identityStore-Entität

Tableau Server erfordert einen Identitätsspeicher zum Speichern von Benutzer- und Gruppeninformationen. Lesen Sie die Themen Authentifizierung und Identitätsspeicher, bevor Sie das erste Mal einen Identitätsspeicher konfigurieren. Nachdem Sie den Identitätsspeicher für Tableau Server installiert haben, können Sie ihn nur ändern, indem Sie den Server neu installieren.

Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.

Voraussetzungen

Lesen Sie die folgenden Informationen:

  • Wenn Sie den lokalen Identitätsspeicher nicht verwenden, nutzen Sie eine LDAP-Version. In diesem Fall sollten Sie mit dem Verzeichnis-/LDAP-Administrator zusammenarbeiten, um Tableau Server für Ihre LDAP-Schema- und Bindungsanforderungen zu konfigurieren.

  • Die Tableau Server-Konfiguration ist für Active Directory optimiert. Wenn Sie eine Installation in Active Directory durchführen, wird empfohlen, den Identitätsspeicher mit der Konfigurieren der Einstellungen für den ursprünglichen Knoten zu konfigurieren.

  • Die LDAP-Bindung ist unabhängig von der Benutzerauthentifizierung. Sie können beispielsweise Tableau Server für die Authentifizierung im LDAP-Verzeichnis mithilfe der einfachen Bindung konfigurieren und anschließend Tableau Server für die Authentifizierung von Benutzern mit Kerberos im Anschluss an die Installation konfigurieren.

  • Verwenden Sie keine einfache LDAP-Bindung über ungesicherte Verbindungen. LDAP mit einfacher Bindung sendet Daten standardmäßig unverschlüsselt. Verwenden Sie LDAPS, um den Datenverkehr auch bei einfacher Bindung zu verschlüsseln. Siehe Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.

  • Wenn Sie die Kerberos-Authentifizierung für die LDAP-Bindung mit dem Tableau Server-Dienst verwenden möchten, benötigen Sie eine Keytab-Datei für die GSSAPI-Bindung, wie in den Abschnitten unten beschrieben. Siehe auch Einführung in keytab-Anforderungen. Im Zusammenhang mit Kerberos benötigen Sie bei der Basisinstallation von Tableau Server lediglich eine GSSAPI-Bindung. Nach der Installation des Servers können Sie Kerberos für die Benutzerauthentifizierung konfigurieren und eine Kerberos-Delegierung an Datenquellen durchführen.

  • In diesem Thema wird zwischen LDAP (dem Protokoll zum Herstellen einer Verbindung zu Verzeichnisdiensten) und einem LDAP-Server (Implementierung eines Verzeichnisdiensts) unterschieden. Beispielsweise ist slapd ein LDAP-Server, der zum OpenLDAP-Projekt gehört.

  • Überprüfen Sie die LDAP-Konfiguration vor der Initialisierung des Servers. Informationen dazu finden Sie unter Konfigurieren der Einstellungen für den ursprünglichen Knoten.

  • Importieren Sie JSON-Konfigurationsdateien nur als Teil der Erstkonfiguration. Wenn Sie LDAP-Änderungen vornehmen müssen, nachdem Sie die JSON-Konfigurationsdatei importiert und Tableau Server initialisiert haben, versuchen Sie nicht, die JSON-Datei erneut zu importieren. Nehmen Sie vielmehr einzelne Schlüsseländerungen mit nativen tsm-Befehlen oder mit tsm configuration set vor. Siehe Konfigurationsreferenz für externe Identitätsspeicher.

Konfigurationsvorlagen

Die JSON-Vorlagen in diesem Abschnitt werden verwendet, um Tableau Server mit verschiedenen Identitätsspeicher-Szenarien zu konfigurieren. Wenn Sie keinen lokalen Identitätsspeicher konfigurieren, müssen Sie eine Konfigurationsdateivorlage auswählen und bearbeiten, die für Ihre LDAP-Umgebung spezifisch ist.

