ที่เก็บข้อมูลประจำตัว

Tableau Server ต้องการที่เก็บข้อมูลประจำตัวเพื่อจัดการผู้ใช้และจัดกลุ่มข้อมูล ที่เก็บข้อมูลประจำตัวมีสองประเภท ได้แก่ ในเครื่องและภายนอก เมื่อคุณติดตั้ง Tableau Server คุณต้องกำหนดค่าที่เก็บข้อมูลประจำตัวในเครื่องหรือที่เก็บข้อมูลประจำตัวภายนอก

หากต้องการข้อมูลเกี่ยวกับตัวเลือกการกำหนดค่าสำหรับที่เก็บข้อมูลประจำตัว โปรดดู เอนทิตี identityStore และการอ้างอิงการกำหนดค่าที่เก็บข้อมูลประจำตัวภายนอก หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการเพิ่มความยืดหยุ่นให้กับรูปแบบที่เก็บข้อมูลประจำตัวเดียว โปรดดูจัดสรรและตรวจสอบสิทธิ์ผู้ใช้โดยใช้พูลข้อมูลประจำตัว

ที่เก็บข้อมูลประจำตัวในเครื่อง

เมื่อคุณกำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลประจำตัวในเครื่อง ข้อมูลผู้ใช้และกลุ่มทั้งหมดจะถูกจัดเก็บและจัดการในที่เก็บของ Tableau Server ในสถานการณ์ของที่เก็บข้อมูลประจำตัวในเครื่อง จะไม่มีแหล่งภายนอกสำหรับผู้ใช้และกลุ่ม

ที่เก็บข้อมูลประจำตัวภายนอก

เมื่อคุณกำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลภายนอก ข้อมูลผู้ใช้และกลุ่มทั้งหมดจะถูกจัดเก็บและจัดการโดยบริการไดเรกทอรีภายนอก Tableau Server ต้องซิงโครไนซ์กับที่เก็บข้อมูลประจำตัวภายนอก เพื่อให้สำเนาในเครื่องของผู้ใช้และกลุ่มมีอยู่ในที่เก็บของ Tableau Server แต่ที่เก็บข้อมูลประจำตัวภายนอกเป็นแหล่งที่เชื่อถือได้สำหรับข้อมูลผู้ใช้และกลุ่มทั้งหมด

หากคุณกำหนดค่าที่เก็บข้อมูลประจำตัวของ Tableau Server เพื่อสื่อสารกับไดเรกทอรี LDAP ภายนอก ผู้ใช้ทั้งหมด (รวมถึงบัญชีผู้ดูแลระบบเริ่มต้น) ที่คุณเพิ่มใน Tableau Server จะต้องมีบัญชีในไดเรกทอรี

เมื่อ Tableau Server กำหนดค่าให้ใช้ไดเรกทอรี LDAP ภายนอก คุณต้องอิมพอร์ตข้อมูลประจำตัวผู้ใช้จากไดเรกทอรีภายนอกไปยังที่เก็บของ Tableau Server ให้เป็นผู้ใช้ระบบก่อน เมื่อผู้ใช้เข้าสู่ระบบ Tableau Server ข้อมูลประจำตัวจะถูกส่งไปยังไดเรกทอรีภายนอก ซึ่งมีหน้าที่ในการตรวจสอบสิทธิผู้ใช้ โดย Tableau Server ไม่ได้ทำการรับรองการตรวจสอบสิทธินี้ อย่างไรก็ตาม ชื่อผู้ใช้ Tableau ที่จัดเก็บไว้ในที่เก็บข้อมูลประจำตัวจะเชื่อมโยงกับสิทธิ์และการอนุญาตสำหรับ Tableau Server ดังนั้นหลังจากยืนยันการตรวจสอบสิทธิแล้ว Tableau Server จะจัดการการเข้าถึงของผู้ใช้ (การให้สิทธิ์) สำหรับทรัพยากรของ Tableau

Active Directory เป็นตัวอย่างของที่เก็บข้อมูลผู้ใช้ภายนอก Tableau Server ได้รับการปรับให้เหมาะกับการเชื่อมต่อกับ Active Directory ตัวอย่างเช่น เมื่อคุณติดตั้ง Tableau Server บนคอมพิวเตอร์ที่เข้าร่วมโดเมน Active Directory โดยใช้ กำหนดการตั้งค่าโหนดเริ่มต้น โปรแกรมติดตั้งจะตรวจหาและกำหนดการตั้งค่า Active Directory ส่วนใหญ่ ในทางกลับกัน หากคุณใช้ TSM CLI เพื่อติดตั้ง Tableau Server คุณต้องระบุการตั้งค่า Active Directory ทั้งหมด ในกรณีนี้ อย่าลืมใช้เทมเพลต LDAP - Active Directory เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัว

