Om identitetsmigrering
Från och med version 2022.1 lagrar och hanterar Tableau Server identitetsinformation med hjälp av identitetstjänsten. Med identitetstjänsten kan Tableau Server använda en mer modern, säker och mer oföränderlig identitetsstruktur för användarens etablerings- och autentiseringsprocess. Identitetsmigrering är en förutsättning för att konfigurera och använda identitetspooler(Länken öppnas i ett nytt fönster).
Obs! Om du inte tänker använda funktionen för identitetspooler bör du inte köra identitetsmigreringen. Att köra identitetsmigreringen utan några planer på att använda identitetspooler medför inga fördelar för Tableau Server-driftsättningen.
Alla nya driftsättningar av Tableau Server 2022.1 (och senare) använder identitetstjänsten som standard och kräver inga ytterligare åtgärder från dig. När du lägger till nya användare till Tableau Server används standardidentitetstjänsten.
För befintliga driftsättningar, och om du uppgraderar Tableau Server till version 2022.1 (eller senare) och återställer en säkerhetskopia av Tableau 2021.4 (eller tidigare), kan du starta identitetsmigreringen efter att Tableau Server har uppgraderats för att fylla i den nya identitetstjänsten. Identitetsmigreringen fyller i kompletterande identitetstjänsttabeller för alla Tableau Server-användare, som sedan används för att autentisera användare via identitetstjänsten. Migreringen körs i bakgrunden och kommer inte att avbryta eller störa dina användares användning av Tableau Server.
Som administratör kan du övervaka och hantera migreringen, inklusive att ändra när migreringen körs eller lösa eventuella migreringskonflikter, via en dedikerad sida för identitetsmigrering som är tillgänglig från Tableau Servers användarsida. Den här sidan är tillgänglig under hela migreringsprocessen.
Sammanfattning av steg för befintliga driftsättningar
För befintliga driftsättningar måste du konfigurera Tableau Server att använda identitetstjänsten efter att migreringen är klar för att dra nytta av förbättringarna av identitetsstrukturen och för att konfigurera identitetspooler.
Steg 2: Starta identitetsmigreringen
Steg 3: Slutför identitetsmigreringen
Steg 4: Konfigurera Tableau Server till att använda identitetstjänsten
Nyckelbegrepp
- Identitetstjänst - en tjänst i Tableau Server 2022.1 (och senare) som ansvarar för administration av användaridentiteter, inklusive autentisering och tillhandahållande. Tjänsten använder ett identitetsschema där användaridentiteter representeras av identitetstjänsttabeller och den äldre ”system_users”-tabellen.
- Identitetspooler – ett verktyg för identitetshantering som använder provisionerings- och autentiseringsinformation för ge användarna tillgång till Tableau Server. Med identitetspooler kan du använda ett mer centraliserat och flexibelt arbetsflöde för identitetshantering som bygger på identitetstjänsten för lagring och hantering av användaridentiteter i Tableau Server.
- Äldre identitetsregisterläge - ett begränsat identitetsschema som används av Tableau Server 2021.4 (och tidigare), där användaridentiteter endast representeras av den äldre ”system_users”-tabellen.
- Identitetsmigrering - den granskningsprocess som utvärderar befintliga Tableau Server-användaridentiteter, frågar externa identitetslager uppströms efter ytterligare identitetsinformation (beroende på vad som är lämpligt) och importerar den ytterligare identitetsinformationen till identitetstjänsten.
- Externt identitetslager - en extern identitetslagertyp och uppströms till Tableau Server där all identitetsinformation lagras och hanteras av en extern katalogtjänst (Active Directory (AD) eller LDAP). Om konfigurerat synkroniseras Tableau Server till den externa katalogen så att en kopia av identitetsinformationen finns i Tableau Server.
- Lokalt identitetslager - en typ av identitetslager som tillhandahålls av Tableau Server. Om konfigurerat lagrar och hanterar Tableau Server identitetsinformation på Tableau Server-lagringsplatsen utan någon konfigurerad extern katalog för denna information.
