Provisioning e autenticazione degli utenti tramite pool di identità
Introdotti in Tableau Server versione 2023.1, i pool di identità sono uno strumento di gestione delle identità che utilizza le informazioni di provisioning e autenticazione per consentire l’accesso utente a Tableau Server. I pool di identità consentono un workflow di gestione delle identità più centralizzato e flessibile basato sul servizio di identità(Il collegamento viene aperto in una nuova finestra) per l’archiviazione e la gestione delle identità degli utenti in Tableau Server.
I pool di identità non sostituiscono le configurazioni di provisioning degli utenti e di autenticazione apportate utilizzando Tableau Services Manager (TSM) durante l’installazione di Tableau Server. Invece, i pool di identità sono progettati per integrare e supportare ulteriori opzioni di autenticazione e provisioning degli utenti di cui potresti aver bisogno nella tua organizzazione, in particolare per le organizzazioni in cui TSM è configurato con Active Directory (AD) o Lightweight Directory Access Protocol (LDAP). I pool di identità aggiungono un metodo alternativo, dopo la configurazione di Tableau Server, che consente agli amministratori di Tableau Server di aggiungere utenti, che spesso sono utenti esterni, partner o fornitori, alla distribuzione di Tableau Server.
I pool di identità sono ottimizzati per i seguenti casi d’uso:
Utenti esterni: una grande organizzazione aziendale che non vuole aggiungere utenti esterni al proprio AD interno.
Supponiamo, ad esempio, che la tua organizzazione disponga di due tipi di dipendenti: dipendenti regolari e dipendenti a contratto. Il provisioning dei tuoi dipendenti regolari viene effettuato tramite Active Directory (AD) con l’autenticazione SAML gestita tramite Okta, il tuo IdP. I dipendenti a contratto sono costituiti da utenti a cui in genere viene assegnata l’appartenenza temporanea a un gruppo o che fanno parte di un’altra organizzazione che effettua il provisioning degli utenti al di fuori di AD ed esegue l’autenticazione separatamente. I pool di identità possono consentirti di aggiungere utenti di Tableau Server esterni ad AD.
Più archivi identità: un’organizzazione che ospita applicazioni SaaS e che estrae gli utenti da più archivi identità.
Ad esempio, supponi che la tua organizzazione condivida i contenuti di Tableau con più organizzazioni esterne da un unico sito. Puoi separare questi utenti utilizzando diversi pool di identità configurati con archivi identità locali per identificare e gestire più facilmente gli utenti di ciascuna organizzazione.
Confini di sicurezza tra organizzazioni interne: un’organizzazione composta da più organizzazioni secondarie acquisite con confini di sicurezza distinti.
Ad esempio, puoi aggiungere utenti dall’organizzazione appena aggiunta a un pool di identità configurato con un archivio identità locale per evitare le complessità legate alla combinazione di archivi identità.
Cosa sono i pool di identità?
Un pool di identità ha tre componenti principali: un archivio identità per il provisioning degli utenti, l’autenticazione OpenID Connect (OIDC) e gli utenti assegnati.
Archivio identità: l’archivio identità(Il collegamento viene aperto in una nuova finestra) da cui estrai o con cui esegui il provisioning dei tuoi utenti può essere un archivio identità locale o un archivio identità esterno.
Se si tratta di un archivio identità locale, è possibile configurare un pool di identità per utilizzare un nuovo archivio identità locale o uno esistente. Nota: l’autenticazione locale non è supportata.
Se si tratta di un archivio identità esterno, un pool di identità può utilizzare solo lo stesso archivio identità esterno (AD o LDAP) configurato in TSM durante l’installazione di Tableau Server. Non è possibile configurare un pool di identità per utilizzare un archivio identità esterno diverso.
Le configurazioni di provisioning e autenticazione apportate in TSM durante l’installazione di Tableau Server sono definite "pool predefinito o iniziale (configurato in TSM)".
Autenticazione: l’unico metodo di autenticazione supportato per un pool di identità è OIDC(Il collegamento viene aperto in una nuova finestra).
Utenti: affinché gli utenti possano accedere a Tableau Server, devono provenire dal pool iniziale (configurato in TSM) o essere membri di almeno un pool di identità.
