使用身分集區佈建和驗證使用者
身分集區在 Tableau Server 版本 2023.1 中引入,是一種身分管理工具,該工具使用佈建和驗證資訊讓使用者實現對 Tableau Server 的存取。透過身分集區,可基於身分服務(連結在新視窗開啟)建立更加集中式和更具彈性的身分管理工作流程,以便在 Tableau Server 中儲存和管理使用者身分。
身分集區不會取代您在 Tableau Server 設定期間使用 Tableau 服務管理員 (TSM) 完成的使用者佈建和驗證設定。相反,身分集區旨在補充和支援您在組織中可能需要的其他使用者佈建和驗證選項,特別是對於 TSM 設定有 Active Directory (AD) 或輕量型目錄存取通訊協定 (LDAP) 的組織。身分集區新增了一種在完成 Tableau Server 設定之後的替代方法,支援 Tableau Server 管理員將使用者(通常為外部使用者、合作夥伴或承包商)新增到 Tableau Server 部署中。
身分集區已針對以下使用案例進行了最佳化:
外部使用者:不想將外部使用者新增到其內部 AD 的大型企業組織。
例如,假設您的組織有兩種類型的員工:正式員工和約聘員工。正式員工透過具有 SAML 驗證的 Active Directory (AD)(由 IdP Okta 管理)進行佈建。約聘員工包括通常指派有臨時群組成員資格的使用者,或者屬於另一個組織的使用者,該組織在 AD 外部佈建使用者並單獨進行驗證。身分集區可讓您新增 AD 外部的 Tableau Server 使用者。
多個身分存放區:託管從多個身分存放區取得使用者的 SaaS 應用程式的組織。
例如,假設您的組織從一個站台向多個外部組織共用 Tableau 內容。可以使用設定有本機身分存放區的不同身分集區來分離這些使用者,以更輕鬆地識別和管理來自每個組織的使用者。
內部組織之間的安全邊界:具有不同安全邊界的多個已收購子組織的組織。
例如,可以將來自新的新增組織的使用者新增到設定有本機身分存放區的身分集區,以解決與合併身分存放區相關的複雜性問題。
何謂身分集區?
身分集區包含三個主要元件:用於佈建使用者的身分存放區、OpenID Connect (OIDC) 驗證和指派的使用者。
身分存放區:取得或佈建使用者的身分存放區(連結在新視窗開啟)可以是本機身分存放區或外部身分存放區。
若是本機身分存放區,則可以將身分集區設定為使用新的本機身分存放區或現有的本機身分存放區。附註:不支援本機驗證。
若是外部身分存放區,則身分集區只能使用您在 Tableau Server 設定期間在 TSM 中設定的同一外部身分存放區(AD 或 LDAP)。無法將身分集區設定為使用不同的外部身分存放區。
在 Tableau Server 設定期間在 TSM 中完成的佈建和驗證設定稱為預設或「初始集區(已設定 TSM)」。
驗證:身分集區唯一支援的驗證方法是 OIDC(連結在新視窗開啟)。
使用者:使用者要登入 Tableau Server,他們必須來自初始集區(已設定 TSM)或至少是一個身分集區的成員。
何時使用身分集區
作為 Tableau Server 管理員,可以使用身分集區根據使用者的佈建位置和這些使用者在 Tableau Server 中的驗證方式將使用者劃分為身分世代。雖然在 Tableau Server 設定期間在 TSM 中完成的身分存放區和驗證設定,也稱為初始集區(已設定 TSM)保持不變,但身分集區可從 Tableau Server 進行設定。
附註: 身分識別集區目前僅可用於伺服器層級設定。身分識別集區不能限定在站台範圍內。
有關身分集區的更多資訊
初始集區(已設定 TSM)與身分集區
如上所述,在 Tableau Server 設定期間在 TSM 中完成的佈建和驗證設定組合稱為「初始集區(已設定 TSM)」。初始集區(已設定 TSM)是 Tableau Server 設定流程的必需元件,無法修改。
但是,身分集區是可選的,可以直接從 Tableau Server 建立所需數量的身分集區。
身分集區對使用者登入體驗的影響
預設情況下,沒有為 Tableau Server 建立身分集區時,使用者巡覽到 Tableau Server 登陸頁面和登入 Tableau Server 的方式不會發生變更。
建立一或多個身分識別集區時,Tableau Server 登陸頁面會顯示多個登入選項。主要登入選項顯示在頁面頂部,是屬於初始集區(已設定 TSM)的使用者可以登入的方式。
主要登入選項下方是次要登入選項。每個選項代表一個身分集區,按照它們的建立順序顯示。指派給這些集區的使用者必須使用他們所屬的身分集區的選項登入。為幫助引導使用者使用正確的登入選項,請考慮在建立身分集區時向其新增描述。
附註:所有使用者都可看到為 Tableau Server 設定的所有集區,無論他們的集區成員資格如何。
Tableau 中的使用者名稱和識別碼
使用者名稱是代表系統使用者的資訊。識別碼用於補充用使用者資訊,並且可以被外部識別身分存放區用作使用者名稱的替代。
在 Tableau 中,使用者名稱是用於登入 Tableau 的不可變值,識別碼是可變值,是在 Tableau 的身分識別結構中用作將使用者與其使用者名稱進行對比的方法。識別碼讓 Tableau 更加靈活,因為它們可以脫離該使用者名稱。如果識別身分存放區中的使用者名稱發生變更,Tableau Server 管理員可以更新識別碼以確保使用者與正確的使用者名稱比對。
在識別身分集區中新增現有使用者時,您可能希望能夠設定識別碼。例如,如果現有使用者屬於已設定本機識別身分存放區的身分識別集區,而您想將其新增至已設定 AD 識別身分存放區的身分識別集區中,我們會要求您提供使用者名稱以搜尋與該使用者關聯的識別碼。另一方面,如果現有使用者屬於已設定 AD 識別身分存放區的身分識別集區,而您希望將其新增至已設定本機識別身分存放區的身分識別集區中,我們會要求您提供一個可選識別碼。除非您想將使用者新增至已設定本機識別身分存放區與本機驗證的初始集區(已設定 TSM)中。您將無法為該使用者設定識別碼。