Benutzerverwaltung in Bereitstellungen mit externen Identitätsspeichern
In diesem Thema werden wichtige technische Informationen bereitgestellt, mit denen Sie vertraut sein sollten, wenn Sie einen externen Identitätsspeicher zur Benutzerverwaltung für Tableau Server nutzen. Tableau Server unterstützt die Verbindung mit einem externen Verzeichnis über LDAP. In diesem Szenario importiert Tableau Server Benutzer aus dem externen LDAP-Verzeichnis als Systembenutzer in das Tableau Server-Repository.
Beliebige LDAP-Verzeichnisse
Der Systembenutzername in Tableau ist das Attribut, das Sie als Teil der LDAP-Konfiguration festlegen, z. B. "cn". Dies gilt sowohl für den Import einzelner Benutzer als auch für die Gruppensynchronisierung. Siehe Konfigurationsreferenz für externe Identitätsspeicher.
Benutzerbindungsverhalten bei der Anmeldung
Möglicherweise müssen Sie Ihre LDAP-Konfiguration aktualisieren, um die Bindung mit Benutzernamen zu ermöglichen, an die der DN angehängt ist. Insbesondere müssen Sie Ihre LDAP-Konfiguration aktualisieren, wenn Tableau Server mit einem beliebigen LDAP-Verzeichnis konfiguriert ist. (Z. B. OpenLDAP), das UPN oder E-Mail-Adressen als Benutzernamen verwendet.
Tableau Server sucht nach einem bestimmten Benutzer anhand des Benutzernamens, der bei der Anmeldung angegeben wurde. Tableau Server versucht dann, eine Verbindung mit dem Benutzernamen herzustellen, an den der DN angehängt ist. Wenn Tableau Server mit GSSAPI konfiguriert wurde, wird der Benutzername@REALM (Domänenname) verwendet.
Active Directory
Für diesen Inhalt und den Rest dieses Themas wird davon ausgegangen, dass Sie mit der Benutzerverwaltung in Active Directory, dem grundlegenden Active Directory-Schema und den -Domänenkonzepten vertraut sind.
Wenn Sie in Active Directory installieren, müssen Sie Tableau Server auf einem Computer installieren, der mit der Active Directory-Domäne verbunden ist.
Hinweis: In Bezug auf die Benutzer- und Gruppensynchronisation ist eine mit LDAP-Identitätsspeicher konfigurierte Instanz von Tableau Server gleichwertig mit Active Directory. Die Active Directory-Synchronisationsfunktionen arbeiten in Tableau Server bei ordnungsgemäß konfigurierten LDAP-Verzeichnislösungen nahtlos.
Active Directory-Benutzerauthentifizierung und Tableau Server
Tableau Server speichert alle Benutzernamen im Tableau Server-Identitätsspeicher, der über das Repository verwaltet wird. Wenn Tableau Server für die Verwendung von Active Directory für die Authentifizierung konfiguriert ist, müssen Sie zuerst Benutzeridentitäten aus Active Directory in den Identitätsspeicher importieren. Wenn sich Benutzer bei Tableau Server anmelden, werden ihre Anmeldeinformationen an Active Directory weitergegeben, und Active Directory ist dann wiederum für die Authentifizierung des Benutzers verantwortlich. Diese Authentifizierung wird nicht von Tableau Server durchgeführt. (Standardmäßig wird NTLM für die Authentifizierung verwendet, Sie können jedoch Kerberos oder SAML für die Single Sign-On-Funktion aktivieren. Die Authentifizierung wird aber auch in diesen Fällen weiterhin von Active Directory übernommen.) Die Benutzernamen von Tableau werden jedoch im Identitätsspeicher gespeichert, verbunden mit den Rechten und Berechtigungen für Tableau Server. Daher verwaltet Tableau Server nach der Authentifizierungsprüfung den Benutzerzugriff (Autorisierung) für Tableau-Ressourcen.
