identityStore Entity

Tableau Server kräver ett identitetsregister för att lagra användar- och gruppinformation. Läs ämnena Autentisering och Identitetsregister innan du konfigurerar identitetsregistret för första gången. När dentitetsregistret har installerats på Tableau Server kan du inte ändra det utan att installera om servern.

Viktigt: Alla enhetsalternativ är skiftlägeskänsliga.

Innan du börjar

Gå igenom informationen nedan:

  • Om du inte ska använda det lokala identitetsregistret kommer någon version av LDAP att användas. Samarbeta då med din katalog-/LDAP-administratör för att konfigurera Tableau Server för LDAP-schemat och bindningskraven.

  • Tableau Server-konfigurationen har optimerats för Active Directory. Om du installerar till Active Directory rekommenderar vi att du konfigurerar identitetsregistret med Konfigurera initiala nodinställningar.

  • LDAP-bindning är oberoende av användarautentisering. Du kan till exempel konfigurera Tableau Server att använda enkel bindning för att autentisera till LDAP-katalogen och sedan konfigurera Tableau Server att autentisera användare med Kerberos efter installationen.

  • Anslut inte till LDAP med enkel bindning över en oskyddad anslutning. Som standard skickar LDAP med enkel bindning data i klartext. Använd LDAPS för att kryptera trafik med enkel bindning. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.

  • För att använda Kerberos-autentisering för att binda LDAP med Tableau Server-tjänsten behöver du en keytab-fil för GSSAPI-bindning. Se nedan. Läs mer i Förstå kraven för keytab-filer. I Kerberos-sammanhang är GSSAPI-bindning allt du behöver under basinstallationen av Tableau Server. När du har installerat servern kan du konfigurera Kerberos för användarautentisering och Kerberos-delegering till datakällor.

  • I det här ämnet skiljer vi mellan LDAP (protokollet för anslutning till katalogtjänster) och en LDAP-server (en implementering av en katalogtjänst). Till exempel är slapd en LDAP-server som är en del av OpenLDAP-projektet.

  • Validera LDAP-konfigurationen innan servern initieras. Läs mer i Konfigurera initiala nodinställningar.

  • Importera endast JSON-konfigurationsfiler som en del av den ursprungliga konfigurationen. Om du måste göra LDAP-ändringar efter att du har importerat JSON-konfigurationsfilen och initierat Tableau Server, ska du inte försöka att importera JSON-filen på nytt. Gör istället individuella viktiga ändringar med inbyggda tsm-kommandon eller med tsm configuration set. Läs mer i Konfigurationsreferens för externt identitetsregister.

Konfigurationsmallar

JSON-mallarna i det här avsnittet används för att konfigurera Tableau Server med olika scenarier för identitetsregister. Om du inte konfigurerar ett lokalt identitetsregister måste du välja och redigera en konfigurationsfilmall som är specifik för din LDAP-miljö.

Överväg att ta hjälp av Tableaus konfigurationsverktyg för identitetsregister(Länken öppnas i ett nytt fönster) när du genererar LDAP JSON-konfigurationsfilen. Själva verktyget stöds inte av Tableau. Men om du använder en JSON-fil som skapats med hjälp av verktyget i stället för att skapa en fil manuellt, förändras inte stödstatusen för din server.

Välj en konfigurationsmall för identitetsregister att redigera:

  • Lokal
  • LDAP – Active Directory
  • OpenLDAP – GSSAPI-bindning
  • OpenLDAP – Enkel bindning

Mer information om konfigurationsfiler, entiteter och nycklar finns i Exempel på konfigurationsfil.

Lokal

Konfigurera lokal som identitetsregistertyp om din organisation inte redan har en Active Directory- eller LDAP-server för användarautentisering. När du väljer lokal som identitetsregistertyp använder du Tableau Server för att skapa och hantera användare.

