Repositório de identidades

O Tableau Server exige um repositório de identidades para gerenciar informações de usuário e de grupo. Há dois tipos de repositório de identidades: local e externo. Ao instalar o Tableau Server é necessário configurar um repositório de identidades local ou externo.

Para obter mais informações sobre as opções de configuração do repositório de identidades, consulte Entidade identityStore e Referência de configuração do armazenamento de identidades externo. Para obter mais informações sobre como adicionar mais flexibilidade ao modelo de armazenamento de identidade única, consulte Provisionar e autenticar usuários usando grupos de identidade.

Repositório de identidades local

Ao configurar o Tableau Server com um repositório de identidades local, todas as informações de usuário e de grupo são armazenadas e gerenciadas no repositório do Tableau Server. No cenário de repositório de identidades local, não há fonte externa para usuários e grupos.

Repositório de identidades externo

Ao se configurar o Tableau Server com um repositório externo, todas as informações de usuário e de grupo são armazenadas e gerenciadas por um serviço de diretório externo. O Tableau Server deve sincronizar com o repositório de identidades externo para que cópias locais dos usuários e dos grupos existam no repositório do Tableau Server, mas o repositório de identidades externo é a fonte dominante de todos os dados de usuário e de grupo.

Se você tiver configurado o repositório de identidades do Tableau Server para se comunicar com um diretório LDAP externo, todos os usuários (inclusive a conta de administrador inicial) adicionados ao Tableau Server deverão ter uma conta no diretório.

Quando o Tableau Server estiver configurado para usar um diretório LDAP externo, primeiro você deverá importar as identidades do usuário do diretório externo para o repositório do Tableau Server como usuários do sistema. Quando os usuários fazem logon no Tableau Server, as credenciais são passadas para o diretório externo, que é responsável pela autenticação do usuário; o Tableau Server não faz a autenticação. No entanto, os nomes de usuário do Tableau armazenados no repositório são associados a direitos e permissões do Tableau Server. Portanto, depois que a autenticação for verificada, o Tableau Server gerenciará o acesso do usuário (autorização) aos recursos do Tableau.

O Active Directory é um exemplo de um repositório externo de usuário. O Tableau Server é otimizado para fazer interface com o Active Directory. Por exemplo, ao instalar o Tableau Server em um computador vinculado a um domínio do Active Directory usando a Configurar as definições do nó inicial, a Instalação detectará e definirá a maioria das configurações do Active Directory. Se, por outro lado, você estiver usando a CLI do TSM para instalar o Tableau Server, especifique todas as configurações do Active Directory. Nesse caso, certifique-se de utilizar o modelo LDAP - Active Directory para configurar o armazenamento de identidades.

Se estiver instalando no Active Directory, recomenda-se rever o Gerenciamento de usuários em implantações com armazenamentos de identidades externos antes da implantação.

Para todos os outros armazenamentos externos, o Tableau Server suporta LDAP como forma de comunicação com o repositório de identidades. Por exemplo, OpenLDAP é uma da muitas implementações do servidor LDAP com um esquema flexível. O Tableau Server pode ser configurado para consultar o servidor OpenLDAP. Para isso, o administrador do diretório deve fornecer informações sobre o esquema. Durante a configuração, você deve usar a Configurar as definições do nó inicial para configurar uma conexão com outros diretórios LDAP.

Associação ao LDAP

Os clientes que desejem consultar um repositório de usuário com LDAP devem se autenticar e estabelecer uma sessão. Isso é feito por meio da associação. Há diversas formas de associação. A associação simples autentica com um nome de usuário e uma senha. Para empresas que se conectam ao Tableau Server com associação simples, recomendamos configurar uma conexão de SSL criptografada, caso contrário as credenciais são enviadas pela conexão em formato de texto simples. Outro tipo de associação compatível pelo Tableau Server é a associação GSSAPI. O GSSAPI usa o Kerberos para autenticação. No caso do Tableau Server, o mesmo é o cliente e o servidor LDAP é o repositório externo de usuário.

Associação do LDAP com GSSAPI (Kerberos)

Recomendamos a vinculação ao diretório LDAP com o GSSAPI usando um arquivo keytab para autenticar ao servidor LDAP. Você precisará de um arquivo keytab especificamente para o serviço do Tableau Server. Também recomendamos criptografar o canal com o servidor LDAP usando SSL/TLS. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

Se a instalação for no Active Directory, e o computador onde estiver instalando o Tableau Server já estiver unido ao domínio, é possível que já tenha um arquivo de configuração e um arquivo keytab. Nesse caso, os arquivos do Kerberos são para funcionalidade e autenticação do sistema operacional. A rigor, você pode usar esses arquivos para associação GSSAPI, mas não recomendamos. Em vez disso, entre em contato com o administrador do Active Directory e solicite um keytab especificamente para o serviço do Tableau Server. Consulte Saiba mais sobre os requisitos do Keytab..

