Archivio di identità

Tableau Server richiede un archivio di identità per la gestione delle informazioni sugli utenti e sui gruppi. Esistono due tipi di archivi di identità: locali ed esterni. Quando installi Tableau Server devi configurare un archivio di identità locale o esterno.

Per informazioni sulle opzioni di configurazione per l'archivio di identità, consulta Entità identityStore e Informazioni di riferimento sulla configurazione dell'archivio di identità esterno.

Archivio di identità locale

Quando configuri Tableau Server con un archivio di identità locale, tutte le informazioni sull'utente e sul gruppo vengono memorizzate e gestite nel repository di Tableau Server. Nello scenario di archivi di identità locale, non esiste una fonte esterna per utenti e gruppi.

Archivio di identità esterno

Quando configuri Tableau Server con un archivio esterno, tutte le informazioni sull'utente e sul gruppo vengono memorizzate e gestite da un servizio di directory esterno. Tableau Server deve sincronizzarsi con l'archivio di identità esterna in modo che nel repository di Tableau Server esistano copie locali degli utenti e dei gruppi, ma l'archivio di identità esterna è l'origine principale per tutti i dati di utenti e gruppi.

Se hai configurato l'archivio di identità Tableau Server per comunicare con una directory LDAP esterna, allora tutti gli utenti (incluso l'account amministratore iniziale) aggiunti a Tableau Server devono disporre di un account nella directory.

Quando Tableau Server è configurato per utilizzare una directory LDAP esterna, è necessario innanzitutto importare le identità utente dalla directory esterna nel repository di Tableau Server come utenti del sistema. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono passate alla directory esterna, responsabile dell'autenticazione dell'utente; Tableau Server non esegue questa autenticazione. Tuttavia, i nomi utente di Tableau memorizzati nell'archivio di identità sono associati a diritti e autorizzazioni per Tableau Server. Pertanto, dopo aver verificato l'autenticazione, Tableau Server gestisce l'accesso degli utenti (autorizzazione) per le risorse di Tableau.

Active Directory è un esempio di archivio utente esterno. Tableau Server è ottimizzato per interfacciarsi con Active Directory. Ad esempio, quando installi Tableau Server su un computer collegato al dominio Active Directory utilizzando l'Configurare le impostazioni iniziali dei nodi, il programma di installazione rileverà e configurerà la maggior parte delle impostazioni di Active Directory. Se, invece, utilizzi la CLI TSM per installare Tableau Server, devi specificare tutte le impostazioni di Active Directory. In questo caso, assicurati di utilizzare il modello LDAP - Active Directory per configurare l'archivio di identità.

Se stai installando in Active Directory, è consigliabile rivedere Gestione degli utenti nelle distribuzioni con archivi di identità esterni prima della distribuzione.

Per tutti gli altri archivi esterni, Tableau Server supporta LDAP come metodo generico per comunicare l'archivio di identità. Ad esempio, OpenLDAP è una delle numerose implementazioni server LDAP con uno schema flessibile. È possibile configurare Tableau Server per eseguire query sul server OpenLDAP. A tale scopo, l'amministratore della directory deve fornire informazioni sullo schema. Durante l'installazione, devi utilizzare la Configurare le impostazioni iniziali dei nodi per configurare una connessione ad altre directory LDAP.

Binding LDAP

I client che desiderano eseguire query su un archivio utente utilizzando LDAP devono autenticarsi e stabilire una sessione. Questa operazione viene eseguita tramite il binding. Esistono numerose soluzioni per il binding. Il binding semplice è l'autenticazione con nome utente e password. Per le organizzazioni che si connettono a Tableau Server con un semplice binding, è consigliabile configurare una connessione crittografata SSL, altrimenti le credenziali vengono inviate come testo semplice durante la trasmissione. Un altro tipo di binding supportato da Tableau Server è il binding GSSAPI. GSSAPI utilizza Kerberos per l'autenticazione. In questo caso, Tableau Server è il client e l'archivio utente esterno è il server LDAP.

LDAP con binding GSSAPI (Kerberos)

Per l'associazione alla directory LDAP è consigliabile utilizzare GSSAPI. Per l'associazione con GSSAPI è necessario un file keytab specifico per il servizio Tableau Server.

Se stai installando in Active Directory e il computer in cui installi Tableau Server è già stato aggiunto al dominio, il computer potrebbe già disporre di un file di configurazione e di un file keytab. In questo caso, i file Kerberos sono per la funzionalità e l'autenticazione del sistema operativo. A rigor di termini, è possibile utilizzare questi file per l'associazione GSSAPI, ma non è consigliato. È consigliabile invece contattare l'amministratore di Active Directory e richiedere una keytab specifica per il servizio Tableau Server. Vedi Comprendere i requisiti per i file keytab.

Supponendo che il sistema operativo sia configurato correttamente per l'autenticazione nel dominio, allora il keyfile Kerberos per il binding GSSAPI è tutto ciò che ti occorre per l'installazione di base di Tableau Server. Se prevedi di utilizzare l'autenticazione Kerberos per gli utenti, allora configura Kerberos per l'autenticazione utente e per la delega di Kerberos alle origini dati al termine dell'installazione.

LDAP su SSL

Per impostazione predefinita, LDAP con il binding semplice non è crittografato. Se configuri LDAP con associazione semplice, ti consigliamo di attivare LDAP su SSL (LDAPS).

