Benutzerverwaltung in Active Directory-Bereitstellungen

In diesem Thema werden wichtige technische Informationen bereitgestellt, mit denen Sie vertraut sein sollten, wenn Sie Active Directory für die Benutzerauthentifizierung für Tableau Server nutzen. Grundlegend ist die Annahme, dass Sie mit der Benutzerverwaltung in Active Directory, dem grundlegenden Active Directory-Schema und -Domänenkonzepten vertraut sind.

Wenn Sie in Active Directory installieren, müssen Sie Tableau Server auf einem Computer installieren, der mit der Active Directory-Domäne verbunden ist.

Active Directory-Benutzerauthentifizierung und Tableau Server

Tableau Server speichert alle Benutzernamen im Tableau Server-Identitätsspeicher, der über das Repository verwaltet wird. Wenn Tableau Server für die Verwendung von Active Directory für die Authentifizierung konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus Active Directory in den Identitätsspeicher importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an Active Directory weitergegeben, und Active Directory ist dann wiederum für die Authentifizierung des Benutzers verantwortlich. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. (Standardmäßig wird NTLM für die Authentifizierung verwendet, Sie können jedoch Kerberos oder SAML für die Single Sign-On-Funktion aktivieren. Die Authentifizierung wird aber auch in diesen Fällen weiterhin von Active Directory übernommen.) Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.

Active Directory-Benutzernamenattribute und Tableau Server

Active Directory nimmt mithilfe mehrerer Attribute eine eindeutige Kennzeichnung von Benutzerobjekten vor. (Weitere Informationen finden Sie unter dem Thema zu Benutzernamenattribute(Link opens in a new window) auf der MSDN-Website.) Tableau Server verwendet zwei Active Directory-Benutzernamenattribute:

  • sAMAccountName. Diese Attribute legen den Anmeldenamen fest, der ursprünglich für die Verwendung in älteren Windows-Versionen entwickelt wurde. In vielen Organisationen wird dieser Name mit dem NetBIOS-Namen für die Authentifizierung kombiniert, in einem Format wie z. B. example\jsmith, wobei example der NetBIOS-Name ist und jsmith der sAMAccountName-Wert. Entspechend dem ursprünglichen Windows-Design muss der Wert sAMAccountName kürzer als 20 Zeichen sein.

    In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer befindet sich dieser Wert im Feld Benutzeranmeldename (vor Windows 2000) auf der Registerkarte Konto des Benutzerobjekts.

  • userPrincipalName (UPN). Über dieses Attribut wird ein Benutzername im Format jsmith@example.com angegeben, wobei es sich bei jsmith um das UPN-Präfix und bei @example.com um das UPN-Suffix handelt.

    In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer stellt der UPN eine Zusammensetzung aus zwei Feldern auf der Registerkarte Konto dar: dem Feld Benutzeranmeldename und der daneben gelegenen Domänen-Dropdown-Liste.

Hinzufügen von Benutzern aus Active Directory

Sie können aus Active Directory Benutzer individuell hinzufügen, indem Sie sie entweder in der Serverumgebung eingeben oder eine CSV-Datei zum Importieren der Benutzer erstellen. Außerdem können Sie Active Directory-Benutzer hinzufügen, indem Sie eine Gruppe mithilfe von Active Directory erstellen und alle Benutzer der Gruppe importieren. Abhängig davon, wie Sie vorgehen, ist auch das erzielte Ergebnis unterschiedlich.

Importieren des UPN-Präfixes als Benutzername

Bei dem Benutzernamen, den Tableau Server in den Identitätsspeicher importiert, handelt es sich um den Wert "sAMAccountName", sofern nicht eine der folgenden Einschränkungen besteht:

  • Wenn das UPN-Präfix des angegebenen Benutzers größer als 20 Zeichen ist und die Suchzeichenfolge mit dem vollständigen UPN übereinstimmt und mit dem Windows-Anmeldeformat (Domain\UPN) eingegeben wird.

