identityStore-entiteit


Voor Tableau Server is een identiteitenarchief vereist om gebruikers- en groepsinformatie op te slaan. Controleer de onderwerpen Verificatie en Identiteitenarchief u het identiteitenarchief voor de eerste keer configureert. Nadat u het identiteitenarchief op Tableau Server hebt geïnstalleerd, kunt u deze niet meer wijzigen zonder de server opnieuw te installeren.

Belangrijk: Alle entiteitsopties zijn hoofdlettergevoelig.

Voordat u begint

Controleer de volgende informatie:

  • Als u het lokale identiteitenarchief niet gebruikt, gebruikt u een bepaalde versie van LDAP. In dat geval moet u samenwerken met de beheerder van uw directory/LDAP om Tableau Server te configureren voor uw LDAP-schema en -bindingsvereisten.

  • De Tableau Server-configuratie is geoptimaliseerd voor Active Directory. Als u in Active Directory installeert, raden wij u aan het identiteitenarchief te configureren met Initiële knooppuntinstellingen configureren.

  • LDAP-binding is onafhankelijk van gebruikersverificatie. U kunt Tableau Server bijvoorbeeld configureren om een eenvoudige binding te gebruiken voor verificatie bij de LDAP-directory en Tableau Server vervolgens configureren om gebruikers na de installatie te verifiëren met Kerberos.

  • Maak geen verbinding met LDAP met een eenvoudige binding via een onbeveiligde verbinding. LDAP met eenvoudige binding verstuurt data standaard in duidelijke tekst. Gebruik LDAPS om verkeer te versleutelen met eenvoudige binding. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.

  • Als u Kerberos-verificatie wilt gebruiken voor de LDAP-binding met de Tableau Server-service, hebt u een keytab-bestand nodig voor GSSAPI-binding, zoals beschreven in de onderstaande secties. Zie ook De basisprincipes van keytab-vereisten. In de context van Kerberos is GSSAPI-binding alles wat u nodig hebt tijdens de basisinstallatie van Tableau Server. Nadat u de server hebt geïnstalleerd, kunt u Kerberos configureren voor gebruikersverificatie en Kerberos-delegatie naar databronnen uitvoeren.

  • In dit onderwerp maken we onderscheid tussen LDAP (het protocol voor het verbinden met directoryservices) en een LDAP-server (een implementatie van een directoryservice). Bijvoorbeeld slapd is een LDAP-server die deel uitmaakt van het OpenLDAP-project.

  • Zie Initiële knooppuntinstellingen configureren om de LDAP-configuratie te valideren voordat u de server initialiseert.

  • Importeer JSON-configuratiebestanden alleen als onderdeel van de initiële configuratie. Als u LDAP-wijzigingen moet aanbrengen nadat u het JSON-configuratiebestand hebt geïmporteerd en Tableau Server hebt geïnitialiseerd, probeer dan niet het JSON-bestand opnieuw te importeren. Breng in plaats daarvan individuele sleutelwijzigingen aan met systeemeigen tsm-opdrachten of met tsm configuration set. Zie Referentie configuratie van het externe identiteitenarchief.

Configuratiesjablonen

De JSON-sjablonen in deze sectie worden gebruikt om Tableau Server te configureren met verschillende scenario's voor het identiteitenarchief. Tenzij u een lokaal identiteitenarchief configureert, moet u een configuratiebestandsjabloon selecteren en bewerken die specifiek is voor uw LDAP-omgeving

Overweeg om de Configuratietool voor het Tableau-identiteitenarchief(Link wordt in een nieuw venster geopend) te gebruiken om u te helpen uw LDAP JSON-configuratiebestand te genereren. De tool zelf wordt niet ondersteund door Tableau. Als u echter een JSON-bestand gebruikt dat door de tool is gemaakt in plaats van handmatig een bestand te maken, verandert dit niets aan de ondersteunde status van uw server.