Ett alternativt sätt att konfigurera Tableau Server för lokal identitetsregistertyp är att köra installationen av användargränssnitt och välja ”Lokal” under installationsprocessen. Läs mer i Konfigurera initiala nodinställningar.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

Viktigt

LDAP-konfigurationsmallarna nedan är exempel. Mallarna kan inte användas för att konfigurera LDAP-anslutning i din organisation. Du måste samarbeta med din katalogadministratör och redigera LDAP-mallvärdena för att driftsättningen ska lyckas.

Dessutom måste alla filer som refereras till i configEntities finnas på den lokala datorn. Använd inte UNC-sökvägar.

LDAP – Active Directory

Tableau Server-konfigurationen har optimerats för Active Directory. Om du installerar till Active Directory konfigurerar du identitetsregistret med Konfigurera initiala nodinställningar.

En krypterad anslutning till Active Directory krävs. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.

Om identitetsregistret av någon anledning inte kan konfigureras för att kommunicera med Active Directory via TSM-webbgränssnittet använder du den här JSON-mallen för att konfigurera Tableau Server och ansluta till Active Directory. Denna mall använder GSSAPI-bindning (Kerberos) för att autentisera Tableau Server-tjänsten till Active Directory. Tableau Server innehåller stöd för Active Directory-schema. Om du ställer in alternativet "directoryServiceType""activedirectory" behöver du därför inte ange schemainformation i alternativet"identityStoreSchemaType".

Om du installerar Tableau Server för Linux till Active Directory och datorn där du installerar Tableau Server redan är ansluten till domänen, kommer datorn redan att ha en Kerberos-konfigurationsfil och en keytab-fil. Du kan använda de här filerna för GSSAPI-bindning, men vi rekommenderar inte detta. I stället ber vi dig kontakta Active Directory-administratören och begära en keytab-fil som är specifik för Tableau Server-tjänsten.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

Vi rekommenderar att binda till Active Directory med GSSAPI. Det går dock att ansluta med enkel bindning och LDAPS. För att ansluta med enkel bindning ändrar du bind till simple, tar bort de tre Kerberos-entiteterna och lägger till alternativen port/sslPort, username samt password. Följande exempel visar Active Directory med enkel bindning-json.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP – GSSAPI-bindning

Använd mallen nedan för att konfigurera OpenLDAP med GSSAPI-bindning. Använd inte den här mallen om din organisation kör Active Directory. Om du installerar till Active Directory ska du använda mallen ovan, LDAP – Active Directory.

I de flesta fall använder organisationer som använder OpenLDAP med GSSAPI (Kerberos) en keytab-fil för att lagra inloggningsuppgifter. I följande exempel används en keytab-fil för autentiseringsuppgifter.

Det går dock att tillhandahålla inloggningsuppgifter genom entiteterna username och password.

Du kan även ange både en keytab och ett användarnamn och lösenord. Då försöker Tableau Server att använda keytab, men om autentiseringen misslyckas av någon anledning används användarnamnet och lösenordet som reservlösning.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP – Enkel bindning

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

Referens för konfigurationsmodell

Alternativ för delat identitetsregister

typ
Där du vill lagra information om användarens identitet. Antingen local eller activedirectory. (Om du vill ansluta till en LDAP-server väljer du activedirectory.)
domän
Domänen för datorn där Tableau Server installerades.
smeknamn
Domänens smeknamn. Detta kallas även NetBIOS-namnet i Windows-miljöer.
Alternativet nickname är obligatoriskt för alla LDAP-entiteter. Om din organisation inte kräver ett smeknamn/netBIOS-namn, skickar du en tom nyckel, till exempel: "nickname": "".

