Magasin d’identités
Tableau Server a besoin d’un magasin d’identités pour stocker les informations sur les utilisateurs et les groupes. On distingue deux types de magasins d’identités : local et externe. Lorsque vous installez Tableau Server, vous devez configurer un magasin d’identités local ou externe.
Pour des informations sur les options de configuration du magasin d’identités, consultez Entité identityStore et Référence de configuration du magasin d’identités externe. Pour plus d’informations sur l’ajout de davantage de flexibilité au modèle du magasin d’identité unique, consultez Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.
Magasin d’identités local
Lorsque vous configurez Tableau Server avec un magasin d’identités local, toutes les informations d’utilisateurs et de groupes sont stockées et gérées dans le référentiel Tableau Server. Dans le cas d’une magasin d’identités local, il n’y a pas de source externe pour les utilisateurs et les groupes.
Magasin d’identités externe
Lorsque vous configurez Tableau Server avec un magasin externe, toutes les informations d’utilisateurs et de groupes sont stockées et gérées par un service de répertoire externe. Tableau Server doit se synchroniser avec le magasin d’identités externe pour que les copies locales des utilisateurs et des groupes figurent dans le référentiel Tableau Server. Le magasin d’identités externe est toutefois la source principale pour toutes les données d’utilisateurs et de groupes.
Si vous avez configuré le magasin d’identités Tableau Server pour communiquer avec un répertoire LDAP externe, tous les utilisateurs (y compris le compte administrateur initial) que vous ajoutez à Tableau Server doivent avoir un compte dans le répertoire.
Si Tableau Server est configuré pour utiliser un répertoire LDAP externe, vous devez d’abord importer les identités des utilisateurs depuis le répertoire externe dans le référentiel Tableau Server en tant qu’utilisateurs système. Lorsque les utilisateurs se connectent à Tableau Server, leurs informations d’identification sont transmises au répertoire externe, qui prend la responsabilité de l’authentification de l’utilisateur ; Tableau Server n’effectue pas cette authentification. Cependant, les noms d’utilisateur Tableau stockés dans le magasin d’identités sont associés avec des droits et des autorisations pour Tableau Server. Donc, une fois l’authentification vérifiée, Tableau Server gère l’accès de l’utilisateur (autorisation) pour les ressources Tableau.
Active Directory est un exemple de banque d’utilisateurs externe. Tableau Server est optimisé pour l’interface avec Active Directory. Par exemple, lorsque vous installez Tableau Server sur un ordinateur lié au domaine Active Directory à l’aide de l’Configurer les paramètres du nœud initial, le programme d’installation détecte et configure la plupart des paramètres Active Directory. Si, d’autre part, vous utilisez l’interface en ligne de commande TSM pour installer Tableau Server, vous devez spécifier tous les paramètres Active Directory. Dans ce cas, assurez-vous d’utiliser le modèle LDAP - Active Directory pour configurer le magasin d’identité.
Si vous effectuez l’installation dans Active Directory, vous devez installer Tableau Server sur un ordinateur lié au domaine Active Directory. En outre, nous vous recommandons de passer en revue la Gestion des utilisateurs dans les déploiements avec magasins d’identités externes avant de procéder au déploiement.
Pour tous les autres magasins externes, Tableau Server prend en charge LDAP comme moyen générique de communiquer avec le magasin d’identités. Par exemple, OpenLDAP est l’une des implémentations de serveur LDAP avec un schéma flexible. Il est possible de configurer Tableau Server pour qu’il interroge un serveur OpenLDAP. Pour cela, l’administrateur de répertoires doit fournir des informations relatives au schéma. Lors de la configuration, vous devez utiliser l’Configurer les paramètres du nœud initial pour configurer une connexion à d’autres répertoires LDAP.
