การจัดการผู้ใช้ในการปรับใช้ที่เก็บข้อมูลประจำตัวภายนอก
หัวข้อนี้อธิบายรายละเอียดทางเทคนิคที่สำคัญที่คุณควรทำความคุ้นเคยหากคุณใช้ที่เก็บข้อมูลประจำตัวภายนอกเพื่อจัดการผู้ใช้สำหรับ Tableau Server Tableau Server รองรับการเชื่อมต่อกับไดเรกทอรีภายนอกโดยใช้ LDAP ในสถานการณ์นี้ Tableau Server จะนำเข้าผู้ใช้จากไดเรกทอรี LDAP ภายนอกไปยังที่เก็บของ Tableau Server ในฐานะผู้ใช้ระบบ
ไดเรกทอรี LDAP ที่กำหนดเอง
ชื่อผู้ใช้ระบบใน Tableau คือแอตทริบิวต์ใดก็ตามที่คุณตั้งค่าให้เป็นส่วนหนึ่งของการกำหนดค่า LDAP เช่น “cn” ซึ่งเป็นจริงสำหรับทั้งฟังก์ชันการนำเข้าผู้ใช้แต่ละรายและการซิงค์แบบกลุ่ม โปรดดูที่การอ้างอิงการกำหนดค่าที่เก็บข้อมูลประจำตัวภายนอก
ลักษณะการทำงานผูกข้อมูลผู้ใช้เมื่อเข้าสู่ระบบ
คุณอาจต้องอัปเดตการกำหนดค่า LDAP เพื่ออนุญาตการผูกข้อมูลชื่อผู้ใช้ที่ต่อท้าย DN โดยเฉพาะอย่างยิ่ง คุณจะต้องอัปเดตการกำหนดค่า LDAP เมื่อมีการกำหนดค่า Server Tableau ด้วยไดเรกทอรี LDAP ที่กำหนดเอง (เช่น OpenLDAP) ที่ใช้ UPN หรือที่อยู่อีเมลเป็นชื่อผู้ใช้
Tableau Server จะค้นหาผู้ใช้ที่ระบุตามชื่อผู้ใช้ที่ให้ไว้ระหว่างการเข้าสู่ระบบ จากนั้น Tableau Server จะพยายามผูกข้อมูลกับชื่อผู้ใช้ที่ต่อท้ายด้วย DN ในกรณีที่ Server Tableau มีการกำหนดค่าด้วย GSSAPI ระบบจะใช้ username@REALM (ชื่อโดเมน)
Active Directory
เนื้อหาในส่วนที่เหลือของหัวข้อนี้ถือว่าคุณมีความคุ้นเคยกับการจัดการผู้ใช้ Active Directory และแนวคิดพื้นฐานของสกีมาและโดเมนของ Active Directory แล้ว
หมายเหตุ: ในบริบทการซิงโครไนซ์ผู้ใช้หรือกลุ่ม Tableau Server ที่กำหนดค่าด้วยที่เก็บข้อมูลประจำตัว LDAP จะเทียบเท่ากับ Active Directory ฟีเจอร์การซิงโครไนซ์ Active Directory ใน Tableau Server ทำงานอย่างไร้รอยต่อร่วมกับโซลูชันไดเรกทอรี LDAP ที่กำหนดค่าไว้อย่างเหมาะสม
การตรวจสอบสิทธิผู้ใช้ Active Directory และ Tableau Server
Tableau Server จัดเก็บชื่อผู้ใช้ทั้งหมดในที่เก็บข้อมูลประจำตัวของ Tableau Server ซึ่งดำเนินการโดยที่เก็บ หาก Tableau Server กำหนดค่าให้ใช้ Active Directory สำหรับการตรวจสอบสิทธิ คุณจะต้องนำเข้าข้อมูลประจำตัวผู้ใช้จาก Active Directory ไปยังที่เก็บข้อมูลประจำตัวก่อน เมื่อผู้ใช้เข้าสู่ระบบ Tableau Server ข้อมูลเข้าสู่ระบบจะถูกส่งไปยัง Active Directory ซึ่งมีหน้าที่ตรวจสอบสิทธิผู้ใช้ โดยที่ Tableau Server จะไม่ได้ทำการตรวจสอบสิทธินี้ (โดยค่าเริ่มต้น NTLM จะใช้สำหรับการตรวจสอบสิทธิ แต่คุณสามารถเปิดใช้งาน Kerberos หรือ SAML สำหรับฟังก์ชันการลงชื่อเพียงครั้งเดียว อย่างไรก็ตาม การตรวจสอบสิทธิจะเหลือไว้ใน Active Directory ในทุกกรณี) อย่างไรก็ตาม ชื่อผู้ใช้ Tableau ที่จัดเก็บไว้ในที่เก็บข้อมูลประจำตัวจะเชื่อมโยงกับสิทธิและสิทธิอนุญาตสำหรับ Tableau Server ดังนั้นหลังจากยืนยันการตรวจสอบสิทธิแล้ว Tableau Server จะจัดการการเข้าถึงของผู้ใช้ (การให้สิทธิ) สำหรับทรัพยากรของ Tableau