Active Directory-Benutzernamenattribute und Tableau Server
Active Directory nimmt mithilfe mehrerer Attribute eine eindeutige Kennzeichnung von Benutzerobjekten vor. (Weitere Informationen finden Sie unter dem Thema zu Benutzernamenattribute(Link wird in neuem Fenster geöffnet) auf der MSDN-Website.) Tableau Server verwendet zwei Active Directory-Benutzernamenattribute:
sAMAccountName
. Dieses Attribut gibt den Anmeldenamen an, der ursprünglich für die Verwendung mit älteren Windows-Versionen entwickelt wurde. In vielen Unternehmen wird dieser Name zur Authentifizierung mit dem NetBIOS-Namen kombiniert, wobei ein Format wie folgt verwendet wird:example\jsmith
. Dabei istexample
der NetBIOS-Name, undjsmith
ist dersAMAccountName
-Wert. Entspechend dem ursprünglichen Windows-Design muss der WertsAMAccountName
kürzer als 20 Zeichen sein.In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer befindet sich dieser Wert im Feld Benutzeranmeldename (vor Windows 2000) auf der Registerkarte Konto des Benutzerobjekts.
userPrincipalName
(UPN). Über dieses Attribut wird ein Benutzername im Formatjsmith@example.com
angegeben, wobei es sich beijsmith
um das UPN-Präfix und bei@example.com
um das UPN-Suffix handelt.In der Windows-Administrationskonsole Active Directory-Benutzer und -Computer stellt der UPN eine Zusammensetzung aus zwei Feldern auf der Registerkarte Konto dar: dem Feld Benutzeranmeldename und der daneben gelegenen Domänen-Dropdown-Liste.
Hinzufügen von Benutzern aus Active Directory
Sie können aus Active Directory Benutzer individuell hinzufügen, indem Sie sie entweder in der Serverumgebung eingeben oder eine CSV-Datei zum Importieren der Benutzer erstellen. Außerdem können Sie Active Directory-Benutzer hinzufügen, indem Sie eine Gruppe mithilfe von Active Directory erstellen und alle Benutzer der Gruppe importieren. Abhängig davon, wie Sie vorgehen, ist auch das erzielte Ergebnis unterschiedlich.
Importieren des UPN-Präfixes als Benutzername
Sie können nicht den gesamten UPN als Benutzernamen importieren.
In den meisten Fällen wird der Benutzername, den Tableau Server in den Identitätsspeicher importiert, der sAMAccountName-Wert sein. Weitere Informationen über Ausnahmen von diesem Verhalten finden Sie in dem Knowledgebase-Artikel Importieren von UPN-Präfixen als Benutzernamen in Nicht-Standard-Szenarien mit Active Directory(Link wird in neuem Fenster geöffnet).
Hinzufügen von Benutzergruppen
Wenn Sie eine Active Directory-Benutzergruppe importieren, importiert Tableau alle Benutzer aus der Gruppe mithilfe des sAMAccountName
.
Synchronisierungsverhalten beim Entfernen von Benutzern aus Active Directory
Benutzer können nicht automatisch aus Tableau Server durch einen Active Directory-Synchronisierungsvorgang entfernt werden. Benutzer, die in Active Directory deaktiviert, gelöscht oder aus Gruppen entfernt werden, bleiben in Tableau Server erhalten, sodass Sie die Inhalte dieser Benutzer prüfen und die Zuweisung ändern können, bevor Sie die Benutzerkonten vollständig entfernen.
Tableau Server behandelt Benutzerobjekte jedoch unterschiedlich, abhängig von der Statusänderung dieses Benutzerobjekts in Active Directory. Zwei Szenarien sind möglich: Benutzer werden in Active Directory gelöscht oder deaktiviert, oder Benutzer werden aus synchronisierten Gruppen in Active Directory entfernt.
Wenn Sie einen Benutzer in Active Directory löschen oder deaktivieren und dann eine Synchronisierung mit der Gruppe dieses Benutzers in Tableau Server durchführen, geschieht Folgendes:
- Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
- Die Rolle des Benutzers wird festgelegt auf "Nicht lizenziert".
- Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
- Der Benutzer kann sich nicht bei Tableau Server anmelden.
Wenn Sie einen Benutzer aus einer Gruppe in Active Directory entfernen und dann eine Synchronisierung der Gruppe in Tableau Server durchführen, geschieht Folgendes:
- Der Benutzer wird aus der Tableau Server-Gruppe entfernt, die Sie synchronisiert haben.
- Die Benutzerrolle wird beibehalten: Sie wird nicht auf "Nicht lizenziert" festgelegt.
- Der Benutzer gehört weiterhin zur Gruppe "Alle Benutzer".
- Der Benutzer hat weiterhin eine Berechtigung für den Zugriff auf Tableau Server und alle Objekte, auf die Mitgliedern der Gruppe "Alle Benutzer" Zugriff gewährt wird.
In beiden Fällen muss der Serveradministrator den Benutzer auf der Seite "Serverbenutzer" in Tableau Server löschen, um ihn aus Tableau Server zu entfernen.