Quando utilizzare i pool di identità
In qualità di amministratore di Tableau Server, puoi utilizzare un pool di identità per segmentare gli utenti in coorti di identità in base a dove viene eseguito il provisioning degli utenti e al modo in cui gli utenti si autenticano in Tableau Server. Anche se le configurazioni dell’archivio identità e di autenticazione apportate in TSM durante l’installazione di Tableau Server, denominate anche "pool iniziale (configurato in TSM)", rimangono invariate, i pool di identità sono configurabili da Tableau Server.
Nota: i pool di identità sono attualmente disponibili solo per la configurazione a livello di server. I pool di identità non possono essere limitati all’ambito di un sito.
Ulteriori informazioni sui pool di identità
Pool iniziale (configurato in TSM) e pool di identità
Come indicato in precedenza, la combinazione di configurazioni di provisioning e autenticazione apportate in TSM durante l’installazione di Tableau Server viene definita "pool iniziale (configurato in TSM)". Il pool iniziale (configurato in TSM) è un componente obbligatorio del processo di installazione di Tableau Server e non può essere modificato.
Un pool di identità, tuttavia, è facoltativo ed è possibile creare tutti i pool di identità necessari direttamente da Tableau Server.
I pool di identità incidono sull’esperienza di accesso degli utenti
Per impostazione predefinita, quando non vengono creati pool di identità per Tableau Server, non viene apportata alcuna modifica al modo in cui gli utenti visualizzano la pagina di destinazione di Tableau Server e accedono a Tableau Server.
Quando vengono creati uno o più pool di identità, la pagina di destinazione di Tableau Server mostra più opzioni di accesso. L’opzione di accesso principale viene visualizzata nella parte superiore della pagina ed è il modo con cui gli utenti che appartengono al pool iniziale (configurato in TSM) possono eseguire l’accesso.
Sotto l’opzione di accesso principale si trovano le opzioni di accesso secondarie. Ogni opzione rappresenta un pool di identità, visualizzato nell’ordine in cui sono stati creati. Gli utenti assegnati a questi pool devono accedere utilizzando l’opzione per il pool di identità a cui appartengono. Per aiutare gli utenti a scegliere l’opzione di accesso corretta, prendi in considerazione la possibilità di aggiungere una descrizione al pool di identità quando ne crei uno.
Nota: tutti gli utenti vedranno tutti i pool configurati per Tableau Server, indipendentemente dalla loro appartenenza al pool.
Nomi utente e identificatori in Tableau
Un nome utente è l’informazione che rappresenta l’utente del sistema. Un identificatore consente di integrare le informazioni sul nome utente e può essere utilizzato da archivi identità esterni in alternativa ai nomi utente.
In Tableau, un nome utente è un valore non modificabile che viene utilizzato per accedere a Tableau, mentre gli identificatori sono valori modificabili utilizzati nella struttura dell’identità di Tableau per abbinare gli utenti ai rispettivi nomi utente. Gli identificatori permettono a Tableau di essere più flessibile perché possono discostarsi dal nome utente. Se vengono apportate modifiche al nome utente nell’archivio identità esterno, gli amministratori di Tableau Server possono aggiornare l’identificatore per garantire che gli utenti siano abbinati ai nomi utente corretti.
Quando aggiungi un utente esistente a un pool di identità, potrebbe essere prevista la possibilità di impostare un identificatore. Ad esempio, se un utente esistente appartiene a un pool di identità configurato con un archivio identità locale e desideri aggiungerlo a un pool di identità configurato con un archivio identità AD, ti chiediamo di specificare il nome utente per cercare gli identificatori associati a tale utente. D’altra parte, se un utente esistente appartiene a un pool di identità configurato con un archivio identità AD e desideri aggiungerlo a un pool di identità configurato con un archivio identità locale, ti chiediamo di specificare un identificatore facoltativo. Un’eccezione a questa condizione si verifica quando si desidera aggiungere un utente al pool iniziale (configurato per TSM) che è configurato con un archivio identità locale e l’autenticazione locale. In tal caso non sarai in grado di impostare un identificatore per tale utente.