Selecteer een configuratiesjabloon voor het identiteitenarchief om te bewerken:

  • Lokaal
  • LDAP - Active Directory
  • OpenLDAP - GSSAPI-binding
  • OpenLDAP - Eenvoudige binding

Zie Voorbeeld van configuratiebestand voor meer uitleg over configuratiebestanden, entiteiten en sleutels.

Lokaal

Configureer lokaal als het type identiteitenarchief als uw organisatie nog geen Active Directory- of LDAP-server heeft voor gebruikersverificatie. Wanneer u Lokaal selecteert als het type identiteitenarchief, gebruikt u Tableau Server om gebruikers te maken en te beheren.

Een alternatieve manier om Tableau Server te configureren voor een lokale identiteitenarchief, is door de Setup GUI uit te voeren en "Lokaal" te selecteren tijdens het installatieproces. Zie Initiële knooppuntinstellingen configureren.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}

Belangrijk

De onderstaande LDAP-configuratiesjablonen zijn voorbeelden. De gepresenteerde sjablonen configureren geen LDAP-verbinding in uw organisatie. Voor een succesvolle implementatie moet u samenwerken met uw directorybeheerder om de LDAP-sjabloonwaarden te bewerken.

Daarnaast moeten alle bestanden waar in configEntities naar wordt verwezen zich op de lokale computer bevinden. Geef geen UNC-paden op.

LDAP - Active Directory

De Tableau Server-configuratie is geoptimaliseerd voor Active Directory. Als u in Active Directory installeert, configureert u het identiteitenarchief met Initiële knooppuntinstellingen configureren.

Er is een versleutelde verbinding met Active Directory vereist. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.

Als u om een of andere reden het identiteitenarchief niet kunt configureren om te communiceren met Active Directory via de TSM-webinterface, gebruikt u deze JSON-sjabloon om Tableau Server te configureren om verbinding te maken met Active Directory. Deze sjabloon maakt gebruik van een GSSAPI-binding (Kerberos) om de Tableau Server-service te verifiëren bij Active Directory. Tableau Server biedt ondersteuning voor Active Directory-schema's. Als u daarom de optie "directoryServiceType" instelt op "activedirectory", dan hoeft u geen schema-info in de optie "identityStoreSchemaType" te verstrekken.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}

Wij raden aan om via GSSAPI een binding te maken met Active Directory. U kunt echter wel verbinding maken met eenvoudige binding en LDAPS. Om verbinding te maken met eenvoudige binding, wijzig bind naar simple, verwijder de drie Kerberos-entiteiten en voeg de opties port/sslPort, username en password toe. Het volgende voorbeeld toont Active Directory met eenvoudige binding-json.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}

OpenLDAP - GSSAPI-binding

Gebruik de onderstaande sjabloon om OpenLDAP te configureren met GSSAPI-binding. Gebruik deze sjabloon niet als uw organisatie Active Directory gebruikt. Als u in Active Directory installeert, gebruikt u de bovenstaande sjabloon: LDAP - Active Directory.

In de meeste gevallen gebruiken organisaties die OpenLDAP met GSSAPI (Kerberos) gebruiken een keytab-bestand om referenties op te slaan. In het volgende voorbeeld wordt een keytab-bestand gebruikt voor verificatiereferenties.

U kunt uw referenties echter wel opgeven via de entiteiten username en password.

U kunt ook zowel een keytab als een gebruikersnaam en wachtwoord-paar opgeven. In dit geval probeert Tableau Server de keytab te gebruiken, maar als de verificatie om welke reden dan ook mislukt, wordt teruggevallen op de gebruikersnaam en wachtwoord-referenties.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}

OpenLDAP - Eenvoudige binding

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}

Referentie configuratiesjabloon

Opties voor gedeeld identiteitenarchief

type
Waar u gebruikersidentificatiegegevens wilt opslaan. Ofwel local of activedirectory. (Als u verbinding wilt maken met een LDAP-server, selecteert u activedirectory.)
domain
Het domein van de computer waarop u Tableau Server hebt geïnstalleerd.
nickname
De bijnaam van het domein. In Windows-omgevingen wordt dit ook wel de NetBIOS-naam genoemd.
De optie nickname is vereist voor alle LDAP-entiteiten. Als uw organisatie geen bijnaam/NetBIOS vereist, geef dan een lege sleutel door, bijvoorbeeld: "nickname": "".

