vuoi connetterti a un server LDAP, immetti activedirectory.

sslPort n/d wgserver.domain.ssl_port AD, LDAP Utilizza questa opzione per specificare la porta sicura del server LDAP. Si consiglia un LDAP protetto per un'associazione semplice. LDAPS di solito è la porta 636.
port n/d wgserver.domain.port AD, LDAP Utilizza questa opzione per specificare la porta non sicura del server LDAP. Il testo semplice di solito è 389.
dominio dominio wgserver.domain.default AD

Negli ambienti Active Directory, specifica il dominio in cui è installato Tableau Server, ad esempio "example.lan".

Per LDAP non AD: la stringa immessa per questo valore viene visualizzata nella colonna "Dominio" degli strumenti di gestione degli utenti. Puoi immettere una stringa arbitraria, ma la chiave non può essere vuota.

Questa chiave è ridondante con wgserver.domain.fqdn. I valori per entrambe le chiavi devono essere uguali.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

nome utente ldapusername wgserver.domain.username AD, LDAP

Il nome utente che desideri utilizzare per connetterti al servizio di directory.

L'account specificato deve avere il permesso di inviare query al servizio di directory.

Per Active Directory, immetti il nome utente, ad esempio, jsmith.

Per i server LDAP, immetti il nome distinto (DN) dell'utente che desideri utilizzare per la connessione. Ad esempio, "cn=jsmith,dc=example,dc=lan".

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

password ldappassword wgserver.domain.password AD, LDAP

Password dell'account utente da utilizzare per la connessione al server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

directoryServiceType n/d wgserver.domain.directoryservice.type AD, LDAP

Il tipo di servizio di LDAP directory al quale intendi connetterti. Valori: activedirectory o openldap.

kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD, LDAP

Il nome per il principal di servizio per Tableau Server sulla macchina host. La keytab deve avere l'autorizzazione per questo principal. Non utilizzare la keytab di sistema esistente in /etc/krb5.keytab. Si consiglia piuttosto di registrare un nuovo nome per il principal di servizio. Per visualizzare i principal in una determinata keytab, esegui il comando klist -k. Vedi Comprendere i requisiti per i file keytab.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

hostname hostname wgserver.domain.ldap.hostname AD, LDAP

Il nome dell'host del server LDAP. Puoi immettere un nome dell'host o un indirizzo IP per questo valore. L'host specificato qui verrà utilizzato per le query utente/di gruppo sul dominio primario. Nel caso in cui le query utente/di gruppo si trovino in altri domini, Tableau Server eseguirà una query DNS per identificare il controller di dominio appropriato.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

membersRetrievalPageSize n/d wgserver.domain.ldap.members.retrieval.page.size AD, LDAP

Questa opzione determina il numero massimo di risultati restituiti da una query LDAP.

Considera, ad esempio, uno scenario in cui Tableau Server importa un gruppo LDAP contenente 50.000 utenti. Tentare di importare un numero così elevato di utenti in un'unica operazione non è una best practice. Quando questa opzione è impostata su 1.500, Tableau Server importa i primi 1.500 utenti nella prima risposta. Una volta che questi utenti sono stati elaborati, Tableau Server richiede i successivi 1.500 utenti al server LDAP e così via.

Si consiglia di modificare questa opzione solo per soddisfare i requisiti del server LDAP.

n/d n/d wgserver.domain.ldap.connectionpool.enabled AD, LDAP Quando questa opzione è impostata su true, Tableau Server tenterà di riutilizzare la stessa connessione quando si inviano query al server LDAP. Questo comportamento riduce il sovraccarico dovuto alla nuova autenticazione del server LDAP su ogni nuova richiesta. Il pool di connessioni funziona solo con connessioni di binding semplici e TSL/SSL. Il pool di connessioni non è supportato per le connessioni di binding GSSAPI.
n/d n/d wgserver.domain.whitelist AD

Consente la connessione da Tableau Server ai domini di Active Directory secondari. Un dominio secondario è un dominio a cui Tableau Server si connette per la sincronizzazione degli utenti, ma in cui Tableau Server non è installato. Per garantire che Tableau Server possa connettersi ad altri domini di Active Directory, devi specificare i domini trusted impostando l'opzione wgserver.domain.whitelist con TSM. Per maggiori informazioni, consulta wgserver.domain.whitelist.

kerberosConfig

kerbconfig

Nessun mapping diretto AD, LDAP

Il percorso del file di configurazione Kerberos sul computer locale. Se stai installando in Active Directory, non è consigliato utilizzare il file di configurazione Kerberos o il file keytab che potrebbe essere già presente sul computer collegato al dominio. Vedi Archivio di identità

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

kerberosKeytab kerbkeytab Nessun mapping diretto AD, LDAP

Il percorso del file keytab Kerberos sul computer locale. Si consiglia di creare un file keytab con chiavi specifiche per il servizio Tableau Server e di non condividerlo con altre applicazioni sul computer. Ad esempio, su Linux potresti collocare il file keytab nella directory /var/opt/tableau/keytab.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-connection [opzioni].

