Gerenciamento de usuários em implantações com armazenamentos de identidades externos

Este tópico descreve detalhes técnicos importantes com os quais você deve estar familiarizado caso use o armazenamento de identidades externo para gerenciar usuários no Tableau Server. O Tableau Server é compatível com a conexão a um diretório externo usando LDAP. Nesse cenário, o Tableau Server importa os usuários do diretório LDAP externo para o repositório do Tableau Server como usuários do sistema.

Diretórios LDAP arbitrários

O nome de usuário do sistema no Tableau é o atributo que você define como parte da configuração LDAP, por exemplo "cn". Isso ocorre para o recurso de importação individual do usuário e para a sincronização de grupo. Consulte a Referência de configuração do armazenamento de identidades externo.

Comportamento de associação do usuário ao fazer login

Pode ser necessário atualizar sua configuração LDAP para permitir a vinculação com nomes de usuário anexados ao DN. Especificamente, você precisará atualizar sua configuração LDAP quando o Tableau Server for configurado com um diretório LDAP arbitrário. (por exemplo, OpenLDAP) que usa endereços de UPN ou de e-mail como nomes de usuário.

O Tableau Server pesquisará um determinado usuário com base no nome de usuário fornecido durante a entrada. O Tableau Server tentará então se vincular ao nome de usuário anexado ao DN. Se o Tableau Server for configurado com GSSAPI, o nome de usuário @ REALM (nome de domínio) será usado.

Active Directory

Este conteúdo, no restante deste tópico, presume que você tenha familiaridade com o gerenciamento de usuários do Active Directory e com os conceitos básicos de esquema e domínio do Active Directory.

Observação: no contexto da sincronização de usuário e de grupo, o Tableau Server configurado com o armazenamento de identidades LDAP é equivalente ao Active Directory. Os recursos de sincronização do Active Directory no Tableau Server funcionam perfeitamente com soluções de diretório LDAP devidamente configuradas.

Autenticação de usuário do Active Directory e Tableau Server

O Tableau Server armazena todos os nomes de usuário no armazenamento de identidades do Tableau Server, que é gerenciado pelo repositório. Quando o Tableau Server é configurado para usar o Active Directory para autenticação, você primeiro deve importar as identidades dos usuários do Active Directory para o repositório. Quando os usuários fazem logon no Tableau Server, as credenciais são passadas para o Active Directory, que é responsável pela autenticação do usuário; o Tableau Server não faz a atutenticação. (Por padrão, o NTLM é usado para a autenticação, mas você pode habilitar o Kerberos ou o SAML para a funcionalidade de logon único, no entanto, em todos esses casos, a autenticação é de responsabilidade do Active Directory). No entanto, os nomes de usuário do Tableau armazenados no repositório são associados a direitos e permissões do Tableau Server. Portanto, depois que a autenticação for verificada, o Tableau Server gerenciará o acesso do usuário (autorização) aos recursos do Tableau.

Atributos de nome de usuário do Active Directory e do Tableau Server

O Active Directory identifica exclusivamente objetos de usuário usando diversos atributos. (Para obter detalhes, consulte Atributos de nome de usuário(O link abre em nova janela) no site do). O Tableau Server confia em dois atributos de nome de usuário do Active Directory:

  • sAMAccountName. Esse atributo especifica o nome de logon que foi projetado originalmente para ser usado com versões anteriores do Windows. Em muitas organizações, esse nome é combinado com o NetBIOS para autenticação, usando um formato como example\jsmith, em que example é o nome NetBIOS e jsmith é o valor sAMAccountName. Devido ao design original no Windows, o valor sAMAccountName deve ser menor que 20 caracteres.

    No console administrativo Usuários e computadores do Active Directory do Windows, esse valor fica no campo rotulado Nome de logon do usuário (pré-Windows 2000) na guia Conta do objeto do usuário.

  • userPrincipalName (UPN). Esse atributo especifica um nome de usuário no formato jsmith@example.com, em que jsmith é o prefixo UPN e @example.com é o sufixo UPN.

    No console administrativo Usuários e computadores do Active Directory do Windows, UPN é a concatenação de dois campo na guia Conta do objeto de usuário: o campo Nome de logon do usuário e a lista suspensa de domínio ao lado.

Adição de usuários do Active Directory

Você pode adicionar usuários individualmente do Active Directory, digitando-os no ambiente de servidor ou criando um arquivo CSV e importando os usuários. Você também pode adicionar usuários do Active Directory criando um grupo pelo Active Directory e importando todos os usuários do grupo. O resultado pode ser diferente dependendo da abordagem utilizada.

Adição de grupos de usuários

Se você importar um grupo de usuário do Active Directory, o Tableau importará todos os usuários do grupo usando sAMAccountName.