- Systemanvändare - en Tableau Server-användare. En användare motsvarar en inloggningspost (”system_users”) i både identitetstjänsten (genom tabellen ”system_users_identities”) och äldre lagringsläge för identitet. En ”system_users”-post kan potentiellt ha flera användaridentiteter kopplade till sig och vara aktiverad för att logga in på flera platser. Länken mellan en ”system_users”-post och platser definieras i ”users”-tabellen.
Identitetsmigreringens syfte
När du skapar en säkerhetskopia av Tableau Server sparas identitetsinformationen i det identitetsschema som används av den version av Tableau Server som säkerhetskopian skapades för. Migreringen är nödvändig för att fylla i identitetsinformation från det identitetsschema som används i säkerhetskopian till det identitetsschema som används av identitetstjänsten.
Identitetsschema för Tableau Server 2021.4 och tidigare
Identitetsschemat som används av det äldre identitetslagringsläget består av två tabeller, ”system_users” och ”domäner.”
Identitetsschema för Tableau Server 2022.1 och senare
Identitetsschemat som används av identitetstjänsten innehåller de äldre ”system_users”-tabellerna och kompletterande uppströms identitetstjänsttabeller (*_identity_stores och *identities) som samlar in mer identitetsinformation. De ytterligare tabellerna hjälper till att minska problem som kan orsakas av förändringar uppströms i de externa identitetslagren.
Vad som händer under identitetsmigreringen
När information om användaridentiteter migreras kompletteras identitetsinformation som lagras i den äldre ”system_users”-tabellen med identitetstjänsttabellerna.
Typen av identitetstjänsttabeller som identitetsinformationen kompletteras med beror på vilken typ av identitetslager Tableau Server är konfigurerat för: lokalt, Active Directory (AD) eller Lightweight Directory Access Protocol (LDAP).
För AD-identitetslagringstyper ärver identitetstjänsttabeller endast entydiga attribut eller attribut som inte lagras i samma databaspost.
Till exempel kan sAMAccountNAme och userPrincipalName (UPN) lagras i samma namnpost i en äldre ”systems_users”-tabell, vilket kan uppstå som ett resultat av en komplex serie regler. I de flesta fall kan migreringen tolka och migrera användaridentiteten korrekt. Men om migreringen ger tvetydiga resultat måste du antingen bekräfta tvetydigheten manuellt eller lösa den manuellt med hjälp av den dedikerade sidan för Identitetsmigrering. Mer information finns i Lösa konflikter vid identitetsmigrering.
För LDAP-identitetslagringstyper, exempelvis AD-identitetslagringstyper, ärver identitetstjänsttabeller endast otvetydiga attribut. I de flesta fall kan migreringen tolka och migrera användaridentiteten korrekt. Men om migreringen ger tvetydiga resultat måste du antingen bekräfta tvetydigheten manuellt eller lösa den manuellt med hjälp av den dedikerade sidan för Identitetsmigrering. Mer information finns i Lösa konflikter vid identitetsmigrering.
För lokala identitetslagringstyper ärver identitetstjänsttabeller användaren och domänfälten direkt. Detta innebär att ingen ytterligare information eller manuell lösning krävs från dig. När Tableau Server är konfigurerad för denna typ av identitetslagring sker migrering av användaridentiteter efter återställningsprocessen för Tableau Server-säkerhetskopiering.
Steg 1: Innan du börjar
Innan du börjar identifierar du din uppgraderingsmetod för Tableau Server nedan för att avgöra vilket nästa steg i identitetsmigreringen är.
Om du utför en blå/grön uppgradering eller manuell uppgradering av Tableau Server genom att 1) installera Tableau Server på en ny maskin och sedan 2) säkerhetskopiera och återställa Tableau Server med hjälp av kommandona tsm-underhåll (säkerhetskopiering och återställning) måste du vidta några ytterligare åtgärder för att initiera migreringen.
För nästa steg, se Felsöka problem med identitetsmigrering.
