Linux 版 Tableau Server 帮助

您可以使用 tsm authentication 命令来启用、禁用和配置 Tableau Server 的用户身份验证选项。

tsm authentication kerberos <commands>

在 Tableau Server 上启用、禁用和配置 Kerberos 用户身份验证。请参见配置 Kerberos。

概要

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure 选项

-kt, --keytab-file <keytab_file.keytab>

必需。

指定用于向 KDC 提出请求的服务 .keytab 文件。

tsm authentication list

列出服务器现有的身份验证相关配置设置。

概要

tsm authentication list [--verbose][global options]

选项

v, --verbose

可选。

显示所有配置的参数。

tsm authentication mutual-ssl <commands>

在 Tableau Server 上为用户身份验证启用、禁用和配置相互 SSL。若要了解有关相互 SSL 的详细信息，请参见配置相互 SSL 身份验证。

在启用相互 SSL 之前，您必须启用和配置 SSL 以进行外部通信。有关信息，请参见针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL。

概要

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

选项

-cf, --ca-cert <certificate-file.crt>

可选。

指定证书文件的位置和文件名。该文件必须是来自证书颁发机构的有效的受信任证书（例如 Verisign）。

-fb, --fallback-to-basic <true | false>

可选。

指定在 SSL 身份验证失败的情况下 Tableau Server 是否应该接受用户名和密码以进行身份验证。

默认值为 false，表示配置为使用相互 SSL 后，如果 SSL 身份验证失败，则 Tableau Server 不允许进行连接。Tableau Server 接受来自 REST API 客户端的用户名和密码身份验证，即使此选项设置为 false。

-m, --user-name-mapping <upn | ldap | cn>

可选。

指定用户名语法（UPN、LDAP 或 CN）以从身份存储或目录中进行检索。语法必须与用户证书上的主题或主题备用名称的格式相匹配。

-rf, --revocation-file <revoke-file.pem>

可选。

指定证书吊销列表文件的位置和文件名。该文件可以是 .pem 或 .der 文件。

tsm authentication openid <commands>

在 Tableau Server 上启用、禁用和配置 OpenID Connect (OIDC) 用户身份验证。

概要

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure 选项

注意：选项必须在初始配置期间或重新配置期间设置。单个选项不能单独设置。

-a, --client-authentication <string>

必需。

指定 OpenID Connect 的自定义客户端身份验证方法。

若要将 Tableau Server 配置为使用 Salesforce IdP，请将此值设置为 client_secret_post。

-cs, --client-secret <string>

必需。

指定提供程序客户端密码。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密文，应妥善保管。

-cu, --config-url <url>

必需。

指定包含 OpenID 提供程序元数据的提供程序配置发现文档的位置。如果提供程序托管公共 JSON 文件，请使用 --config-url。否则，请改为使用使用 --metadata-file 指定本地计算机上的一个路径以及文件名。

-mf, --metadata-file <文件路径>, --config-file <配置文件 .json>

可选。

指定静态 OIDC 发现 JSON 文档的本地路径。

-i, --client-id <客户端 id>

必需。

指定 IdP 已分配给您的应用程序的提供程序客户端 ID。

-id, --ignore-domain <true | false>

可选。默认值：false

如果满足以下条件，请将此项设置为 true：

• 您使用电子邮件地址作为 Tableau Server 中的用户名

• 您在 IdP 中配置了具有多个域名的用户

• 您想要从 IdP 中忽略 email 声明的域名部分

在继续之前，请检查由于将此选项设置为 true 而使用的用户名。可能会发生用户名冲突。如果发生用户名冲突，信息泄露的风险将很高。请参见使用 OpenID Connect 的要求。

