Benutzerverwaltung in Active Directory-Bereitstellungen

In diesem Thema werden wichtige technische Informationen bereitgestellt, mit denen Sie vertraut sein sollten, wenn Sie Active Directory für die Benutzerauthentifizierung für Tableau Server nutzen. Grundlegend ist die Annahme, dass Sie mit der Benutzerverwaltung in Active Directory, dem grundlegenden Active Directory-Schema und -Domänenkonzepten vertraut sind.

Wenn Sie in Active Directory installieren, müssen Sie Tableau Server auf einem Computer installieren, der mit der Active Directory-Domäne verbunden ist.

Active Directory-Benutzerauthentifizierung und Tableau Server

Tableau Server speichert alle Benutzernamen im Tableau Server-Identitätsspeicher, der über das Repository verwaltet wird. Wenn Tableau Server für die Verwendung von Active Directory für die Authentifizierung konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus Active Directory in den Identitätsspeicher importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an Active Directory weitergegeben, und Active Directory ist dann wiederum für die Authentifizierung des Benutzers verantwortlich. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. (Standardmäßig wird NTLM für die Authentifizierung verwendet, Sie können jedoch Kerberos oder SAML für die Single Sign-On-Funktion aktivieren. Die Authentifizierung wird aber auch in diesen Fällen weiterhin von Active Directory übernommen.) Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.

Active Directory-Benutzernamenattribute und Tableau Server

Active Directory nimmt mithilfe mehrerer Attribute eine eindeutige Kennzeichnung von Benutzerobjekten vor. (Weitere Informationen finden Sie unter dem Thema zu Benutzernamenattribute auf der MSDN-Website.) Tableau Server verwendet zwei Active Directory-Benutzernamenattribute:

  • sAMAccountName. Diese Attribute legen den Anmeldenamen fest, der ursprünglich für die Verwendung in älteren Windows-Versionen entwickelt wurde. In vielen Organisationen wird dieser Name mit dem NetBIOS-Namen für die Authentifizierung kombiniert, in einem Format wie z. B. example\jsmith, wobei example der NetBIOS-Name ist und jsmith der sAMAccountName-Wert. Entspechend dem ursprünglichen Windows-Design muss der Wert sAMAccountName kürzer als 20 Zeichen sein.

    In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer befindet sich dieser Wert im Feld Benutzeranmeldename (vor Windows 2000) auf der Registerkarte Konto des Benutzerobjekts.

  • userPrincipalName (UPN). Über dieses Attribut wird ein Benutzername im Format jsmith@example.com angegeben, wobei es sich bei jsmith um das UPN-Präfix und bei @example.com um das UPN-Suffix handelt.

    In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer stellt der UPN eine Zusammensetzung aus zwei Feldern auf der Registerkarte Konto dar: dem Feld Benutzeranmeldename und der daneben gelegenen Domänen-Dropdown-Liste.

Hinzufügen von Benutzern aus Active Directory

Sie können aus Active Directory Benutzer individuell hinzufügen, indem Sie sie entweder in der Serverumgebung eingeben oder eine CSV-Datei zum Importieren der Benutzer erstellen. Außerdem können Sie Active Directory-Benutzer hinzufügen, indem Sie eine Gruppe mithilfe von Active Directory erstellen und alle Benutzer der Gruppe importieren. Abhängig davon, wie Sie vorgehen, ist auch das erzielte Ergebnis unterschiedlich.

Individuelles Hinzufügen von Benutzern

In den meisten Fällen verwendet Tableau Server den Wert sAMAccountName für den Benutzernamen. Wenn Sie Benutzer individuell aus Active Directory importieren (d. h. entweder durch Eingabe ihres Namens oder durch Verwendung einer CSV-Datei), sendet Tableau eine Abfrage an Active Directory mit den von Ihnen bereitgestellten Benutzernamen. Wenn eine Übereinstimmung gefunden wird, wird dieser Name in Tableau Server importiert und zum Benutzernamen, der für die Anmeldung bei Tableau Server verwendet wird.