Om du gör en Tableau Server-uppgradering ”på plats” av enkel server eller flera noder med hjälp av den metod som beskrivs här krävs inga ytterligare steg från dig för att initiera migreringen. Migreringen initieras efter att Tableau Server-uppgraderingen till version 2022.1 (eller senare) är klar.
Hoppa till Steg 2.
Om du manuellt uppgraderar Tableau Server genom att 1) installera Tableau Server på en ny maskin och sedan 2) exportera och importera konfigurations- och topologiinformation med hjälp av tsm-inställningar (export och import) -kommandon krävs det inte heller några ytterligare steg från dig för att initiera migreringen. Migreringen initieras efter att importprocessen har slutförts på den nya Tableau Server-maskinen.
Hoppa till Steg 2.
Steg 2: Starta identitetsmigreringen
För att starta identitetsmigreringen måste du aktivera funktionen för identitetsmigrering med features.IdentityMigrationBackgroundJob.
Obs! Om du har uppgraderat till Tableau Server version 2021.4.21, 2022.1.17, 2022.3.9 och 2023.1.5 startas identitetsmigreringen som standard och du kan gå till Steg 3: Slutför identitetsmigreringen.
Öppna en kommandotolk som administratör på den initiala noden (där TSM installerats) i klustret.
Kör följande kommando:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
När identitetsmigreringen har börjat visas ett meddelande i Tableau Server som länkar till sidan Identitetsmigrering. På sidan Identitetsmigrering kan du övervaka statusen för identitetsmigreringen och eventuella identitetskonflikter som måste lösas.
Steg 3: Slutför identitetsmigreringen
För att slutföra identitetsmigreringen måste alla identitetskonflikter lösas eller bekräftas innan du kan aktivera identitetstjänsten för Tableau Server.
- Logga in på Tableau Server som administratör.
Från den vänstra navigeringsrutan, välj Användare (eller Alla webbplatser > Användare för en Tableau Server på flera platser) och klicka sedan på sidan Identitetsmigrering för att verifiera att migreringen har startat.
Du kan övervaka och hantera förloppet med hjälp av den dedikerade sidan för identitetsmigrering som finns tillgänglig från samma sida som användaren av Tableau Server använder. Du hittar mer information i Hantera identitetsmigrering.
Lös eller bekräfta alla identitetskonflikter enligt beskrivningen i Lösa konflikter vid identitetsmigrering så att fliken Alla fel visar 0 som i bilden nedan.
Gör något av följande:
För att köra identitetsmigreringsjobbet nu, klicka på listmenyn Redigera schema bredvid rubriken Migrationsöversikt och välj sedan Kör nu.
- Som ett alternativ kan du vänta tills migreringsjobbet körs under nästa schemalagda tid.
När migreringen har slutförts verifierar du att migreringsöversikten visar 100% complete på sidan Identitetsmigrering,.
Steg 4: Konfigurera Tableau Server till att använda identitetstjänsten
När identitetsmigreringen är klar konfigurerar du Tableau Server till att använda identitetstjänsten för att säkerställa en säkrare och mer oföränderlig identitetsstruktur för användarens etablerings- och autentiseringsprocess.
- Öppna en kommandotolk som administratör på den initiala noden (där TSM har installerats) i klustret.
Kör följande kommandon:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
Obs! När kommandona ovan har körts tas den dedikerade sidan för identitetsmigrering bort och är inte längre tillgänglig. Sidan är bara tillgänglig när
tsm authentication legacy-identity-mode
är aktiverat.
När Tableau Server har konfigurerats för att använda identitetstjänsten och användare loggar in på Tableau Server, så söker Tableau Server efter deras identiteter med hjälp av deras identifierare i det konfigurerade identitetsregistret. Utifrån dessa identifierare returneras UUID (Universal Unique Identifier) som används för att matcha befintliga Tableau Server-användaridentiteter. Den här processen genererar sedan sessioner för användarna och slutför autentiseringsarbetsflödet.