Sie können für das Generieren Ihrer LDAP-JSON-Konfigurationsdatei das Konfigurationstool für Tableau-Identitätsspeicher(Link wird in neuem Fenster geöffnet) verwenden. Das Tool selbst wird von Tableau nicht unterstützt. Jedoch wirkt es sich nicht auf den unterstützten Status Ihres Servers aus, wenn Sie die verwendete JSON-Datei nicht manuell, sondern mithilfe des Tools erstellen.

Wählen Sie eine zu bearbeitende Identitätsspeicher-Konfigurationsvorlage:

  • Lokal
  • LDAP – Active Directory
  • OpenLDAP – GSSAPI-Bindung
  • OpenLDAP – Einfache Bindung

Weitere Einzelheiten zu Konfigurationsdateien, Entitäten und Schlüsseln finden Sie im Abschnitt Beispiel für eine Konfigurationsdatei.

Lokal

Konfigurieren Sie "Lokal" als Identitätsspeichertyp, wenn Ihre Organisation noch keinen Active Directory- oder LDAP-Server zur Benutzerauthentifizierung besitzt. Wenn Sie einen lokalen Identitätsspeicher festlegen, verwenden Sie Tableau Server zum Erstellen und Verwalten von Benutzern.

Eine alternative Möglichkeit zum Konfigurieren von Tableau Server für den lokalen Identitätsspeicher besteht darin, die Setup-GUI auszuführen und während des Installationsvorgangs "Lokal" auszuwählen. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den ursprünglichen Knoten.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

Wichtig

Im Folgenden finden Sie LDAP-Konfigurationsvorlagenbeispiele. Die Vorlagen, wie dargelegt, konfigurieren nicht die LDAP-Konnektivität in Ihrer Organisation. Für eine erfolgreiche Bereitstellung müssen Sie mit Ihrem Verzeichnisadministrator zusammenarbeiten, um die LDAP-Vorlagenwerte zu bearbeiten.

Darüber hinaus müssen sich alle Dateien, die in configEntities referenziert werden, auf dem lokalen Computer befinden. Geben Sie keine UNC-Pfade an.

LDAP – Active Directory

Die Tableau Server-Konfiguration ist für Active Directory optimiert. Wenn Sie eine Installation in Active Directory durchführen, konfigurieren Sie den Identitätsspeicher mit der Konfigurieren der Einstellungen für den ursprünglichen Knoten.

Eine verschlüsselte Verbindung zu Active Directory ist erforderlich. Siehe Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.

Wenn Sie aus irgendeinem Grund den Identitätsspeicher nicht über die TSM-Webschnittstelle für die Kommunikation mit Active Directory konfigurieren können, verwenden Sie diese JSON-Vorlage, um Tableau Server für die Verbindung mit Active Directory zu konfigurieren. Diese Vorlage nutzt eine GSSAPI-Bindung (Kerberos) zur Authentifizierung des Tableau Serverdienstes in Active Directory. Tableau Server bietet Unterstützung für das Active Directory-Schema. Wenn Sie daher die Option "directoryServiceType" auf "activedirectory" festlegen, müssen Sie keine Schemainformationen für die Option "identityStoreSchemaType" angeben.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

Eine Bindung von Active Directory mit GSSAPI wird empfohlen. Sie können jedoch auch eine einfache Bindung und LDAPS verwenden. Für eine einfache Bindung ändern Sie bind in simple, entfernen Sie die drei Kerberos-Entitäten und fügen Sie die Optionen port/sslPort, username und password hinzu. Das nachfolgende Beispiel zeigt ein Active Directory mit json mit einer einfachen Bindung.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP – GSSAPI-Bindung

Verwenden Sie die Vorlage unten, um OpenLDAP mit GSSAPI-Bindung zu konfigurieren. Verwenden Sie diese Vorlage nicht, wenn in Ihrer Organisation Active Directory ausgeführt wird. Wenn Sie in Active Directory installieren, verwenden Sie die oben genannte Vorlage "LDAP – Active Directory".

