Almacén de identidades

Tableau Server necesita un almacén de identidades para administrar la información de usuarios y grupos. Hay dos tipos de almacenes de identidades: locales y externos. Al instalar Tableau Server, debe configurar un almacén de identidades local o un almacén de identidades externo.

Para obtener información sobre las opciones de configuración para el almacén de identidades, consulte Entidad identityStore y Referencia de configuración del almacén de identidades externo.

Almacén de identidades local

Al configurar Tableau Server con un almacén de identidades local, toda la información de usuarios y grupos se almacena y administra en el repositorio de Tableau Server. En la situación del almacén de identidades local, no hay ninguna fuente externa para los usuarios y grupos.

Almacén de identidades externo

Al configurar Tableau Server con un almacén externo, toda la información de usuarios y grupos la almacena y administra un servicio de directorio externo. Tableau Server debe sincronizarse con el almacén de identidades externo para que haya copias locales de los usuarios y los grupos en el repositorio de Tableau Server, pero el almacén de identidades externo es la fuente de autoridad para todos los datos de usuarios y grupos.

Si ha configurado el almacén de identidades de Tableau Server para que se comunique con un directorio LDAP externo, todos los usuarios (incluida la cuenta de administración inicial) que añada a Tableau Server deben tener una cuenta en el directorio.

Cuando Tableau Server está configurado para usar un directorio LDAP externo, primero debe importar las identidades de usuario del directorio externo al repositorio de Tableau Server como usuarios del sistema. Cuando los usuarios inician sesión en Tableau Server, sus credenciales se transfieren al directorio externo, que se encarga de autenticar al usuario; Tableau Server no realiza esta autenticación. No obstante, en todos esos casos, Active Directory se encarga de la autenticación. Sin embargo, los nombres de usuario de Tableau guardados en el almacén de identidades están asociados a derechos y permisos de Tableau Server. Por tanto, una vez verificada la autenticación, Tableau Server administra el acceso de los usuarios (autorización) a los recursos de Tableau.

Active Directory es un ejemplo de un almacén de usuarios externo. Tableau Server está optimizado para interactuar con Active Directory. Por ejemplo, cuando instala Tableau Server en un equipo unido al dominio de Active Directory mediante la Configurar los ajustes de nodo iniciales, el programa de instalación detectará y configurará la mayoría de los ajustes de Active Directory. Si, por otro lado, utiliza TSM CLI para instalar Tableau Server, debe especificar todos los parámetros de Active Directory. En este caso, asegúrese de utilizar la plantilla LDAP - Active Directory para configurar el almacén de identidades.

Si está instalando en Active Directory, debe instalar Tableau Server en un equipo que esté unido al dominio de Active Directory. Además, le recomendamos que revise Administración de usuarios en implementaciones con almacenes de identidades externos antes de la implementación.

Para todos los demás almacenes externos, Tableau Server admite LDAP como método genérico de comunicación con el almacén de identidades. Por ejemplo, OpenLDAP es una de las distintas implementaciones del servidor LDAP con un esquema flexible. Tableau Server se puede configurar para consultar el servidor OpenLDAP. Para ello, el administrador del directorio debe proporcionar información sobre el esquema. Durante la instalación, debe usar la Configurar los ajustes de nodo iniciales para configurar la conexión con otros directorios LDAP.

Enlace LDAP

Los clientes que deseen consultar un almacén de usuarios con LDAP deben autenticarse y establecer una sesión. Esto se realiza mediante el enlace. Hay varias maneras de establecer un enlace. El enlace simple consiste en realizar la autenticación con un nombre de usuario y una contraseña. Para las organizaciones que se conectan a Tableau Server con el enlace simple, se recomienda configurar una conexión SSL cifrada; de lo contrario, las credenciales se envían en línea en texto plano. Otro tipo de enlace que admite Tableau Server es el enlace GSSAPI. GSSAPI utiliza Kerberos para realizar la autenticación. En el caso de Tableau Server, Tableau Server es el cliente y el almacén de usuarios externo es el servidor LDAP.

LDAP con enlace GSSAPI (Kerberos)

Se recomienda enlazar al directorio LDAP con GSSAPI mediante un archivo keytab para autenticarse en el servidor LDAP. Necesitará un archivo keytab específico para el servicio de Tableau Server. También recomendamos cifrar el canal con el servidor LDAP mediante SSL/TLS. Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.

Si va a efectuar la instalación en Active Directory y el equipo en el que va a instalar Tableau Server ya está vinculado al dominio, es posible que el equipo ya disponga de un archivo de configuración y de un archivo keytab. En tal caso, los archivos Kerberos están pensados para la funcionalidad y la autenticación en el sistema operativo. En términos estrictos, se pueden usar estos archivos para establecer un enlace GSSAPI, aunque no se recomienda. Póngase en contacto con el administrador de Active Directory y solicítele un archivo keytab específico para el servicio de Tableau Server. Consulte Información sobre los requisitos de keytab.

Asumiendo que su sistema operativo dispone de un keytab configurado correctamente para la autenticación en el dominio, todo lo que necesita para la instalación básica de Tableau Server es el archivo de claves de Kerberos para el enlace GSSAPI. Si tiene pensado usar la autenticación de Kerberos para los usuarios, entonces debe configurar Kerberos para la autenticación de usuario y la delegación de Kerberos a las fuentes de datos una vez que haya finalizado la instalación.

 

LDAP sobre SSL

De forma predeterminada, LDAP con enlace simple a servidores LDAP arbitrarios no está cifrado. Las credenciales de usuario que se utilizan para establecer la sesión de enlace con el servidor LDAP se comunican en texto sin formato entre Tableau Server y el servidor LDAP. Le recomendamos encarecidamente que cifre el canal entre Tableau Server y el servidor LDAP.

Si su organización utiliza un directorio LDAP que no es de Active Directory, consulte Configurar un canal cifrado al almacén de identidades externo LDAP.

Clientes de autenticación

La autenticación de usuario básica en Tableau Server se realiza al iniciar sesión por nombre de usuario y contraseña tanto para almacenes de usuarios locales como externos. En el caso local, las contraseñas de usuario se almacenan como una contraseña mediante hash en el repositorio. En el caso externo, Tableau Server pasa las credenciales al almacén de usuarios externo y espera una respuesta sobre si las credenciales son válidas. Los almacenes de usuarios externos también pueden admitir otros tipos de autenticación como Kerberos o SSPI (solo Active Directory), pero el concepto sigue siendo el mismo, Tableau Server delega las credenciales o el usuario al almacén externo y espera respuesta.

Puede configurar Tableau Server para que el inicio de sesión con nombre de usuario y contraseña esté deshabilitado. En estos escenarios se pueden usar otros métodos de autenticación, con la autenticación confiable, OpenID o SAML. Consulte Autenticación.

¡Gracias por sus comentarios!