Archivio di identità
Tableau Server richiede un archivio di identità per la gestione delle informazioni sugli utenti e sui gruppi. Esistono due tipi di archivi di identità: locali ed esterni. Quando installi Tableau Server devi configurare un archivio di identità locale o esterno.
Per informazioni sulle opzioni di configurazione per l’archivio di identità, consulta Entità identityStore e Informazioni di riferimento sulla configurazione dell’archivio di identità esterno. Per ulteriori informazioni sull’aggiunta di maggiore flessibilità al modello di archivio identità singolo, consulta Provisioning e autenticazione degli utenti tramite pool di identità.
Archivio di identità locale
Quando configuri Tableau Server con un archivio di identità locale, tutte le informazioni sull’utente e sul gruppo vengono memorizzate e gestite nel repository di Tableau Server. Nello scenario di archivi di identità locale, non esiste una fonte esterna per utenti e gruppi.
Archivio di identità esterno
Quando configuri Tableau Server con un archivio esterno, tutte le informazioni sull’utente e sul gruppo vengono memorizzate e gestite da un servizio di directory esterno. Tableau Server deve sincronizzarsi con l’archivio di identità esterno. Di conseguenza, nel repository di Tableau Server esistono copie locali degli utenti e dei gruppi, ma l’archivio di identità esterno è l’origine autorevole per i dati di tutti gli utenti e i gruppi.
Se hai configurato l’archivio di identità Tableau Server per comunicare con una directory LDAP esterna, allora tutti gli utenti (incluso l’account amministratore iniziale) aggiunti a Tableau Server devono disporre di un account nella directory.
Quando Tableau Server è configurato per utilizzare una directory LDAP esterna, è necessario innanzitutto importare le identità utente dalla directory esterna nel repository di Tableau Server come utenti del sistema. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono passate alla directory esterna, responsabile dell’autenticazione dell’utente; Tableau Server non esegue questa autenticazione. Tuttavia, i nomi utente di Tableau memorizzati nell’archivio di identità sono associati a diritti e autorizzazioni per Tableau Server. Pertanto, dopo aver verificato l’autenticazione, Tableau Server gestisce l’accesso degli utenti (autorizzazione) per le risorse di Tableau.
Active Directory è un esempio di archivio utente esterno. Tableau Server è ottimizzato per interfacciarsi con Active Directory. Ad esempio, quando installi Tableau Server su un computer collegato al dominio Active Directory utilizzando l’Configurare le impostazioni iniziali dei nodi, il programma di installazione rileverà e configurerà la maggior parte delle impostazioni di Active Directory. Se, invece, utilizzi la CLI TSM per installare Tableau Server, devi specificare tutte le impostazioni di Active Directory. In questo caso, assicurati di utilizzare il modello LDAP - Active Directory per configurare l’archivio di identità.
Se stai installando in Active Directory, è consigliabile rivedere Gestione degli utenti nelle distribuzioni con archivi di identità esterni prima della distribuzione.
Per tutti gli altri archivi esterni, Tableau Server supporta LDAP come metodo generico per comunicare l’archivio di identità. Ad esempio, OpenLDAP è una delle numerose implementazioni server LDAP con uno schema flessibile. È possibile configurare Tableau Server per eseguire query sul server OpenLDAP. A tale scopo, l’amministratore della directory deve fornire informazioni sullo schema. Durante l’installazione, devi utilizzare la Configurare le impostazioni iniziali dei nodi per configurare una connessione ad altre directory LDAP.
Binding LDAP
I client che desiderano eseguire query su un archivio utente utilizzando LDAP devono autenticarsi e stabilire una sessione. Questa operazione viene eseguita tramite il binding. Esistono numerose soluzioni per il binding. Il binding semplice è l’autenticazione con nome utente e password. Per le organizzazioni che si connettono a Tableau Server con un semplice binding, è consigliabile configurare una connessione crittografata SSL, altrimenti le credenziali vengono inviate come testo semplice durante la trasmissione. Un altro tipo di binding supportato da Tableau Server è il binding GSSAPI. GSSAPI utilizza Kerberos per l’autenticazione. In questo caso, Tableau Server è il client e l’archivio utente esterno è il server LDAP.
LDAP con binding GSSAPI (Kerberos)
È consigliabile eseguire il binding alla directory LDAP con GSSAPI utilizzando un file keytab per l’autenticazione nel server LDAP. Sarà necessario un file keytab specifico per il servizio Tableau Server. È inoltre consigliabile crittografare il canale con il server LDAP utilizzando SSL/TLS. Vedi Configurare il canale crittografato per l’archivio di identità esterno LDAP.
Se stai installando in Active Directory e il computer in cui installi Tableau Server è già stato aggiunto al dominio, il computer potrebbe già disporre di un file di configurazione e di un file keytab. In questo caso, i file Kerberos sono per la funzionalità e l’autenticazione del sistema operativo. A rigor di termini, è possibile utilizzare questi file per l’associazione GSSAPI, ma non è consigliato. È consigliabile invece contattare l’amministratore di Active Directory e richiedere una keytab specifica per il servizio Tableau Server. Vedi Comprendere i requisiti per i file keytab.
