tsm authentication

您可以使用 tsm authentication 命令來啟用、停用和設定 Tableau Server 的使用者驗證選項。

tsm authentication identity-migration configure

變更身分移轉的預設作業設定。有關詳細資訊,請參閱管理身份移轉

概要

tsm authentication identity-migration configure –job-run-time

tsm authentication identity-migration configure –rate

選項

-j,--job-run-time <number>

可選。

確定排程的移轉作業可以執行的最長允許時間(以分鐘為單位)。預設值為 120 分鐘。

-r,--rate <number>

可選。

確定移轉作業期間每秒可以執行的請求數。預設值為每秒 5 個請求。

tsm authentication kerberos <commands>

Tableau Server 上啟用、停用和設定 Kerberos 使用者驗證。請參閱設定 Kerberos

概要

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure 選項

-kt, --keytab-file <keytab_file.keytab>

必要。

指定用於向 KDC 提出請求的服務 .keytab 檔案。

tsm authentication legacy-identity-mode <commands>

啟用或停用身分移轉期間可能需要的舊版身分儲存模式。查看無法還原備份部分決定何時使用此命令。

有關詳情,請參閱關於身份識別遷移

概要

tsm authentication legacy-identity-mode enable

tsm authentication legacy-identity-mode disable

tsm authentication list

列出伺服器現有的驗證相關組態設定。

概要

tsm authentication list [--verbose][global options]

選項

v, --verbose

可選。

顯示所有設定的參數。

tsm authentication mutual-ssl <commands>

Tableau Server 上為使用者驗證啟用、停用和設定相互 SSL。若要瞭解有關相互 SSL 的詳情,請參閱設定相互 SSL 驗證

在啟用相互 SSL 之前,您必須啟用和設定 SSL 以進行外部通訊。有關資訊,請參閱針對與來往 Tableau Server 的外部 HTTP 流量設定 SSL

概要

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

選項

-cf, --ca-cert <certificate-file.crt>

可選。

指定憑證檔案的位置和檔案名。該檔案必須是來自憑證授權的有效的受信任憑證(例如 Verisign)。

-fb, --fallback-to-basic <true | false>

可選。

指定在 SSL 驗證失敗的情況下 Tableau Server 是否應該接受使用者名和密碼以進行驗證。

預設值為 false,表示設定為使用相互 SSL 後,如果 SSL 驗證失敗,則 Tableau Server 不允許進行連線。不過,即使此選項設定為 false,Tableau Serer 仍可透過 REST API 用戶端接受使用者名稱與密碼驗證。

-m, --user-name-mapping <upn | ldap | cn>

可選。

指定使用者名語法(UPN、LDAP 或 CN)以從識別身份存放區或目錄中進行檢索。語法必須與使用者憑證上的主題或主題備用名稱的格式相相符。

-rf, --revocation-file <revoke-file.pem>

可選。

指定憑證撤銷清單檔案的位置和檔案名。該檔案可以是 .pem 或 .der 檔案。

tsm authentication openid <commands>

Tableau Server 上啟用、停用和設定 OpenID Connect (OIDC) 使用者驗證。

概要

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure 選項

附註:必須在初始設定或重新設定期間設定選項。各個選項不能單獨設定。

-a, --client-authentication <string>

必要。

指定 OpenID Connect 的自訂用戶端驗證方法。

若要將 Tableau Server 設定為使用 Salesforce IdP,請將此值設定為 client_secret_post

-cs, --client-secret <string>

必要。

指定提供者用戶端密碼。這是 Tableau 用於驗證來自 IdP 的響應的真實性的權杖。此值是密碼,應妥善保管。

-cu, --config-url <url>

必要。

指定包含 OpenID 提供者中繼資料的提供者設定發現文件的位置。若提供者託管公共 JSON 檔案,請使用 --config-url。否則,請改為使用 --metadata-file 指定本機電腦上的路徑和檔案名稱。

-mf, --metadata-file <file-path>, --config-file <config-file.json>

可選。

指定靜態 OIDC 發現 JSON 檔案的本機路徑。

-i, --client-id <client-id>

必要。

指定 IdP 已指派給您的應用程式的提供者用戶端 ID。

-id, --ignore-domain <true | false>

可選。預設值:false

如果滿足以下條件,請將此項設定為 true

  • 您使用電子郵件地址作為 Tableau Server 中的使用者名

  • 您在 IdP 中設定了具有多個網域名稱的使用者

  • 您想要從 IdP 中忽略 email 宣告的網域名稱部分

在繼續之前,請檢查由於將此選項設定為 true 而使用的使用者名。可能會發生使用者名衝突。如果發生使用者名衝突,資訊洩露的風險將很高。請參閱使用 OpenID Connect 的要求

-if, --iframed-idp-enabled <true | false>

可選。預設值:false

指定是否允許在 iFrame 內部使用 IdP。IdP 必須停用 Clickjack 保護才能允許進行 iFrame 展示。

-ij, --ignore-jwk <true | false>

可選。預設值:false

如果您的 IdP 不支援 JWK 驗證,請將此項設定為 true。在這種情況下,我們建議使用相互 TLS 或另一種網路層安全通訊協定向 IdP 驗證通訊的身分。

-r, --return-url <return-url>

伺服器的 URL。這通常是您的伺服器的公共名稱,例如 "http://example.tableau.com"

