從版本 2022.1 開始,Tableau Server 使用身份識別服務存儲和管理身份識別資訊。借助身份識別服務,Tableau Server 使用更現代、更安全且不可變的身份識別結構進行使用者配置和身份驗證過程。

預設情況下,Tableau Server 2022.1(及更高版本)的所有新部署都使用身份識別服務,無需您執行任何其他操作。在 Tableau Server 中新增使用者時,將使用預設身份識別服務。

如果是現有部署,要將 Tableau Server 升級到版本 2022.1(或更高版本)並還原 Tableau 2021.4(或更早版本)的備份,則會在 Tableau Server 升級後啟動身份識別遷移,以填充新的身份識別服務。身份識別遷移為所有 Tableau Server 使用者填充補充身份識別服務表,然後使用這些表通過身份識別服務對使用者進行身份驗證。遷移在背景執行,不會中斷或乾擾使用者對 Tableau Server 的使用。

作為管理員,您可以透過 Tableau Server 的使用者頁面中提供的專用身份識別遷移頁面監控和管理遷移,包括更改遷移執行的時間或解決任何潛在的遷移衝突。遷移過程中可使用此頁面。

現有部署的步驟摘要

如果是現有部署,則必須將 Tableau Server 設定為在遷移完成後使用身份識別服務,以利用身份識別結構改進以及未來的安全和功能更新。

步驟 1:開始身份識別遷移

步驟 2:完成身份識別遷移

步驟 3:將 Tableau Server 設定為使用身份識別服務

關鍵術語

  • 身份識別服務 - Tableau Server 2022.1(及更高版本)中的一項服務,負責管理使用者身份,包括身份驗證和佈建。該服務使用身份模式,其中使用者身份使用身份識別服務表和舊版 “system_users” 表格表示。
  • 舊版身份存儲模式 - Tableau Server 2021.4(及更早版本)使用的有限身份架構,其中使用者身份僅由舊版 “system_users” 表格表示。
  • 身份識別遷移 - 評估現有 Tableau Server 使用者身份、查詢上游外部身份存儲以獲取其他身份識別資訊(視情況而定),並將其他身份識別資訊匯入身份識別服務的審核過程。
  • 外部身份存儲 - Tableau Server 外部和上游的身份存儲類型,所有身份資訊都由外部目錄服務(Active Directory (AD) 或 LDAP)存儲和管理。如果已設定,Tableau Server 會同步到外部目錄,以便在 Tableau Server 中儲存身份資訊的副本。
  • 本機身份識別存儲 - Tableau Server 提供的身份識別存儲類型。如果已設定,Tableau Server 將在 Tableau Server 存儲庫中存儲和管理身份資訊,而無需為此資訊設定任何外部目錄。
  • 系統使用者 - Tableau Server 使用者。使用者對應於身份識別服務(以 “system_users_identities” 表顯示)和舊版身份識別存儲模式中的登入記錄(“system_users”)。“System_users” 記錄可能有與其關聯的多個使用者身份,並且可以登入多個站點。"system_users” 記錄及其允許的站點之間的連結是透過 "users” 表定義。

身份識別遷移的目的

建立 Tableau Server 備份時,身份識別資訊儲存在為其建立備份的 Tableau Server 版本所使用的身份識別架構中。遷移對於將身份識別資訊從備份中使用的身份識別架構填充到身份識別服務使用的身份架構是必要的。

Tableau Server 2021.4 及更早版本的身份識別架構

舊版身份識別儲存模式使用的身份架構由兩個表組成,即 “system_users” 和 “domains”。

Tableau Server 2022.1 及更高版本的身份識別架構

身份識別服務使用的身份識別架構包括捕獲更多身份資訊的舊版 “system_users” 表和補充身份識別服務表(*_identity_stores 和 *identities)。附加表有助於減少外部身份識別存儲中的上游變更可能導致的問題。

身份識別遷移期間會發生什麼

遷移有關使用者身份識別資訊時,存儲在舊版 “system_users” 表中的身份識別資訊將由身份識別服務表進行補充。

補充身份資訊的身份識別服務表的類型取決於 Tableau Server 設定的身份存儲類型:本機、Active Directory (AD) 或輕量級目錄存取協定 (LDAP)。

