Identitätsspeicher

Für Tableau Server ist zum Speichern von Benutzer- und Gruppeninformationen ein Identitätsspeicher erforderlich. Es gibt zwei Arten von Identitätsspeichern: lokal und extern. Wenn Sie Tableau Server installieren, müssen Sie entweder einen lokalen oder einen externen Identitätsspeicher konfigurieren.

Informationen zu den Konfigurationsoptionen für den Identitätsspeicher finden Sie unter identityStore-Entität und Konfigurationsreferenz für externe Identitätsspeicher.

Lokaler Identitätsspeicher

Wenn Sie Tableau Server mit einem lokalen Identitätsspeicher konfigurieren, werden alle Benutzer- und Gruppeninformationen im Tableau Server-Repository gespeichert und verwaltet. Bei einem lokalen Identitätsspeicher ist keine externe Quelle für Benutzer und Gruppen vorhanden.

Externer Identitätsspeicher

Wenn Sie Tableau Server mit einem externen Speicher konfigurieren, werden alle Benutzer- und Gruppeninformationen von einem externen Verzeichnisdienst gespeichert und verwaltet. Tableau Server muss mit dem externen Identitätsspeicher synchronisiert werden, sodass lokale Kopien der Benutzer und Gruppen im Tableau Server-Repository enthalten sind, der externe Identitätsspeicher jedoch als maßgebliche Quelle für alle Benutzer- und Gruppendaten verwendet wird.

Wenn Sie den Tableau Server-Identitätsspeicher für die Kommunikation mit einem externen LDAP-Verzeichnis konfiguriert haben, müssen alle Benutzer, die Sie Tableau Server hinzufügen (auch das ursprüngliche Administratorkonto), über ein Konto im Verzeichnis verfügen.

Wenn Tableau Server für die Verwendung eines externen LDAP-Verzeichnisses konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus dem externen Verzeichnis als Systembenutzer in das Tableau Server-Repository importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an das externe Verzeichnis weitergegeben, das für die Authentifizierung des Benutzers zuständig ist. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.

Active Directory ist ein Beispiel für einen externen Benutzerspeicher. Tableau Server ist für die Interaktion mit Active Directory optimiert. Wenn Sie beispielsweise Tableau Server auf einem mit einer Active Directory-Domäne verbundenen Computer über die Konfigurieren der Einstellungen für den ursprünglichen Knoteninstallieren, erkennt und konfiguriert Setup die meisten Active Directory-Einstellungen. Wenn Sie hingegen TSM CLI zur Installation von Tableau Server verwenden, müssen Sie alle Active Directory-Einstellungen angeben. Stellen Sie in diesem Fall sicher, dass Sie die Vorlage LDAP – Active Directory verwenden, um den Identitätsspeicher zu konfigurieren.

Wenn Sie in Active Directory installieren, müssen Sie Tableau Server auf einem Computer installieren, der mit der Active Directory-Domäne verbunden ist. Darüber hinaus empfehlen wir Ihnen, die Benutzerverwaltung in Bereitstellungen mit externen Identitätsspeichern vor der Bereitstellung zu überprüfen.

Bei allen anderen externen Identitätsspeichern unterstützt Tableau Server LDAP als allgemeine Methode zur Kommunikation. OpenLDAP ist eine von mehreren LDAP-Serverimplementierungen mit einem flexiblen Schema. Tableau Server kann zur Abfrage des OpenLDAP-Servers konfiguriert werden. Dazu muss der Verzeichnisadministrator Informationen zum Schema bereitstellen. Während des Setups müssen Sie mithilfe der Konfigurieren der Einstellungen für den ursprünglichen Knoten eine Verbindung zu anderen LDAP-Verzeichnissen konfigurieren.

LDAP-Bindung

Clients, die einen Benutzerspeicher mit LDAP abfragen möchten, müssen sich authentifizieren und eine Sitzung einrichten. Dies erfolgt über die Bindung. Es gibt unterschiedliche Möglichkeiten zur Bindung. Eine einfache Bindung erfolgt durch Authentifizierung mit einem Benutzernamen und einem Kennwort. Für Organisationen, die eine einfache Bindung für Tableau Server verwenden, wird eine Verbindung mit SSL-Verschlüsselung empfohlen, andernfalls werden die Anmeldeinformationen als Klartext versendet. GSSAPI ist eine andere Bindungsart, die ebenfalls von Tableau Server unterstützt wird. GSSAPI verwendet Kerberos zur Authentifizierung. Im Fall von Tableau Server ist Tableau Server der Client, und der externe Benutzerspeicher ist der LDAP-Server.