-sn, --custom-scope-name <string>

可選。

指定可用於查詢 IdP 的自訂範圍使用者相關值。請參閱使用 OpenID Connect 的要求

openid map-claims 選項

使用這些選項變更與 IdP 通訊時 Tableau Server 將使用的預設 OIDC 聲明。請參閱使用 OpenID Connect 的要求

-i, --id <string>

可選。預設值:sub

如果您的 IdP 不支援使用 sub 宣告在 ID 權杖中唯一標識使用者,請變更此值。您指定的 IdP 宣告應包含單一唯一的字串。

-un, --user-name <string>

可選。預設值:email

將此值變更為組織將使用的 IdP 宣告以與 Tableau Server 中儲存的使用者名相符。

tsm authentication pat-impersonation <commands>

Tableau Server 上的管理員啟用和停用個人存取權杖模擬。

有關個人存取權杖模擬的詳情,請參閱個人存取權杖

概要

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

若要檢視是否已啟用個人存取權杖模擬,請執行以下命令:

tsm authentication list

tsm authentication saml <commands>

Tableau Server 設定為支援使用 SAML 2.0 標準進行單一登入,對網站啟用或停用 SAML,並在 Tableau Server 與身分識別提供者 (IdP) 之間對應判斷提示屬性名稱。

可用命令

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

為伺服器組態 SAML 設定。指定 SAML 憑證和中繼資料檔案,提供額外的必需資訊,設定其他選項。

如果您是第一次設定 SAML 或先前已停用它,則必須使用 tsm authentication saml enable 來執行此命令。有關詳情,請參閱設定全伺服器的 SAML

概要

tsm authentication saml configure [options] [global options]

選項

-e, --idp-entity-id <id>

對於初始 SAML 設定是必需的;對於其他,則為可選。IdP 實體 ID 值。

通常,這與 Tableau Server 返回 URL(在 --idp-return-url 參數中指定)相同。將使用您輸入的實體 ID 作為產生特定於網站的實體 ID 的基礎。例如,如果您輸入以下內容:

http://tableau-server

則為 SAML 設定的網站可能顯示以下實體 ID:

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

要查找網站的實體 ID,請轉到該網站的「設定」頁面,然後選取「驗證」索引標籤。啟用 SAML 時,將在第一步中顯示實體 ID 以便設定網站特定的 SAML、匯出中繼資料。

-r, --idp-return-url <idp-return-url>

對於初始 SAML 設定是必需的;對於其他,則為可選。SAML 返回 IdP 中設定的 URL。這通常是 Tableau Server 的外部 URL;例如 https://tableau-server。

附註

  • http://localhost 對外部伺服器不起作用。

  • 不支援向 URL (https://tableau-server/) 新增結尾斜杠。

-i, --idp-metadata <idp-metadata.xml>

對於初始 SAML 設定是必需的;對於其他,則為可選。提供從 IdP 設定中匯出的 XML 中繼資料檔案的位置和名稱。

例如,/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

-cf, --cert-file <certificate.crt>

對於初始 SAML 設定是必需的;對於其他,則為可選。適用於 SAML 的憑證檔案的位置和檔案名。有關憑證檔案的要求,請參閱SAML 要求

例如,/var/opt/tableau/tableau_server/data/saml/<file.crt>

-kf, --key-file <certificate.key>

對於初始 SAML 設定是必需的;對於其他,則為可選。與憑證一起提供的金鑰檔案的位置和名稱。

例如,/var/opt/tableau/tableau_server/data/saml/<file.key>

-a, --max-auth-age <max-auth-age>

可選。預設值為 -1(從 Tableau Server 版本 2020.4.15、2021.1.12、2021.2.9、2021.3.8、20214.4、2022 及更高版本開始)。之前的預設值為 7200(2 小時)。

使用者的驗證與 AuthNResponse 訊息處理之間允許的最大秒數。

建議保留此預設值,這會停用最長身分驗證期限的檢查。如果此值與您的 IdP 不同,登入 Tableau Server 的使用者可能會看到登入錯誤。有關此錯誤的更多資訊,請參閱 Tableau 知識庫中的文章 Tableau Server 上的 SAML SSO 出現間歇性錯誤“無法登入”(連結在新視窗開啟)

-d, --desktop-access <enable | disable>

可選。預設值為啟用。

此選項僅適用於伺服器範圍 SAML。使用 SAML 從 Tableau Desktop 登入伺服器。如果透過 Tableau 用戶端應用程式進行單一登入不適用於您的 IdP,您可將此項設定為 disable

-m, --mobile-access <enable | disable>

可選。預設值為啟用。

允許使用 SAML 從舊版 Tableau Mobile 應用程式登入。執行 Tableau Mobile應用程式 19.225.1731 版和更新版本的裝置會略過此選項。若要停用執行 Tableau Mobile 應用程式19.225.1731 版及更新版本的裝置,請在 Tableau Server 上停用 SAML 做為用戶端登入選項。

