Gerenciamento de usuários em implantações do Active Directory

Este tópico descreve detalhes técnicos importantes com os quais você deve estar familiarizado caso use o Active Directory para autenticar usuários no Tableau Sever. Este tópico presume que você tem familiaridade com o gerenciamento de usuários do Active Directory e com o esquema e os conceitos de domínio básicos do Active Directory.

Observação: se executar o Tableau Server no Linux, todas as comunicações com os diretórios externos serão configuradas e gerenciadas com um repositório de identidades LDAP. No contexto da sincronização de usuário e de grupo, o Tableau Server configurado com o repositório de identidades LDAP é equivalente ao Active Directory. Os recursos de sincronização do Active Directory no Tableau Server funcionam perfeitamente com soluções de diretório LDAP devidamente configuradas.

Autenticação de usuário do Active Directory e Tableau Server

O Tableau Server armazena todos os nomes de usuário no armazenamento de identidades do Tableau Server, que é gerenciado pelo repositório. Quando o Tableau Server é configurado para usar o Active Directory para autenticação, você primeiro deve importar as identidades dos usuários do Active Directory para o repositório. Quando os usuários fazem logon no Tableau Server, as credenciais são passadas para o Active Directory, que é responsável pela autenticação do usuário; o Tableau Server não faz a atutenticação. (Por padrão, o NTLM é usado para a autenticação, mas você pode habilitar o Kerberos ou o SAML para a funcionalidade de logon único, no entanto, em todos esses casos, a autenticação é de responsabilidade do Active Directory). No entanto, os nomes de usuário do Tableau armazenados no repositório são associados a direitos e permissões do Tableau Server. Portanto, depois que a autenticação for verificada, o Tableau Server gerenciará o acesso do usuário (autorização) aos recursos do Tableau.

Atributos de nome de usuário do Active Directory e do Tableau Server

O Active Directory identifica exclusivamente objetos de usuário usando diversos atributos. (Para obter detalhes, consulte Atributos de nome de usuário no site do). O Tableau Server confia em dois atributos de nome de usuário do Active Directory:

  • sAMAccountName. Esse atributo especifica o nome de logon que foi projetado originalmente para ser usado com versões anteriores do Windows. Em muitas organizações, esse nome é combinado com o NetBIOS para autenticação, usando um formato como example\jsmith, em que example é o nome NetBIOS e jsmith é o valor sAMAccountName. Devido ao design original no Windows, o valor sAMAccountName deve ser menor que 20 caracteres.

    No console administrativo Usuários e computadores do Active Directory do Windows, esse valor fica no campo rotulado Nome de logon do usuário (pré-Windows 2000) na guia Conta do objeto do usuário.

  • userPrincipalName (UPN). Esse atributo especifica um nome de usuário no formato jsmith@example.com, em que jsmith é o prefixo UPN e @example.com é o sufixo UPN.

    No console administrativo Usuários e computadores do Active Directory do Windows, UPN é a concatenação de dois campo na guia Conta do objeto de usuário: o campo Nome de logon do usuário e a lista suspensa de domínio ao lado.

Adição de usuários do Active Directory

Você pode adicionar usuários individualmente do Active Directory, digitando-os no ambiente de servidor ou criando um arquivo CSV e importando os usuários. Você também pode adicionar usuários do Active Directory criando um grupo pelo Active Directory e importando todos os usuários do grupo. O resultado pode ser diferente dependendo da abordagem utilizada.

Adição de usuários individualmente

Na maioria dos casos, o Tableau Server usa o valor sAMAccountName como nome de usuário. Quando você importa usuários individualmente do Active Directory (digitando os nomes ou usando um arquivo CSV), O Tableau consulta o Active Directory com o nome de usuário fornecido. Se uma correspondência for encontrada, o nome será importado para o Tableau Server e se tornará o nome inserido pelo usuário para fazer logon no Tableau Server.

O nome de usuário que o Tableau Sever importará para o armazenamento de identidades será o valor sAMAccountName a não ser em uma das seguintes condições: 

  • Se o nome de usuário especificado for maior que 20 caracteres e corresponder ao prefixo UPN.

  • Se o nome de usuário especificado contiver um caractere independente @ do caractere @, que separa a cadeia de caracteres do nome de usuário da cadeia de caracteres do domínio, por exemplo, user@name@domain.lan.

Se o nome de usuário inserido atender a uma dessas condições, então o Tableau importará o prefixo UPN do atributo userPrincipalName, que se tornará o nome de logon do usuário no Tableau.

Se inerir um nome de usuário que não atenda aos requisitos, o valor sAMAccountName será usado. Por exemplo, se você inserir jsmith@example.lan e essa conta já existir no domínio, o nome de usuário será importado, pois o nome inserido por você não atente ao requisito. Para criar um nome de logon jsmith@example.lan, você deve inserir o nome de usuário jsmith@example.lan@example.lan ou example.lan\jsmith@example.lan.

Se os nomes de usuários tiverem sido importados erroneamente usando nomes UPN, será possível excluir as contas no Tableau Server e reimportar essas contas usando o valor sAMAccountName como nome de usuário, como mostrado em Nome de logon do usuário (pré-Windows 2000) no console admnistrativo Usuários e computadores do Active Directory do Windows.