แอตทริบิวต์ชื่อผู้ใช้ Active Directory และ Tableau Server
Active Directory ระบุออบเจ็กต์ผู้ใช้โดยไม่ซ้ำกันโดยใช้แอตทริบิวต์ต่างๆ (หากต้องการรายละเอียด โปรดดูที่แอตทริบิวต์การตั้งชื่อผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)บนเว็บไซต์ MSDN) Tableau Server จะใช้แอตทริบิวต์การตั้งชื่อผู้ใช้ Active Directory สองรายการ:
sAMAccountName
แอตทริบิวต์นี้ระบุชื่อการเข้าสู่ระบบที่เดิมออกแบบมาเพื่อใช้กับ Windows เวอร์ชันเก่า ในหลายองค์กร ชื่อนี้จะรวมกับชื่อ NetBIOS สำหรับการตรวจสอบสิทธิ์โดยใช้รูปแบบ เช่นexample\jsmith
ซึ่งexample
คือชื่อ NetBIOS และjsmith
คือค่าsAMAccountName
เนื่องจากการออกแบบดั้งเดิมใน Windows ค่าsAMAccountName
จะต้องน้อยกว่า 20 อักขระในคอนโซลการดูแลระบบผู้ใช้ Windows Active Directory และคอมพิวเตอร์ ค่านี้อยู่ในฟิลด์ที่มีป้ายกำกับชื่อเข้าสู่ระบบของผู้ใช้ (ก่อน Windows 2000) บนแท็บบัญชีของออบเจ็กต์ผู้ใช้
userPrincipalName
(UPN) แอตทริบิวต์นี้ระบุชื่อผู้ใช้ในรูปแบบjsmith@example.com
โดยที่jsmith
คือคำนำหน้า UPN และ@example.com
คือคำต่อท้าย UPNในคอนโซลการดูแลระบบผู้ใช้ Windows Active Directory และคอมพิวเตอร์ UPN เป็นการต่อกันของสองฟิลด์บนแท็บบัญชีของออบเจ็กต์ผู้ใช้: ฟิลด์ชื่อการเข้าสู่ระบบของผู้ใช้ และเมนูดรอปดาวน์ของโดเมนที่อยู่ติดกัน
การเพิ่มผู้ใช้จาก Active Directory
คุณสามารถเพิ่มผู้ใช้ทีละรายจาก Active Directory ได้โดยการพิมพ์ในสภาพแวดล้อมเซิร์ฟเวอร์หรือโดยการสร้างไฟล์ CSV และนำเข้าผู้ใช้ คุณยังเพิ่มผู้ใช้ Active Directory ด้วยการสร้างกลุ่มผ่าน Active Directory และนำเข้าผู้ใช้ในกลุ่มทั้งหมดได้อีกด้วย ทั้งนี้ผลลัพธ์อาจแตกต่างกันไปตามวิธีการที่คุณใช้
การนำเข้าคำนำหน้า UPN เป็นชื่อผู้ใช้
คุณนำเข้า UPN ทั้งหมดเป็นชื่อผู้ใช้ไม่ได้
ในกรณีส่วนใหญ่ ชื่อผู้ใช้ที่ Tableau Server จะนำเข้าในที่เก็บข้อมูลประจำตัวจะเป็นค่า sAMAccountName หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับข้อยกเว้นสำหรับลักษณะการทำงานนี้ โปรดดูการนำเข้าคำนำหน้า UPN เป็นชื่อผู้ใช้ในสถานการณ์ที่ไม่ได้มาตรฐานกับ Active Directory(ลิงก์จะเปิดในหน้าต่างใหม่) ในฐานความรู้ของ Tableau