Liaison LDAP
Les clients qui souhaitent interroger une banque d’utilisateurs à l’aide de LDAP doivent s’authentifier et établir une session, ce qui s’effectue via une liaison. Il existe de nombreuses façons d’établir une liaison. La liaison simple correspond à une authentification avec nom d’utilisateur et mot de passe. Pour les organisations qui se connectent à Tableau Server avec liaison simple, nous vous recommandons de configurer une connexion cryptée SSL, sans quoi les informations d’identification sont envoyées en ligne sous forme de texte ordinaire. Un autre type de liaison pris en charge par Tableau Server est la liaison GSSAPI. GSSAPI utilise Kerberos pour l’authentification. Dans le cas de Tableau Server, Tableau Server est le client, et la banque d’utilisateurs externe est le serveur LDAP.
LDAP avec liaison GSSAPI (Kerberos)
Nous vous recommandons une liaison à l’annuaire LDAP avec GSSAPI à l’aide d’un fichier keytab pour l’authentification sur le serveur LDAP. Vous aurez besoin d’un fichier keytab spécifiquement pour le service Tableau Server. Nous vous recommandons également de crypter le canal avec le serveur LDAP à l’aide de SSL/TLS. Consultez Configurer le canal crypté vers le magasin d’identités externe LDAP.
Si vous effectuez l’installation sur Active Directory, et que l’ordinateur sur lequel vous installez Tableau Server est déjà lié au domaine, il se peut que l’ordinateur dispose déjà d’un fichier de configuration et d’un fichier keytab. Dans ce cas, les fichiers Kerberos sont destinés à l’authentification et au fonctionnement du système d’exploitation. À proprement parler, vous pouvez utiliser ces fichiers pour la liaison GSSAPI, mais nous déconseillons de les utiliser. Au lieu de cela, contactez votre administrateur Active Directory et demandez un fichier keytab spécifiquement pour le service Tableau Server. Consultez Comprendre la configuration requise du fichier keytab.
En présupposant que votre système d’exploitation dispose d’un fichier keytab correctement configuré pour l’authentification sur le domaine, l’installation de base de Tableau Server ne nécessite rien d’autre qu’un fichier de clé Kerberos pour la liaison GSSAPI. Si vous comptez utiliser l’authentification Kerberos pour les utilisateurs, configurez Kerberos pour l’authentification utilisateur et la délégation Kerberos pour les sources de données une fois l’installation terminée.
LDAP sur SSL
Par défaut, LDAP avec liaison simple à des serveurs LDAP arbitraires n’est pas crypté. Les informations d’identification des utilisateurs utilisées pour établir la session de liaison avec le serveur LDAP sont communiquées en texte ordinaire entre Tableau Server et le serveur LDAP. Nous vous recommandons vivement de crypter le canal entre Tableau Server et le serveur LDAP.
Si votre entreprise utilise un annuaire LDAP autre qu’Active Directory, consultez Configurer le canal crypté vers le magasin d’identités externe LDAP.
Authentification des clients
L’authentification utilisateur de base dans Tableau Server s’effectue par connexion avec un nom d’utilisateur et un mot de passe à la fois pour les banques utilisateur locales et externes. Dans le cas local, les mots de passe utilisateur sont stockés en tant que mot de passé haché dans le référentiel. Dans le cas externe, Tableau Server transmet les informations d’identification à la banque d’utilisateurs externe et attend une réponse sur la validité des informations d’identification. Les banques d’utilisateurs externes peuvent également gérer d’autres types d’authentification tels que Kerberos
Vous pouvez configurer Tableau Server de manière à ce que la connexion nom d’utilisateur-mot de passe soit désactivée. Dans ces scénarios, d’autres méthodes d’authentification telles que l’authentification de confiance, OpenID ou SAML peuvent être utilisées. Consultez Authentification.
Dans certains cas, vous devrez peut-être mettre à jour les annuaires externes LDAP pour autoriser les opérations de liaison avec le format nom d’utilisateur + DN depuis Tableau Server. Voir Comportement de liaison de l’utilisateur lors de la connexion.