  • 如果是 AD 身份識別存儲類型,身份識別服務表僅繼承明確的屬性或未存儲在同一資料庫記錄中的屬性。

    例如,sAMAccountNAme 和 userPrincipalName (UPN) 可以存儲在舊版 “systems_users” 表的相同名稱記錄中,這可能是一系列複雜規則的結果。在大多數情況下,遷移能夠正確解釋並成功遷移使用者身份。但是,如果遷移產生不明確的結果,則必須手動確認不明確或使用專用的身份識別遷移頁面手動解決衝突。有關詳情,請參閱解決身份移轉衝突

  • 如果是 LDAP 身份識別存儲類型,如 AD 身份存儲類型,身份識別服務表僅繼承明確的屬性。在大多數情況下,遷移能夠正確解釋並成功遷移使用者身份。但是,如果遷移產生不明確的結果,則必須手動確認不明確或使用專用的身份識別遷移頁面手動解決衝突。有關詳情,請參閱解決身份移轉衝突

    如果是本機身份識別存儲類型,身份識別服務表直接繼承使用者和網域欄位。這意味著,您無需提供其他資訊或手動解決方案。為這種類型的身份存儲設定 Tableau Server 時,使用者身份的遷移會在 Tableau Server 備份還原過程之後發生。

步驟 1:開始身份識別遷移

大多數情況下,身份識別遷移會在您沒有任何操作的情況下啟動。但是,根據您的 Tableau Server 升級方法,需要一些附加步驟才能啟動遷移。

  • 如果透過以下方式執行藍/綠升級手動升級 Tableau Server:1) 在新電腦桌安裝 Tableau Server,然後 2) 使用tsm 維護(備份和還原)命令備份和還原 Tableau Server ,則需要採取一些額外的步驟來啟動遷移。

    有關詳情,請參閱對身份移轉問題進行疑難排解

  • 如果使用此處描述的方法對 Tableau Server 進行「就地」單一伺服器或多節點升級,則無需執行其他步驟即可啟動遷移。遷移在 Tableau Server 升級到版本 2022.1(或更高版本)完成後啟動。

    跳至 步驟 2

  • 如果透過以下方式手動升級 Tableau Server:1) 在新機器中安裝 Tableau Server,然後 2) 使用tsm settings(匯出和匯入)命令匯出和匯入組態和拓撲資訊,也無需執行其他步驟即可啟動遷移。在新 Tableau Server 電腦桌完成匯入過程後啟動遷移。

    跳至 步驟 2

附註我們強烈建議按照下面的步驟 2步驟 3 的說明,允許完成遷移並將 Tableau Server 設定為使用身份識別服務。雖然可以延遲遷移,但它將在未來的版本中強制執行,以確保您擁有最新的安全和功能更新。

步驟 2:完成身份識別遷移

要完成身份識別遷移,必須先解決或確認所有身份識別衝突,然後才能為 Tableau Server 啟用身份識別服務。

  1. 以管理員身分登入 Tableau Server。
  2. 在左側巡覽窗格中,選取使用者(或多站台 Tableau Server 的所有站台>使用者),然後按一下身份移轉頁面以驗證移轉是否已開始。

    可以使用 Tableau Server 使用者頁面中提供的專用身份移轉頁面來監控和管理其進度。有關詳情,請參閱管理身份移轉

  3. 解決身份移轉衝突中所述,解決或確認所有身份衝突。

  4. 執行以下其中一項動作:

    • 要立即執行身份移轉作業,請按一下「移轉概觀」標題旁邊的「編輯排程」下拉式箭頭,然後選取「立即執行」
    • 或者,可以等待移轉作業在下一個排程時間執行。
  5. 移轉完成後,從「身分移轉」頁面驗證「移轉概觀」是否顯示100% 完成

步驟 3:將 Tableau Server 設定為使用身份識別服務

身份識別遷移完成後,將 Tableau Server 設定為使用身份識別服務,以確保使用者佈建和身份驗證過程的身份識別結構更加安全且不可變。

  1. 在叢集中的初始節點(安裝 TSM)上以管理員身分開啟命令提示字元。
  2. 執行以下命令:

    tsm authentication legacy-identity-mode disable
    tsm pending-changes apply

在 Tableau Server 配置為使用身份服務後,當使用者登入到 Tableau Server 時,Tableau Server 會使用他們在配置身份存放區中的識別碼來搜尋他們的使用者身份。識別碼會傳回通用唯一識別碼 (UUID) 並用於符合的現有 Tableau Server 使用者身份。然後,此過程為使用者產生工作階段並完成身份驗證工作流程。

感謝您的意見回饋!