Se disponi già di certificati installati per LDAP nel computer in cui è in esecuzione Tableau Server, allora LDAPS dovrebbe funzionare con la configurazione minima durante il processo di installazione.

Nota: se esegui Tableau Server in una distribuzione distribuita, devi eseguire la copia manuale del certificato SSL in ogni nodo del cluster. Copia il certificato solo in quei nodi in cui è configurato il processo dell'applicazione del server di Tableau Server. A differenza di altri file condivisi in un ambiente cluster, il certificato SSL utilizzato per LDAP non sarà distribuito automaticamente dal servizio file client.

In particolare, se è stato installato Tableau Server e sono presenti certificati validi nell'archivio delle chiavi di Tableau (/etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks), allora puoi specificare SSL quando configuri l'archivio di identità.

La password per l'archivio delle chiavi Java è changeit. Non modificare la password dell'archivio delle chiavi Java.

Se non dispone già di certificati nel computer configurato per il server LDAP, dovrai ottenere un certificato SSL per il server LDAP e importarlo nel sistema dell'archivio delle chiavi di Tableau.

Utilizza lo strumento Java "keytool" per importare i certificati. In un'installazione predefinita, questo strumento viene installato con Tableau Server in /opt/tableau/tableau_server/packages/respository.<installer version>/jre/bin/keytool.

Il comando seguente (per le distribuzioni simil-RHEL) importa il certificato:

sudo "$PROGRAMFOLDER"/packages/repository*/jre/bin/keytool -import -file "$CERTSDIR" -alias "$OPENLDAPSSLSERVER" -keystore /etc/opt/tableau/tableau_server/tableauservicesmanagerca.jks -storepass changeit -noprompt

Utente e gruppi del sistema

Tableau Server su Linux utilizza un utente e due gruppi per un'operazione corretta. L'utente e i gruppi possono essere locali o da un servizio directory LDAP.

Utente

Tableau Server richiede un account servizio. Questo account è un utente senza privilegi con privilegi di accesso normali. Per impostazione predefinita, l'installazione di Tableau Server creerà un utente locale, tableau, per l'account servizio.

Se desideri utilizzare un account utente esistente per l'account servizio di Tableau Server, devi disabilitare la creazione dell'account durante l'installazione.

In particolare, devi impostare l'opzione --disable-account-creation quando esegui lo script initialize-tsm. Dovrai inoltre specificare il nome dell'account con l'opzione --unprivileged-user. Se l'account specificato non esiste, verrà creato dallo script initialize-tsm. Per maggiori dettagli, consulta Guida di output per lo script initialize-tsm..

Se desideri specificare un account esistente con l'opzione --unprivileged-user, verifica che l'account utente sia un utente senza privilegi con normali privilegi di accesso. Configura l'account con le caratteristiche seguenti:

  • Shell impostata su /bin/bash.

  • Per comodità, prendi in considerazione l'impostazione della home directory nel percorso della directory dati. L'account deve disporre di privilegi di proprietà e scrittura per la home directory.

Se specifichi un account senza privilegi diverso durante l'installazione, devi aggiungere manualmente lo stesso utente al gruppo systemd-journal. L'utente senza privilegi deve essere un membro del gruppo systemd-journal in modo che Tableau Server possa raccogliere i log da alcuni servizi (ad esempio, Chiedilo ai dati) durante l'esecuzione del comando tsm maintenance ziplogs. Se l'utente senza privilegi non è un membro del gruppo, i file ziplog non conterranno i log dei servizi interessati

Gruppi

Tableau Server richiede due gruppi per l'operazione.

In un'installazione predefinita, l'account servizio tableau locale appartiene a un gruppo primario denominato tableau. Tuttavia, se specifichi un utente senza privilegi alternativo durante l'installazione, verrà utilizzato il gruppo primario per tale account alternativo. Di conseguenza, qualsiasi account può essere aggiunto a questo gruppo per poter leggere i file di log di Tableau Server (senza diventare root).

Il secondo gruppo viene utilizzato per autorizzare gli utenti che possono eseguire l'autenticazione su Tableau Services Manager (TSM). Tutti gli utenti di questo gruppo potranno inviare comandi a TSM, pertanto deve essere limitato agli amministratori di Tableau Server. Per impostazione predefinita, questo gruppo è denominato tsmadmin.

Se non intendi utilizzare il nome predefinito, dovrai specificare il nome del gruppo con l'opzione --tsm-authorized-group durante l'esecuzione di initialize-tsm. Per maggiori dettagli, consulta Guida di output per lo script initialize-tsm..

Autenticazione dei client

In Tableau Server, l'autenticazione utente di base avviene tramite nome utente e password, sia per archivi utenti locali che esterni. Nel caso locale, le password utente vengono memorizzate come una password con hash nel repository. Nel caso esterno, Tableau Server passa le credenziali all'archivio utente esterno e attende una risposta in merito alla validità delle credenziali. Gli archivi utente esterni possono inoltre gestire altri tipi di autenticazione come Kerberos o SSPI (solo Active Directory), ma il concetto è ancora lo stesso, Tableau Server delega le credenziali o l'utente all'archivio esterno e rimane in attesa di risposta.

È possibile configurare Tableau Server in modo che l'accesso nome utente-password sia disattivato. In questi scenari possono essere utilizzati altri metodi di autenticazione, ad esempio autenticazione attendibile, OpenID o SAML. Consulta Autenticazione.

Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.