nickname n/d wgserver.domain.nickname AD, LDAP

Il nickname del dominio. Questo nome è anche noto come nome NetBIOS in ambienti Windows/Active Directory. L'opzione nickname è necessaria per tutte le entità LDAP. Il valore non può essere Null. Se la tua organizzazione non richiede un nickname/NetBIOS, utilizza una chiave vuota, ad esempio: "".

root n/d wgserver.domain.ldap.root LDAP Se non utilizzi un componente dc nella root LDAP o desideri specificare una root più complessa, dovrai impostare la root LDAP. Utilizza il formato "o=my,u=root". Ad esempio, per il dominio example.lan la root sarebbe "o=example,u=lan".
serverSideSorting n/d wgserver.domain.ldap.server_side_sorting LDAP Se il server LDAP è configurato per l'ordinamento lato server dei risultati delle query. Se il tuo server LDAP supporta l'ordinamento lato server, imposta questa opzione su true. Se non sei sicuro che il tuo server LDAP supporti l'opzione, immetti false, in quanto un'errata configurazione può causare errori.
rangeRetrieval n/d wgserver.domain.ldap.range_retrieval LDAP Se il server LDAP è configurato per restituire una serie di risultati di query per una richiesta. Questo significa che i gruppi con molti utenti saranno richiesti in piccoli insiemi invece che tutti in una volta. I server LDAP che supportano il recupero dell'intervallo funzioneranno meglio con le query di grandi dimensioni. Se il tuo server LDAP supporta il recupero dell'intervallo, imposta questa opzione su true. Se non sei sicuro che il tuo server LDAP supporti il recupero dell'intervallo, immetti false, in quanto un'errata configurazione può causare errori.
bind n/d wgserver.domain.ldap.bind LDAP La modalità che desideri utilizzare per la comunicazione sicura al servizio di directory. Immetti simple per LDAP a meno che tu non sia connesso a un server LDAP con Kerberos. Per Kerberos, immetti gssapi.
n/d n/d wgserver.domain.ldap.domain_custom_ports LDAP

Nota: questa chiave è supportata solo per Tableau Server su Linux.

Consente di mappare i domini figlio e le loro porte LDAP. Dominio e porta sono separati da due punti (:) e ogni coppia dominio:porta è separata da una virgola (,) utilizzando questo formato: FQDN1:port,FQDN2:port

Esempio: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttribute n/d wgserver.domain.ldap.dnAttribute LDAP

L'attributo che archivia i nomi distinti degli utenti. Questo attributo è facoltativo, ma migliora notevolmente le prestazioni delle query LDAP.

Importante: non impostare questa opzione nell'ambito della configurazione iniziale. Imposta questa opzione solo dopo aver convalidato la funzionalità LDAP complessiva. Devi disporre di un valore dnAttribute configurato nell'organizzazione prima di impostare questa chiave.

groupBaseDn n/d wgserver.domain.ldap.group.baseDn LDAP

Utilizza questa opzione per specificare una radice alternativa per i gruppi. Ad esempio, se tutti i gruppi sono memorizzati nell'organizzazione base denominata "gruppi", immetti "o=groups".

n/d classnames wgserver.domain.ldap.group.classnames LDAP

Per impostazione predefinita, Tableau Server cerca classi di oggetti gruppo LDAP contenenti la stringa "group". Se gli oggetti gruppo LDAP non corrispondono al nome predefinito della classe, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole.

Se i nomi dei gruppi includono virgole, devi integrarle con una barra rovesciata (\). Ad esempio, se disponi di un nome gruppo groupOfNames, top, digita "groupOfNames\, top".

L'implementazione LDAP di Tableau interpreta gli oggetti LDAP come utente o gruppo. Pertanto, assicurati di immettere il nome di classe più specifico. I nomi di classe sovrapposti tra utenti e gruppi possono causare conflitti.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

groupBaseFilter basefilter wgserver.domain.ldap.group.baseFilter LDAP

Il filtro che desideri utilizzare per i gruppi di utenti di Tableau Server. È possibile specificare un attributo di classe oggetto e un attributo di unità organizzativa. Ad esempio:

"(&(objectClass=groupofNames)(ou=Group))"

Se "(&(objectClass=inetOrgPerson)(ou=People))" non funziona nella tua implementazione LDAP, specifica il filtro di base adatto per la base di utenti Tableau.

