Magasin d'identités

Tableau Server a besoin d'un magasin d'identités pour stocker les informations sur les utilisateurs et les groupes. On distingue deux types de magasins d'identités : local et externe. Lorsque vous installez Tableau Server, vous devez configurer un magasin d'identités local ou externe.

Pour des informations sur les options de configuration du magasin d'identités, consultez Entité identityStore et Référence de configuration LDAP.

Magasin d'identités local

Lorsque vous configurez Tableau Server avec un magasin d'identités local, toutes les informations d'utilisateurs et de groupes sont stockées et gérées dans le référentiel Tableau Server. Dans le cas d'une magasin d'identités local, il n'y a pas de source externe pour les utilisateurs et les groupes.

Magasin d'identités externe

Lorsque vous configurez Tableau Server avec un magasin externe, toutes les informations d'utilisateurs et de groupes sont stockées et gérées par un service de répertoire externe. Tableau Server doit se synchroniser avec le magasin d'identités externe pour que les copies locales des utilisateurs et des groupes figurent dans le référentiel Tableau Server, mais le magasin d'identités externe est la source principale pour toutes les données de groupes et d'utilisateurs.

Si vous avez configuré le magasin d'identités Tableau Server pour communiquer avec un répertoire LDAP externe, tous les utilisateurs (y compris le compte administrateur initial) que vous ajoutez à Tableau Server doivent avoir un compte dans le répertoire.

Si Tableau Server est configuré pour utiliser un répertoire LDAP externe pour l'authentification, vous devez d'abord importer les identités des utilisateurs depuis le répertoire externe dans le magasin d'identités. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d’identification sont transmises au répertoire externe, qui prend la responsabilité de l'authentification de l'utilisateur ; Tableau Server n'effectue pas cette authentification. Cependant, les noms d'utilisateur Tableau stockés dans le magasin d'identités sont associés avec des droits et des autorisations pour Tableau Server. Donc, une fois l'authentification vérifiée, Tableau Server gère l'accès de l'utilisateur (autorisation) pour les ressources Tableau.

Active Directory est un exemple de banque d'utilisateurs externe. Tableau Server est optimisé pour l'interface avec Active Directory. Par exemple, lorsque vous installez Tableau Server sur un ordinateur lié au domaine Active Directory à l'aide de l'Configurer les paramètres du nœud initial, le programme d'installation détecte et configure la plupart des paramètres Active Directory. Si, d'autre part, vous utilisez l'interface en ligne de commande TSM pour installer Tableau Server, vous devez spécifier tous les paramètres Active Directory. Dans ce cas, assurez-vous d'utiliser le modèle LDAP - Active Directory pour configurer le magasin d'identité.

Si vous effectuez l'installation dans Active Directory, vous devez installer Tableau Server sur un ordinateur lié au domaine Active Directory. En outre, nous vous recommandons de passer en revue la Gestion des utilisateurs dans un déploiement Active Directory avant de procéder au déploiement.

Pour tous les autres magasins externes, Tableau Server prend en charge LDAP comme moyen générique de communiquer avec le magasin d'identités. Par exemple, OpenLDAP est l'une des implémentations de serveur LDAP avec un schéma flexible. Il est possible de configurer Tableau Server pour qu'il interroge un serveur OpenLDAP. Pour cela, l'administrateur de répertoires doit fournir des informations relatives au schéma. Lors de la configuration, vous devez utiliser l'Configurer les paramètres du nœud initial pour configurer une connexion à d'autres répertoires LDAP.

Liaison LDAP

Les clients qui souhaitent interroger une banque d'utilisateurs à l'aide de LDAP doivent s'authentifier et établir une session, ce qui s'effectue via une liaison. Il existe de nombreuses façons d'établir une liaison. La liaison simple correspond à une authentification avec nom d'utilisateur et mot de passe. Pour les organisations qui se connectent à Tableau Server avec liaison simple, nous vous recommandons de configurer une connexion cryptée SSL, sans quoi les informations d'identification sont envoyées en ligne sous forme de texte ordinaire. Un autre type de liaison pris en charge par Tableau Server est la liaison GSSAPI. GSSAPI utilise Kerberos pour l'authentification. Dans le cas de Tableau Server, Tableau Server est le client, et la banque d'utilisateurs externe est le serveur LDAP.