-so, --signout <enable | disable>

可選。預設情況下處於啟用狀態。

為 Tableau Server 啟用或停用 SAML 登出。

-su, --signout-url <url>

可選。輸入使用者登出伺服器後要重定向到的 URL。預設情況下,這是 Tableau Server 登入頁面。您可以指定絕對或相對 URL。

範例

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

tsm authentication saml enable and saml disable

啟用或停用伺服器範圍的 SAML 驗證。在這種情況下,您為 SAML 啟用的所有網站和使用者都將執行完單一身分識別提供者。

概要

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

匯出您將用於設定 SAML IdP 的 Tableau Server .xml 中繼資料檔案。

概要

tsm authentication saml export-metadata [options] [global options]

選項

-f, --file [/path/to/file.xml]

可選。

指定將寫入中繼資料的位置和檔案名。如果未包括此選項,則 export-metadata 會將檔案儲存到目前的目錄,並將其命名為 samlmetadata.xml

-o, --overwrite

可選。

覆寫 -f 中指定的相同名稱的現有檔案,或者預設名稱的現有檔案(如果未包括 -f)。如果 -f 中指定的檔案存在,並且未包括 -o,則該命令不會覆寫現有檔案。

tsm authentication saml map-assertions

在 IdP 與 Tableau Server 之間對應屬性。提供 IdP 用於每個參數中指定的屬性的名稱。

概要

tsm authentication saml map-assertions --user-name <user-name> [global options]

選項

-r, --user-name <user-name-attribute>

可選。IdP 將使用者名儲存到的屬性。在 Tableau Server 上,與顯示名稱相同。

-e, --email <email-name-attribute>

請勿使用。Tableau 不支援此選項。

-o, --domain <domain-name-attribute>

可選。IdP 將網域名稱儲存到的屬性。若新增的使用者來自與 Tableau Server 電腦網域不同的網域,請使用此選項。有關更多資訊,請參閱 執行多個網域

-d --display-name <display-name-attribute>

請勿使用。Tableau 不支援此選項。

saml map-assertions 範例

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM>tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable and sitesaml disable

將伺服器組態為允許或不允許網站層級的 SAML 驗證。啟用特定於網站的 SAML 可讓您存取 Tableau Server Web UI 中的「設定」>「驗證」索引標籤。「驗證」索引標籤包含特定於網站的 SAML 組態設定。

如果尚未將伺服器設定為允許使用特定於網站的 SAML,請將 sitesaml enable 命令與 saml configure 搭配使用。有關詳情,請參閱設定特定於網站的 SAML

概要

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication sspi <commands>

此命令只對 Windows 上的 Tableau Server 起作用。如果嘗試對 Linux 上的 Tableau Server 啟用 SSPI,將會返回一個錯誤。

啟用或停用使用 Microsoft SSPI 自動登入。

如果使用 Active Directory 進行驗證,您可以選取「啟用自動登入」,這會使用 Microsoft SSPI 以使用者為基礎的 Windows 使用者名和密碼自動使使用者登入。這將建立類似於單一登入 (SSO) 的體驗。

如果您預計要將 Tableau Server 設定為使用 SAML、受信任驗證、負載平衡器或 Proxy 伺服器,請勿啟用 SSPI。SSPI 在這些情況下不受支援。

概要

tsm authentication sspi disable [global options]

tsm authentication sspi enable [global options]

與所有驗證命令一樣,您必須在執行 tsm pending-changes apply 後執行此命令。

tsm authentication trusted <commands>

設定受信任的驗證(可信任票證)以在 Tableau Server 上進行使用者驗證。

概要

tsm authentication trusted configure [options] [global options]

選項

-th, --hosts <string>

可選。

指定將託管 Tableau 內容頁面的 Web 伺服器的受信任主機名稱(或 IPv4 位址)。

對於多個值,在逗號分隔的清單中輸入名稱,其中每個值都括在雙引號中。

例如:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

可選。

確定每個受信任票證中的字元數量。預設設定(24 個字元)提供 144 位隨機性。該值可設定為 9 和 255(包括 9 和 255)之間的任意整數。

全域選項

-h, --help

可選。

顯示命令說明。

-p, --password <password>

在會話不是活動狀態的情況下為必需,-u--username 也為必需。

為在 -u--username 中指定的使用者指定密碼。

如果密碼包括窗格或特殊字元,請將其括在引號中:

--password 'my password'

-s, --server https://<hostname>:8850

可選。

對 Tableau 服務管理器使用指定的位址。URL 必須以 https 開頭(包括連接埠 8850),並使用伺服器名稱而不是 IP 位址。例如 https://<tsm_hostname>:8850。如果沒有指定伺服器,則假定為 https://<localhost | dnsname>:8850

--trust-admin-controller-cert

可選。

使用此旗標來信任 TSM 控制器上的自我簽署憑證。如需有關憑證信任和 CLI 連線的詳細資訊,請參閱連接 TSM 用戶端

-u, --username <user>

在會話不是活動狀態的情況下為必需,-p--password 也為必需。

請指定使用者名稱。如果未包括此選項,則使用您登入所使用的認證執行該命令。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!