หากคุณกำลังติดตั้งลงใน Active Directory เราขอแนะนำให้คุณตรวจสอบ การจัดการผู้ใช้ในการปรับใช้ที่เก็บข้อมูลประจำตัวภายนอก ก่อนที่จะปรับใช้

สำหรับที่เก็บข้อมูลภายนอกอื่นๆ ทั้งหมด Tableau Server รองรับการใช้ LDAP เป็นวิธีการสื่อสารโดยทั่วไปสำหรับที่เก็บข้อมูลประจำตัว ตัวอย่างเช่น OpenLDAP เป็นหนึ่งในการใช้งานเซิร์ฟเวอร์ LDAP หลายรายการที่มีสคีมาที่ยืดหยุ่น สามารถกำหนดค่า Tableau Server เพื่อค้นหาเซิร์ฟเวอร์ OpenLDAP ได้ ในการดำเนินการดังกล่าว ผู้ดูแลระบบไดเร็กทอรีต้องให้ข้อมูลเกี่ยวกับสคีมา ระหว่างการตั้งค่า คุณต้องใช้ กำหนดการตั้งค่าโหนดเริ่มต้น เพื่อกำหนดค่าการเชื่อมต่อกับไดเรกทอรี LDAP อื่นๆ

การผูก LDAP

ไคลเอนต์ที่ต้องการสอบถามที่เก็บข้อมูลผู้ใช้โดยใช้ LDAP จะต้องตรวจสอบสิทธิ์และสร้างเซสชัน ทำได้โดยการผูก วิธีการผูกมีอยู่หลายวิธี การผูกแบบง่ายกำลังตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่าน สำหรับองค์กรที่เชื่อมต่อกับ Tableau Server ด้วยการผูกอย่างง่าย เราแนะนำให้กำหนดค่าการเชื่อมต่อที่เข้ารหัส SSL ไม่เช่นนั้น ข้อมูลประจำตัวจะถูกส่งผ่านสายในรูปแบบข้อความธรรมดา Tableau Server รองรับการผูกอีกประเภทหนึ่งคือการผูก GSSAPI GSSAPI ใช้ Kerberos เพื่อตรวจสอบสิทธิ์ ในกรณีของ Tableau Server นั้น Tableau Server คือไคลเอนต์ และที่เก็บข้อมูลผู้ใช้ภายนอกคือเซิร์ฟเวอร์ LDAP

การผูก LDAP กับ GSSAPI (Kerberos)

เราแนะนำให้ทำการผูกไดเรกทอรี LDAP กับ GSSAPI โดยใช้ไฟล์แท็บคีย์เพื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ LDAP คุณจะต้องมีไฟล์คีย์แท็บสำหรับบริการ Tableau Server โดยเฉพาะ นอกจากนี้เรายังแนะนำให้เข้ารหัสฟิลด์ด้วยเซิร์ฟเวอร์ LDAP โดยใช้ SSL/TLS โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP

หากคุณจะติดตั้งลงใน Active Directory และคอมพิวเตอร์ที่คุณกำลังติดตั้ง Tableau Server ได้เข้าร่วมกับโดเมนแล้ว คอมพิวเตอร์อาจมีไฟล์การกำหนดค่าและไฟล์คีย์แท็บอยู่แล้ว ในกรณีนี้ ไฟล์ Kerberos มีไว้สำหรับการทำงานของระบบปฏิบัติการและการตรวจสอบสิทธิ อันที่จริงแล้ว คุณสามารถใช้ไฟล์เหล่านี้สำหรับการผูก GSSAPI ได้ แต่เราไม่แนะนำให้ใช้ไฟล์ดังกล่าว โปรดติดต่อผู้ดูแลระบบ Active Directory ของคุณและขอคีย์แท็บสำหรับบริการ Tableau Server โดยเฉพาะแทน โปรดดู การทำความเข้าใจข้อกำหนดของ Keytab

