Archivio di identità
Tableau Server richiede un archivio di identità per la gestione delle informazioni sugli utenti e sui gruppi. Esistono due tipi di archivi di identità: locali ed esterni. Quando installi Tableau Server devi configurare un archivio di identità locale o esterno.
Per informazioni sulle opzioni di configurazione per l’archivio di identità, consulta Entità identityStore e Informazioni di riferimento sulla configurazione dell’archivio di identità esterno. Per ulteriori informazioni sull’aggiunta di maggiore flessibilità al modello di archivio identità singolo, consulta Provisioning e autenticazione degli utenti tramite pool di identità.
Archivio di identità locale
Quando configuri Tableau Server con un archivio di identità locale, tutte le informazioni sull’utente e sul gruppo vengono memorizzate e gestite nel repository di Tableau Server. Nello scenario di archivi di identità locale, non esiste una fonte esterna per utenti e gruppi.
Archivio di identità esterno
Quando configuri Tableau Server con un archivio esterno, tutte le informazioni sull’utente e sul gruppo vengono memorizzate e gestite da un servizio di directory esterno. Tableau Server deve sincronizzarsi con l’archivio di identità esterno. Di conseguenza, nel repository di Tableau Server esistono copie locali degli utenti e dei gruppi, ma l’archivio di identità esterno è l’origine autorevole per i dati di tutti gli utenti e i gruppi.
Se hai configurato l’archivio di identità Tableau Server per comunicare con una directory LDAP esterna, allora tutti gli utenti (incluso l’account amministratore iniziale) aggiunti a Tableau Server devono disporre di un account nella directory.
Quando Tableau Server è configurato per utilizzare una directory LDAP esterna, è necessario innanzitutto importare le identità utente dalla directory esterna nel repository di Tableau Server come utenti del sistema. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono passate alla directory esterna, responsabile dell’autenticazione dell’utente; Tableau Server non esegue questa autenticazione. Tuttavia, i nomi utente di Tableau memorizzati nell’archivio di identità sono associati a diritti e autorizzazioni per Tableau Server. Pertanto, dopo aver verificato l’autenticazione, Tableau Server gestisce l’accesso degli utenti (autorizzazione) per le risorse di Tableau.
Active Directory è un esempio di archivio utente esterno. Tableau Server è ottimizzato per interfacciarsi con Active Directory. Ad esempio, quando installi Tableau Server su un computer collegato al dominio Active Directory utilizzando l’Configurare le impostazioni iniziali dei nodi, il programma di installazione rileverà e configurerà la maggior parte delle impostazioni di Active Directory. Se, invece, utilizzi la CLI TSM per installare Tableau Server, devi specificare tutte le impostazioni di Active Directory. In questo caso, assicurati di utilizzare il modello LDAP - Active Directory per configurare l’archivio di identità.
Se stai installando in Active Directory, devi installare Tableau Server su un computer collegato al dominio Active Directory. Inoltre, è consigliabile rivedere Gestione degli utenti nelle distribuzioni con archivi di identità esterni prima della distribuzione.
Per tutti gli altri archivi esterni, Tableau Server supporta LDAP come metodo generico per comunicare l’archivio di identità. Ad esempio, OpenLDAP è una delle numerose implementazioni server LDAP con uno schema flessibile. È possibile configurare Tableau Server per eseguire query sul server OpenLDAP. A tale scopo, l’amministratore della directory deve fornire informazioni sullo schema. Durante l’installazione, devi utilizzare la Configurare le impostazioni iniziali dei nodi per configurare una connessione ad altre directory LDAP.
Binding LDAP
I client che desiderano eseguire query su un archivio utente utilizzando LDAP devono autenticarsi e stabilire una sessione. Questa operazione viene eseguita tramite il binding. Esistono numerose soluzioni per il binding. Il binding semplice è l’autenticazione con nome utente e password. Per le organizzazioni che si connettono a Tableau Server con un semplice binding, è consigliabile configurare una connessione crittografata SSL, altrimenti le credenziali vengono inviate come testo semplice durante la trasmissione. Un altro tipo di binding supportato da Tableau Server è il binding GSSAPI. GSSAPI utilizza Kerberos per l’autenticazione. In questo caso, Tableau Server è il client e l’archivio utente esterno è il server LDAP.
LDAP con binding GSSAPI (Kerberos)
È consigliabile eseguire il binding alla directory LDAP con GSSAPI utilizzando un file keytab per l’autenticazione nel server LDAP. Sarà necessario un file keytab specifico per il servizio Tableau Server. È inoltre consigliabile crittografare il canale con il server LDAP utilizzando SSL/TLS. Vedi Configurare il canale crittografato per l’archivio di identità esterno LDAP.
Se stai installando in Active Directory e il computer in cui installi Tableau Server è già stato aggiunto al dominio, il computer potrebbe già disporre di un file di configurazione e di un file keytab. In questo caso, i file Kerberos sono per la funzionalità e l’autenticazione del sistema operativo. A rigor di termini, è possibile utilizzare questi file per l’associazione GSSAPI, ma non è consigliato. È consigliabile invece contattare l’amministratore di Active Directory e richiedere una keytab specifica per il servizio Tableau Server. Vedi Comprendere i requisiti per i file keytab.
Supponendo che il sistema operativo sia configurato correttamente per l’autenticazione nel dominio, allora il keyfile Kerberos per il binding GSSAPI è tutto ciò che ti occorre per l’installazione di base di Tableau Server. Se prevedi di utilizzare l’autenticazione Kerberos per gli utenti, allora configura Kerberos per l’autenticazione utente e per la delega di Kerberos alle origini dati al termine dell’installazione.
LDAP su SSL
Per impostazione predefinita, LDAP con il binding semplice a server LDAP arbitrari non è crittografato. Le credenziali utente utilizzate per stabilire la sessione di binding con il server LDAP vengono comunicate in testo non crittografato tra Tableau Server e il server LDAP. È consigliabile crittografare il canale tra Tableau Server e il server LDAP.
Se l’organizzazione utilizza una directory LDAP diversa da Active Directory, consulta Configurare il canale crittografato per l’archivio di identità esterno LDAP.
Autenticazione dei client
In Tableau Server, l’autenticazione utente di base avviene tramite nome utente e password, sia per archivi utenti locali che esterni. Nel caso locale, le password utente vengono memorizzate come una password con hash nel repository. Nel caso esterno, Tableau Server passa le credenziali all’archivio utente esterno e attende una risposta in merito alla validità delle credenziali. Gli archivi utente esterni possono gestire anche altri tipi di autenticazione come Kerberos
È possibile configurare Tableau Server in modo che l’accesso nome utente-password sia disattivato. In questi scenari possono essere utilizzati altri metodi di autenticazione, ad esempio autenticazione attendibile, OpenID o SAML. Consulta Autenticazione.
In alcuni casi, potrebbe essere necessario aggiornare le directory esterne LDAP per consentire operazioni di binding con nome utente + formato DN da Tableau Server. Vedi Comportamento di binding dell’utente all’accesso.