In den meisten Fällen speichern Organisationen, die OpenLDAP mit GSSAPI (Kerberos) verwenden, Anmeldeinformationen in einer Keytab-Datei. Im folgenden Beispiel wird eine Keytab-Datei für Anmeldeinformationen verwendet.

Anmeldeinformationen können jedoch auch über die Entitäten username und password bereitgestellt werden.

Außerdem ist es möglich, sowohl eine Keytab-Datei als auch ein Paar aus Benutzername und Kennwort anzugeben. In diesem Fall nutzt Tableau Server zunächst die Keytab-Datei, wenn jedoch die Authentifizierung aus irgendeinem Grund fehlschlägt, greift das Programm auf den Benutzernamen und das Kennwort als Anmeldeinformationen zurück.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP – Einfache Bindung

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

Referenz für die Konfigurationsvorlage

Gemeinsame Identitätsspeicheroptionen

type
Speicherort der Identitätsinformationen. Entweder local oder activedirectory. (Wenn Sie eine Verbindung mit einem LDAP-Server herstellen möchten, wählen Sie activedirectory aus.)
domain
Die Domäne des Computers, auf dem Sie Tableau Server installiert haben.
nickname
Der Kurzname der Domäne. Dieser wird in Windows-Umgebungen auch als NetBIOS-Name bezeichnet.
Die Option nickname ist für alle LDAP-Entitäten obligatorisch. Wenn für Ihre Organisation kein Spitzname/NetBIOS erforderlich ist, können Sie einen leeren Schlüssel weitergeben, beispielsweise: "nickname": "".

LDAP-GSSAPI-Bindungsoptionen

directoryservicetype
Der Verzeichnisdiensttyp, zu dem Sie eine Verbindung herstellen möchten. Entweder activedirectory oder openldap.
kerberosConfig
Der Pfad der Kerberos-Konfigurationsdatei auf dem lokalen Computer Wenn Sie die Installation in Active Directory durchführen, wird von der Verwendung der vorhandenen Kerberos-Konfigurationsdatei oder Keytab-Datei, die möglicherweise bereits auf dem Computer vorhanden ist, der der Domäne beigetreten ist, abgeraten. Siehe Identitätsspeicher.
kerberosKeytab
Der Pfad der Kerberos-Keytab-Datei auf dem lokalen Computer Es wird empfohlen, dass Sie eine Keytab-Datei mit Schlüsseln erstellen, die nur für den Tableau Server-Dienst vorgesehen sind, und die Keytab-Datei nicht für andere Anwendungen auf dem Computer verwenden.
kerberosPrincipal
Der Dienstprinzipalname für Tableau Server auf dem Hostcomputer. Die Keytab-Datei benötigt Berechtigungen für diesen Prinzipal. Verwenden Sie für das System keine bereits vorhandene Keytab-Datei. Stattdessen wird empfohlen, einen neuen Dienstprinzipalnamen zu registrieren. Wenn Sie die Prinzipale für eine bestimmte Keytab-Datei anzeigen möchten, führen Sie den Befehl klist -k aus. Siehe Einführung in keytab-Anforderungen.