-if, --iframed-idp-enabled <true | false>

可选。默认值：false

指定是否允许在 iFrame 内部使用 IdP。IdP 必须禁用单击劫持保护才能允许进行 iFrame 演示。

-ij, --ignore-jwk <true | false>

可选。默认值：false

如果您的 IdP 不支持 JWK 验证，请将此项设置为 true。在这种情况下，我们建议使用相互 TLS 或另一种网络层安全协议向 IdP 验证通信的身份。

-r, --return-url <return-url>

服务器的 URL。这通常是您的服务器的公共名称，例如 "http://example.tableau.com"。

-sn, --custom-scope-name <string>

可选。

指定可用于查询 IdP 的自定义范围用户相关值。请参见使用 OpenID Connect 的要求。

openid map-claims 选项

使用这些选项更改与 IdP 通信时 Tableau Server 将使用的默认 OIDC 声明。请参见使用 OpenID Connect 的要求。

-i, --id <string>

可选。默认值：sub

如果您的 IdP 不支持使用 sub 声明在 ID 令牌中唯一标识用户，请更改此值。您指定的 IdP 声明应包含单个唯一的字符串。

-un, --user-name <string>

可选。默认值：email

将此值更改为组织将使用的 IdP 声明以与 Tableau Server 中存储的用户名匹配。

tsm authentication pat-impersonation <命令>

为 Tableau Server 上的管理员启用和禁用个人访问令牌模拟。

有关个人访问令牌模拟的详细信息，请参见个人访问令牌。

概要

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

若要查看是否启用了个人访问令牌模拟，请运行以下命令：

tsm authentication list

tsm authentication saml <commands>

将 Tableau Server 配置为支持使用 SAML 2.0 标准进行单点登录，对站点启用或禁用 SAML，并在 Tableau Server 与身份提供程序 (IdP) 之间映射断言属性名称。

可用命令

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

为服务器配置 SAML 设置。指定 SAML 证书和元数据文件，提供额外的必需信息，设置其他选项。

如果您是第一次配置 SAML 或先前已禁用它，则必须使用 tsm authentication saml enable 来运行此命令。有关详细信息，请参见配置服务器范围 SAML。

概要

tsm authentication saml configure [options] [global options]

选项

-e, --idp-entity-id <id>

对于初始 SAML 配置是必需的；对于其他，则为可选。IdP 实体 ID 值。

通常，这与 Tableau Server 返回 URL（在 --idp-return-url 参数中指定）相同。将使用您输入的实体 ID 作为生成特定于站点的实体 ID 的基础。例如，如果您输入以下内容：

http://tableau-server

则为 SAML 配置的站点可能显示以下实体 ID：

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

要查找站点的实体 ID，请转到该站点的“设置”页面，然后选择“身份验证”选项卡。启用 SAML 时，将在第一步中显示实体 ID 以便配置站点特定的 SAML、导出元数据。

-r, --idp-return-url <idp-return-url>

对于初始 SAML 配置是必需的；对于其他，则为可选。SAML 返回 IdP 中配置的 URL。这通常是 Tableau Server 的外部 URL；例如 https://tableau-server。

说明

• http://localhost 对外部服务器不起作用。

• 不支持向 URL (https://tableau-server/) 添加结尾斜杠。

-i, --idp-metadata <idp-metadata.xml>

对于初始 SAML 配置是必需的；对于其他，则为可选。提供从 IdP 设置中导出的 XML 元数据文件的位置和名称。

例如，/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

-cf, --cert-file <certificate.crt>

对于初始 SAML 配置是必需的；对于其他，则为可选。适用于 SAML 的证书文件的位置和文件名。有关证书文件的要求，请参见SAML 要求。

例如，/var/opt/tableau/tableau_server/data/saml/<file.crt>

-kf, --key-file <certificate.key>

对于初始 SAML 配置是必需的；对于其他，则为可选。与证书一起提供的密钥文件的位置和名称。

例如，/var/opt/tableau/tableau_server/data/saml/<file.key>

-a, --max-auth-age <max-auth-age>

可选。默认值为 -1（从 Tableau Server 版本 2020.4.15、2021.1.12、2021.2.9、2021.3.8、20214.4、2022 及更高版本开始）。以前的默认值为 7200（2 小时）。

用户的身份验证与 AuthNResponse 消息处理之间允许的最大秒数。

我们建议您保留此默认值，这会禁用最长身份验证期限的检查。如果此值与您的 IdP 不同，登录到 Tableau Server 的用户可能会看到登录错误。有关此错误的详细信息，请参见 Tableau 知识库中的 Tableau Server 上的 SAML SSO 出现间歇性错误“无法登录”(链接在新窗口中打开)一文。

-d, --desktop-access <enable | disable>

可选。默认值为“启用”。

此选项仅适用于服务器范围 SAML。使用 SAML 从 Tableau Desktop 登录服务器。如果通过 Tableau 客户端应用程序进行单点登录不适用于您的 IdP，您可将此项设置为 disable。