Questa è una chiave obbligatoria. Non può essere vuota.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

groupName groupname wgserver.domain.ldap.group.name LDAP

L'attributo che corrisponde ai nomi dei gruppi sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

groupEmail groupemail wgserver.domain.ldap.group.email LDAP

L'attributo che corrisponde agli indirizzi e-mail dei gruppi sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

groupDescription descrizione wgserver.domain.ldap.group.description LDAP

L'attributo che corrisponde alle descrizioni dei gruppi sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

member member wgserver.domain.ldap.group.member LDAP

Specifica l'attributo LDAP che contiene un elenco di nomi distinti di utenti che fanno parte di tale gruppo.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-group-mappings [opzioni].

n/d n/d wgserver.domain.ldap.group.memberURL LDAP Specifica il nome dell'attributo LDAP che memorizza la query LDAP per i gruppi dinamici.
userBaseDn n/d wgserver.domain.ldap.user.baseDn LDAP Utilizza questa opzione per specificare una radice alternativa per gli utenti. Se ad esempio tutti gli utenti sono archiviati nell'organizzazione base denominata "utenti", immetti "o=users".
n/d classnames wgserver.domain.ldap.user.classnames LDAP

Per impostazione predefinita, Tableau Server cerca classi di oggetti utente LDAP contenenti la stringa "user" e "inetOrgPerson". Se gli oggetti utente LDAP non utilizzano questi nomi di classe predefiniti, sovrascrivi il nome predefinito impostando questo valore. Puoi fornire più nomi di classe separati da virgole. Ad esempio: "userclass1, userclass2".

Se i nomi includono virgole, devi integrarle con una barra rovesciata (\). Ad esempio, se disponi di un nome Names, top, digita "Names\, top".

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

Il filtro che desideri utilizzare per gli utenti di Tableau Server. È possibile specificare un attributo di classe oggetto e un attributo di unità organizzativa.

Ad esempio:

"(&(objectClass=inetOrgPerson)(ou=People))"

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

L'attributo che corrisponde ai nomi utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

L'attributo che corrisponde ai nomi di visualizzazione utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

userEmail e-mail wgserver.domain.ldap.user.email LDAP

L'attributo che corrisponde agli indirizzi e-mail utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

userCertificate certificato wgserver.domain.ldap.user.usercertificate LDAP

L'attributo che corrisponde ai certificati utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

n/d anteprima wgserver.domain.ldap.user.thumbnail LDAP

L'attributo che corrisponde alle immagini thumbnail utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

utenteJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

L'attributo che corrisponde alle immagini profilo utente sul server LDAP.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

Gruppo di cui l'utente è membro.

Comando tsm nativo: utilizza il comando tsm user-identity-store set-user-mappings [opzioni].

groupClassNames n/d wgserver.domain.ldap.group.classnames LDAP

Per impostazione predefinita, Tableau Server cerca classi di oggetti gruppo LDAP contenenti la stringa "group". Se gli oggetti gruppo LDAP non corrispondono al nome predefinito della classe, sovrascrivi il nome predefinito impostando questo valore.

Per configEntity: questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: ["basegroup","othergroup"].

Per configKey: immetti le classi, separate da una virgola (senza spazio) e tra virgolette. Ad esempio: "basegroup,othergroup”.

userClassNames n/d wgserver.domain.ldap.user.classnames LDAP

Per impostazione predefinita, Tableau Server cerca classi di oggetti utente LDAP contenenti la stringa "user" e "inetOrgPerson". Se gli oggetti utente LDAP non utilizzano questi nomi di classe predefiniti, sovrascrivi il nome predefinito impostando questo valore.

Per configEntity: questa opzione accetta un elenco di stringhe, che richiede di passare le classi tra virgolette, separate da una virgola (senza spazi) e tra parentesi quadre. Ad esempio: ["userclass1",userclass2”].

Per configKey: immetti le classi, separate da una virgola (senza spazio) e tra virgolette. Ad esempio: "userclass1,userclass2”.

configKey calcolate

Le seguenti configKey relative a Kerberos vengono calcolate e impostate in base a più input ambientali. Pertanto, devono essere impostate dal comando tsm nativo o da configEntities. Non tentare di impostare queste configKey manualmente.

configKey calcolata Per utilizzare il comando TSM nativo: Per utilizzare configEntity json:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Imposta la posizione del file di configurazione Kerberos con l'opzione kerbconfig di comando tsm user-identity-store set-connection [opzioni].

Imposta la posizione del file di configurazione Kerberos con l'opzione configEntity kerberosConfig.

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Imposta la posizione del file keytab Kerberos con l'opzione kerbkeytab di comando tsm user-identity-store set-connection [opzioni]. Imposta la posizione del file ketytab Kerberos con l'opzione configEntity kerberosKeytab.

configKeys non supportate

Alcune configKeys non supportate sono presenti nei file di configurazione YAML sottostanti. Le chiavi seguenti non sono destinate alle distribuzioni standard. Non configurare queste chiavi:

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • wgserver.domain.fqdn: questa chiave è ridondante con wgserver.domain.default. I valori per entrambe le chiavi devono essere uguali. Aggiorna wgserver.domain.fqdn solo se il valore non corrisponde a wgserver.domain.default.
Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.