สมมติว่าระบบปฏิบัติการของคุณมีคีย์แท็บที่กำหนดค่าไว้อย่างเหมาะสมสำหรับการตรวจสอบสิทธิกับโดเมน ดังนั้นไฟล์คีย์ Kerberos สำหรับการผูก GSSAPI คือทั้งหมดที่คุณต้องการสำหรับการติดตั้งฐานของ Tableau Server หากคุณวางแผนที่จะใช้การรับรองสิทธิ์ Kerberos สำหรับผู้ใช้ ให้ทำการกำหนดค่า Kerberos สำหรับตรวจสอบสิทธิ์ของผู้ใช้ และ การมอบหมาย Kerberos ไปยังแหล่งข้อมูล หลังจากการติดตั้งเสร็จสิ้น

 

LDAP ผ่าน SSL

โดยค่าเริ่มต้น LDAP ที่มีการผูกอย่างง่ายกับเซิร์ฟเวอร์ LDAP ที่กำหนดเองจะไม่ถูกเข้ารหัส ข้อมูลรับรองผู้ใช้ที่ใช้เพื่อสร้างเซสชันการผูกกับเซิร์ฟเวอร์ LDAP จะได้รับการสื่อสารเป็นข้อความธรรมดาระหว่าง Tableau Server และเซิร์ฟเวอร์ LDAP เราขอแนะนำให้คุณเข้ารหัสช่องทางระหว่าง Tableau Server และเซิร์ฟเวอร์ LDAP

ตั้งแต่เวอร์ชัน 2021.2 Tableau Server บน Linux ต้องการช่องทาง LDAP ที่เข้ารหัส เมื่อคุณใช้ Active Directory เป็นที่เก็บข้อมูลประจำตัว คุณต้องติดตั้งใบรับรอง SSL/TSL ที่ถูกต้องก่อนที่จะติดตั้งหรืออัปเกรดเป็น 2021.2 หรือใหม่กว่า แม้ว่าจะไม่แนะนำ แต่คุณสามารถปิดการใช้งานค่าเริ่มต้นช่องทาง LDAP ที่เข้ารหัสได้ด้วย หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานหรือปิดใช้งานการเข้ารหัสสำหรับ Active Directory และเซิร์ฟเวอร์ LDAP อื่นๆ โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP

ผู้ใช้ระบบและกลุ่ม

Tableau Server สำหรับ Linux ใช้ผู้ใช้หนึ่งรายและสองกลุ่มเพื่อการทำงานที่เหมาะสม ผู้ใช้และกลุ่มสามารถอยู่ในเครื่องหรือจากบริการไดเรกทอรี LDAP

ผู้ใช้

Tableau Server ต้องการบัญชีบริการ บัญชีนี้เป็นผู้ใช้ที่ไม่มีสิทธิพิเศษ ซึ่งมีสิทธิ์ในการเข้าสู่ระบบตามปกติ ตามค่าเริ่มต้น การติดตั้ง Tableau Server จะสร้างผู้ใช้ในเครื่อง ซึ่งคือ tableau สำหรับบัญชีบริการ

หากคุณต้องการใช้บัญชีผู้ใช้ที่มีอยู่สำหรับบัญชีบริการ Tableau Server คุณต้องปิดใช้งานการสร้างบัญชีระหว่างการติดตั้ง

โดยเฉพาะอย่างยิ่ง คุณจะต้องตั้งค่าตัวเลือก --disable-account-creation เมื่อคุณเรียกใช้สคริปต์ initialize-tsm คุณจะต้องระบุชื่อบัญชีด้วยตัวเลือก --unprivileged-user หากไม่มีบัญชีที่คุณระบุ สคริปต์ initialize-tsm จะสร้างบัญชีขึ้นมา ดูรายละเอียดเพิ่มเติมได้ที่ เอาต์พุตความช่วยเหลือสำหรับสคริปต์ initialize-tsm

หากคุณต้องการระบุบัญชีที่มีอยู่ด้วยตัวเลือก --unprivileged-user ให้ตรวจสอบว่าบัญชีผู้ใช้นั้นเป็นผู้ใช้ที่ไม่มีสิทธิพิเศษที่มีสิทธิ์ในการเข้าสู่ระบบตามปกติ กำหนดค่าบัญชีด้วยคุณสมบัติดังต่อไปนี้:

  • เชลล์ตั้งค่าเป็น /bin/bash

  • เพื่อความสะดวก ให้ลองตั้งค่าโฮมไดเร็กทอรีเป็นเส้นทางไดเร็กทอรีข้อมูล บัญชีต้องมีความเป็นเจ้าของและสิทธิ์ในการเขียนไปยังโฮมไดเร็กทอรี่

