Gestione degli utenti nelle distribuzioni con archivi identità esterni
In questo argomento vengono descritti dettagli tecnici importanti che devi conoscere se utilizzi un archivio identità esterno per gestire gli utenti per Tableau Server. Tableau Server supporta la connessione a una directory esterna tramite LDAP. In questo scenario, Tableau Server importa gli utenti dalla directory LDAP esterna nel repository di Tableau Server come utenti del sistema.
Directory LDAP arbitrarie
Il nome utente di sistema in Tableau è qualsiasi attributo impostato come parte della configurazione LDAP, ad esempio "cn". Questo vale sia per l’importazione di singoli utenti che per la funzionalità di sincronizzazione dei gruppi. Consulta Informazioni di riferimento sulla configurazione dell’archivio identità esterno.
Comportamento di binding dell’utente all’accesso
Potrebbe essere necessario aggiornare la configurazione LDAP per consentire il binding con i nomi utente a cui è aggiunto il DN. In particolare, dovrai aggiornare la configurazione LDAP quando Tableau Server è configurato con una directory LDAP arbitraria (ad esempio, OpenLDAP) che utilizza UPN o indirizzi e-mail come nomi utente.
Tableau Server cercherà un determinato utente in base al nome utente fornito durante l’accesso, quindi tenterà di eseguire l’associazione con il nome utente aggiunto al DN. Se Tableau Server è stato configurato con GSSAPI, verrà utilizzato username@REALM (nome di dominio).
Active Directory
Il contenuto nella parte restante di questo argomento presuppone la conoscenza della gestione degli utenti di Active Directory e dei concetti di base relativi a schema e dominio di Active Directory.
Nota: nel contesto della sincronizzazione di utenti e gruppi, Tableau Server configurato con un archivio identità LDAP è equivalente ad Active Directory. Le funzioni di sincronizzazione di Active Directory in Tableau Server funzionano perfettamente con le soluzioni directory LDAP correttamente configurate.
Autenticazione degli utenti con Active Directory e Tableau Server
Tableau Server memorizza tutti i nomi utente nell’archivio identità di Tableau Server, gestito dal repository. Se Tableau Server è configurato per usare Active Directory per l’autenticazione, devi innanzitutto importare le identità degli utenti da Active Directory all’archivio identità. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono trasferite ad Active Directory, che è responsabile dell’autenticazione degli utenti; Tableau Server non esegue questa autenticazione. Per impostazione predefinita, per l’autenticazione viene utilizzato NTLM, ma puoi abilitare Kerberos o SAML per la funzionalità Single Sign-On. In questi casi, l’autenticazione viene lasciata ad Active Directory. Tuttavia, i nomi utente di Tableau memorizzati nell’archivio identità sono associati a diritti e autorizzazioni per Tableau Server. Pertanto, dopo aver verificato l’autenticazione, Tableau Server gestisce l’accesso degli utenti (autorizzazione) per le risorse di Tableau.
Attributi dei nomi utente Active Directory e Tableau Server
Active Directory identifica in modo univoco gli oggetti utente utilizzando diversi attributi. Per maggiori informazioni, consulta User Naming Attributes(Il collegamento viene aperto in una nuova finestra) sul sito Web di MSDN. Tableau Server Si basa su due attributi di denominazione utente di Active Directory:
sAMAccountName
. Questo attributo specifica il nome di accesso originariamente progettato per l’utilizzo con versioni precedenti di Windows. In molte organizzazioni, questo nome è combinato con il nome NetBIOS per l’autenticazione, utilizzando un formato simile aexample\jsmith
, doveexample
è il nome NetBIOS ejsmith
è il valoresAMAccountName
. A causa della progettazione originale in Windows, il valoresAMAccountName
deve essere inferiore a 20 caratteri.Nella console di gestione Utenti e computer di Active Directory di Windows, questo valore è incluso nel campo Nome accesso utente (precedente a Windows 2000), nella scheda Account dell’oggetto utente.
userPrincipalName
(UPN). Questo attributo specifica un nome utente nel formatojsmith@example.com
, dovejsmith
è il prefisso UPN ed@example.com
è il suffisso UPN.Nella console di gestione Utenti e computer di Active Directory di Windows, l’UPN è una concatenazione di due campi nella scheda Account dell’oggetto utente: il campo Nome accesso utente e l’elenco a discesa dei domini accanto a esso.
Aggiungere utenti da Active Directory
Puoi aggiungere singoli utenti da Active Directory inserendoli nel server o creando un file CSV con gli utenti e poi importandolo. Puoi anche aggiungere gli utenti di Active Directory creando un gruppo tramite Active Directory e importando tutti gli utenti del gruppo. Il risultato può essere diverso a seconda del metodo scelto.
Importazione del prefisso UPN come nome utente
Non è possibile importare l’intero UPN come nome utente.
Nella maggior parte dei casi, il nome utente che Tableau Server importerà nell’archivio identità sarà il valore sAMAccountName. Per maggiori informazioni sulle eccezioni a questo comportamento consulta l’articolo della Knowledge Base di Tableau Importazione del prefisso UPN come nome utente in scenari non standard con Active Directory(Il collegamento viene aperto in una nuova finestra).
Aggiungere gruppi di utenti
Se importi un gruppo di utenti Active Directory, Tableau importa tutti gli utenti del gruppo utilizzando sAMAccountName
.
