Gebruikers inrichten en verifiëren met identiteitspools
Identiteitspools werden voor het eerst in versie 2023.1 aan Tableau Server toegevoegd en zijn een methode waarbij informatie over inrichting en verificatie wordt gebruikt om gebruikerstoegang tot Tableau Server in te schakelen. Identiteitspools maken een meer gecentraliseerde en flexibele workflow voor het beheren van identiteiten mogelijk die is gebaseerd op de identiteitsservice(Link wordt in een nieuw venster geopend) voor het archiveren en beheren van gebruikersidentiteiten in Tableau Server.
Identiteitspools vervangen niet de configuraties voor gebruikersinrichting en -verificatie die u tijdens de installatie van Tableau Server met Tableau Services Manager (TSM) maakt. In plaats daarvan zijn identiteitspools ontworpen als aanvulling op en ondersteuning van aanvullende opties voor gebruikersinrichting en verificatie die u mogelijk nodig hebt in uw organisatie, met name voor organisaties waarin TSM is geconfigureerd met Active Directory (AD) of LDAP (Lightweight Directory Access Protocol). Identiteitspools vormen een alternatieve methode na de installatie van Tableau Server waarmee Tableau Server-beheerders gebruikers, die vaak externe gebruikers, partners of contractanten zijn, aan uw Tableau Server-implementatie kunnen toevoegen.
Identiteitspools zijn geoptimaliseerd voor de volgende gebruikscases:
Externe gebruikers: een grote onderneming die geen externe gebruikers aan zijn interne AD wil toevoegen.
Stel bijvoorbeeld dat uw organisatie twee soorten werknemers heeft: vaste werknemers en contractmedewerkers. Uw vaste medewerkers worden ingericht via Active Directory (AD) met SAML-verificatie die wordt beheerd via uw IdP, Okta. Uw contractmedewerkers bestaan uit gebruikers die doorgaans een tijdelijk groepslidmaatschap krijgen toegewezen of die deel uitmaken van een andere organisatie die gebruikers buiten AD om inricht en zich afzonderlijk verifiëren. Met identiteitspools kunt u Tableau Server-gebruikers toevoegen die zich buiten uw AD bevinden.
Meerdere identiteitenarchieven: een organisatie die SaaS-toepassingen host en gebruikers uit meerdere identiteitenarchieven ophaalt.
Stel bijvoorbeeld dat uw organisatie Tableau-inhoud deelt met meerdere externe organisaties vanaf één site. U kunt deze gebruikers scheiden met behulp van verschillende identiteitspools die zijn geconfigureerd met lokale identiteitenarchieven. Zo kunt u de gebruikers van elke organisatie eenvoudiger identificeren en beheren.
Beveiligingsgrenzen tussen interne organisaties: een organisatie van meerdere overgenomen suborganisaties met duidelijke beveiligingsgrenzen.
U kunt bijvoorbeeld gebruikers uit de nieuw toegevoegde organisatie toevoegen aan een identiteitspool die is geconfigureerd met een lokaal identiteitenarchief. Zo omzeilt u de complexiteit die gepaard gaat met het combineren van identiteitenarchieven.
Wat zijn identiteitspools?
Een identiteitspool bestaat uit drie hoofdonderdelen: een identiteitenarchief voor het inrichten van gebruikers, OpenID Connect (OIDC)-verificatie en toegewezen gebruikers.
Identiteitenarchief: het identiteitenarchief(Link wordt in een nieuw venster geopend) waaruit u uw gebruikers haalt of inricht, kan een lokaal identiteitenarchief of een extern identiteitenarchief zijn.
Als er sprake is van een lokaal identiteitenarchief, kan een identiteitspool worden geconfigureerd om een nieuw lokaal identiteitenarchief of een bestaand lokaal identiteitenarchief te gebruiken. Opmerking: lokale verificatie wordt niet ondersteund.
Als het een extern identiteitenarchief betreft, kan een identiteitspool alleen hetzelfde externe identiteitenarchief (AD of LDAP) gebruiken dat u tijdens de installatie van Tableau Server in TSM hebt geconfigureerd. U kunt een identiteitspool niet configureren voor het gebruik van een ander extern identiteitenarchief.
De inrichtings- en verificatieconfiguraties die u tijdens de installatie van Tableau Server in TSM instelt, worden de standaardpool of 'initiële pool (TSM geconfigureerd)' genoemd.
Verificatie: de enige ondersteunde verificatiemethode voor een identiteitspool is OIDC(Link wordt in een nieuw venster geopend).
Gebruikers: om zich bij Tableau Server te kunnen aanmelden, moeten gebruikers afkomstig zijn uit de initiële pool (TSM geconfigureerd) of lid zijn van ten minste één identiteitspool.
Wanneer moet u identiteitspools gebruiken?