Opties voor LDAP GSSAPI-binding

directoryservicetype
Het type directoryservice waarmee u verbinding wilt maken. Ofwel activedirectory of openldap.
kerberosConfig
Het pad naar het Kerberos-configuratiebestand op de lokale computer. Als u de installatie in Active Directory uitvoert, raden wij u af om het bestaande Kerberos-configuratiebestand of keytab-bestand te gebruiken dat mogelijk al op de computer staat die is toegevoegd aan het domein. Zie Identiteitenarchief.
kerberosKeytab
Het pad naar het Kerberos keytab-bestand op de lokale computer. Het is raadzaam om een keytab-bestand te maken met sleutels die specifiek zijn bedoeld voor de Tableau Server-service. U mag het keytab-bestand niet delen met andere toepassingen op de computer.
kerberosPrincipal
De Service Principal Name voor Tableau Server op de hostmachine. De keytab moet toestemming hebben voor deze principal. Gebruik geen bestaande keytab voor het systeem. Wij raden u in plaats daarvan aan om een nieuwe Service Principal Name te registreren. Om de principals in een bepaalde keytab te zien, voert u de opdracht klist -k uit. Zie De basisprincipes van keytab-vereisten.

Opties voor LDAP eenvoudige binding

directoryservicetype
Het type directoryservice waarmee u verbinding wilt maken. Ofwel activedirectory of openldap.
hostname
De hostnaam van de LDAP-server. Voor deze waarde kunt u een hostnaam of een IP-adres invoeren. De host die u hier opgeeft, wordt alleen gebruikt voor gebruikers-/groepsquery's op het primaire domein. Als gebruikers-/groepsquery's zich in andere domeinen bevinden (niet in het primaire domein), gebruikt Tableau Server deze waarde niet, maar wordt in plaats daarvan DNS geraadpleegd om de juiste domeincontroller te identificeren.
port
Met deze optie kunt u de niet-veilige poort van de LDAP-server opgeven. Platte tekst is meestal 389.
sslPort
Gebruik deze optie om LDAPS in te schakelen. Geef de veilige poort van de LDAP-server op. LDAPS is meestal poort 636. Om LDAPS te gebruiken, moet u ook de hostnaamoptie opgeven. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.
gebruikersnaam
De gebruikersnaam die u wilt gebruiken om verbinding te maken met de directoryservice. Het account dat u opgeeft, moet een machtiging hebben om de directoryservice te raadplegen. Voer voor Active Directory de gebruikersnaam in, bijvoorbeeld: jsmith. Voer voor LDAP-servers de onderscheidende naam (DN) in van de gebruiker die u wilt gebruiken om verbinding te maken. U kunt bijvoorbeeld het volgende invoeren: cn=username,dc=your-local-domain,dc=lan.
wachtwoord
Het wachtwoord van de gebruiker die u wilt gebruiken om verbinding te maken met de LDAP-server.

Gedeelde LDAP-opties

De volgende opties kunnen worden ingesteld voor generieke LDAP-, OpenLDAP- of Active Directory-implementaties.

bind
De manier waarop u de communicatie van de Tableau Server-service naar de LDAP-directoryservice wilt verifiëren. Voer gssapi in voor GSSAPI (Kerberos).
domain
Geef in Active Directory-omgevingen het domein op waar Tableau Server is geïnstalleerd, bijvoorbeeld "example.lan".
Voor niet-AD LDAP: de tekenreeks die u voor deze waarde invoert, wordt weergegeven in de kolom "Domein" van de tools voor gebruikersbeheer. U kunt een willekeurige tekenreeks invoeren, maar de sleutel mag niet leeg zijn.