Supondo que o sistema operacional tenha um keytab corretamente configurado para autenticação no domínio, o arquivo de chave do Kerberos para associação GSSAPI é tudo o que você precisa para a instalação básica do Tableau Server. Se você planeja usar a autenticação Kerberos para usuários, basta configurar o Kerberos para autenticação do usuário e a delegação do Kerberos para fonte de dados depois que a instalação estiver concluída.

 

LDAP com SSL

Por padrão, o LDAP com associação simples aos servidores arbitrários do LDAP não é criptografado. As credenciais do usuário que são usadas para estabelecer a sessão de vinculação com o servidor LDAP são comunicadas em texto simples entre o Tableau Server e o servidor LDAP. Recomendamos fortemente que você criptografe o canal entre o Tableau Server e o servidor LDAP.

A partir da versão 2021.2, o Tableau Server no Linux exige um canal LDAP criptografado quando você usa o Active Directory como armazenamento de identidade. Você deve instalar um certificado SSL/TSL válido antes de instalar ou atualizar para 2021.2 ou mais recente. Embora não seja recomendado, você também pode desativar o canal LDAP criptografado padrão. Para obter mais informações sobre como habilitar ou desabilitar a criptografia para Active Directory e outros servidores LDAP, consulte Configurar canal criptografado no armazenamento de identidade externo LDAP .

Usuários e grupos do sistema

O Tableau Server no Linux usa um usuários e dois grupos para funcionar adequadamente. O usuário e grupos podem ser locais ou de um serviço de diretório LDAP.

Usuário

O Tableau Server exige uma conta de serviço. Esta conta é um usuário não privilegiado com privilégios de logon normais. Por padrão, a instalação do Tableau Server criará um usuário local tableau para a conta de serviço.

Se você quiser usar uma conta de usuário existente para a conta de serviço do Tableau Server, desative a criação da conta durante a instalação.

Especificamente, é necessário definir a opção --disable-account-creation ao executar o script initialize-tsm. Além disso, será necessário especificar o nome da conta com a opção --unprivileged-user. O script initialize-tsm criará a conta especificada, se ela não existir. Consulte Saída de ajuda para script initialize-tsm para obter mais detalhes.

Se você quiser especificar uma conta existente com a opção --unprivileged-user, verifique se a conta de usuário é um usuário não privilegiado com privilégios de logon normais. Configure a conta com as seguintes características:

  • Shell definido para /bin/bash.

  • Para sua comodidade, considere configurar o diretório principal no caminho do diretório. A conta deve ter privilégios de propriedade e gravação no diretório principal.

Se você especificar uma conta sem privilégios diferente durante a configuração, deverá adicionar manualmente esse mesmo usuário ao grupo systemd-journal. O usuário sem privilégios deve ser membro do grupo systemd-journal para que o Tableau Server possa coletar registros de alguns serviços (como Pergunte aos dados) ao executar o comando tsm maintenance ziplogs. Se o usuário sem privilégios não for um membro do grupo, os ziplogs não conterão os registros dos serviços afetados

Grupos

O Tableau Server exige dois grupos para operação.

Em uma instalação padrão, a conta de serviço local tableau pertence a um grupo primário chamado tableau. Contudo, se especificar um usuário não privilegiado alternativo durante a instalação, o grupo principal da conta alternativa será usado. Para sua comodidade, qualquer conta pode ser adicionada a este grupo para poder ler os arquivos de log do Tableau Server (sem se tornar um usuário raiz).

O segundo grupo é usado para autorizar quais usuários estão autorizados a autenticar o Tableau Services Manager (TSM). Qualquer usuário neste grupo poderá enviar comandos ao TSM, portanto, deverá ser restringido aos administradores do Tableau Server. Por padrão, esse grupo é chamado tsmadmin.

Se você não usar o nome padrão, será necessário especificar o nome do grupo com a opção --tsm-authorized-group ao executar o initialize-tsm. Consulte Saída de ajuda para script initialize-tsm para obter mais detalhes.

Autenticação de clientes

A autenticação básica de usuário no Tableau Server é feita por logon com nome de usuário e senha para os armazenamentos de usuário local e externo. No caso do repositório local, as senhas de usuário são armazenadas no repositório como uma senha com hash. No caso do repositório externo, o Tableau Server passa as credenciais para o repositório externo de usuário e aguarda a resposta para saber se elas são válidas. Os repositórios esternos de usuário também podem gerenciar outros tipos de autenticação, como o Kerberos, mas o conceito ainda é o mesmo: o Tableau Server delega as credenciais ou o usuário para o repositório externo e aguarda uma resposta.

É possível configurar o Tableau Server de forma que o nome de usuário e senha de logon sejam desabilitados. Nesses cenários, outros métodos de autenticação, como a autenticação confiável, OpenID ou SAML podem ser usados. Consulte Autenticação.

Em alguns casos, pode ser necessário atualizar os diretórios externos LDAP para permitir operações de associação com o formato nome de usuário + DN do Tableau Server. Consulte Comportamento de associação do usuário ao fazer login.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!