Konfigurationsreferens för externt identitetsregister
Tableau Server stöder anslutning till en extern katalog med LDAP. I det här scenariot importerar Tableau Server användare från den externa LDAP-katalogen till Tableau Server-lagringsplatsen som systemanvändare.
Det här ämnet ger en beskrivning av alla LDAP-relaterade konfigurationsalternativ som Tableau Server stöder. Om du ansluter till Active Directory rekommenderar vi starkt att du konfigurerar LDAP-anslutningen automatiskt med Tableau Server som en del av installationen istället för att konfigurera anslutningen manuellt. Läs mer i Konfigurera initiala nodinställningar.
Alternativen som listas i den här referensen kan användas för alla LDAP-kompatibla kataloger. Om du inte har erfarenhet av att konfigurera LDAP bör du arbeta med din katalogadministratör eller med en LDAP-expert.
Det här är ett referensämne. Om du vill ha mer information om hur användare lagras och hanteras i Tableau Server ska du börja med Identitetsregister.
Konfigurationsmetoder
Konfigurationsparametrar som gör det möjligt för Tableau Server att ansluta till din LDAP-katalog lagras i .yml-filer. De här filerna hanteras och synkroniseras av olika tjänster i Tableau Server. Uppdatering av .yml-filer måste göras med hjälp av ett Tableau Services Manager-gränssnitt (TSM-gränssnitt).
Försök inte att uppdatera .yml-filer direkt med en textredigerare. TSM måste hantera alla uppdateringar för korrekt drift.
Konfigurationsfilerna för .yml består av nyckelvärdespar. Nyckeln wgserver.domain.username
använder till exempel ett användarnamn som värde. Den här nyckeln definierar användarnamnet som ska användas för att autentiseras till LDAP-katalogen under bindningen.
Det finns fyra olika TSM-metoder för att ställa in yml-nyckelvärden. De fyra metoderna beskrivs här med hjälp av nyckeln wgserver.domain.username
som exempel för att illustrera de olika metoderna:
configKey-nyckelvärdespar – Du kan uppdatera en .yml-konfigurationsfil genom att uppdatera nyckeln
wgserver.domain.username
som kör Alternativ för tsm configuration set eller genom att inkludera nyckeln i en JSON-konfigurationsfil under en configKey-entitet. Se Exempel på konfigurationsfil.configKey-nyckelvärdesparen i en JSON-konfigurationsfil är samma som de som används för
tsm configuration set
men de ställs in på ett annat sätt. Det här ämnet refererar till båda de här metoderna som configKey.Till skillnad från när du använder configEntities och inbyggda tsm-kommandon som beskrivs nedan så valideras inte configKey-inmatning. När du ställer in ett alternativ med en configKey kopieras värdet som du anger som en litteralsträng till de underliggande .yml-konfigurationsfilerna. Ta till exempel en nyckel där
true
ellerfalse
är de giltiga inmatningarna. När du konfigurerar nyckeln med hjälp av ett configKey-nyckelvärdespar kan du då ange ett godtyckligt strängvärde, så sparas det för nyckeln. I sådana fall kommer ogiltiga värden utan tvekan att leda till LDAP-konfigurationsfel.Vi rekommenderar att du bara använder configKeys när det inte finns något alternativ för att ställa in konfigurationen med de tre andra alternativen som listas nedan (configEntities, ett inbyggt tsm-kommando eller TSM-webbgränssnittet). Se till att dubbelkolla dina värden och kontrollera skiftläget när du använder configKeys.
configEntities JSON – Du kan uppdatera en .yml-konfigurationsfil genom att skicka alternativet
username
i en configEntities-JSON.När du konfigurerar ett värde med hjälp av configEntities-alternativ i en JSON-fil valideras värdena innan de sparas. Värden är skiftlägeskänsliga. Mer information om hur du konfigurerar ett värde med hjälp av configEntities finns i exemplet identityStore Entity. JSON-filen importeras med kommandot import av tsm-inställningar. Alternativen som är tillgängliga för configEntities är en delmängd av alla .yml-nyckelvärdespar.