Comportamento della sincronizzazione quando si rimuovono utenti da Active Directory
Non è possibile rimuovere automaticamente gli utenti da Tableau Server tramite un’operazione di sincronizzazione di Active Directory. Gli utenti disabilitati, eliminati o rimossi da gruppi in Active Directory rimangono su Tableau Server, così puoi controllare e riassegnare il contenuto dell’utente prima di rimuoverne completamente l’account.
Tuttavia, Tableau Server tratta gli oggetti utente in modo diverso in base al modo in cui lo stato dell’oggetto utente cambia in Active Directory. Vi sono due scenari: l’eliminazione/disattivazione degli utenti in Active Directory o la rimozione degli utenti dai gruppi sincronizzati in Active Directory.
Quando elimini o disattivi un utente in Active Directory e quindi sincronizzi il gruppo dell’utente su Tableau Server, si verifica quanto segue:
- L’utente viene rimosso dal gruppo Tableau Server sincronizzato.
- Il ruolo dell’utente viene impostato su "Senza licenza".
- L’utente continua ad appartenere al gruppo Tutti gli utenti.
- L’utente non può accedere a Tableau Server.
Quando rimuovi un utente da un gruppo in Active Directory e quindi sincronizzi tale gruppo in Tableau Server, si verifica quanto segue:
- L’utente viene rimosso dal gruppo Tableau Server sincronizzato.
- Il ruolo degli utenti viene mantenuto: non viene impostato su "Senza licenza".
- L’utente continua ad appartenere al gruppo Tutti gli utenti.
- L’utente dispone ancora dell’autorizzazione per l’accesso in Tableau Server a tutti gli oggetti che il gruppo Tutti gli utenti è autorizzato a utilizzare.
In entrambi i casi, per rimuovere un utente da Tableau Server, l’amministratore del server deve eliminare l’utente dalla pagina Utenti del server di Tableau Server.
Nickname dei domini
In Tableau Server, il nickname dei domini è equivalente al nome di dominio NetBIOS di Windows. In Windows Active Directory, un nome di dominio completo può avere un nome NetBIOS arbitrario. Il nome NetBIOS viene utilizzato come identificatore di dominio quando un utente accede ad Active Directory.
Ad esempio, il nome di dominio completo west.na.corp.lan
può essere configurato con il nome NetBIOS (nickname) SEATTLE
. L’utente jsmith
del dominio può accedere a Windows utilizzando uno dei nomi utente seguenti:
west.na.corp.example.com\jsmith
SEATTLE\jsmith
Se vuoi che gli utenti accedano a Tableau Server con un nome NetBIOS anziché il nome di dominio completo, devi verificare che il nickname sia impostato per ogni dominio al quale gli utenti accedono. Vedi editdomain per informazioni su come visualizzare e impostare il nickname di ogni dominio per ogni dominio.
Supporto per più domini
Puoi aggiungere utenti e gruppi da un dominio diverso da quello del computer Tableau Server in questi casi:
L’attendibilità bidirezionale è stata stabilita tra il dominio del server e quello degli utenti.
Il dominio del server considera attendibile il dominio degli utenti (attendibilità unidirezionale). Consulta Requisiti di attendibilità dei domini per le distribuzioni di Active Directory.
La prima volta che aggiungi un utente o un gruppo da un dominio diverso dal server, devi specificare il nome di dominio completo con il nome utente/gruppo. Gli eventuali altri utenti o gruppi aggiunti dal dominio possono essere aggiunti utilizzando il nickname del dominio, purché corrisponda al nome NetBIOS. Se Tableau Server si connette a più domini, devi specificare anche gli altri domini a cui Tableau Server si connette impostando l’opzione wgserver.domain.whitelist
(versione 2020.3 e precedenti) o wgserver.domain.accept_list
(versione 2020.4 e successive) con TSM. Per maggiori informazioni, consulta wgserver.domain.whitelist o wgserver.domain.accept_list.
Nomi visualizzati duplicati
Se i nomi visualizzati degli utenti non sono univoci nei diversi domini, la gestione degli utenti con lo stesso nome visualizzato in Tableau può essere difficile. Tableau Server visualizza lo stesso nome per due utenti. Considera ad esempio un’organizzazione con due domini, example.lan e example2.lan. Se l’utente John Smith esiste in entrambi i domini, l’aggiunta di tale utente ai gruppi e altre attività amministrative può generare confusione in Tableau Server. In questo scenario è consigliabile aggiornare il nome visualizzato in Active Directory per uno degli utenti in modo da distinguere gli account.
Accedere a Tableau Server con il nome NetBIOS
Gli utenti possono accedere a Tableau Server utilizzando il nickname di dominio (nome NetBIOS), ad esempio SEATTLE\jsmith
.
Tableau Server non può cercare il nome NetBIOS di un nome di dominio completo specifico. Di conseguenza, Tableau imposta il nickname di un determinato nome di dominio completo in base alla prima voce dello spazio del nome. Ad esempio, per il nome di dominio completo west.na.corp.lan
, Tableau imposta il nickname su west
.
Potresti pertanto dover aggiornare il nickname dei domini in Tableau Server per consentire agli utenti di accedere utilizzando il nickname. Se non aggiorni il nickname, gli utenti dovranno accedere utilizzando un nome di dominio completo. Per maggiori informazioni, consulta Gli utenti di un nuovo dominio non possono accedere e non sono presenti nell’elenco degli utenti (Il collegamento viene aperto in una nuova finestra)nella Knowledge Base di Tableau.