Bei dem Benutzernamen, den Tableau Server in den Identitätsspeicher importiert, handelt es sich um den Wert sAMAccountName – vorausgesetzt, dass nicht eine der folgenden Einschränkungen besteht: 

  • Wenn der von Ihnen angegebene Benutzername größer als 20 Zeichen ist und mit dem UPN-Prefix übereinstimmt.

  • Wenn der angegebene Benutzername ein @-Zeichen unabhängig vom @-Zeichen enthält, das die Zeichenfolge des Benutzernamens von dem Domain-String trennt, z. B user@name@domain.lan.

Wenn der eingegebene Benutzername eine dieser Bedingungen erfüllt, importiert Tableau das UPN-Präfix des Attributs userPrincipalName, das dann als Anmeldename des Benutzers für Tableau verwendet wird.

Wenn Sie einen Benutzernamen eingeben, der eine dieser Anforderungen nicht erfüllt, wird der Wert sAMAccountName verwendet. Wenn Sie beispielsweise jsmith@example.lan eingeben und dieses Konto in der Domäne vertreten ist, wird der Benutzername als jsmith importiert, da der von Ihnen eingegebene Benutzername keine der Anforderungen erfüllt. Um den Anmeldenamen jsmith@example.lan zu erstellen, müssen Sie als Benutzernamen jsmith@example.lan@example.lan oder example.lan\jsmith@example.lan eingeben.

Wenn Benutzernamen versehentlich mit UPN-Namen importiert wurden, können Sie diese Konten in Tableau Server löschen und mit dem Wert sAMAccountName für den Benutzernamen erneut importieren, wie unter Benutzeranmeldename (vor Windows 2000) in der Windows-Verwaltungskonsole Active Directory-Benutzer und -Computer beschrieben.

Hinzufügen von Benutzergruppen

Wenn Sie eine Active Directory-Benutzergruppe importieren, importiert Tableau alle Benutzer aus der Gruppe mithilfe des sAMAccountName.

Synchronisierungsverhalten beim Entfernen von Benutzern aus Active Directory

Benutzer können nicht automatisch aus Tableau Server durch einen Active Directory-Synchronisierungsvorgang entfernt werden. Benutzer, die in Active Directory deaktiviert, gelöscht oder aus Gruppen entfernt werden, bleiben in Tableau Server erhalten, sodass Sie die Inhalte dieser Benutzer prüfen und die Zuweisung ändern können, bevor Sie die Benutzerkonten vollständig entfernen.

Tableau Server behandelt Benutzerobjekte jedoch unterschiedlich, abhängig von der Statusänderung dieses Benutzerobjekts in Active Directory. Zwei Szenarien sind möglich: Benutzer werden in Active Directory gelöscht oder deaktiviert, oder Benutzer werden aus synchronisierten Gruppen in Active Directory entfernt.

Wenn Sie einen Benutzer in Active Directory löschen oder deaktivieren und dann eine Synchronisierung mit der Gruppe dieses Benutzers in Tableau Server durchführen, geschieht Folgendes:

  • Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
  • Die Rolle des Benutzers wird festgelegt auf "Nicht lizenziert".
  • Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
  • Der Benutzer kann sich nicht bei Tableau Server anmelden.

Wenn Sie einen Benutzer aus einer Gruppe in Active Directory entfernen und dann eine Synchronisierung der Gruppe in Tableau Server durchführen, geschieht Folgendes:

  • Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
  • Die Benutzerrolle wird beibehalten: Sie wird nicht auf "Nicht lizenziert" festgelegt.
  • Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
  • Der Benutzer hat weiterhin eine Berechtigung für den Zugriff auf Tableau Server und alle Objekte, auf die Mitgliedern der Gruppe "Alle Benutzer" Zugriff gewährt wird.

In beiden Fällen muss der Serveradministrator den Benutzer auf der Seite "Serverbenutzer" in Tableau Server löschen, um ihn aus Tableau Server zu entfernen.