Validering innebär att importkommandot bara kommer att lyckas om alla värden i JSON-filen är giltiga datatyper. Om du till exempel anger
no
för ett värde som endast accepterartrue
ellerfalse
visas ett felmeddelande och konfigurationen importeras inte.Du kan vara importera JSON-konfigurationsfiler som en del av den ursprungliga konfigurationen. Om du måste göra LDAP-ändringar efter att du har importerat JSON-konfigurationsfilen och initierat Tableau Server, ska du inte försöka att importera JSON-filen på nytt. Istället kan du göra individuella nyckeländringar med inbyggda tsm-kommandon om det är tillgängligt, eller med hjälp av configKeys och
tsm configuration set
.Inbyggda tsm-kommandon – Du kan uppdatera en .yml-konfigurationsfil genom att skicka alternativet
ldapuser
med det inbyggda tsm-kommandottsm user-identity-store
. Som med configEntities valideras värden som du anger med det inbyggda tsm-kommandot innan de sparas.Alla nyckelvärdespar i en .yml-fil kan inte ställas in med inbyggda tsm-kommandon.
TSM GUI – Du kan ställa in konfigurationsvärden under installationen med hjälp av det grafiska TSM-användargränssnittet (TSM GUI). Om du ansluter till Active Directory och konfigurerar Tableau-identitetsregistret under installationen med användargränssnittet uppmanas du att ange ett konto med AD-läsåtkomst. Nyckeln
wgserver.domain.username
ställs in när du anger inloggningsuppgifter.Det här scenariot fungerar bara om du ansluter till Active Directory. Tableau Server stöder inte godtycklig LDAP-konfiguration som en del av GUI-installationsprocessen.
Överväg att ta hjälp av Tableaus konfigurationsverktyg för identitetsregister(Länken öppnas i ett nytt fönster) när du genererar LDAP json-konfigurationsfilen. Tableaus konfigurationsverktyg för identitetsregister genererar även en lista över nyckel-/värdepar som du kan ställa in genom att köra Alternativ för tsm configuration set. Själva verktyget stöds inte av Tableau. Men om du använder en JSON-fil som skapats med hjälp av verktyget i stället för att skapa en fil manuellt, förändras inte stödstatusen för din server.
Konfigurera Active Directory
Om du konfigurerar Tableau Server för att använda Active Directory rekommenderar vi att du använder TSM-webbgränssnittet under installationen. TSM-webbgränssnittet är optimerat för att konfigurera Tableau Server för Active Directory med så lite inmatning som möjligt. Läs mer i Konfigurera initiala nodinställningar.
Konfigurationsreferenstabell
configEntities-alternativ (Alternativ är skiftlägeskänsliga) | Inbyggt tsm-kommando | configKey (Används med kommandot tsm-konfigurationsuppsättning eller i configKeys-delen av en JSON-fil) | Scenario | Observationer |
---|---|---|---|---|
typ | Ej tillämpligt | wgserver.authenticate | AD, LDAP, lokalt | Där du vill lagra information om användarens identitet. Värden: local eller activedirectory .Om du vill ansluta till en LDAP-server anger du |
sslPort | Ej tillämpligt | wgserver.domain.ssl_port | AD, LDAP | Använd det här alternativet för att ange den säkra porten hos LDAP-servern. Vi rekommenderar säker LDAP för enkel bindning. LDAPS är vanligtvis port 636. |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.ldap.starttls.enabled | AD, LDAP | Värden: Från och med version 2021.2 är den här nyckeln inställd på Den här nyckeln är inställd på Den här nyckeln introducerades (men var inte inställd) i version 2021.1. |
port | Ej tillämpligt | wgserver.domain.port | AD, LDAP | Använd det här alternativet för att ange den icke säkra porten hos LDAP-servern. Klartext är vanligtvis 389. |
domän | domän | wgserver.domain.default | AD | I Active Directory-miljöer anger du den domän där Tableau Server är installerad, till exempel ”exempel.lan”. För icke-AD LDAP: Strängen du anger för det här värdet visas i kolumnen ”Domän” i användarhanteringsverktygen. Du kan ange en godtycklig sträng, men nyckeln får inte vara tom. Den här nyckeln är redundant med wgserver.domain.fqdn. Värdena för båda nycklarna måste vara desamma. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
användarnamn | ldapusername | wgserver.domain.username | AD, LDAP | Det användarnamn som du vill använda för att ansluta till katalogtjänsten. Det konto du anger måste ha behörighet att fråga katalogtjänsten. För Active Directory anger du användarnamnet, till exempel För LDAP-servrar anger du den unika namnet för den användare som du vill använda för att ansluta. Till exempel Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
lösenord | ldappassword | wgserver.domain.password | AD, LDAP | Lösenordet för användarkontot som du tänker använda för att ansluta till LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
