Identiteitenarchief
Voor Tableau Server is een identiteitenarchief vereist om gebruikers- en groepsinformatie te beheren. Er zijn twee soorten identiteitenarchieven: lokaal en extern. Wanneer u Tableau Server installeert, moet u een lokaal identiteitenarchief of een extern identiteitenarchief configureren.
Zie identityStore-entiteit en de Referentie configuratie van het externe identiteitenarchief voor informatie over configuratieopties voor het identiteitenarchief. Zie Gebruikers inrichten en verifiëren met identiteitspools voor meer informatie over het toevoegen van meer flexibiliteit aan één identiteitenarchiefmodel.
Lokaal identiteitenarchief
Wanneer u Tableau Server configureert met een lokaal identiteitenarchief, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd in de Tableau Server-opslagplaats. In het geval van een lokaal identiteitenarchief is er geen externe bron voor gebruikers en groepen.
Extern identiteitenarchief
Wanneer u Tableau Server configureert met een externe opslag, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd door een externe directoryservice. Tableau Server moet synchroniseren met het externe identiteitenarchief, zodat er lokale kopieën van de gebruikers en groepen bestaan in de Tableau Server-opslagplaats, maar het externe identiteitenarchief is de betrouwbare bron voor alle gebruikers- en groepsdata.
Als u het identiteitenarchief van Tableau Server hebt geconfigureerd om te communiceren met een externe LDAP-directory, moeten alle gebruikers (inclusief het initiële beheerdersaccount) die u aan Tableau Server toevoegt, een account in de directory hebben.
Wanneer Tableau Server is geconfigureerd om een externe LDAP-directory te gebruiken, moet u eerst gebruikersidentiteiten uit de externe directory importeren naar de Tableau Server-opslagplaats als systeemgebruikers. Wanneer gebruikers zich aanmelden bij Tableau Server, worden hun inloggegevens doorgegeven aan de externe directory, die verantwoordelijk is voor de verificatie van de gebruiker. Tableau Server voert deze verificatie niet uit. De Tableau-gebruikersnamen die in het identiteitenarchief zijn opgeslagen, zijn echter wel gekoppeld aan rechten en machtigingen voor Tableau Server. Nadat de verificatie is gecontroleerd, beheert Tableau Server daarom de gebruikerstoegang (autorisatie) voor Tableau-resources.
Active Directory is een voorbeeld van een externe gebruikersopslag. Tableau Server is geoptimaliseerd om te communiceren met Active Directory. Wanneer u bijvoorbeeld Tableau Server installeert op een computer die is aangesloten op een Active Directory-domein met gebruik van de Initiële knooppuntinstellingen configureren, wordt tijdens de configuratie de meeste Active Directory-instellingen gedetecteerd en geconfigureerd. Als u daarentegen TSM CLI gebruikt om Tableau Server te installeren, moet u alle Active Directory-instellingen opgeven. Zorg er in dit geval voor dat u het sjabloon LDAP - Active Directory gebruikt om het identiteitenarchief te configureren.
Als u in Active Directory installeert, raden wij aan Gebruikersbeheer in implementaties met externe identiteitenarchieven te raadplegen voor de implementatie.
Voor alle andere externe archieven ondersteunt Tableau Server LDAP als een algemene manier om met het identiteitenarchief te communiceren. OpenLDAP is bijvoorbeeld een van de vele LDAP-serverimplementaties met een flexibel schema. Tableau Server kan worden geconfigureerd om aanvragen te doen bij de OpenLDAP-server. Om dit te doen, moet de directorybeheerder informatie over het schema verstrekken. Tijdens de configuratie moet u Initiële knooppuntinstellingen configureren gebruiken om verbinding met andere LDAP-directory's te configureren.
LDAP-binding
Client die een gebruikersarchief willen raadplegen met LDAP, moeten zich verifiëren en een sessie tot stand brengen. Dit gebeurt door middel van binding. Er zijn meerdere manieren om te binden. Eenvoudig binding is verificatie met een gebruikersnaam en wachtwoord. Voor organisaties die verbinding maken met Tableau Server via een eenvoudige binding, raden we aan een SSL-gecodeerde verbinding te configureren. Anders worden de inloggegevens als niet versleutelde tekst verzonden. Een ander type binding dat Tableau Server ondersteunt, is GSSAPI-binding. GSSAPI gebruikt Kerberos voor verificatie. In het geval van Tableau Server is Tableau Server de client en het externe gebruikersarchief de LDAP-server.
LDAP met GSSAPI (Kerberos)-binding
Wij raden aan om een binding aan te gaan met de LDAP-directory met GSSAPI met gebruik van een keytab-bestand voor verificatie bij de LDAP-server. U hebt een keytab-bestand nodig dat specifiek is bedoeld voor de Tableau Server-service. Wij raden ook aan om het kanaal met de LDAP-server te versleutelen met gebruik van SSL/TLS. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.
Als u in Active Directory installeert en de computer waarop u Tableau Server installeert al aan het domein is toegevoegd, beschikt de computer al over een configuratiebestand en een keytab-bestand. In dit geval zijn de Kerberos-bestanden bedoeld voor de functionaliteit van het besturingssysteem en voor verificatie. Strikt genomen kunt u deze bestanden gebruiken voor GSSAPI-binding, maar we raden het gebruik ervan af. Neem in plaats daarvan contact op met uw Active Directory-beheerder en vraag een keytab aan die specifiek is voor de Tableau Server-service. Zie De basisprincipes van keytab-vereisten.