Optionen für die einfache LDAP-Bindung

directoryservicetype
Der Verzeichnisdiensttyp, zu dem Sie eine Verbindung herstellen möchten. Entweder activedirectory oder openldap.
hostname
Der Hostname des LDAP-Servers. Sie können einen Hostnamen oder eine IP-Adresse für diesen Wert eingeben. Der von Ihnen hier angegebene Host wird nur für Benutzer-/Gruppenabfragen auf der primären Domäne verwendet. Wenn sich Benutzer-/Gruppenabfragen in anderen Domänen (nicht in der primären Domäne) befinden, verwendet Tableau Server nicht diesen Wert, sondern fragt stattdessen DNS ab, um den entsprechenden Domänencontroller zu identifizieren.
port
Verwenden Sie diese Option zum Festlegen des nicht sicheren Ports des LDAP-Servers. Für Klartext ist dies in der Regel der Port 389.
sslPort
Verwenden Sie diese Option, um LDAPS zu aktivieren. Geben Sie den sicheren Port des LDAP-Servers an. LDAPS wird normalerweise über Port 636 geleitet, Für die Verwendung von LDAPS müssen Sie auch die Hostname-Option angeben. Siehe Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.
username
Der Benutzername, mit dem Sie eine Verbindung zum Verzeichnisdienst herstellen möchten. Das angegebene Konto muss über die Berechtigung verfügen, Abfragen an den Verzeichnisdienst zu senden. Geben Sie für Active Directory den Benutzernamen ein, z. B. jsmith. Für LDAP-Server geben Sie den definierten Namen (DN) des Benutzers ein, den Sie zum Herstellen der Verbindung verwenden möchten. Beispielsweise können Sie Folgendes eingeben: cn=username,dc=your-local-domain,dc=lan.
password
Das Kennwort des Benutzers, das Sie verwenden möchten, um eine Verbindung zum LDAP-Server herzustellen.

Gemeinsame LDAP-Optionen

Die folgenden Optionen können für generische LDAP-, OpenLDAP- oder Active Directory-Implementierungen festgelegt werden.

bind
Die Methode für die Authentifizierung der Kommunikation zwischen dem Tableau Server-Dienst und dem LDAP-Verzeichnisdienst. Geben Sie gssapi für GSSAPI (Kerberos) ein.
domain
Geben Sie in Active Directory-Umgebungen die Domäne an, in der Tableau Server installiert ist, beispielsweise "example.lan".
Bei Nicht-AD-LDAP: Die Zeichenfolge, die Sie für diesen Wert eingeben, wird in der Spalte "Domäne" der Benutzerverwaltungstools angezeigt. Sie können eine beliebige Zeichenfolge eingeben, aber der Schlüssel darf nicht leer sein.

root

Nur LDAP. Geben Sie dies nicht für Active Directory an.
Wenn Sie im LDAP-Stamm keine DC-Komponente verwenden oder Sie einen komplexeren Stamm angeben möchten, müssen Sie den LDAP-Stamm festlegen. Verwenden Sie das Format "o=my,u=root". Für die Domäne example.lan würde der Stamm beispielsweise "o=example,u=lan" lauten.
membersRetrievalPageSize
Mithilfe dieser Option wird die maximale Anzahl Ergebnisse bestimmt, die von einer LDAP-Abfrage zurückgegeben werden.
Stellen Sie sich beispielsweise ein Szenario vor, in dem Tableau Server eine LDAP-Gruppe mit 50.000 Benutzern importiert. Es wird nicht empfohlen, eine so hohe Anzahl Benutzer in einem einzelnen Vorgang zu importieren. Wenn diese Option auf 1500 festgelegt ist, importiert Tableau Server die ersten 1500 Benutzer in der ersten Antwort. Nach der Verarbeitung dieser Benutzer fordert Tableau Server die nächsten 1500 Benutzer vom LDAP-Server an usw.
Es wird empfohlen, diese Option nur gemäß den Anforderungen Ihres LDAP-Servers zu ändern.

identityStoreSchemaType-Optionen

Wenn Sie eine LDAP-Verbindung zu einem LDAP-Server konfigurieren, können Sie im Objekt identityStoreSchemaType die für Ihren LDAP-Server spezifischen Schemainformationen eingeben.

Wichtig Wenn Sie eine Verbindung zu Active Directory herstellen ("directoryServiceType": "activedirectory"), konfigurieren Sie diese Optionen nicht.