directoryServiceType | Ej tillämpligt | wgserver.domain.directoryservice.type | AD, LDAP | Den typ av LDAP-katalogtjänst som du vill ansluta till. Värden: activedirectory eller openldap . |
kerberosPrincipal | kerbprincipal | wgserver.domain.ldap.principal | AD, LDAP | Service Principal Name för Tableau Server på värddatorn. Keytab-filen måste ha behörighet för den här principalen. /etc/krb5.keytab .klist -k för att se principaler i en given keytab-fil. Läs mer i Förstå kraven för keytab-filer.Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
värdnamn | värdnamn | wgserver.domain.ldap.hostname | AD, LDAP | Värdnamnet på LDAP-servern. Du kan ange ett värdnamn eller en IP-adress för det här värdet. Den värd du anger här används för användar-/gruppfrågor i den primära domänen. I de fall användar-/gruppfrågorna finns i andra domäner skickar Tableau Server en fråga till DNS för att identifiera rätt domänkontrollant. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
membersRetrievalPageSize | Ej tillämpligt | wgserver.domain.ldap.members.retrieval.page.size | AD, LDAP | Det här alternativet fastställer det maximala antalet resultat från en LDAP-fråga. Till exempel kan du föreställa dig ett scenario där Tableau Server importerar en LDAP-grupp som innehåller 50 000 användare. Att försöka importera så många användare på en gång är inte bästa praxis. När det här alternativet är inställt på 1 500 importerar Tableau Server de första 1 500 användarna i det första svaret. När de användarna har behandlats begär Tableau Server nästa 1 500 användare från LDAP-servern, och så vidare. Vi rekommenderar att du endast ändrar det här alternativet för att uppfylla kraven för din LDAP-server. |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.ldap.connectionpool.enabled | AD, LDAP | När det här alternativet är inställt på true försöker Tableau Server att återanvända samma anslutning när frågor skickas till LDAP-servern. Det här beteendet minskar omkostnaden med att behöva autentisera med LDAP-servern igen vid varje ny begäran. Anslutningspool fungerar bara med enkla bindningsanslutningar och TSL-/SSL-bindningsanslutningar. Anslutningspool stöds inte för GSSAPI-bindningsanslutningar. |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.accept_list | AD | Tillåter anslutning från Tableau Server till sekundära Active Directory-domäner. En sekundär domän är en domän som Tableau Server ansluter till för användarsynkronisering, men där Tableau Server inte är installerat. Om du vill säkerställa att Tableau Server kan ansluta till andra Active Directory-domäner måste du specificera de betrodda domänerna genom att konfigurera alternativet wgserver.domain.accept_list med TSM. Mer information finns i wgserver.domain.accept_list. |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.whitelist | AD | Viktigt: Inaktuellt från och med version 2020.4.0. Använd wgserver.domain.accept_list istället. Tillåter anslutning från Tableau Server till sekundära Active Directory-domäner. En sekundär domän är en domän som Tableau Server ansluter till för användarsynkronisering, men där Tableau Server inte är installerat. Om du vill säkerställa att Tableau Server kan ansluta till andra Active Directory-domäner måste du specificera de betrodda domänerna genom att konfigurera alternativet |
kerberosConfig | kerbconfig | Ingen direktmappning | AD, LDAP | Sökvägen till Kerberos-konfigurationsfilen på den lokala datorn. Om du installerar i Active Directory, rekommenderar vi att du inte använder den befintliga Kerberos-konfigurationsfilen eller keytab-filen som kanske redan finns på den domänanslutna datorn. Läs mer i Identitetsregister Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
kerberosKeytab | kerbkeytab | Ingen direktmappning | AD, LDAP | Sökvägen till Kerberos-keytabfilen på den lokala datorn. Du rekommenderas att skapa en keytab-fil med nycklar som är specifika för Tableau Server-tjänsten samt att inte dela keytab-filen med andra program på datorn. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-connection [alternativ]. |
smeknamn | Ej tillämpligt | wgserver.domain.nickname | AD, LDAP | Domänens smeknamn. Detta kallas även NetBIOS-namnet i Windows-/Active Directory-miljöer. Alternativet |
rot | Ej tillämpligt | wgserver.domain.ldap.root | LDAP | Om du inte använder en domänkomponent i LDAP-roten eller om du vill ange en mer komplex rot, måste du ställa in LDAP-roten. Använd formatet ”o=my,u=root”. Till exempel skulle roten för domänen example.lan vara "o=example,u=lan" . |