การเพิ่มกลุ่มผู้ใช้
Tableau จะนำเข้าผู้ใช้ทั้งหมดจากกลุ่มโดยใช้ sAMAccountName
หากคุณนำเข้ากลุ่มผู้ใช้ Active Directory
ซิงค์การทำงานเมื่อลบผู้ใช้ออกจาก Active Directory
ไม่สามารถลบผู้ใช้ออกจาก Tableau Server ได้โดยอัตโนมัติผ่านการดำเนินการซิงค์ Active Directory ผู้ใช้ที่ถูกปิดใช้งาน ลบ หรือลบออกจากกลุ่มใน Active Directory จะยังคงอยู่บน Tableau Server เพื่อให้คุณสามารถตรวจสอบและกำหนดเนื้อหาของผู้ใช้ใหม่ก่อนที่จะลบบัญชีผู้ใช้ทั้งหมด
อย่างไรก็ตาม Tableau Server จะทำงานกับออบเจ็กต์ของผู้ใช้แตกต่างกันไปตามสถานะของออบเจ็กต์ผู้ใช้ดังกล่าวที่เปลี่ยนแปลงใน Active Directory โดยมี 2 สถานการณ์ คือ การลบ/ปิดใช้งานผู้ใช้ใน Active Directory หรือการลบผู้ใช้ออกจากกลุ่มที่ซิงโครไนซ์ใน Active Directory
เมื่อคุณลบหรือปิดใช้งานผู้ใช้ใน Active Directory แล้วซิงโครไนซ์กลุ่มของผู้ใช้นั้นบน Tableau Server สิ่งต่อไปนี้จะเกิดขึ้น:
- ผู้ใช้จะถูกนำออกจากกลุ่ม Tableau Server ที่คุณทำการซิงโครไนซ์
- บทบาทของผู้ใช้จะตั้งค่าเป็น "ไม่มีสิทธิอนุญาต”
- ผู้ใช้จะยังคงเป็นส่วนหนึ่งของกลุ่ม "ผู้ใช้ทั้งหมด"
- ผู้ใช้ไม่สามารถเข้าสู่ระบบ Tableau Server ได้
เมื่อคุณลบผู้ใช้ออกจากกลุ่มใน Active Directory แล้วซิงโครไนซ์กลุ่มดังกล่างใน Tableau Server สิ่งต่อไปนี้จะเกิดขึ้น:
- ผู้ใช้จะถูกนำออกจากกลุ่ม Tableau Server ที่คุณทำการซิงโครไนซ์
- บทบาทผู้ใช้ยังคงอยู่ แต่ไม่ได้ตั้งค่าเป็น “ไม่มีสิทธิ์อนุญาต”
- ผู้ใช้จะยังคงเป็นส่วนหนึ่งของกลุ่ม "ผู้ใช้ทั้งหมด"
- ผู้ใช้จะยังได้รับสิทธิให้ใช้ Tableau Server และสามารถเข้าถึงทุกสิ่งที่กลุ่ม All Users ได้รับสิทธิให้ใช้
ในทั้งสองกรณีนี้ หากต้องการลบผู้ใช้ออกจาก Tableau Server ผู้ดูแลเซิร์ฟเวอร์จะต้องลบผู้ใช้ออกจากหน้า Server Users ใน Tableau Server
ชื่อเล่นโดเมน
ใน Tableau Server ชื่อเล่นโดเมนจะเทียบเท่ากับชื่อโดเมน Windows NetBIOS ในฟอเรสต์ Windows Active Directory ชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) สามารถมีชื่อ NetBIOS ได้ตามต้องการ ชื่อ NetBIOS จะใช้เป็นตัวระบุโดเมนเมื่อผู้ใช้เข้าสู่ระบบ Active Directory
ตัวอย่างเช่น FQDN west.na.corp.lan
อาจได้รับการกำหนดค่าด้วยชื่อ NetBIOS (ชื่อเล่น) ของ SEATTLE
ผู้ใช้ jsmith
ในโดเมนนั้นสามารถเข้าสู่ระบบ Windows ได้โดยใช้ชื่อผู้ใช้ต่อไปนี้
west.na.corp.example.com\jsmith
SEATTLE\jsmith
หากคุณต้องการให้ผู้ใช้เข้าสู่ระบบ Tableau Server ด้วยชื่อ NetBIOS แทน FQDN คุณจะต้องตรวจสอบว่ามีการตั้งค่าชื่อเล่นสำหรับแต่ละโดเมนที่ผู้ใช้เข้าสู่ระบบหรือไม่ โปรดดูที่ editdomain สำหรับข้อมูลเกี่ยวกับวิธีการดูและตั้งค่าชื่อเล่นสำหรับแต่ละโดเมน