Alternativ för LDAP GSSAPI-bindning

directoryservicetype
Den typ av katalogtjänst som du vill ansluta till. Antingen activedirectory eller openldap.
kerberosConfig
Sökvägen till Kerberos-konfigurationsfilen på den lokala datorn. Om du installerar i Active Directory, rekommenderar vi att du inte använder den befintliga Kerberos-konfigurationsfilen eller keytab-filen som kanske redan finns på den domänanslutna datorn. Läs mer i Identitetsregister.
kerberosKeytab
Sökvägen till Kerberos-keytabfilen på den lokala datorn. Du rekommenderas att skapa en keytab-fil med nycklar som är specifika för Tableau Server-tjänsten samt att inte dela keytab-filen med andra program på datorn. Till exempel kan du i Linux placera keytab-filen i katalogen /var/opt/tableau/keytab.
kerberosPrincipal
Service Principal Name för Tableau Server på värddatorn. Keytab-filen måste ha behörighet för den här principalen. Använd inte den befintliga system-keytab-filen i /etc/krb5.keytab. Vi rekommenderar i stället att du registrerar ett nytt Service Principal Name. Kör kommandot klist -k för att se principaler i en given keytab-fil. Läs mer i Förstå kraven för keytab-filer.

Alternativ för enkel LDAP-bindning

directoryservicetype
Den typ av katalogtjänst som du vill ansluta till. Antingen activedirectory eller openldap.
värdnamn
Värdnamnet på LDAP-servern. Du kan ange ett värdnamn eller en IP-adress för det här värdet. Den värd du anger här används endast för användar-/gruppfrågor i den primära domänen. Om användar-/gruppfrågor finns i andra domäner (inte i den primära domänen) använderTableau Server inte detta värde, utan frågar istället DNS för att identifiera lämplig domänstyrenhet.
port
Använd det här alternativet för att ange den icke säkra porten hos LDAP-servern. Klartext är vanligtvis 389.
sslPort
Använd det här alternativet för att aktivera LDAPS. Ange LDAP-serverns säkra port. LDAPS är vanligtvis port 636. För att använda LDAPS måste du även ange alternativet värdnamn. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
användarnamn
Det användarnamn som du vill använda för att ansluta till katalogtjänsten. Det konto du anger måste ha behörighet att fråga katalogtjänsten. För Active Directory anger du användarnamnet, till exempel jsmith. För LDAP-servrar anger du den unika namnet för den användare som du vill använda för att ansluta. Du kan till exempel skriva in cn=username,dc=your-local-domain,dc=lan.
lösenord
Lösenordet för användaren som du vill använda för att ansluta till LDAP-servern.

LDAPS och underdomäner

Om du aktiverar LDAPS i Active Directory och ansluter till underdomäner måste du köra följande TSM-kommando för att konfigurera LDAPS-porten (TCP 636) för underdomäner. Kommandot tar argument som anger subdomainFQDN:port.

Exempel: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v subdomain1.lan:636,subdomain2.lan:636,subdomain3.lan:636

Mer information finns i Alternativ för tsm configuration set.

Alternativ för delad LDAP

Följande alternativ kan konfigureras för generiska LDAP-, OpenLDAP- eller Active Directory-implementeringar.

bindning
Hur du vill autentisera kommunikation från Tableau Server-tjänsten till LDAP-katalogtjänsten. Ange gssapi för GSSAPI (Kerberos).
domän
I Active Directory-miljöer anger du den domän där Tableau Server är installerad, till exempel ”exempel.lan”.
För icke-AD LDAP: Strängen du anger för det här värdet visas i kolumnen ”Domän” i användarhanteringsverktygen. Du kan ange en godtycklig sträng, men nyckeln får inte vara tom.

rot

Endast LDAP. Ange inte för Active Directory.
Om du inte använder en domänkomponent i LDAP-roten eller om du vill ange en mer komplex rot, måste du ställa in LDAP-roten. Använd formatet ”o=my,u=root”. Till exempel skulle roten för domänen example.lan vara "o=example,u=lan".
membersRetrievalPageSize
Det här alternativet fastställer det maximala antalet resultat från en LDAP-fråga.
Till exempel kan du föreställa dig ett scenario där Tableau Server importerar en LDAP-grupp som innehåller 50 000 användare. Att försöka importera så många användare på en gång är inte bästa praxis. När det här alternativet är inställt på 1 500 importerar Tableau Server de första 1 500 användarna i det första svaret. När de användarna har behandlats begär Tableau Server nästa 1 500 användare från LDAP-servern, och så vidare.
Vi rekommenderar att du endast ändrar det här alternativet för att uppfylla kraven för din LDAP-server.