serverSideSorting | Ej tillämpligt | wgserver.domain.ldap.server_side_sorting | LDAP | Huruvida LDAP-servern har konfigurerats för sortering av resultat på serversidan. Om LDAP-servern har stöd för sortering på serversidan, ställer du inte det här alternativet på true . Om du är osäker på om LDAP-servern har stöd för detta, anger du false , då felkonfiguration kan orsaka fel. |
rangeRetrieval | Ej tillämpligt | wgserver.domain.ldap.range_retrieval | LDAP | Huruvida LDAP-servern har konfigurerats till att visa ett intervall av frågeresultat för en begäran. Det här innebär att grupper med många användare efterfrågas i små grupper i taget i stället för alla på en gång. LDAP-servrar med stöd för intervallhämtning presterar bättre vid stora frågor. Om LDAP-servern har stöd för intervallhämtning ställer du in det här alternativet på true . Om du är osäker på om LDAP-servern har stöd för intervallhämtning anger du false , då felkonfiguration kan orsaka fel. |
bindning | Ej tillämpligt | wgserver.domain.ldap.bind | LDAP | Det sätt som du vill säkra kommunikationen till katalogtjänsten på. Ange simple för LDAP om du inte ansluter till en LDAP-server med Kerberos. För Kerberos anger du gssapi . |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.ldap.domain_custom_ports | LDAP | Obs! Den här nyckeln stöds endast för Tableau Server på Linux. Tillåter att du mappar underordnade domäner och deras LDAP-portar. Domän och port skiljs åt med ett kolon (:) och varje par med domän:port skiljs åt med ett komma (,) i det här formatet: Exempel: |
distinguishedNameAttribute | Ej tillämpligt | wgserver.domain.ldap.dnAttribute | LDAP | Det attribut som lagrar användares unika namn. Detta attribut är valfritt, men det förbättrar prestandan hos LDAP-frågor väsentligt. Viktigt: Ställ inte in det här alternativet som en del av den ursprungliga konfigurationen. Ställ bara in det efter att du har validerat den övergripande LDAP-funktionaliteten. Du måste ha ett dnAttribute inställt i din organisation innan du ställer in den här nyckeln. |
groupBaseDn | Ej tillämpligt | wgserver.domain.ldap.group.baseDn | LDAP | Använd det här alternativet för att ange en alternativ rot för grupper. Om till exempel alla dina grupper är lagrade i en basorganisation som kallas ”grupper” anger du |
Ej tillämpligt | klassnamn | wgserver.domain.ldap.group.classnames | LDAP | Som standard söker Tableau Server efter LDAP-gruppobjektklasser som innehåller strängen ”group” (grupp). Om LDAP-gruppobjektet inte passar in i det vanliga klassnamnet, åsidosätter du standardnamnet genom att ange det här värdet. Du kan ange flera klassnamn som skiljs åt med komman. Om gruppnamnen innehåller kommatecken måste du undanta dem med ett omvänt snedstreck (\). Om du till exempel har ett gruppnamn Tableau LDAP-implementering tolkar LDAP-objekt som antingen användare eller grupp. Se därför till att du anger det mest specifika klassnamnet. Överlappande klassnamn mellan användare och grupper kan orsaka konflikter. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
groupBaseFilter | basfilter | wgserver.domain.ldap.group.baseFilter | LDAP | Det filter som du vill använda för grupper av användare av Tableau Server. Du kan ange ett objektklassattribut och ett organisationsenhetsattribut. Till exempel:
Om Det här är en obligatorisk nyckel. Den får inte vara tom. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
groupName | groupname | wgserver.domain.ldap.group.name | LDAP | Det attribut som motsvarar gruppnamn på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
groupEmail | groupemail | wgserver.domain.ldap.group.email | LDAP | Det attribut som motsvarar gruppers e-postadresser på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
groupDescription | beskrivning | wgserver.domain.ldap.group.description | LDAP | Det attribut som motsvarar gruppbeskrivningar på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
medlem | medlem | wgserver.domain.ldap.group.member | LDAP | Ange LDAP-attributet som innehåller en lista med unika namn på användare som ingår i den gruppen. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-group-mappings [alternativ]. |
Ej tillämpligt | Ej tillämpligt | wgserver.domain.ldap.group.memberURL | LDAP | Ange namnet på LDAP-attributet som lagrar LDAP-frågan för dynamiska grupper. |
userBaseDn | Ej tillämpligt | wgserver.domain.ldap.user.baseDn | LDAP | Använd det här alternativet för att ange en alternativ rot för användare. Om till exempel alla dina användare är lagrade i en basorganisation som kallas ”användare” anger du "o=users" . |
