Identitätsspeicher

Für Tableau Server ist zum Speichern von Benutzer- und Gruppeninformationen ein Identitätsspeicher erforderlich. Es gibt zwei Arten von Identitätsspeichern: lokal und extern. Wenn Sie Tableau Server installieren, müssen Sie entweder einen lokalen oder einen externen Identitätsspeicher konfigurieren.

Informationen zu den Konfigurationsoptionen für den Identitätsspeicher finden Sie unter identityStore-Entität und LDAP-Konfigurationsreferenz.

Lokaler Identitätsspeicher

Wenn Sie Tableau Server mit einem lokalen Identitätsspeicher konfigurieren, werden alle Benutzer- und Gruppeninformationen im Tableau Server-Repository gespeichert und verwaltet. Bei einem lokalen Identitätsspeicher ist keine externe Quelle für Benutzer und Gruppen vorhanden.

Externer Identitätsspeicher

Wenn Sie Tableau Server mit einem externen Speicher konfigurieren, werden alle Benutzer- und Gruppeninformationen von einem externen Verzeichnisdienst gespeichert und verwaltet. Tableau Server muss mit dem externen Identitätsspeicher synchronisiert werden, sodass lokale Kopien der Benutzer und Gruppen im Tableau Server-Repository enthalten sind, der externe Identitätsspeicher jedoch als Masterquelle für alle Benutzer- und Gruppendaten verwendet wird.

Wenn Sie den Tableau Server-Identitätsspeicher für die Kommunikation mit einem externen LDAP-Verzeichnis konfiguriert haben, müssen alle Benutzer, die Sie Tableau Server hinzufügen (auch das ursprüngliche Administratorkonto), über ein Konto im Verzeichnis verfügen.

Wenn Tableau Server für die Verwendung eines externen LDAP-Verzeichnisses zur Authentifizierung konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus dem externen Verzeichnis in den Identitätsspeicher importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an das externe Verzeichnis weitergegeben, das für die Authentifizierung des Benutzers zuständig ist. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.

Active Directory ist ein Beispiel für einen externen Benutzerspeicher. Tableau Server ist für die Interaktion mit Active Directory optimiert. Wenn Sie beispielsweise Tableau Server auf einem mit einer Active Directory-Domäne verbundenen Computer über die Konfigurieren der Einstellungen für den ursprünglichen Knoteninstallieren, erkennt und konfiguriert Setup die meisten Active Directory-Einstellungen. Wenn Sie hingegen TSM CLI zur Installation von Tableau Server verwenden, müssen Sie alle Active Directory-Einstellungen angeben. Stellen Sie in diesem Fall sicher, dass Sie die Vorlage LDAP – Active Directory verwenden, um den Identitätsspeicher zu konfigurieren.

Wenn Sie in Active Directory installieren, müssen Sie Tableau Server auf einem Computer installieren, der mit der Active Directory-Domäne verbunden ist. Darüber hinaus empfehlen wir Ihnen, die Benutzerverwaltung in Active Directory-Bereitstellungen vor der Bereitstellung zu überprüfen.

Bei allen anderen externen Identitätsspeichern unterstützt Tableau Server LDAP als allgemeine Methode zur Kommunikation. OpenLDAP ist eine von mehreren LDAP-Serverimplementierungen mit einem flexiblen Schema. Tableau Server kann zur Abfrage des OpenLDAP-Servers konfiguriert werden. Dazu muss der Verzeichnisadministrator Informationen zum Schema bereitstellen. Während des Setups müssen Sie mithilfe der Konfigurieren der Einstellungen für den ursprünglichen Knoten eine Verbindung zu anderen LDAP-Verzeichnissen konfigurieren.

LDAP-Bindung

Clients, die einen Benutzerspeicher mit LDAP abfragen möchten, müssen sich authentifizieren und eine Sitzung einrichten. Dies erfolgt über die Bindung. Es gibt unterschiedliche Möglichkeiten zur Bindung. Eine einfache Bindung erfolgt durch Authentifizierung mit einem Benutzernamen und einem Kennwort. Für Organisationen, die eine einfache Bindung für Tableau Server verwenden, wird eine Verbindung mit SSL-Verschlüsselung empfohlen, andernfalls werden die Anmeldeinformationen als Klartext versendet. GSSAPI ist eine andere Bindungsart, die ebenfalls von Tableau Server unterstützt wird. GSSAPI verwendet Kerberos zur Authentifizierung. Im Fall von Tableau Server ist Tableau Server der Client, und der externe Benutzerspeicher ist der LDAP-Server.

LDAP mit GSSAPI-Bindung (Kerberos)

Es wird eine Bindung mit dem LDAP-Verzeichnis über GSSAPI empfohlen. Für die Bindung mit GSSAPI benötigen Sie eine spezielle Keytab-Datei für den Tableau Server-Dienst.