หากคุณระบุบัญชีที่ไม่ได้รับสิทธิพิเศษอื่นระหว่างการตั้งค่า คุณต้องเพิ่มผู้ใช้รายเดียวกันในกลุ่ม systemd-journal ด้วยตนเอง ผู้ใช้ที่ไม่มีสิทธิพิเศษจะต้องเป็นสมาชิกของกลุ่ม systemd-journal เพื่อให้ Tableau Server สามารถรวบรวมบันทึกจากบริการบางอย่าง (เช่น สอบถามข้อมูล) เมื่อเรียกใช้คำสั่ง tsm maintenance ziplogs หากผู้ใช้ที่ไม่มีสิทธิพิเศษไม่ได้เป็นสมาชิกของกลุ่ม ziplogs จะไม่มีบันทึกจากบริการที่ได้รับผลกระทบ

กลุ่ม

Tableau Server ต้องการสองกลุ่มสำหรับการดำเนินการ

ในการติดตั้งเริ่มต้น บัญชีบริการ tableau ในเครื่องจะอยู่ในกลุ่มหลักที่ชื่อ tableau อย่างไรก็ตาม หากคุณระบุผู้ใช้ที่ไม่มีสิทธิพิเศษอื่นในระหว่างการติดตั้ง ระบบจะใช้กลุ่มหลักสำหรับบัญชีสำรองนั้น เพื่อความสะดวก คุณสามารถเพิ่มบัญชีใดๆ ในกลุ่มนี้เพื่อให้สามารถอ่านไฟล์บันทึกของ Tableau Server (โดยไม่ต้องรูท)

กลุ่มที่สองใช้เพื่ออนุญาตผู้ใช้ที่ได้รับอนุญาตให้ตรวจสอบ Tableau Services Manager (TSM) ผู้ใช้ในกลุ่มนี้จะสามารถส่งคำสั่งไปยัง TSM ได้ ดังนั้นจึงควรจำกัดให้ในกลุ่มมีเฉพาะผู้ดูแลระบบ Tableau Server โดยค่าเริ่มต้น กลุ่มนี้มีชื่อว่า tsmadmin

หากคุณไม่ต้องการใช้ชื่อเริ่มต้น คุณจะต้องระบุชื่อกลุ่มด้วยตัวเลือก--tsm-authorized-group เมื่อคุณเรียกใช้ initialize-tsm ดูรายละเอียดเพิ่มเติมได้ที่ เอาต์พุตความช่วยเหลือสำหรับสคริปต์ initialize-tsm

การตรวจสอบสิทธิไคลเอนต์

การตรวจสอบสิทธิผู้ใช้ขั้นพื้นฐานใน Tableau Server ทำได้โดยการเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านสำหรับที่เก็บข้อมูลผู้ใช้ทั้งในเครื่องและภายนอก ในกรณีในเครื่อง รหัสผ่านของผู้ใช้จะถูกเก็บไว้เป็นรหัสผ่านที่แฮชในที่เก็บ ในกรณีภายนอก Tableau Server จะส่งข้อมูลประจำตัวไปยังที่เก็บข้อมูลผู้ใช้ภายนอกและรอการตอบกลับว่าข้อมูลประจำตัวนั้นถูกต้องหรือไม่ ที่เก็บข้อมูลผู้ใช้ภายนอกยังสามารถจัดการการรับรองความถูกต้องประเภทอื่นๆ ได้ เช่น Kerberos แต่แนวทางยังคงเหมือนเดิม Tableau Server มอบหมายข้อมูลประจำตัวหรือผู้ใช้ไปยังที่เก็บข้อมูลภายนอกและรอการตอบกลับ

คุณสามารถกำหนดค่า Tableau Server เพื่อปิดการใช้งานการเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านได้ ในสถานการณ์เหล่านี้ คุณสามารถใช้วิธีการตรวจสอบสิทธิอื่นๆ ได้ เช่น การตรวจสอบสิทธิที่เชื่อถือได้, OpenID หรือ SAML โปรดดูการตรวจสอบสิทธิ์

ในบางกรณี คุณอาจต้องอัปเดตไดเรกทอรีภายนอกของ LDAP เพื่ออนุญาตการดำเนินการผูกด้วยชื่อผู้ใช้ + รูปแบบ DN จาก Tableau Server โปรดดู ลักษณะการทำงานผูกข้อมูลผู้ใช้เมื่อเข้าสู่ระบบ

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