รองรับหลายโดเมน
คุณสามารถเพิ่มผู้ใช้และกลุ่มจากโดเมนที่ต่างจากโดเมนของคอมพิวเตอร์ Tableau Server ได้ในกรณีต่อไปนี้
มีการสร้างความน่าเชื่อถือแบบสองทางระหว่างโดเมนของเซิร์ฟเวอร์และโดเมนของผู้ใช้
โดเมนของเซิร์ฟเวอร์เชื่อถือโดเมนของผู้ใช้ (ความน่าเชื่อถือทางเดียว) ดู ข้อกำหนดความน่าเชื่อถือของโดเมนสำหรับการปรับใช้ Active Directory
ครั้งแรกที่คุณเพิ่มผู้ใช้หรือกลุ่มจากโดเมนที่ไม่ใช่เซิร์ฟเวอร์ คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วนที่มีชื่อผู้ใช้/กลุ่ม คุณสามารถเพิ่มผู้ใช้หรือกลุ่มเพิ่มเติมจากโดเมนนั้นได้โดยใช้ชื่อเล่นของโดเมน และต้องให้ชื่อเล่นตรงกับชื่อ NetBIOS หาก Tableau Server เชื่อมต่อกับหลายโดเมน คุณต้องระบุโดเมนอื่นที่ Tableau Server เชื่อมต่อด้วยการตั้งค่าตัวเลือก wgserver.domain.whitelist
(เวอร์ชัน 2020.3 และเก่ากว่า) หรือ wgserver.domain.accept_list
(เวอร์ชัน 2020.4 และใหม่กว่า) ด้วย TSM หากต้องการข้อมูลเพิ่มเติม โปรดดู wgserver.domain.whitelist หรือ wgserver.domain.accept_list
ชื่อที่แสดงที่ซ้ำกัน
หากชื่อที่แสดงของผู้ใช้ไม่ซ้ำกันในหลายโดเมน การจัดการผู้ใช้ที่มีชื่อที่แสดงเดียวกันใน Tableau อาจก่อให้เกิดความสับสนได้ Tableau Server จะแสดงชื่อเดียวกันสำหรับผู้ใช้สองคน ตัวอย่างเช่น ดูที่องค์กรที่มีสองโดเมนคือ example.lan และ example2.lan หากผู้ใช้ John Smith มีอยู่ในทั้งสองโดเมน การเพิ่มผู้ใช้นั้นในกลุ่มและงานการดูแลระบบอื่นๆ จะทำให้เกิดความสับสนใน Tableau Server ในสถานการณ์นี้ ให้พิจารณาอัปเดตชื่อที่แสดงใน Active Directory สำหรับผู้ใช้รายใดรายหนึ่งเพื่อสร้างความแตกต่างให้กับบัญชี
เข้าสู่ระบบ Tableau Server ด้วยชื่อ NetBIOS
ผู้ใช้สามารถเข้าสู่ระบบ Tableau Server โดยใช้ชื่อเล่นโดเมน (ชื่อ NetBIOS) ได้ เช่น SEATTLE\jsmith
Tableau Server จะไม่ค้นหาชื่อ NetBIOS สำหรับ FQDN ที่กำหนด ด้วยเหตุนี้ Tableau จึงตั้งชื่อเล่นของ FQDN ที่กำหนดตามรายการแรกในเนมสเปซ ตัวอย่างเช่น เมื่อกำหนดให้ FQDN คือ west.na.corp.lan
Tableau จะตั้งชื่อเล่นเป็น west
ดังนั้น คุณอาจต้องอัปเดตชื่อเล่นโดเมนใน Tableau Server ก่อนที่ผู้ใช้จะเข้าสู่ระบบโดยใช้ชื่อเล่นได้ หากคุณไม่อัปเดตชื่อเล่น ผู้ใช้จะต้องเข้าสู่ระบบโดยใช้ชื่อโดเมนที่มีคุณสมบัติครบถ้วน หากต้องการข้อมูลเพิ่มเติม โปรดดู ผู้ใช้จากโดเมนใหม่ไม่สามารถเข้าสู่ระบบและไม่ปรากฏในรายการผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในฐานความรู้ของ Tableau