Identitetsregister
Tableau Server kräver ett identitetsregister för att hantera användar- och gruppinformation. Det finns två typer av identitetsregister: lokala och externa. När du installerar Tableau Server måste du konfigurera antingen ett lokalt eller ett externt identitetsregister.
För information om konfigurationsalternativ för identitetsregistret, se identityStore Entity och Konfigurationsreferens för externt identitetsregister. Se Provisionera och autentisera användare med hjälp av identitetspooler för mer information om att skapa mer flexibilitet till modellen med ett enda identitetsregister.
Lokalt identitetsregister
När du konfigurerar Tableau Server med ett lokalt identitetsregister lagras och hanteras all användar- och gruppinformation på Tableau Server-lagringsplatsen. I scenariot med lokalt identitetsregister finns det ingen extern källa för användare och grupper.
Externt identitetsregister
När du konfigurerar Tableau Server med ett externt register lagras och hanteras all användar- och gruppinformation av en extern katalogtjänst. Tableau Server måste synkroniseras med det externa identitetsregistret så att lokala kopior av användare och grupper finns på Tableau Server-lagringsplatsen, men det externa identitetsregistret är den auktoritativa källan för alla användar- och gruppdata.
Om du har konfigurerat Tableau Server identitetsregister för att kommunicera med en extern LDAP-katalog, måste alla användare (inklusive det ursprungliga administratörskontot) som du lägger till i Tableau Server ha ett konto i katalogen.
7När Tableau Server är konfigurerad att använda en extern LDAP-katalog måste du först importera användaridentiteter från den externa katalogen till Tableau Server-lagringsplatsen som systemanvändare. När användare loggar in på Tableau Server skickas deras inloggningsuppgifter till den externa katalogen, som ansvarar för autentisering av användaren. Tableau Server utför inte denna autentisering. Men de Tableau-användarnamn som lagras i identitetsregistret är dock kopplade till rättigheter och behörigheter för Tableau Server. När autentiseringen har verifierats hanterar Tableau Server därför användaråtkomst (auktorisering) för Tableau-resurser.
Active Directory är ett exempel på ett externt användarmagasin. Tableau Server är optimerad för gränssnitt med Active Directory. När du till exempel installerar Tableau Server på en domänansluten Active Directory-dator med Konfigurera initiala nodinställningarkommer installationen att detektera och konfigurera de flesta Active Directory-inställningar. Om du däremot använder TSM CLI för att installera Tableau Server måste du ange alla Active Directory-inställningar. I detta fall ska du se till att använda LDAP – Active Directory-mallen för att konfigurera identitetsregistret.
Om du installerar i Active Directory rekommenderar vi att du granskar Användarhantering i driftsättningar med externa identitetsregister innan du distribuerar.
För alla andra externa arkiv stöder Tableau Server LDAP som ett generiskt sätt att kommunicera identitetsregistret. Till exempel är OpenLDAP en av flera LDAP-serverimplementationer med ett flexibelt schema. Tableau Server kan konfigureras för att fråga OpenLDAP-servern. För att göra detta måste katalogadministratören tillhandahålla information om schemat. Under installationen måste du använda Konfigurera initiala nodinställningar för att konfigurera en anslutning till andra LDAP-kataloger.
LDAP-bindning
Klienter som vill fråga efter ett användararkiv med LDAP måste autentisera och etablera en session. Detta görs genom bindning. Det finns flera sätt att binda. Enkel bindning är autentisering med ett användarnamn och lösenord. För organisationer som ansluter till Tableau Server med enkel bindning rekommenderar vi att du konfigurerar en SSL-krypterad anslutning, annars skickas inloggningsuppgifterna över nätet i klartext. En annan typ av bindning Tableau Server stöder är GSSAPI-bindning. GSSAPI använder Kerberos för att autentisera. I fallet med Tableau Server är Tableau Server klienten och det externa användarlagret är LDAP-servern.
LDAP med GSSAPI (Kerberos)-bindning
Vi rekommenderar att binda till LDAP-katalogen med GSSAPI med hjälp av en keytab-fil för att autentisera till LDAP-servern. Du behöver en keytab-fil specifikt för tjänsten Tableau Server. Vi rekommenderar också att du krypterar kanalen med LDAP-servern med SSL/TLS. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
Om du installerar i Active Directory, och datorn där du installerar Tableau Server redan är ansluten till domänen, då kan datorn redan ha en konfigurationsfil och en keyab-fil. I detta fall är Kerberos-filerna för operativsystemets funktionalitet och autentisering. Du kan använda de här filerna för GSSAPI-bindning, men vi rekommenderar inte detta. I stället ber vi dig kontakta Active Directory-administratören och begära en keytab-fil som är specifik för Tableau Server-tjänsten. Läs mer i Förstå kraven för keytab-filer.