Alternativ för identityStoreSchemaType

Om du konfigurerar en LDAP-anslutning till en LDAP-server kan du ange LDAP-serverspecifik schemainformation i objektet identityStoreSchemaType.

Viktigt Om du ansluter till Active Directory ("directoryServiceType": "activedirectory") ska du inte konfigurera dessa alternativ.

userBaseFilter
Det filter som du vill använda för användare av Tableau Server. Till exempel kan du specificera ett attribut för en objektklass och en organisationsenhet.
userUsername
Det attribut som motsvarar användarnamn på LDAP-servern.
userDisplayName
Det attribut som motsvarar användares visningsnamn på LDAP-servern.
userEmail
Det attribut som motsvarar användares e-postadresser på LDAP-servern.
userCertificate
Det attribut som motsvarar användarcertifikat på LDAP-servern.
userThumbnail
Det attribut som motsvarar användares miniatyrbilder på LDAP-servern.
userJpegPhoto
Det attribut som motsvarar användares profilbilder på LDAP-servern.
groupBaseFilter
Det filter som du vill använda för grupper av användare av Tableau Server. Till exempel kan du specificera ett attribut för en objektklass och en organisationsenhet.
groupName
Det attribut som motsvarar gruppnamn på LDAP-servern.
groupEmail
Det attribut som motsvarar gruppers e-postadresser på LDAP-servern.
groupDescription
Det attribut som motsvarar gruppbeskrivningar på LDAP-servern.
medlem
Det attribut som beskriver listan över användare i en grupp.
distinguishedNameAttribute
Det attribut som lagrar användares unika namn. Detta attribut är valfritt, men det förbättrar prestandan hos LDAP-frågor väsentligt.
serverSideSorting
Huruvida LDAP-servern har konfigurerats för sortering av resultat på serversidan. Om LDAP-servern har stöd för sortering på serversidan, ställer du inte det här alternativet på true. Om du är osäker på om LDAP-servern har stöd för detta, anger du false, då felkonfiguration kan orsaka fel.
rangeRetrieval
Huruvida LDAP-servern har konfigurerats till att visa ett intervall av frågeresultat för en begäran. Det här innebär att grupper med många användare efterfrågas i små grupper i taget i stället för alla på en gång. LDAP-servrar med stöd för intervallhämtning presterar bättre vid stora frågor. Om LDAP-servern har stöd för intervallhämtning ställer du in det här alternativet på true. Om du är osäker på om LDAP-servern har stöd för intervallhämtning anger du false, då felkonfiguration kan orsaka fel.
groupClassNames
Som standard söker Tableau Server efter LDAP-gruppobjektklasser som innehåller strängen ”group” (grupp). Om LDAP-gruppobjektet inte passar in i det vanliga klassnamnet, åsidosätter du standardnamnet genom att ange det här värdet. Du kan ange flera klassnamn som skiljs åt med komman. Det här alternativet tar en lista med strängar, som kräver att varje klass skickas inom citattecken, avgränsade med kommatecken (inget blanksteg) och inom hakparenteser. Till exempel: ["basegroup","othergroup"].
userClassNames
Som standard söker Tableau Server efter LDAP-användarobjektklasser som innehåller strängarna ”user” (användare) och ”inetOrgPerson”. Om LDAP-användarobjekten inte använder de här vanliga klassnamnen, åsidosätter du standardnamnen genom att ange det här värdet. Du kan ange flera klassnamn som skiljs åt med komman. Det här alternativet tar en lista med strängar, som kräver att varje klass skickas inom citattecken, avgränsade med kommatecken (inget blanksteg) och inom hakparenteser. Till exempel: ["userclass1",userclass2”].

Importera JSON-filen

När du har slutfört redigeringen av JSON-filen skickar du filen och tillämpar inställningarna genom att köra följande kommandon:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Tack för din feedback!Din feedback har skickats in. Tack!