    Ziehen Sie einen Benutzer mit den folgenden Active Directory-Attributen in Erwägung:

    • UPN: jsmith123456789012345@example.lan
    • sAMAccountName: jsmith

    Um diesen Benutzer so zu importieren, dass das UPN-Präfix (jsmith123456789012345) als Tableau Server-Benutzername verwendet wird, geben Sie beim Importieren des Benutzers die folgende Suchzeichenfolge an: example.lan\jsmith123456789012345@example.lan

    (Um diesen Benutzer so zu importieren, dass sAMAccountName verwendet wird, geben Sie beim Importieren einfach jsmith an).

  • Wenn der angegebene Benutzername ein @-Symbol im UPN-Präfix enthält (jsmith@domain) und die eingegebene Suchzeichenfolge entweder im Windows-Domänenanmeldeformat vorliegt (example.lan\jsmith@domain) oder der vollständige UPN ist.

    Ziehen Sie einen Benutzer mit den folgenden Active Directory-Attributen in Erwägung:

    • UPN: jsmith@domain@example.lan (in diesem Fall ist das UPN-Präfix jsmith@domain und das UPN-Suffix example.lan)
    • sAMAccountName: jsmith

    Um diesen Benutzer so zu importieren, dass das UPN-Präfix (jsmith@domain) als Tableau Server-Benutzername verwendet wird, geben Sie beim Importieren des Benutzers eine der folgenden Suchzeichenfolgen an:

    • example.lan\jsmith@domain
    • jsmith@domain@example.lan

    (Um diesen Benutzer so zu importieren, dass sAMAccountName verwendet wird, geben Sie beim Importieren einfach jsmith an).

Wenn Benutzernamen versehentlich mit UPN-Namen importiert wurden, können Sie diese Konten in Tableau Server löschen und mit dem Wert sAMAccountName für den Benutzernamen erneut importieren, wie unter Benutzeranmeldename (vor Windows 2000) in der Windows-Verwaltungskonsole Active Directory-Benutzer und -Computer beschrieben.

Hinzufügen von Benutzergruppen

Wenn Sie eine Active Directory-Benutzergruppe importieren, importiert Tableau alle Benutzer aus der Gruppe mithilfe des sAMAccountName.

Synchronisierungsverhalten beim Entfernen von Benutzern aus Active Directory

Benutzer können nicht automatisch aus Tableau Server durch einen Active Directory-Synchronisierungsvorgang entfernt werden. Benutzer, die in Active Directory deaktiviert, gelöscht oder aus Gruppen entfernt werden, bleiben in Tableau Server erhalten, sodass Sie die Inhalte dieser Benutzer prüfen und die Zuweisung ändern können, bevor Sie die Benutzerkonten vollständig entfernen.

Tableau Server behandelt Benutzerobjekte jedoch unterschiedlich, abhängig von der Statusänderung dieses Benutzerobjekts in Active Directory. Zwei Szenarien sind möglich: Benutzer werden in Active Directory gelöscht oder deaktiviert, oder Benutzer werden aus synchronisierten Gruppen in Active Directory entfernt.

Wenn Sie einen Benutzer in Active Directory löschen oder deaktivieren und dann eine Synchronisierung mit der Gruppe dieses Benutzers in Tableau Server durchführen, geschieht Folgendes:

  • Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
  • Die Rolle des Benutzers wird festgelegt auf "Nicht lizenziert".
  • Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
  • Der Benutzer kann sich nicht bei Tableau Server anmelden.

Wenn Sie einen Benutzer aus einer Gruppe in Active Directory entfernen und dann eine Synchronisierung der Gruppe in Tableau Server durchführen, geschieht Folgendes:

  • Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
  • Die Benutzerrolle wird beibehalten: Sie wird nicht auf "Nicht lizenziert" festgelegt.
  • Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
  • Der Benutzer hat weiterhin eine Berechtigung für den Zugriff auf Tableau Server und alle Objekte, auf die Mitgliedern der Gruppe "Alle Benutzer" Zugriff gewährt wird.

In beiden Fällen muss der Serveradministrator den Benutzer auf der Seite "Serverbenutzer" in Tableau Server löschen, um ihn aus Tableau Server zu entfernen.