Wenn Sie die Installation in Active Directory durchführen und der Computer, auf dem Sie Tableau Server installieren, bereits der Domäne beigetreten ist, existiert auf dem Computer möglicherweise bereits eine Konfigurationsdatei und eine Keytab-Datei. In diesem Fall sind die Kerberos-Dateien für die Funktionalität des Betriebssystems und die Authentifizierung vorgesehen. Genau genommen können Sie diese Dateien für die GSSAPI-Bindung verwenden, wir raten jedoch von der Verwendung ab. Wenden Sie sich stattdessen an Ihren Active Directory-Administrator und fordern Sie eine für den Tableau Server-Dienst spezifische "keytab"-Datei an. Siehe Einführung in keytab-Anforderungen.

Angenommen, Ihr Betriebssystem verfügt über eine ordnungsgemäß konfigurierte Keytab-Datei für die Authentifizierung bei der Domäne, dann benötigen Sie für die Basisinstallation von Tableau Server lediglich die Kerberos-Schlüsseldatei für die GSSAPI-Bindung. Wenn Sie für Benutzer die Kerberos-Authentifizierung verwenden möchten, konfigurieren Sie Kerberos für die Benutzerauthentifizierung und die Kerberos-Delegierung für Datenquellen, nachdem die Installation abgeschlossen ist.

LDAP über SSL

Standardmäßig ist LDAP mit einer einfachen Bindung nicht verschlüsselt. Wenn Sie LDAP mit einer einfachen Bindung konfigurieren, wird dringend empfohlen, "LDAP über SSL" (LDAPS) zu aktivieren.

Wenn Sie bereits Zertifikate für LDAP auf dem Computer installiert haben, auf dem Tableau Server ausgeführt wird, sollte LDAPS mit minimaler Konfiguration während des Installationsvorgangs funktionieren.

Hinweis: Wenn Sie Tableau Server in einer verteilten Bereitstellung ausführen, müssen Sie das SSL-Zertifikat manuell auf jeden Knoten im Cluster kopieren. Kopieren Sie das Zertifikat nur auf die Knoten, auf denen der Tableau Server Application Server-Prozess konfiguriert ist. Im Gegensatz zu anderen freigegebenen Dateien in einer Cluster-Umgebung wird das für LDAP verwendete SSL-Zertifikat nicht automatisch vom Clientdateidienst verteilt.

Insbesondere wenn Sie Tableau Server installiert haben und im Tableau-Schlüsselspeicher gültige Zertifikate installiert sind (C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks), können Sie SSL beim Konfigurieren des Identitätsspeichers angeben.

Das Passwort für den Java-Schlüsselspeicher lautet changeit. (Ändern Sie das Passwort für den Java-Schlüsselspeicher nicht).

Wenn Sie noch keine Zertifikate auf Ihrem Computer gespeichert haben, die für den LDAP-Server konfiguriert sind, benötigen Sie ein SSL-Zertifikat für den LDAP-Server, das Sie in den Schlüsselspeicher des Tableau-Systems importieren müssen.

Verwenden Sie das Java-Tool "keytool" zum Importieren von Zertifikaten. In einer Standardinstallation wird dieses Tool zusammen mit Tableau Server unter C:\Program Files\Tableau\Tableau Server\packages\respository.<version>\jre\bin\keytool.exe installiert.

Führen Sie als Administrator den folgenden Befehl aus, um das Zertifikat zu importieren (Sie müssen <variables> für Ihre Umgebung ersetzen):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -import -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

 

Authentifizieren von Clients

Die grundlegende Benutzerauthentifizierung in Tableau Server erfolgt über eine Anmeldung mit Benutzernamen und Kennwort für lokale und externe Benutzerspeicher. Bei einem lokalen Speicher werden Benutzerkennwörter als gehashte Kennwörter im Respository gespeichert. Bei einem externen Speicher übergibt Tableau Server die Anmeldeinformationen an den externen Benutzerspeicher und wartet auf eine Antwort, die angibt, ob die Informationen gültig sind. Externe Benutzerspeicher können auch andere Arten der Authentifizierung wie Kerberos oder SSPI (nur Active Directory) verarbeiten, das Prinzip bleibt jedoch gleich: Tableau Server übergibt die Anmeldeinformationen oder Benutzerdaten an den externen Speicher und wartet auf eine Antwort.

Sie können Tableau Server so konfigurieren, dass die Anmeldung mit einem Benutzernamen und einem Kennwort deaktiviert ist. In diesem Fall können andere Authentifizierungsmethoden wie die vertrauenswürdige Authentifizierung, OpenID oder SAML verwendet werden. Weitere Informationen finden Sie unter Authentifizierung.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.