Ervan uitgaande dat uw besturingssysteem een correct geconfigureerde keytab heeft voor verificatie bij het domein, is het Kerberos-sleutelbestand voor GSSAPI-binding alles wat nodig is voor de basisinstallatie van Tableau Server. Als u van plan bent Kerberos-verificatie voor gebruikers te gebruiken, configureer dan Kerberos voor gebruikersverificatie en Kerberos-delegatie naar databronnen nadat de installatie is voltooid.
LDAP heeft de voorkeur boven SSL
LDAP met eenvoudige binding met willekeurige LDAP-servers is standaard niet versleuteld. De gebruikersgegevens die worden gebruikt voor het tot stand brengen van de bindsessie met de LDAP-server worden in platte tekst gecommuniceerd tussen Tableau Server en de LDAP-server. Wij raden u ten zeerste aan om het kanaal tussen Tableau Server en de LDAP-server te versleutelen.
Vanaf versie 2021.2 vereist Tableau Server op Linux een versleuteld LDAP-kanaal wanneer u Active Directory als identiteitenarchief gebruikt. U moet een geldig SSL/TSL-certificaat installeren voordat u 2021.2 of nieuwer installeert of ernaar upgradet. Hoewel dit niet wordt aanbevolen, kunt u ook het standaard versleutelde LDAP-kanaal uitschakelen. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren voor meer informatie over het in- of uitschakelen van encryptie voor Active Directory en andere LDAP-servers.
Systeemgebruikers en -groepen
Tableau Server op Linux gebruikt één gebruiker en twee groepen voor een correcte werking. De gebruiker en groepen kunnen lokaal zijn of afkomstig van een LDAP-directoryservice.
Gebruiker
Voor Tableau Server is een serviceaccount vereist. Dit account is een gebruiker zonder rechten, met normale aanmeldrechten. Standaard wordt bij de installatie van Tableau Server een lokale gebruiker aangemaakt, tableau
, voor het serviceaccount.
Als u een bestaand gebruikersaccount wilt gebruiken voor het Tableau Server-serviceaccount, moet u het aanmaken van accounts tijdens de installatie uitschakelen.
U moet hiervoor de optie --disable-account-creation
instellen wanneer u het script initialize-tsm uitvoert. U moet ook de accountnaam opgeven met de optie --unprivileged-user
. Als het account dat u opgeeft niet bestaat, wordt het door het script initialize-tsm aangemaakt. Zie Help-uitvoer voor het initialize-tsm-script voor meer informatie.
Als u een bestaand account wilt opgeven met de optie --unprivileged-user
controleer dan of het gebruikersaccount een gebruiker zonder rechten is met normale aanmeldrechten. Configureer het account met de volgende kenmerken:
Shell ingesteld op
/bin/bash
.Voor het gemak kunt u overwegen om de startpaginadirectory in te stellen op het pad naar de datadirectory. Het account moet een eigenaar en schrijfrechten voor de startpagina-directory hebben.
Als u tijdens de configuratie een ander account zonder rechten opgeeft, moet u diezelfde gebruiker handmatig toevoegen aan de groep systemd-journal. De gebruiker zonder rechten moet lid zijn van de groep systemd-journal, zodat Tableau Server logboeken van bepaalde services (zoals Data opvragen) kan verzamelen bij het uitvoeren van de opdracht tsm maintenance ziplogs. Als de gebruiker zonder rechten geen lid is van de groep, bevatten ziplogs geen logboeken van de betrokken services.
Groepen
Voor de werking van Tableau Server zijn twee groepen nodig.
Bij een standaardinstallatie is de behoort het lokale serviceaccount van tableau
tot een primaire groep met de naam tableau
. Als u echter tijdens de installatie een andere gebruiker zonder rechten opgeeft, wordt de primaire groep voor dat andere account gebruikt. Voor het gemak kan elk account aan deze groep worden toegevoegd om de logbestanden van Tableau Server te kunnen lezen (zonder root te worden).
De tweede groep wordt gebruikt om te autoriseren welke gebruikers geautoriseerd zijn om zich te verifiëren bij Tableau Services Manager (TSM). Elke gebruiker in deze groep kan opdrachten naar TSM verzenden. Dit moet daarom beperkt blijven tot Tableau Server-beheerders. Standaard heet deze groep tsmadmin
.
Als u de standaardnaam niet gaat gebruiken, moet u de groepsnaam opgeven met de optie --tsm-authorized-group
wanneer u initialize-tsm uitvoert. Zie Help-uitvoer voor het initialize-tsm-script voor meer informatie.
Clients verifiëren
De basisgebruikersverificatie in Tableau Server bestaat uit aanmelding met een gebruikersnaam en wachtwoord voor zowel lokale als externe gebruikersarchieven. In het geval van een lokaal archief worden gebruikerswachtwoorden als gehasht wachtwoord in de opslagplaats opgeslagen. In het geval van een extern archief geeft Tableau Server de referenties door aan het externe gebruikersarchief en wacht op een antwoord of de gegevens geldig zijn. Voor externe gebruikersarchieven zijn ook andere soorten verificatie mogelijk, zoals Kerberos, maar het concept is nog steeds hetzelfde: Tableau Server delegeert de inloggegevens of gebruiker naar het externe archief en wacht op een reactie.
U kunt Tableau Server zo configureren dat aanmelding met gebruikersnaam en wachtwoord is uitgeschakeld. In deze scenario's kunnen andere verificatiemethoden worden gebruikt, zoals vertrouwde verificatie, OpenID of SAML. Zie Verificatie.
In sommige gevallen moet u mogelijk de externe LDAP-directory's bijwerken om bindbewerkingen met de DN-indeling van de gebruikersnaam van Tableau Server toe te staan. Zie Gebruikersbindingsgedrag bij aanmelden.