Ej tillämpligt | klassnamn | wgserver.domain.ldap.user.classnames | LDAP | Som standard söker Tableau Server efter LDAP-användarobjektklasser som innehåller strängarna ”user” (användare) och ”inetOrgPerson”. Om LDAP-användarobjekten inte använder de här vanliga klassnamnen, åsidosätter du standardnamnen genom att ange det här värdet. Du kan ange flera klassnamn som skiljs åt med komman. Exempel: Om namnen innehåller kommatecken måste du undanta dem med ett omvänt snedstreck (\). Om du till exempel har ett namn Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userBaseFilter | basfilter | wgserver.domain.ldap.user.baseFilter | LDAP | Det filter som du vill använda för användare av Tableau Server. Du kan ange ett objektklassattribut och ett organisationsenhetsattribut. Till exempel:
Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userUsername | ldapusername | wgserver.domain.ldap.user.username | LDAP | Det attribut som motsvarar användarnamn på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userDisplayName | displayname | wgserver.domain.ldap.user.displayname | LDAP | Det attribut som motsvarar användares visningsnamn på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userEmail | e-post | wgserver.domain.ldap.user.email | LDAP | Det attribut som motsvarar användares e-postadresser på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userCertificate | certifikat | wgserver.domain.ldap.user.usercertificate | LDAP | Det attribut som motsvarar användarcertifikat på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
Ej tillämpligt | miniatyr | wgserver.domain.ldap.user.thumbnail | LDAP | Det attribut som motsvarar användares miniatyrbilder på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
userJpegPhoto | jpegphoto | wgserver.domain.ldap.user.jpegphoto | LDAP | Det attribut som motsvarar användares profilbilder på LDAP-servern. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
memberOf | memberof | wgserver.domain.ldap.user.memberof | LDAP | Grupp som användaren är medlem i. Internt tsm-kommando: Använder kommandot tsm user-identity-store set-user-mappings [alternativ]. |
groupClassNames | Ej tillämpligt | wgserver.domain.ldap.group.classnames | LDAP | Som standard söker Tableau Server efter LDAP-gruppobjektklasser som innehåller strängen ”group” (grupp). Om LDAP-gruppobjektet inte passar in i det vanliga klassnamnet, åsidosätter du standardnamnet genom att ange det här värdet. För configEntity: Det här alternativet använder en lista med strängar, vilket kräver att varje klass anges inom citattecken, separerade med kommatecken (utan mellanslag) och inom parentes. Exempel: För configKey: Ange varje klass, avgränsad med kommatecken (utan mellanslag) och inom dubbla citattecken. Exempel: |
userClassNames | Ej tillämpligt | wgserver.domain.ldap.user.classnames | LDAP | Som standard söker Tableau Server efter LDAP-användarobjektklasser som innehåller strängarna ”user” (användare) och ”inetOrgPerson”. Om LDAP-användarobjekten inte använder de här vanliga klassnamnen, åsidosätter du standardnamnen genom att ange det här värdet. För configEntity: Det här alternativet använder en lista med strängar, vilket kräver att varje klass anges inom citattecken, separerade med kommatecken (utan mellanslag) och inom parentes. Exempel: För configKey: Ange varje klass, avgränsad med kommatecken (utan mellanslag) och inom dubbla citattecken. Exempel: |
Beräknade configKeys
Följande Kerberos-relaterade configKeys beräknas och ställs in enligt flera miljöinmatningar. Därför måste de ställas in av det inbyggda tsm-kommandot eller configEntities. Försök inte ställa in dessa configKeys manuellt.
Beräknad configKey | Så här använder du det inbyggda TSM-kommandot: | Så här använder du configEntity json: |
---|---|---|
wgserver.domain.ldap.kerberos.conf, cfs.ldap.kerberos.conf | Ställ in platsen för Kerberos-konfigurationsfilen med alternativet | Ställ in platsen för Kerberos-konfigurationsfilen med configEntity-alternativet kerberosConfig . |
wgserver.domain.ldap.kerberos.keytab, cfs.ldap.kerberos.keytab | Ställ in platsen för Kerberos-keytabfilen med alternativet kerbkeytab för kommandot tsm user-identity-store set-connection [alternativ]. | Ställ in platsen för Kerberos-keytabfilen med configEntity-alternativet kerberosKeytab . |
configKeys som inte stöds
Vissa configKeys som inte stöds finns i underliggande .yml-konfigurationsfiler. Följande nycklar är inte avsedda för standarddriftsättningar. Konfigurera inte följande nycklar:
- wgserver.domain.ldap.kerberos.login
- wgserver.domain.ldap.guid
- wgserver.domain.fqdn: Den här nyckeln är redundant med wgserver.domain.default. Värdena för båda nycklarna måste vara desamma. Uppdatera bara wgserver.domain.fqdn om värdet inte matchar med wgserver.domain.default.