Adição de grupos de usuários

Se você importar um grupo de usuário do Active Directory, o Tableau importará todos os usuários do grupo usando sAMAccountName.

Comportamento de sincronização ao remover usuários do Active Directory

Os usuários não podem ser automaticamente removidos do Tableau Server por meio de uma operação de sincronização do Active Directory. Os usuários que forem desabilitados, excluídos ou removidos dos grupos no Active Directory permanecem no Tableau Server, para que seja possível fazer uma auditoria e reatribuir o conteúdo do usuário antes de remover completamente a conta.

No entanto, o Tableau Server atuará sobre objetos de usuário diferentes com base em como o status do objeto do usuário é alterado no Active Directory. Há dois cenários: excluir/desabilitar usuários no Active Directory ou remover usuários de grupos sincronizados no Active Directory.

Quando um usuário é excluído ou desabilitado no Active Directory e, em seguida, o grupo dele é sincronizado no Tableau Server, o seguinte ocorre:

  • O usuário é removido do grupo do Tableau Server que foi sincronizado.
  • A função do usuário é definida como "não licenciado”.
  • O usuário ainda pertencerá ao grupo Todos os usuários.
  • O usuário não consegue entrar no Tableau Server.

Quando um usuário é removido de um grupo no Active Directory e, em seguida, o grupo é sicronizado no Tableau Server, o seguinte ocorre:

  • O usuário é removido do grupo do Tableau Server que foi sincronizado.
  • A função do usuário é retida: ela não é definida como “não licenciada”.
  • O usuário ainda pertencerá ao grupo Todos os usuários.
  • O usuário ainda terá permissão para o Tableau Server com acesso a tudo que o grupo Todos os usuários tem permissão de usar.

Em ambos os casos, para remover completamente o usuário do Tableau Server, o administrador de servidor terá que excluir o usuário da página Usuários do servidor no Tableau Server.

Apelidos de domínio

No Tableau Server, o apelido de domínio é equivalente ao nome de domínio NetBIOS do Windows. Em uma floresta do Active Directory do Windows, um nome de domínio totalmente qualificado (FQDN) pode ter qualquer nome arbitrário NetBIOS. O nome NetBIOS é usado como o identificador de domínio quando um usuário faz logon no Active Directory.

Por exemplo, o FQDN west.na.corp.lan pode ser configurado com um nome NetBIOS (apelido) de SEATTLE. O usuário jsmith no domínio pode fazer logon no Windows usando qualquer um dos seguintes nomes de domínio:

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Se desejar que seus usuários se conectem ao Tableau Server com o nome NetBIOS em vez do FQDN, você precisará verificar se o valor do apelido de cada domínio no qual o logon dos usuários está definido. Consulte editdomain para obter informações sobre como visualizar e definir o valor do apelido para cada domínio.

Suporte a vários domínios

Você pode adicionar usuários de um domínio que é diferente do domínio do computador do Tableau Server nesses casos:

  • A confiança bidimensional foi estabelecida entre os domínios do servidor e dos usuários.

  • O domínio do servidor confia no domínio dos usuários (confiança unidirecional). Consulte Requisitos de confiança de domínio.

Na primeira vez que você adicionar um usuário do domínio fora do servidor, use o nome de domínio totalmente qualificado com o nome de usuário. Quaisquer usuários adicionais que você adicione por esse domínio poderão ser adicionados usando o apelido do domínio, desde que o apelido corresponda ao nome NetBIOS.

Nomes de exibição duplicados

O gerenciamento de usuários com o mesmo nome de exibição no Tableau pode ser confuso, se os nomes de exibição do usuário não forem exclusivos em vários domínios. O Tableau Server exibirá o mesmo nome para dois usuários. Por exemplo, considere uma organização com dois domínios, example.lan e example2.lan. Se o usuário John Smith existir em ambos os domínios, adicioná-lo a grupos e outras tarefas administrativas será confuso no Tableau Server. Nesse cenário, considere atualizar o nome de exibição no Active Directory para um dos usuários, a fim de diferenciar as contas.

Faça logon no Tableau Server com o nome NetBIOS

Os usuários podem fazer logon no Tableau Server usando o apelido de domínio (nome NetBIOS), por exemplo, SEATTLE\jsmith.

O Tableau Server não pode consultar o nome NetBIOS de um determinado FQDN. Como resultado, o Tableau define o apelido de um determinado FQDN de acordo com a primeira entrada no namespace. Por exemplo, com o FQDN west.na.corp.lan, o Tableau define o apelido como west.

Portato, você poderá precisar atualizar o apelido do domínio no Tableau Server antes que os usuários possam fazer logon com o apelido. Se você não atualizar o apelido, os usuários precisarão fazer logon usando um nome de domínio totalmente qualificado. Para obter mais informações, consulte Usuários de novo domínio não conseguem fazer logon e não aparecem na lista de usuários na base de dados de conhecimento do Tableau.

Agradecemos seu feedback! Ocorreu um erro ao enviar o feedback. Tente novamente ou envie-nos uma mensagem.