从版本 2022.1 开始,Tableau Server 使用身份服务存储和管理身份信息。借助身份服务,Tableau Server 使用更现代、更安全且不可变的身份结构进行用户预置和身份验证过程。

默认情况下,Tableau Server 2022.1(及更高版本)的所有新部署都使用身份服务,无需您执行任何其他操作。将新用户添加到 Tableau Server 时,将使用默认身份服务。

对于现有部署,如果将 Tableau Server 升级到版本 2022.1(或更高版本)并还原 Tableau 2021.4(或更低版本)的备份,则会在 Tableau Server 升级后启动身份迁移以填充新的身份服务。身份迁移为所有 Tableau Server 用户填充补充“身份服务”表,然后使用这些表通过身份服务对用户进行身份验证。迁移在后台运行,不会中断或干扰用户对 Tableau Server 的使用。

作为管理员,您可以通过 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面来监控和管理迁移,包括更改迁移运行的时间或解决任何潜在的迁移冲突。此页面在迁移过程中可用。

现有部署的步骤摘要

对于现有部署,您必须将 Tableau Server 配置为在迁移完成后使用身份服务,以利用身份结构改进以及未来的安全和功能更新。

步骤 1:开始身份迁移

步骤 2:完成身份迁移

步骤 3:将 Tableau Server 配置为使用身份服务

关键术语

  • 身份服务 - Tableau Server 2022.1(及更高版本)中的一项服务,负责管理用户身份,包括身份验证和预置。该服务使用身份架构,其中用户身份由“身份服务”表和旧版“system_users”表表示。
  • 旧版身份存储模式 - Tableau Server 2021.4(及更低版本)使用的有限身份架构,其中用户身份仅由旧版“system_users”表表示。
  • 身份迁移 - 评估现有 Tableau Server 用户身份、查询上游外部身份存储以获取其他身份信息(视情况而定)并将该附加身份信息导入身份服务的审核过程。
  • 外部身份存储 - Tableau Server 外部和上游的身份存储类型,所有身份信息都由外部目录服务(Active Directory (AD) 或 LDAP)存储和管理。如果已配置,Tableau Server 会同步到外部目录,以便身份信息的副本存在于 Tableau Server 中。
  • 本地身份存储 - Tableau Server 提供的身份存储类型。如果已配置,Tableau Server 将在 Tableau Server 存储库中存储和管理身份信息,而无需为此信息配置的任何外部目录。
  • 系统用户 - Tableau Server 用户。用户对应于身份服务(通过“system_users_identities”表)和旧版身份存储模式中的登录记录(“system_users”)。“System_users”记录可能具有与其关联的多个用户身份,并且可以登录到多个站点。“system_user”记录和站点之间的链接是在“users”表中定义的。

身份迁移的目的

创建 Tableau Server 备份时,身份信息保存在为其创建备份的 Tableau Server 版本所使用的身份架构中。迁移对于将身份信息从备份中使用的身份架构填充到身份服务使用的身份架构是必要的。

Tableau Server 2021.4 及更低版本的身份架构

旧版身份存储模式使用的身份架构由两个表组成:“system_users”和“domains”。

Tableau Server 2022.1 及更高版本的身份架构

身份服务使用的身份架构包括捕获更多身份信息的旧版“system_users”表,以及补充“身份服务”表(*_identity_stores 和 *identities)。附加表有助于减少外部身份存储的上游更改可能导致的问题。

身份迁移期间会发生什么

当迁移有关用户身份的信息时,存储在旧版“system_users”表中的身份信息将由“身份服务”表进行补充。

补充身份信息的“身份服务”表的类型取决于为 Tableau Server 配置的身份存储类型:本地、Active Directory (AD) 或轻量级目录访问协议 (LDAP)。

  • 对于 AD 身份存储类型,“身份服务”表仅继承明确的属性或未存储在同一数据库记录中的属性。

    例如,sAMAccountNAme 和 userPrincipalName (UPN) 可以存储在旧版“systems_users”表的相同名称记录中,这可能是一系列复杂规则的结果。在大多数情况下,迁移能够正确解释并成功迁移用户身份。但是,如果迁移产生不明确的结果,您必须手动确认不明确之处,或使用专用的“身份迁移”页面手动解决冲突。有关详细信息,请参见解决身份迁移冲突