Domänenspitznamen
In Tableau Server entspricht der Domänenspitzname dem Windows-NetBIOS-Domänennamen. In einer Windows Active Directory-Umgebung kann ein vollqualifizierter Domänenname (FQDN) über einen beliebigen NetBIOS-Namen verfügen. Der NetBIOS-Name wird als Domänenbezeichner verwendet, wenn sich Benutzer bei Active Directory anmelden.
Beispielsweise kann der FQDN west.na.corp.lan
mit dem NetBIOS-Namen (Spitznamen) SEATTLE
konfiguriert werden. Der Benutzer jsmith
in dieser Domäne kann sich mit einem der folgenden Benutzernamen bei Windows anmelden:
west.na.corp.example.com\jsmith
SEATTLE\jsmith
Wenn Sie möchten, dass sich Benutzer über einen NetBIOS-Namen bei Tableau Server anmelden und nicht über FQDN, dann müssen Sie überprüfen, ob der Spitznamenwert für jede Domäne festgelegt ist, bei der sich Benutzer anmelden. Weitere Informationen zum Anzeigen und Festlegen des Spitznamenwerts für jede Domäne finden Sie unter editdomain.
Unterstützung für mehrere Domänen
In diesen Fällen können Sie Benutzer und Gruppen aus einer Domäne hinzufügen, die sich von der Domäne des Tableau Server-Computers unterscheidet:
Es wurde eine bidirektionale Vertrauensstellung zwischen der Domäne des Servers und der Domäne des Benutzers eingerichtet.
Die Domäne des Servers vertraut der Domäne des Benutzers (einseitige Vertrauensstellung). Siehe Vertrauensanforderungen an Domänen für Active Directory-Bereitstellungen.
Wenn Sie zum ersten Mal einen Benutzer oder eine Gruppe aus einer Nicht-Server-Domäne hinzufügen, müssen Sie den vollständig qualifizierten Domänennamen zusammen mit dem Benutzer-/Gruppennamen angeben. Alle weiteren Benutzer oder Gruppen, die Sie von dieser Domäne hinzufügen, können mithilfe des Domänenspitznamens hinzugefügt werden. Voraussetzung dafür ist allerdings, dass der angegebene Spitzname mit dem NetBIOS-Namen übereinstimmt. Wenn Tableau Server eine Verbindung mit mehreren Domänen herstellt, müssen Sie auch die anderen Domänen angeben, mit denen Tableau Server eine Verbindung herstellt, indem Sie die Option wgserver.domain.whitelist
(Version 2020.3 und früher) oder wgserver.domain.accept_list
(Version 2020.4 und höher) mit TSM festlegen. Weitere Informationen finden Sie unter wgserver.domain.whitelist oder wgserver.domain.accept_list.
Doppelte Anzeigenamen
Wenn die angezeigten Benutzernamen in mehreren Domänen nicht eindeutig sind, kann die Benutzerverwaltung mit demselben angezeigten Namen in Tableau unübersichtlich sein. Tableau Server zeigt denselben Namen für zwei Benutzer an. Nehmen wir beispielsweise an, eine Organisation hat zwei Domänen: example.lan und example2.lan. Wenn der Benutzer John Smith in beiden Domänen existiert, wird das Hinzufügen dieses Benutzers zu Gruppen und anderen administrativen Aufgaben in Tableau Server unübersichtlich. Ziehen Sie in diesem Szenario ein Update des angezeigten Namens in Active Directory für einen der Benutzer in Erwägung, um die Konten zu unterscheiden.
Anmelden bei Tableau Server mit dem NetBIOS-Namen
Benutzer können sich über den Domänenspitznamen (NetBIOS-Namen) bei Tableau Server anmelden, beispielsweise mit SEATTLE\jsmith
.
Tableau Server kann für einen bestimmten FQDN keine Abfrage nach dem NetBIOS-Namen durchführen. Daher legt Tableau den Spitznamen eines bestimmten FQDN dann entspechend dem ersten Eintrag im Namespace fest. Beispiel: Für den FQDN west.na.corp.lan
legt Tableau den Spitznamen west
fest.
Daher ist es unter Umständen erforderlich, dass Sie die Spitznamen in Tableau Server aktualisieren, bevor sich Benutzer über ihren Spitznamen anmelden können. Wenn Sie den Spitznamen nicht aktualisieren, müssen Benutzer bei der Anmeldung einen vollqualifizierten Domänennamen angeben. Weitere Informationen finden Sie in der Tableau-Knowlege Base unter Users From New Domain Unable to Log In and Do Not Appear in User List(Link wird in neuem Fenster geöffnet).