Provisionera och autentisera användare med hjälp av identitetspooler
Identitetspooler, som introducerades i Tableau Server version 2023.1, är ett verktyg för identitetshantering som använder provisionerings- och autentiseringsinformation för att ge användarna tillgång till Tableau Server. Med identitetspooler kan du använda ett mer centraliserat och flexibelt arbetsflöde för identitetshantering som bygger på identitetstjänsten(Länken öppnas i ett nytt fönster) för lagring och hantering av användaridentiteter i Tableau Server.
Identitetspooler ersätter inte de konfigurationer för användarprovisionering och -autentisering som du gör med Tableau Services Manager (TSM) under konfigurationen av Tableau Server. Identitetspooler är i stället utformade för att komplettera och stödja ytterligare alternativ för användarprovisionering och -autentisering som kan behövas i en organisation, särskilt sådana där TSM har konfigurerats med Active Directory (AD) eller Lightweight Directory Access Protocol (LDAP). Efter konfigurationen av Tableau Server kan Tableau Server-administratörer med hjälp av identitetspooler lägga till användare, till exempel externa användare, partner eller underleverantörer, i Tableau Server-driftsättningen.
Identitetspooler är optimerade för följande användningsfall:
Externa användare: En stor företagsorganisation som inte vill lägga till externa användare i AD.
Anta till exempel att organisationen har två typer av anställda: vanliga anställda och kontraktsanställda. De vanliga anställda provisioneras via Active Directory (AD) med SAML-autentisering som hanteras via er identitetsleverantör (IdP), Okta. De kontraktsanställda består av användare som vanligtvis tilldelas tillfälligt gruppmedlemskap eller ingår i en annan organisation som provisionerar användare utanför AD och autentiserar dem separat. Med identitetspooler kan ni lägga till Tableau Server-användare som är externa i AD.
Flera identitetsregister: En organisation som är värd för SaaS-program som hämtar användare från flera identitetsregister.
Anta till exempel att organisationen delar Tableau-innehåll med flera externa organisationer från en och samma plats. Du kan skilja dessa användare åt med hjälp av olika identitetspooler som konfigureras med lokala identitetsregister så att det blir lättare att identifiera och hantera dem från de olika organisationerna.
Säkerhetsgränser mellan interna organisationer: En organisation med flera förvärvade underordnade organisationer med distinkta säkerhetsgränser.
Du kan till exempel lägga till användare från en nyligen tillagd organisation i en identitetspool som konfigurerats med ett lokalt identitetsregister för att slippa besväret med att kombinera identitetsregister.
Vad är identitetspooler?
En identitetspool har tre huvudkomponenter: ett identitetsregister för att provisionera användare, OpenID Connect-autentisering (OIDC) och tilldelade användare.
Identitetsregister: Det identitetsregister(Länken öppnas i ett nytt fönster) du använder för att hämta eller provisionera användare kan vara ett lokalt identitetsregister eller ett externt identitetsregister.
Om det är ett lokalt identitetsregister kan identitetspoolen konfigureras till att använda ett nytt lokalt identitetsregister eller ett befintligt lokalt identitetsregister. Obs! Lokal autentisering stöds inte.
Om det är ett externt identitetsregister kan identitetspoolen endast använda samma externa identitetsregister (AD eller LDAP) som konfigurerades i TSM under konfigurationen av Tableau Server. Du kan inte konfigurera en identitetspool så att den använder ett annat externt identitetsregister.
De provisionerings- och autentiseringskonfigurationer du gör i TSM under konfigurationen av Tableau Server kallas standard eller ”initial pool (TSM-konfigurerad)”.
Autentisering: Den enda autentiseringsmetoden som stöds för identitetspooler är OIDC(Länken öppnas i ett nytt fönster).
Användare: För att användarna ska kunna logga in på Tableau Server måste de antingen hämtas från den initiala poolen (TSM-konfigurerad) eller vara medlemmar i minst en identitetspool.
När ska identitetspooler användas?
Som Tableau Server-administratör kan du använda en identitetspool för att segmentera användarna i identitetskohorter baserat på varifrån de provisioneras och hur de autentiseras i Tableau Server. Identitetspooler kan konfigureras från Tableau Server, men det påverkar inte identitetsregistret och autentiseringskonfigurationerna du gör i TSM under konfigurationen av Tableau Server, även kallat initial pool (TSM-konfigurerad).
Obs! Identitetspooler kan för närvarande endast konfigureras på servernivå. Identitetspooler kan inte inkluderas i en plats.
Mer om identitetspooler
Initial pool (TSM-konfigurerad) jämfört med identitetspooler
Som nämnts ovan kallas kombinationen av provisionerings- och autentiseringskonfigurationer du gör i TSM under konfigurationen av Tableau Server för ”initial pool (TSM-konfigurerad)”. Den initiala poolen (TSM-konfigurerad) är en obligatorisk komponent i konfigurationen av Tableau Server och den kan inte ändras.
En identitetspool är emellertid valfri, och du kan skapa så många identitetspooler som behövs direkt från Tableau Server.
Identitetspoolers påverkan på användarnas inloggningsupplevelse
Om inga identitetspooler skapas för Tableau Server påverkar det som standard inte hur användarna navigerar till landningssidan för Tableau Server och hur de loggar in på Tableau Server.
Om en eller flera identitetspooler skapas visas flera inloggningsalternativ på landningssidan för Tableau Server. Det primära inloggningsalternativet visas överst på sidan, och det är så de användare som tillhör den initiala poolen (TSM-konfigurerad) loggar in.
Nedanför det primära inloggningsalternativet visas de sekundära inloggningsalternativen. Varje alternativ motsvarar en identitetspool, och de visas i den ordning de skapades. Användare som tilldelats dessa pooler måste logga in med alternativet för den identitetspool de tillhör. Du kan hjälpa användarna att hitta rätt inloggningsalternativ genom att lägga till en beskrivning av identitetspoolen när du skapar den.
Obs! Alla användare ser alla pooler som konfigurerats för Tableau Server, oavsett poolmedlemskap.
Användarnamn och identifierare i Tableau
Ett användarnamn är informationen som representerar systemanvändaren. En identifierare används för att komplettera informationen om användarnamn och kan användas av externa identitetsregister som alternativ till användarnamn.
I Tableau är ett användarnamn ett oföränderligt värde som används för att logga in på Tableau, och identifierare är föränderliga värden som används i Tableaus identitetsstruktur för att matcha användare med deras användarnamn. Tack vare identifierarna blir Tableau mer flexibelt då de kan skilja sig från användarnamnet. Om ändringar av användarnamnet sker i det externa identitetsregistret kan Tableau Server-administratörer uppdatera identifieraren för att garantera att användare matchas med rätt användarnamn.
När en befintlig användare läggs till i en identitetspool kan du förvänta dig möjligheten att ange en identifierare. Om en befintlig användare till exempel tillhör en identitetspool konfigurerad med ett lokalt identitetsregister och denne ska läggas till i en identitetspool konfigurerad med ett AD-identitetsregister ska du ange användarnamnet för att söka efter den identifierare som är associerade med användaren. Om en befintlig användare, å andra sidan, tillhör en identitetspool konfigurerad med ett AD-identitetsregister och denne ska läggas till i en identitetspool konfigurerad med ett lokalt identitetsregister ska du ange en valfri identifierare. Ett undantag från detta är om en användare ska läggas till i den initiala poolen (TSM-konfigurerad) och denne är konfigurerad med ett lokalt identitetsregister och lokal autentisering. Du kan då inte ställa in en identifierare för den användaren.