Domänenspitznamen

In Tableau Server entspricht der Domänenspitzname dem Windows-NetBIOS-Domänennamen. In einer Windows Active Directory-Umgebung kann ein vollqualifizierter Domänenname (FQDN) über einen beliebigen NetBIOS-Namen verfügen. Der NetBIOS-Name wird als Domänenbezeichner verwendet, wenn sich Benutzer bei Active Directory anmelden.

Beispielsweise kann der FQDN west.na.corp.lan mit dem NetBIOS-Namen (Spitznamen) SEATTLE konfiguriert werden. Der Benutzer jsmith in dieser Domäne kann sich mit einem der folgenden Benutzernamen bei Windows anmelden:

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Wenn Sie möchten, dass sich Benutzer über einen NetBIOS-Namen bei Tableau Server anmelden und nicht über FQDN, dann müssen Sie überprüfen, ob der Spitznamenwert für jede Domäne festgelegt ist, bei der sich Benutzer anmelden. Weitere Informationen zum Anzeigen und Festlegen des Spitznamenwerts für jede Domäne finden Sie unter editdomain.

Unterstützung für mehrere Domänen

Sie können Benutzer von einer Domäne hinzufügen, die sich von der Domäne des Tableau Server-Computers wie folgt unterscheidet:

  • Es wurde eine bidirektionale Vertrauensstellung zwischen der Domäne des Servers und der Domäne des Benutzers eingerichtet.

  • Die Domäne des Servers vertraut der Domäne des Benutzers (einseitige Vertrauensstellung). Siehe Anforderungen an Vertrauen zwischen Domänen.

Beim ersten Hinzufügen eines Benutzers aus der Nicht-Server-Domäne müssen Sie den Benutzernamen mit dem vollständig qualifizierten Domänennamen angeben. Alle weiteren Benutzer, die Sie von dieser Domäne hinzufügen, können mithilfe des Domänenspitznamens hinzugefügt werden. Voraussetzung dafür ist allerdings, dass der angegebene Spitzname mit dem NetBIOS-Namen übereinstimmt.

Doppelte Anzeigenamen

Wenn die angezeigten Benutzernamen in mehreren Domänen nicht eindeutig sind, kann die Benutzerverwaltung mit demselben angezeigten Namen in Tableau unübersichtlich sein. Tableau Server zeigt denselben Namen für zwei Benutzer an. Nehmen wir beispielsweise an, eine Organisation hat zwei Domänen: example.lan und example2.lan. Wenn der Benutzer John Smith in beiden Domänen existiert, wird das Hinzufügen dieses Benutzers zu Gruppen und anderen administrativen Aufgaben in Tableau Server unübersichtlich. Ziehen Sie in diesem Szenario ein Update des angezeigten Namens in Active Directory für einen der Benutzer in Erwägung, um die Konten zu unterscheiden.

Anmelden bei Tableau Server mit dem NetBIOS-Namen

Benutzer können sich über den Domänenspitznamen (NetBIOS-Namen) bei Tableau Server anmelden, beispielsweise mit SEATTLE\jsmith.

Tableau Server kann für einen bestimmten FQDN keine Abfrage nach dem NetBIOS-Namen durchführen. Daher legt Tableau den Spitznamen eines bestimmten FQDN dann entspechend dem ersten Eintrag im Namespace fest. Beispiel: Für den FQDN west.na.corp.lan legt Tableau den Spitznamen west fest.

Daher ist es unter Umständen erforderlich, dass Sie die Spitznamen in Tableau Server aktualisieren, bevor sich Benutzer über ihren Spitznamen anmelden können. Wenn Sie den Spitznamen nicht aktualisieren, müssen Benutzer bei der Anmeldung einen vollqualifizierten Domänennamen angeben. Weitere Informationen finden Sie in der Tableau-Knowlege Base unter Users From New Domain Unable to Log In and Do Not Appear in User List.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.