Supponendo che il sistema operativo sia configurato correttamente per l’autenticazione nel dominio, allora il keyfile Kerberos per il binding GSSAPI è tutto ciò che ti occorre per l’installazione di base di Tableau Server. Se prevedi di utilizzare l’autenticazione Kerberos per gli utenti, allora configura Kerberos per l’autenticazione utente e per la delega di Kerberos alle origini dati al termine dell’installazione.
LDAP su SSL
Per impostazione predefinita, LDAP con il binding semplice a server LDAP arbitrari non è crittografato. Le credenziali utente utilizzate per stabilire la sessione di binding con il server LDAP vengono comunicate in testo non crittografato tra Tableau Server e il server LDAP. È consigliabile crittografare il canale tra Tableau Server e il server LDAP.
A partire dalla versione 2021.2, Tableau Server su Linux richiede un canale LDAP crittografato quando utilizzi Active Directory come archivio di identità. Devi installare un certificato SSL/TSL valido prima di installare o eseguire l’upgrade alla versione 2021.2 o successiva. Sebbene non sia consigliato, puoi anche disabilitare il canale LDAP crittografato predefinito. Per maggiori informazioni sull’abilitazione o la disabilitazione della crittografia per Active Directory e altri server LDAP, consulta Configurare il canale crittografato per l’archivio di identità esterno LDAP.
Utente e gruppi del sistema
Tableau Server su Linux utilizza un utente e due gruppi per un’operazione corretta. L’utente e i gruppi possono essere locali o da un servizio directory LDAP.
Utente
Tableau Server richiede un account servizio. Questo account è un utente senza privilegi con privilegi di accesso normali. Per impostazione predefinita, l’installazione di Tableau Server creerà un utente locale, tableau, per l’account servizio.
Se desideri utilizzare un account utente esistente per l’account servizio di Tableau Server, devi disabilitare la creazione dell’account durante l’installazione.
In particolare, devi impostare l’opzione --disable-account-creation quando esegui lo script initialize-tsm. Dovrai inoltre specificare il nome dell’account con l’opzione --unprivileged-user. Se l’account specificato non esiste, verrà creato dallo script initialize-tsm. Per maggiori dettagli, consulta Guida di output per lo script initialize-tsm..
Se desideri specificare un account esistente con l’opzione --unprivileged-user, verifica che l’account utente sia un utente senza privilegi con normali privilegi di accesso. Configura l’account con le caratteristiche seguenti:
Shell impostata su
/bin/bash.Per comodità, prendi in considerazione l’impostazione della home directory nel percorso della directory dati. L’account deve disporre di privilegi di proprietà e scrittura per la home directory.
Se specifichi un account senza privilegi diverso durante l’installazione, devi aggiungere manualmente lo stesso utente al gruppo systemd-journal. L’utente senza privilegi deve essere un membro del gruppo systemd-journal per consentire a Tableau Server di raccogliere i log da alcuni servizi (come Chiedilo ai dati) durante l’esecuzione del comando tsm maintenance ziplogs. Se l’utente senza privilegi non è un membro del gruppo, i file ziplog non conterranno i log dei servizi interessati
Gruppi
Tableau Server richiede due gruppi per l’operazione.
In un’installazione predefinita, l’account servizio tableau locale appartiene a un gruppo primario denominato tableau. Tuttavia, se specifichi un utente senza privilegi alternativo durante l’installazione, verrà utilizzato il gruppo primario per tale account alternativo. Di conseguenza, qualsiasi account può essere aggiunto a questo gruppo per poter leggere i file di log di Tableau Server (senza diventare root).
Il secondo gruppo viene utilizzato per autorizzare gli utenti che possono eseguire l’autenticazione su Tableau Services Manager (TSM). Tutti gli utenti di questo gruppo potranno inviare comandi a TSM, pertanto deve essere limitato agli amministratori di Tableau Server. Per impostazione predefinita, questo gruppo è denominato tsmadmin.
Se non intendi utilizzare il nome predefinito, dovrai specificare il nome del gruppo con l’opzione --tsm-authorized-group durante l’esecuzione di initialize-tsm. Per maggiori dettagli, consulta Guida di output per lo script initialize-tsm..
Autenticazione dei client
In Tableau Server, l’autenticazione utente di base avviene tramite nome utente e password, sia per archivi utenti locali che esterni. Nel caso locale, le password utente vengono memorizzate come una password con hash nel repository. Nel caso esterno, Tableau Server passa le credenziali all’archivio utente esterno e attende una risposta in merito alla validità delle credenziali. Gli archivi utente esterni possono gestire anche altri tipi di autenticazione come Kerberos, ma il concetto è lo stesso: Tableau Server delega le credenziali o l’utente all’archivio esterno e rimane in attesa di risposta.
È possibile configurare Tableau Server in modo che l’accesso nome utente-password sia disattivato. In questi scenari possono essere utilizzati altri metodi di autenticazione, ad esempio autenticazione attendibile, OpenID o SAML. Consulta Autenticazione.
In alcuni casi, potrebbe essere necessario aggiornare le directory esterne LDAP per consentire operazioni di binding con nome utente + formato DN da Tableau Server. Vedi Comportamento di binding dell’utente all’accesso.