LDAP mit GSSAPI-Bindung (Kerberos)

Es wird empfohlen, die Bindung an das LDAP-Verzeichnis mit GSSAPI mithilfe einer Keytab-Datei durchzuführen, um sich beim LDAP-Server zu authentifizieren. Sie benötigen eine spezielle Keytab-Datei für den Tableau Server-Dienst. Ferner wird empfohlen, den Kanal mit dem LDAP-Server mit SSL/TLS zu verschlüsseln. Weitere Informationen finden Sie unter Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.

Wenn Sie die Installation in Active Directory durchführen und der Computer, auf dem Sie Tableau Server installieren, bereits der Domäne beigetreten ist, existiert auf dem Computer möglicherweise bereits eine Konfigurationsdatei und eine Keytab-Datei. In diesem Fall sind die Kerberos-Dateien für die Funktionalität des Betriebssystems und die Authentifizierung vorgesehen. Genau genommen können Sie diese Dateien für die GSSAPI-Bindung verwenden, wir raten jedoch von der Verwendung ab. Wenden Sie sich stattdessen an Ihren Active Directory-Administrator und fordern Sie eine für den Tableau Server-Dienst spezifische "keytab"-Datei an. Siehe Einführung in keytab-Anforderungen.

Angenommen, Ihr Betriebssystem verfügt über eine ordnungsgemäß konfigurierte Keytab-Datei für die Authentifizierung bei der Domäne, dann benötigen Sie für die Basisinstallation von Tableau Server lediglich die Kerberos-Schlüsseldatei für die GSSAPI-Bindung. Wenn Sie für Benutzer die Kerberos-Authentifizierung verwenden möchten, konfigurieren Sie Kerberos für die Benutzerauthentifizierung und die Kerberos-Delegierung für Datenquellen, nachdem die Installation abgeschlossen ist.

 

LDAP über SSL

Standardmäßig ist LDAP mit einer einfachen Bindung mit beliebigen LDAP-Servern nicht verschlüsselt. Benutzeranmeldeinformationen, die zum Einrichten der Bindungssitzung mit dem LDAP-Server verwendet werden, werden im Klartext zwischen Tableau Server und dem LDAP-Server übermittelt. Es wird dringend empfohlen, den Kanal zwischen Tableau Server und dem LDAP-Server zu verschlüsseln.

Wenn Ihre Organisation ein anderes LDAP-Verzeichnis als Active Directory verwendet, schlagen Sie unter Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher nach.

Authentifizieren von Clients

Die grundlegende Benutzerauthentifizierung in Tableau Server erfolgt über eine Anmeldung mit Benutzernamen und Kennwort für lokale und externe Benutzerspeicher. Bei einem lokalen Speicher werden Benutzerkennwörter als gehashte Kennwörter im Repository gespeichert. Bei einem externen Speicher übergibt Tableau Server die Anmeldeinformationen an den externen Benutzerspeicher und wartet auf eine Antwort, die angibt, ob die Informationen gültig sind. Externe Benutzerspeicher können auch andere Arten der Authentifizierung wie Kerberos oder SSPI (nur Active Directory) verarbeiten, das Prinzip bleibt jedoch gleich: Tableau Server übergibt die Anmeldeinformationen oder Benutzerdaten an den externen Speicher und wartet auf eine Antwort.

Sie können Tableau Server so konfigurieren, dass die Anmeldung mit einem Benutzernamen und einem Kennwort deaktiviert ist. In diesem Fall können andere Authentifizierungsmethoden wie die vertrauenswürdige Authentifizierung, OpenID oder SAML verwendet werden. Weitere Informationen finden Sie unter Authentifizierung.

In manchen Fällen müssen Sie externe LDAP-Verzeichnisse aktualisieren, um Bindungsoperationen mit dem Format "Benutzername + DN" von Tableau Server zuzulassen. Siehe Benutzerbindungsverhalten bei der Anmeldung.

Vielen Dank für Ihr Feedback!