userBaseFilter
Der Filter, den Sie für Tableau Server-Benutzer verwenden möchten. Beispielsweise können Sie ein Objektklassenattribut und ein Organisationseinheitsattribut angeben.
userUsername
Das Attribut, das den Benutzernamen auf Ihrem LDAP-Server entspricht.
userDisplayName
Das Attribut, das den angezeigten Benutzernamen auf Ihrem LDAP-Server entspricht.
userEmail
Das Attribut, das den E-Mail-Adressen der Benutzer auf Ihrem LDAP-Server entspricht.
userCertificate
Das Attribut, das den Benutzerzertifikaten auf Ihrem LDAP-Server entspricht.
userThumbnail
Das Attribut, das den Benutzer-Miniaturbildern auf Ihrem LDAP-Server entspricht.
userJpegPhoto
Das Attribut, das den Benutzer-Profilbildern auf Ihrem LDAP-Server entspricht.
groupBaseFilter
Der Filter, den Sie für Tableau Server-Benutzergruppen verwenden möchten. Beispielsweise können Sie ein Objektklassenattribut und ein Organisationseinheitsattribut angeben.
groupName
Das Attribut, das den Gruppennamen auf Ihrem LDAP-Server entspricht.
groupEmail
Das Attribut, das den E-Mail-Adressen der Gruppen auf Ihrem LDAP-Server entspricht.
groupDescription
Das Attribut, das den Gruppenbeschreibungen auf Ihrem LDAP-Server entspricht.
member
Das Attribut, das die Liste der Benutzer in einer Gruppe beschreibt.
distinguishedNameAttribute
Das Attribut, das die definierten Namen von Benutzern speichert. Dieses Attribut ist optional, führt jedoch zu einer deutlichen Leistungsverbesserung bei LDAP-Abfragen.
serverSideSorting
Gibt an, ob der LDAP-Server für die serverseitige Sortierung von Abfrageergebnissen konfiguriert ist. Wenn Ihr LDAP-Server die serverseitige Sortierung unterstützt, legen Sie diese Option auf true fest. Wenn Sie nicht sicher sind, ob Ihr LDAP-Server dies unterstützt, geben Sie false ein, da eine falsche Konfiguration Fehler verursachen kann.
rangeRetrieval
Gibt an, ob der LDAP-Server so konfiguriert ist, dass er für eine Aufforderung eine Reihe von Abfrageergebnissen zurückgibt. Demnach werden Gruppen mit vielen Benutzern nicht auf einmal, sondern in kleinen Gruppen angefordert. Bei umfangreichen Abfragen bieten LDAP-Server, die das Abrufen von Bereichen unterstützen, eine bessere Leistung. Wenn Ihr LDAP-Server das Abrufen von Bereichen unterstützt, legen Sie diese Option auf true fest. Wenn Sie nicht sicher sind, ob Ihr LDAP-Server das Abrufen von Bereichen unterstützt, geben Sie false ein, da eine falsche Konfiguration Fehler verursachen kann.
groupClassNames
Standardmäßig sucht Tableau Server nach LDAP-Gruppenobjektklassen, die die Zeichenfolge "group" (Gruppe) beinhalten. Wenn Ihre LDAP-Gruppenobjekte nicht dem Standardklassenname entsprechen, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes. Sie können mehrere, durch Kommas getrennte Klassennamen angeben. Diese Option verwendet eine Liste von Strings, für die es erforderlich ist, jede Klasse in Anführungszeichen, durch Kommata getrennt (ohne Leerzeichen) und innerhalb von Klammern zu übergeben. Beispiel: ["basegroup","othergroup"].
userClassNames
Standardmäßig sucht Tableau Server nach LDAP-Benutzerobjektklassen, die die Zeichenfolge "user" (Benutzer) und "inetOrgPerson" beinhalten. Wenn Ihre LDAP-Benutzerobjekte nicht diese Standardklassennamen verwenden, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes. Sie können mehrere, durch Kommas getrennte Klassennamen angeben. Diese Option verwendet eine Liste von Strings, für die es erforderlich ist, jede Klasse in Anführungszeichen, durch Kommata getrennt (ohne Leerzeichen) und innerhalb von Klammern zu übergeben. Beispiel: ["userclass1",userclass2”].

Importieren der JSON-Datei

Nachdem Sie die Bearbeitung der JSON-Datei abgeschlossen haben, verwenden Sie die folgenden Befehle, um die Datei zu übergeben und die Einstellungen anzuwenden:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.