  • 对于 LDAP 身份存储类型,如 AD 身份存储类型,“身份服务”表仅继承明确的属性。在大多数情况下,迁移能够正确解释并成功迁移用户身份。但是,如果迁移产生不明确的结果,您必须手动确认不明确之处,或使用专用的“身份迁移”页面手动解决冲突。有关详细信息,请参见解决身份迁移冲突

    对于本地身份存储类型,“身份服务”表直接继承用户和域字段。这意味着,您无需提供其他信息或进行手动解决。为这种类型的身份存储配置 Tableau Server 时,用户身份的迁移会在 Tableau Server 备份还原过程之后发生。

步骤 1:开始身份迁移

在大多数情况下,身份迁移会在您不进行任何操作的情况下启动。但是,根据您的 Tableau Server 升级方法,需要一些额外的步骤才能启动迁移。

  • 如果您通过以下方式执行蓝/绿升级手动升级 Tableau Server:1) 在新计算机上安装 Tableau Server,然后 2) 使用 tsm maintenance(备份和还原)命令备份和还原 Tableau Server,则需要采取一些额外的步骤来启动迁移。

    有关后续步骤,请参见对身份迁移问题进行故障排除

  • 如果您使用此处描述的方法对 Tableau Server 进行“就地”单服务器或多节点升级,则您无需执行其他步骤即可启动迁移。迁移在 Tableau Server 升级到版本 2022.1(或更高版本)完成后启动。

    跳到步骤 2

  • 如果您通过以下方式手动升级 Tableau Server:1) 在新计算机上安装 Tableau Server,然后 2) 使用 tsm settings(导出和导入)命令导出和导入配置和拓扑信息,您也无需执行其他步骤即可启动迁移。迁移在新 Tableau Server 计算机上完成导入过程后启动。

    跳到步骤 2

注意:我们强烈建议您按照下面的步骤 2步骤 3 允许完成迁移并将 Tableau Server 配置为使用身份服务。尽管您可以延迟迁移,但它将在未来的版本中强制执行,以确保您拥有最新的安全和功能更新。

步骤 2:完成身份迁移

若要完成身份迁移,必须先解决或确认所有身份冲突,然后才能为 Tableau Server 启用身份服务。

  1. 以管理员身份登录到 Tableau Server。
  2. 从左侧导航窗格中,选择“用户”(或者,对于多站点 Tableau Server 为“所有站点”>“用户”),然后单击“身份迁移”页面以验证迁移是否已开始。

    您可以使用 Tableau Server 用户页面中提供的专用“身份迁移”页面来监控和管理其进度。有关详细信息,请参见管理身份迁移

  3. 解决身份迁移冲突中所述,解决或确认所有身份冲突。

  4. 执行以下操作之一

    • 若要立即运行身份迁移作业,请单击“迁移概述”标题旁边的“编辑计划”下拉箭头,然后选择“立即运行”
    • 或者,您可以等待迁移作业在下一个计划时间运行。
  5. 迁移完成后,从“身份迁移”页面验证“身份迁移”是否显示“100% 完成”

步骤 3:将 Tableau Server 配置为使用身份服务

身份迁移完成后,将 Tableau Server 配置为使用身份服务,以确保用户预置和身份验证过程的身份结构更加安全且不可变。

  1. 在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
  2. 运行以下命令:

    tsm authentication legacy-identity-mode disable
    tsm pending-changes apply

在 Tableau Server 配置为使用身份服务后,当用户登录到 Tableau Server 时,Tableau Server 会使用他们在配置的身份存储中的标识符来搜索他们的用户身份。从标识符中,将返回并使用通用唯一标识符 (UUID) 来匹配现有 Tableau Server 用户身份。然后,此过程为用户生成会话并完成身份验证工作流程。

感谢您的反馈!