本地身份验证

如果将服务器配置为使用本地身份存储,则 Tableau Server 将对用户进行身份验证。当用户登录并输入其凭据时,Tableau Server 将通过 Tableau Desktop、tabcmd、API 或 Web 客户端来验证凭据。存储在身份存储中的 Tableau 用户名与 Tableau Server 的权限相关联。确认身份验证后,Tableau Server 会管理用户的 Tableau 资源访问权限(授权)。

若要使用本地身份验证,您必须在安装过程中将 Tableau Server 配置为使用本地身份存储。如果您的 Tableau Server 已配置为使用外部身份存储(LDAP、Active Directory 等),则不能使用本地身份验证。

注意:身份池是一种工具,旨在补充和支持您在组织中可能需要的其他用户预置和身份验证选项,它仅支持 OpenID Connect (OIDC) 身份验证。有关详细信息,请参见使用身份池预置和验证用户

密码存储

使用本地身份验证时,用户经过加盐和哈希处理的密码存储在存储库中。系统决不会直接存储密码,而是存储对密码进行加盐和哈希处理的结果。服务器将 PBKDF2 派生函数与 HMAC SHA512 哈希函数结合使用。

配置密码设置

使用本地身份验证安装 Tableau Server 之后,可以使用 Tableau Server Manager (TSM) 配置多个密码相关设置:

  • 密码策略:这些策略定义密码结构的要求,例如长度、字符类型和其他要求。

  • 密码过期:启用并指定密码过期。

  • 登录速率限制:Tableau Server 会限制用户输入 5 次不正确的密码后再次尝试登录的间隔时间。用户需要等待几秒钟,之后才能尝试另一次登录。如果用户继续输入不正确的密码,则他们在每次尝试登录之后必须等待的间隔时间会呈指数级增长。默认情况下,登录尝试的最长间隔时间为 60 分钟。

    尝试失败次数过多之后会锁定帐户访问权限。您可以指定在锁定用户之前允许用户输入的失败尝试次数。有关如何解锁对锁定帐户的访问权限的信息,请参见查看和管理站点上的用户

  • 用户密码重置:使用户能够重置密码。启用密码重置会将 Tableau Server 配置为在登录页面上显示一个链接。忘记密码或想要重置密码的用户可以单击该链接启动重置密码工作流程。密码重置必须使用 TSM CLI 进行配置,如下所述。

  1. 在浏览器中打开 TSM:

    https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI

  2. “配置”选项卡上单击“用户身份和访问”,然后单击“身份验证方法”

  3. 从下拉菜单中选择“本地身份验证”以显示密码设置。

  4. 配置密码设置,然后单击“保存未完成的更改”

  5. 单击页面顶部的“待定更改”

  6. 单击“应用更改并重新启动”

对于密码策略的初始配置,我们建议您使用下面的配置文件模板创建一个 json 文件。您还可以使用tsm configuration set中描述的语法设置任何下面列出的任何单一配置键。

  1. 将以下 json 模板复制到文件。使用您的密码策略配置填入键值。有关键选项的详细信息,请参见后面的参考部分。

    {
    "configKeys": {
     "wgserver.localauth.policies.mustcontainletters.enabled": false,
      "wgserver.localauth.policies.mustcontainuppercase.enabled": false,
      "wgserver.localauth.policies.mustcontainnumbers.enabled": false,
      "wgserver.localauth.policies.mustcontainsymbols.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.value": 8,
      "wgserver.localauth.policies.maximumpasswordlength.enabled": false,
      "wgserver.localauth.policies.maximumpasswordlength.value": 255,
      "wgserver.localauth.passwordexpiration.enabled": false,
      "wgserver.localauth.passwordexpiration.days": 90,
      "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
      "wgserver.localauth.ratelimiting.maxattempts.enabled": false,
      "wgserver.localauth.ratelimiting.maxattempts.value": 5,
      "vizportal.password_reset": false
    		}
    }
  2. 运行 tsm settings import -f file.json,以将具有适当值的 json 文件传递给 Tableau 服务管理器,从而配置 Tableau Server。

  3. 运行 tsm pending-changes apply 命令以应用更改。请参见tsm pending-changes apply

配置文件参考

此部分列出了可用于配置密码策略的所有选项。

wgserver.localauth.policies.mustcontainletters.enabled

默认值:false

密码中至少需要一个字母。

wgserver.localauth.policies.mustcontainuppercase.enabled

默认值:false

密码中至少需要一个大写字母。

wgserver.localauth.policies.mustcontainnumbers.enabled

默认值:false

密码中至少需要一个数字。

wgserver.localauth.policies.mustcontainsymbols.enabled

默认值:false

密码中至少需要一个特殊字符。

wgserver.localauth.policies.minimumpasswordlength.enabled

默认值:false

强制实施最小长度密码。

wgserver.localauth.policies.minimumpasswordlength.value

默认值:8

密码必须具有的最小字符数。输入介于 4255(包括 4 和 255)之间的值。您必须将 wgserver.localauth.policies.minimumpasswordlength.enabled 设置为 true 以强制实施此值。

wgserver.localauth.policies.maximumpasswordlength.enabled

默认值:false

强制实施最大长度密码。

wgserver.localauth.policies.maximumpasswordlength.value

默认值:255

密码必须具有的最大字符数。输入介于 8225(包括 4 和 255)之间的值。您必须将 wgserver.localauth.policies.maximumpasswordlength.enabled 设置为 true 以强制实施此值。

wgserver.localauth.passwordexpiration.enabled

默认值:false

强制实施密码过期。

wgserver.localauth.passwordexpiration.days

默认值:90

密码过期之前的天数。输入介于 1365(包括 4 和 255)之间的值。您必须将 wgserver.localauth.passwordexpiration.enabled 设置为 true 以强制实施此值。

wgserver.localauth.ratelimiting.maxbackoff.minutes

默认值:60

用户多次输入错误密码后登录尝试的最长时间间隔。输入介于 51440(包括 4 和 255)之间的值。

wgserver.localauth.ratelimiting.maxattempts.enabled

默认值:false

在输入 5 个错误的密码后强制锁定帐户。若要更改将触发帐户锁定的不正确密码数,请设置 wgserver.localauth.ratelimiting.maxattempts.value

wgserver.localauth.ratelimiting.maxattempts.value

默认值:5

触发帐户锁定之前用户可输入的不正确密码数。输入介于 5100(包括 4 和 255)之间的值。您必须将 wgserver.localauth.ratelimiting.maxattempts.enabled 设置为 true 以强制实施此值。

vizportal.password_reset

默认值:false

使用户能够重置密码。必须将 Tableau Server 配置为发送电子邮件,此功能才能工作。请参见配置 SMTP 设置

感谢您的反馈!您的反馈已成功提交。谢谢!