Comportamento de sincronização ao remover usuários do Active Directory

Os usuários não podem ser automaticamente removidos do Tableau Server por meio de uma operação de sincronização do Active Directory. Os usuários que forem desabilitados, excluídos ou removidos dos grupos no Active Directory permanecem no Tableau Server, para que seja possível fazer uma auditoria e reatribuir o conteúdo do usuário antes de remover completamente a conta.

No entanto, o Tableau Server atuará sobre objetos de usuário diferentes com base em como o status do objeto do usuário é alterado no Active Directory. Há dois cenários: excluir/desabilitar usuários no Active Directory ou remover usuários de grupos sincronizados no Active Directory.

Quando um usuário é excluído ou desabilitado no Active Directory e, em seguida, o grupo dele é sincronizado no Tableau Server, o seguinte ocorre:

  • O usuário é removido do grupo do Tableau Server que foi sincronizado.
  • A função do usuário é definida como "não licenciado”.
  • O usuário ainda pertencerá ao grupo Todos os usuários.
  • O usuário não consegue entrar no Tableau Server.

Quando um usuário é removido de um grupo no Active Directory e, em seguida, o grupo é sicronizado no Tableau Server, o seguinte ocorre:

  • O usuário é removido do grupo do Tableau Server que foi sincronizado.
  • A função do usuário é retida: ela não é definida como “não licenciada”.
  • O usuário ainda pertencerá ao grupo Todos os usuários.
  • O usuário ainda terá permissão para o Tableau Server com acesso a tudo que o grupo Todos os usuários tem permissão de usar.

Em ambos os casos, para remover completamente o usuário do Tableau Server, o administrador de servidor terá que excluir o usuário da página Usuários do servidor no Tableau Server.

Apelidos de domínio

No Tableau Server, o apelido de domínio é equivalente ao nome de domínio NetBIOS do Windows. Em uma floresta do Active Directory do Windows, um nome de domínio totalmente qualificado (FQDN) pode ter qualquer nome arbitrário NetBIOS. O nome NetBIOS é usado como o identificador de domínio quando um usuário faz logon no Active Directory.

Por exemplo, o FQDN west.na.corp.lan pode ser configurado com um nome NetBIOS (apelido) de SEATTLE. O usuário jsmith no domínio pode fazer logon no Windows usando qualquer um dos seguintes nomes de domínio:

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Se desejar que seus usuários se conectem ao Tableau Server com o nome NetBIOS em vez do FQDN, você precisará verificar se o valor do apelido de cada domínio no qual o logon dos usuários está definido. Consulte editdomain para obter informações sobre como visualizar e definir o valor do apelido para cada domínio.

Suporte a vários domínios

Você pode adicionar usuários de um domínio que é diferente do domínio do computador do Tableau Server nesses casos:

Na primeira vez que você adicionar um usuário do domínio fora do servidor, use o nome de domínio totalmente qualificado com o nome de usuário definindo a opção authentication saml map-assertions com TSM. Quaisquer usuários adicionais que você adicione por esse domínio poderão ser adicionados usando o apelido do domínio, desde que o apelido corresponda ao nome NetBIOS. Se o Tableau Server for conectado a vários domínios, você também deve especificar outros domínios aos quais o Tableau Server se conecta definindo a opção wgserver.domain.whitelist (versão 2020.3 e anterior) ou wgserver.domain.accept_list (versão 2020.4 e posterior) com TSM. Para obter mais informações, consulte wgserver.domain.whitelist ou wgserver.domain.accept_list.

Nomes de exibição duplicados

O gerenciamento de usuários com o mesmo nome de exibição no Tableau pode ser confuso, se os nomes de exibição do usuário não forem exclusivos em vários domínios. O Tableau Server exibirá o mesmo nome para dois usuários. Por exemplo, considere uma organização com dois domínios, example.lan e example2.lan. Se o usuário John Smith existir em ambos os domínios, adicioná-lo a grupos e outras tarefas administrativas será confuso no Tableau Server. Nesse cenário, considere atualizar o nome de exibição no Active Directory para um dos usuários, a fim de diferenciar as contas.

Faça logon no Tableau Server com o nome NetBIOS

Os usuários podem fazer logon no Tableau Server usando o apelido de domínio (nome NetBIOS), por exemplo, SEATTLE\jsmith.

O Tableau Server não pode consultar o nome NetBIOS de um determinado FQDN. Como resultado, o Tableau define o apelido de um determinado FQDN de acordo com a primeira entrada no namespace. Por exemplo, com o FQDN west.na.corp.lan, o Tableau define o apelido como west.

Portato, você poderá precisar atualizar o apelido do domínio no Tableau Server antes que os usuários possam fazer logon com o apelido. Se você não atualizar o apelido, os usuários precisarão fazer logon usando um nome de domínio totalmente qualificado. Para obter mais informações, consulte Usuários de novo domínio não conseguem fazer logon e não aparecem na lista de usuários(O link abre em nova janela) na base de dados de conhecimento do Tableau.

Agradecemos seu feedback!