LDAP avec liaison GSSAPI (Kerberos)

Nous recommandons une liaison à LDAP Directory avec GSSAPI. Pour établir une liaison avec GSSAPI, vous avez besoin d'un fichier keytab spécifiquement pour le service Tableau Server.

Si vous effectuez l'installation sur Active Directory, et que l'ordinateur sur lequel vous installez Tableau Server est déjà lié au domaine, il se peut que l'ordinateur dispose déjà d'un fichier de configuration et d'un fichier keytab . Dans ce cas, les fichiers Kerberos sont destinés à l'authentification et au fonctionnement du système d'exploitation. À proprement parler, vous pouvez utiliser ces fichiers pour la liaison GSSAPI, mais nous déconseillons de les utiliser. Au lieu de cela, contactez votre administrateur Active Directory et demandez un fichier keytab spécifiquement pour le service Tableau Server. Consultez Comprendre la configuration requise du fichier keytab.

En présupposant que votre système d'exploitation dispose d'un fichier keytab correctement configuré pour l'authentification sur le domaine, l'installation de base de Tableau Server ne nécessite rien d'autre qu'un fichier de clé Kerberos pour la liaison GSSAPI. Si vous comptez utiliser l'authentification Kerberos pour les utilisateurs, configurez Kerberos pour l'authentification utilisateur et la délégation Kerberos pour les sources de données une fois l'installation terminée.

LDAP sur SSL

Par défaut, LDAP avec liaison simple n'est pas crypté. Si vous configurez LDAP avec une simple liaison, nous vous recommandons vivement d'activer LDAP sur SSL (LDAPS).

Si vous avez déjà installé des certificats pour LDAP sur l'ordinateur exécutant Tableau Server, LDAPS doit utiliser la configuration minimale durant le processus d'installation.

Remarque : si vous exécutez Tableau Server dans un déploiement distribué, vous devez copier manuellement le certificat SSL sur chaque nœud du cluster. Copiez le certificat uniquement sur les nœuds où le processus Tableau Server Application Server est configuré. Contrairement aux autres fichiers partagés dans un environnement cluster, le certificat SSL utilisé pour LDAP ne sera pas automatiquement distribué par le Service de fichiers client.

Plus spécifiquement, si vous avez installé Tableau Server et que vous possédez des certificats valides installés dans le keystore Tableau (C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks), vous pouvez spécifier SSL lors de la configuration de la banque d'identités.

Le mot de passe pour le keystore Java est changeit. (Ne modifiez pas le mot de passe pour le keystore Java).

Si vous n'avez pas de certificats déjà en place sur votre ordinateur qui sont configurés pour le serveur LDAP, vous devez obtenir un certificat SSL pour le serveur LDAP et l'importer dans le keystore système Tableau.

Utilisez l'outil « keytool » Java d'importation de certificats. Dans une installation par défaut, cet outil est installé avec Tableau Server à l'adresse C:\Program Files\Tableau\Tableau Server\packages\respository.<version>\jre\bin\keytool.exe.

Exécutez la commande suivante en tant qu'administrateur pour importer le certificat (vous devez procéder au remplacement de <variables> pour votre environnement) :

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -import -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

 

Authentification des clients

L'authentification utilisateur de base dans Tableau Server s'effectue par connexion avec un nom d'utilisateur et un mot de passe à la fois pour les banques utilisateur locales et externes. Dans le cas local, les mots de passe utilisateur sont stockés en tant que mot de passé haché dans le référentiel. Dans le cas externe, Tableau Server transmet les informations d'identification à la banque d'utilisateurs externe et attend une réponse sur la validité des informations d'identification. Les banques d'utilisateurs externes peuvent également gérer d'autres types d'authentification tels que Kerberos ou SSPI (Active Directory uniquement), mais le concept est identique. Tableau Server délègue les informations d'identification ou l'utilisateur à la banque externe et attend une réponse.

Vous pouvez configurer Tableau Server de manière à ce que la connexion nom d'utilisateur-mot de passe soit désactivée. Dans ces scénarios, d'autres méthodes d'authentification telles que l'authentification de confiance, OpenID ou SAML peuvent être utilisées. Consultez Authentification.

Merci de vos commentaires ! Erreur lors de la soumission de votre commentaire. Réessayez ou envoyez-nous un message.