Als beheerder van Tableau Server kunt u een identiteitspool gebruiken om uw gebruikers te segmenteren in identiteitscohorten op basis waarvan uw gebruikers worden ingericht en wordt bepaald hoe die gebruikers zich verifiëren bij Tableau Server. Hoewel het identiteitenarchief en de verificatieconfiguraties die u in TSM maakt tijdens de installatie van Tableau Server, ook wel de initiële pool (TSM geconfigureerd) genoemd, ongewijzigd blijven, kunt u identiteitspools configureren vanuit Tableau Server.
Opmerking: identiteitspools zijn momenteel alleen beschikbaar voor configuratie op serverniveau. Identiteitspools kunnen niet worden beperkt tot een site.
Meer over identiteitspools
Initiële pool (TSM geconfigureerd) in vergelijking tot identiteitspools
Zoals hierboven vermeld, wordt de combinatie van inrichtings- en verificatieconfiguraties die u in TSM maakt tijdens de installatie van Tableau Server, de 'initiële pool (TSM geconfigureerd)' genoemd. De initiële pool (TSM geconfigureerd) is een vereist onderdeel van het Tableau Server-installatieproces en kan niet worden gewijzigd.
Een identiteitspool is echter optioneel en u kunt rechtstreeks vanuit Tableau Server zoveel identiteitspools maken als u nodig hebt.
Identiteitspools hebben invloed op de aanmeldingservaring van gebruikers
Wanneer er geen identiteitspools voor Tableau Server worden gemaakt, verandert er standaard niets aan de manier waarop uw gebruikers naar de Tableau Server-startpagina navigeren en zich bij Tableau Server aanmelden.
Wanneer er een of meer identiteitspools zijn gemaakt, worden er op de startpagina van Tableau Server meerdere aanmeldingsopties weergegeven. De primaire aanmeldingsoptie wordt bovenaan de pagina weergegeven en is de manier waarop uw gebruikers die tot de initiële pool (TSM geconfigureerd) behoren, zich kunnen aanmelden.
Onder de primaire aanmeldingsoptie staan de secundaire aanmeldingsopties. Elke optie vertegenwoordigt een identiteitspool, weergegeven in de volgorde waarin deze zijn gemaakt. Gebruikers die aan deze pools zijn toegewezen, moeten zich aanmelden met de optie voor de identiteitspool waartoe ze behoren. Om uw gebruikers naar de juiste aanmeldingsoptie te leiden, kunt u overwegen om een beschrijving toe te voegen aan de identiteitspool wanneer u deze maakt.
Opmerking: alle gebruikers zien alle pools die voor uw Tableau Server zijn geconfigureerd, ongeacht hun poollidmaatschap.
Gebruikersnamen en identificatiedata in Tableau
Een gebruikersnaam is de informatie waarmee de systeemgebruiker wordt aangeduid. Een identificatiecode wordt gebruikt als aanvulling op de gebruikersnaaminformatie en kan door externe identiteitenarchieven worden gebruikt als alternatief voor gebruikersnamen.
In Tableau is een gebruikersnaam een onveranderlijke waarde die wordt gebruikt om de gebruiker aan te melden bij Tableau. Identificatoren zijn veranderlijke waarden die worden gebruikt in de identiteitsstructuur van Tableau om gebruikers te koppelen aan hun gebruikersnamen. Met behulp van ID's is Tableau flexibeler, omdat deze kunnen afwijken van de gebruikersnaam. Als er wijzigingen zijn in de gebruikersnaam in het externe identiteitenarchief, kunnen Tableau Server-beheerders de identificatie bijwerken om ervoor te zorgen dat gebruikers aan de juiste gebruikersnamen worden gekoppeld.
Wanneer u een bestaande gebruiker aan een identiteitspool toevoegt, verwacht u misschien dat u een identificatiecode kunt instellen. Als een bestaande gebruiker bijvoorbeeld tot een identiteitspool behoort die is geconfigureerd met een lokaal identiteitenarchief en u wilt de gebruiker toevoegen aan een identiteitspool die is geconfigureerd met een AD-identiteitenarchief, vragen we u om de gebruikersnaam op te geven om te kunnen zoeken naar ID's die aan die gebruiker zijn gekoppeld. Als een bestaande gebruiker daarentegen tot een identiteitspool behoort die is geconfigureerd met een AD-identiteitenarchief en u deze wilt toevoegen aan een identiteitspool die is geconfigureerd met een lokaal identiteitenarchief, vragen wij u om een optionele identificatie op te geven. Een uitzondering hierop is als u een gebruiker wilt toevoegen aan de initiële pool (TSM geconfigureerd) die is geconfigureerd met een lokaal identiteitenarchief en lokale verificatie. U kunt geen identificatie voor die gebruiker instellen.