Förutsatt att ditt operativsystem har en korrekt konfigurerad keytab för autentisering till domänen, så är Kerberos keyfile för GSSAPI-bindning allt du behöver för basinstallationen av Tableau Server. Om du planerar att använda Kerberos autentisering för användare, konfigurera sedan Kerberos för användarautentisering och Kerberos delegering till datakällor efter installationen är klar.
LDAP över SSL
Som standard är LDAP med enkel bindning till godtyckliga LDAP-servrar inte krypterad. Användaruppgifter som används för att upprätta bindningssessionen med LDAP-servern kommuniceras i klartext mellan Tableau Server och LDAP-servern. Vi rekommenderar starkt att du krypterar kanalen mellan Tableau Server och LDAP-servern.
Från och med version 2021.2 kräver Tableau Server på Linux en krypterad LDAP-kanal när du använder Active Directory som identitetsregister. Du måste installera ett giltigt SSL/TSL-certifikat innan du installerar eller uppgraderar till 2021.2 eller senare. Även om det inte rekommenderas, kan du också inaktivera den standardkrypterade LDAP-kanalen. Mer information om hur du aktiverar eller inaktiverar kryptering för Active Directory och andra LDAP-servrar finns i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
Systemanvändare och grupper
Tableau Server på Linux använder en användare och två grupper för korrekt drift. Användaren och grupperna kan vara lokala eller från en LDAP-katalogtjänst.
Användare
Tableau Server kräver ett servicekonto. Detta konto är en obehörig användare med normala inloggningsprivilegier. Som standard kommer Tableau Server-installationen att skapa en lokal användare, tableau
, för servicekontot.
Om du vill använda ett befintligt användarkonto för Tableau Server-servicekontot måste du inaktivera kontoskapande under installationen.
Specifikt måste du ställa in alternativet --disable-account-creation
när du kör skriptet initialize-tsm. Du måste också ange kontonamnet med alternativet --unprivileged-user
. Om kontot som du anger inte finns skapas det av skriptet initialize-tsm. Mer information finns i Hjälputdata för skriptet initialize-tsm.
Om du vill ange ett befintligt konto med alternativet --unprivileged-user
, verifiera att användarkontot är en obehörig användare med normala inloggningsrättigheter. Konfigurera kontot med följande egenskaper:
Gränssnitt inställt på
/bin/bash
.För enkelhetens skull kan du överväga att ställa in hemkatalogen på sökvägen till datakatalogen. Kontot måste ha äganderätt och skrivrättigheter till hemkatalogen.
Om du anger ett annat obehörigt konto under installationen måste du manuellt lägga till samma användare i systemd-journalgruppen. Den obehöriga användaren måste vara medlem i systemd-journalgruppen så att Tableau Server kan samla in loggar från vissa tjänster (till exempel Fråga data) när du kör kommandot tsm maintenance ziplogs. Om den obehörige användaren inte är medlem i gruppen kommer ziplogs inte att innehålla loggar från de berörda tjänsterna
Grupper
Tableau Server kräver två grupper för drift.
I en standardinstallation tillhör det lokala servicekontot tableau
en primär grupp som heter tableau
. Men om du anger en alternativ obehörig användare under installationen, kommer den primära gruppen för det alternativa kontot att användas. Som en bekvämlighet, kan alla konton läggas till i denna grupp för att kunna läsa Tableau Server-loggfiler (utan att bli rot).
Den andra gruppen används för att auktorisera vilka användare som är behöriga att autentisera till Tableau Services Manager (TSM). Alla användare i denna grupp kommer att kunna skicka kommandon till TSM, så det bör begränsas till Tableau Server-administratörer. Den TSM-auktoriserade gruppen får namnet tsmadmin
som standard.
Om du inte ska använda standardnamnet måste du ange gruppnamnet med altrenativet --tsm-authorized-group
när du kör initialize-tsm. Mer information finns i Hjälputdata för skriptet initialize-tsm.
Autentisera klienter
Grundläggande användarautentisering i Tableau Server sker genom inloggning med användarnamn och lösenord för både lokala och externa användarbutiker. I det lokala fallet lagras användarens lösenord som ett hash-lösenord i lagringsplatsen. I det externa fallet skickar Tableau Server inloggningsuppgifterna till den externa användarens arkiv och väntar på ett svar om huruvida inloggningsuppgifterna är giltiga. Externa användaarkiv kan också hantera andra typer av autentisering som Kerberos, men konceptet är fortfarande detsamma, Tableau Server delegerar autentiseringsuppgifter eller användare till det externa arkivet och väntar på ett svar.
Du kan konfigurera Tableau Server så att inloggning med användarnamn och lösenord är inaktiverad. I dessa scenarier kan andra autentiseringsmetoder, såsom tillförlitlig autentisering, OpenID eller SAML användas. Läs mer i Autentisering.
I vissa fall kan du behöva uppdatera LDAP externa kataloger för att tillåta bindningsåtgärder med användarnamn + DN-format från Tableau Server. Se Användarbindning vid inloggning.