-m, --mobile-access <enable | disable>

可选。默认值为“启用”。

允许使用 SAML 从旧版本的 Tableau Mobile 应用登录。运行 Tableau Mobile 应用版本 19.225.1731 及更高版本的设备会忽略此选项。若要禁用运行 Tableau Mobile 应用版本 19.225.1731 及更高版本的设备，请在 Tableau Server 上禁用 SAML 作为客户端登录选项。

-so, --signout <enable | disable>

可选。默认情况下处于启用状态。

为 Tableau Server 启用或禁用 SAML 注销。

-su, --signout-url <url>

可选。输入用户注销服务器后要重定向到的 URL。默认情况下，这是 Tableau Server 登录页面。您可以指定绝对或相对 URL。

示例

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

tsm authentication saml enable and saml disable

启用或禁用服务器范围的 SAML 身份验证。在这种情况下，您为 SAML 启用的所有站点和用户都将执行完单个身份提供程序。

概要

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

导出您将用于配置 SAML IdP 的 Tableau Server .xml 元数据文件。

概要

tsm authentication saml export-metadata [options] [global options]

选项

-f, --file [/path/to/file.xml]

可选。

指定将写入元数据的位置和文件名。如果未包括此选项，则 export-metadata 会将文件保存到当前目录，并将其命名为 samlmetadata.xml。

-o, --overwrite

可选。

覆盖 -f 中指定的相同名称的现有文件，或者默认名称的现有文件（如果未包括 -f）。如果 -f 中指定的文件存在，并且未包括 -o，则该命令不会覆盖现有文件。

tsm authentication saml map-assertions

在 IdP 与 Tableau Server 之间映射属性。提供 IdP 用于每个参数中指定的属性的名称。

概要

tsm authentication saml map-assertions --user-name <user-name> [global options]

选项

-r, --user-name <user-name-attribute>

可选。IdP 将用户名存储到的属性。在 Tableau Server 上，这与显示名称相同。

-e, --email <email-name-attribute>

请勿使用。Tableau 不支持此选项。

-o, --domain <domain-name-attribute>

可选。IdP 将域名存储到的属性。如果从不同于 Tableau Server 计算机域的域中添加用户，请使用此选项。有关详细信息，请参见 运行多个域时。

-d --display-name <display-name-attribute>

请勿使用。Tableau 不支持此选项。

saml map-assertions 示例

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> 或 tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable and sitesaml disable

将服务器设置为允许或不允许站点级别的 SAML 身份验证。启用特定于站点的 SAML 可让您访问 Tableau Server Web UI 中的“设置”>“身份验证”选项卡。“身份验证”选项卡包含特定于站点的 SAML 配置设置。

如果尚未将服务器配置为允许使用特定于站点的 SAML，请将 sitesaml enable 命令与 saml configure 结合使用。有关详细信息，请参见配置特定于站点的 SAML。

概要

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication trusted <commands>

配置受信任的身份验证（可信任票据）以在 Tableau Server 上进行用户身份验证。

概要

tsm authentication trusted configure [options] [global options]

选项

-th, --hosts <string>

可选。

指定将托管 Tableau 内容页面的 Web 服务器的受信任主机名（或 IPv4 地址）。

对于多个值，在逗号分隔的列表中输入名称，其中每个值都括在双引号中。

例如：

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

或

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

可选。

确定每个受信任票证中的字符数量。默认设置（24 个字符）提供 144 位随机性。该值可设置为 9 和 255（包括 9 和 255）之间的任意整数。

全局选项

-h, --help

可选。

显示命令帮助。

-p, --password <password>

在会话不是活动状态的情况下为必需，-u 或 --username 也为必需。

为在 -u 或 --username 中指定的用户指定密码。

如果密码包括空格或特殊字符，请将其括在引号中：

--password 'my password'

-s, --server https://<hostname>:8850

可选。

对 Tableau 服务管理器使用指定的地址。URL 必须以 https 开头，包括端口 8850，并使用服务器名称（而不是 IP 地址）。例如，https://<tsm_hostname>:8850。如果没有指定服务器，则假定为 https://<localhost | dnsname>:8850。

--trust-admin-controller-cert

可选。

使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息，请参见 连接 TSM 客户端。

-u, --username <user>

在会话不是活动状态的情况下为必需，-p 或 --password 也为必需。

指定用户帐户。如果未包括此选项，则使用您登录所使用的凭据运行该命令。