Domänenspitznamen

In Tableau Server entspricht der Domänenspitzname dem Windows-NetBIOS-Domänennamen. In einer Windows Active Directory-Umgebung kann ein vollqualifizierter Domänenname (FQDN) über einen beliebigen NetBIOS-Namen verfügen. Der NetBIOS-Name wird als Domänenbezeichner verwendet, wenn sich Benutzer bei Active Directory anmelden.

Beispielsweise kann der FQDN west.na.corp.lan mit dem NetBIOS-Namen (Spitznamen) SEATTLE konfiguriert werden. Der Benutzer jsmith in dieser Domäne kann sich mit einem der folgenden Benutzernamen bei Windows anmelden:

  • west.na.corp.example.com\jsmith
  • SEATTLE\jsmith

Wenn Sie möchten, dass sich Benutzer über einen NetBIOS-Namen bei Tableau Server anmelden und nicht über FQDN, dann müssen Sie überprüfen, ob der Spitznamenwert für jede Domäne festgelegt ist, bei der sich Benutzer anmelden. Weitere Informationen zum Anzeigen und Festlegen des Spitznamenwerts für jede Domäne finden Sie unter editdomain.

Unterstützung für mehrere Domänen

Sie können Benutzer von einer Domäne hinzufügen, die sich von der Domäne des Tableau Server-Computers wie folgt unterscheidet:

  • Es wurde eine bidirektionale Vertrauensstellung zwischen der Domäne des Servers und der Domäne des Benutzers eingerichtet.

  • Die Domäne des Servers vertraut der Domäne des Benutzers (einseitige Vertrauensstellung). Siehe Anforderungen an Vertrauen zwischen Domänen.

Beim ersten Hinzufügen eines Benutzers aus der Nicht-Server-Domäne müssen Sie den Benutzernamen mit dem vollständig qualifizierten Domänennamen angeben. Alle weiteren Benutzer, die Sie von dieser Domäne hinzufügen, können mithilfe des Domänenspitznamens hinzugefügt werden. Voraussetzung dafür ist allerdings, dass der angegebene Spitzname mit dem NetBIOS-Namen übereinstimmt. Wenn Tableau Server eine Verbindung mit mehreren Domänen herstellt, müssen Sie auch die anderen Domänen angeben, mit denen Tableau Server eine Verbindung herstellt, indem Sie die wgserver.domain.whitelist-Option mit TSM festlegen. Weitere Informationen finden Sie unter wgserver.domain.whitelist.

Doppelte Anzeigenamen

Wenn die angezeigten Benutzernamen in mehreren Domänen nicht eindeutig sind, kann die Benutzerverwaltung mit demselben angezeigten Namen in Tableau unübersichtlich sein. Tableau Server zeigt denselben Namen für zwei Benutzer an. Nehmen wir beispielsweise an, eine Organisation hat zwei Domänen: example.lan und example2.lan. Wenn der Benutzer John Smith in beiden Domänen existiert, wird das Hinzufügen dieses Benutzers zu Gruppen und anderen administrativen Aufgaben in Tableau Server unübersichtlich. Ziehen Sie in diesem Szenario ein Update des angezeigten Namens in Active Directory für einen der Benutzer in Erwägung, um die Konten zu unterscheiden.

Anmelden bei Tableau Server mit dem NetBIOS-Namen

Benutzer können sich über den Domänenspitznamen (NetBIOS-Namen) bei Tableau Server anmelden, beispielsweise mit SEATTLE\jsmith.

Tableau Server kann für einen bestimmten FQDN keine Abfrage nach dem NetBIOS-Namen durchführen. Daher legt Tableau den Spitznamen eines bestimmten FQDN dann entspechend dem ersten Eintrag im Namespace fest. Beispiel: Für den FQDN west.na.corp.lan legt Tableau den Spitznamen west fest.

Daher ist es unter Umständen erforderlich, dass Sie die Spitznamen in Tableau Server aktualisieren, bevor sich Benutzer über ihren Spitznamen anmelden können. Wenn Sie den Spitznamen nicht aktualisieren, müssen Benutzer bei der Anmeldung einen vollqualifizierten Domänennamen angeben. Weitere Informationen finden Sie in der Tableau-Knowlege Base unter Users From New Domain Unable to Log In and Do Not Appear in User List(Link opens in a new window).

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.