root

Alleen LDAP. Niet specificeren voor Active Directory.
Als u geen dc-component in de LDAP-root gebruikt of als u een complexere root wilt opgeven, moet u de LDAP-root instellen. Gebruik de opmaak "o=my,u=root". Bijvoorbeeld voor het domein example.lan zou de root "o=example,u=lan" zijn.
membersRetrievalPageSize
Met deze optie bepaalt u het maximumaantal resultaten dat door een LDAP-query wordt geretourneerd.
Denk bijvoorbeeld aan een scenario waarin Tableau Server een LDAP-groep importeert die 50.000 gebruikers bevat. Het is geen best practice om een dergelijk groot aantal gebruikers in één keer te importeren. Wanneer deze optie is ingesteld op 1500, importeert Tableau Server de eerste 1500 gebruikers in de eerste respons. Nadat deze gebruikers zijn verwerkt, vraagt Tableau Server de volgende 1500 gebruikers op bij de LDAP-server, enzovoort.
Wij raden u aan deze optie alleen te wijzigen om te voldoen aan de vereisten van uw LDAP-server.

Opties identityStoreSchemaType

Als u een LDAP-verbinding met een LDAP-server configureert, kunt u schema-informatie invoeren die specifiek is voor uw LDAP-server in het object identityStoreSchemaType.

Belangrijk Als u verbinding maakt met Active Directory ("directoryServiceType": "activedirectory"), configureer deze opties dan niet.

userBaseFilter
Het filter dat u wilt gebruiken voor gebruikers van Tableau Server. U kunt bijvoorbeeld een objectklassekenmerk en een organisatie-eenheidkenmerk opgeven.
userUsername
Het kenmerk dat overeenkomt met gebruikersnamen op uw LDAP-server.
userDisplayName
Het kenmerk dat overeenkomt met de weergavenamen van gebruikers op uw LDAP-server.
userEmail
Het kenmerk dat overeenkomt met de e-mailadressen van gebruikers op uw LDAP-server.
userCertificate
Het kenmerk dat overeenkomt met gebruikerscertificaten op uw LDAP-server.
userThumbnail
Het kenmerk dat overeenkomt met de miniatuurafbeeldingen van gebruikers op uw LDAP-server.
userJpegPhoto
Het kenmerk dat overeenkomt met gebruikersprofielafbeeldingen op uw LDAP-server.
groupBaseFilter
Het filter dat u wilt gebruiken voor groepen gebruikers van Tableau Server. U kunt bijvoorbeeld een objectklassekenmerk en een organisatie-eenheidkenmerk opgeven.
groupName
Het kenmerk dat overeenkomt met groepsnamen op uw LDAP-server.
groupEmail
Het kenmerk dat overeenkomt met groeps-e-mailadressen op uw LDAP-server.
groupDescription
Het kenmerk dat overeenkomt met groepsbeschrijvingen op uw LDAP-server.
member
Het kenmerk dat de lijst met gebruikers in een groep beschrijft.
distinguishedNameAttribute
Het kenmerk waarin de unieke namen van gebruikers worden opgeslagen. Dit kenmerk is optioneel, maar het verbetert de prestaties van LDAP-query's aanzienlijk.
serverSideSorting
Of de LDAP-server is geconfigureerd voor sortering van queryresultaten aan de zijde van de server. Als uw LDAP-server sortering aan de zijde van de server ondersteunt, stelt u deze optie in op true. Als u niet zeker weet of uw LDAP-server dit ondersteunt, voer dan false in, omdat een verkeerde configuratie fouten kan veroorzaken.
rangeRetrieval
Of de LDAP-server is geconfigureerd om een reeks queryresultaten voor een aanvraag te retourneren. Dit betekent dat groepen met veel gebruikers in kleine sets worden aangevraagd in plaats van in één keer. LDAP-servers die bereikopvraging ondersteunen, presteren beter bij grote query's. Als uw LDAP-server bereikopvraging ondersteunt, stelt u deze optie in op true. Als u niet zeker weet of uw LDAP-server bereikopvraging ondersteunt, voer dan false in, omdat een verkeerde configuratie fouten kan veroorzaken.
groupClassNames
Standaard zoekt Tableau Server naar LDAP-groepsobjectklassen die de tekenreeks "group" bevatten. Als uw LDAP-groepsobjecten niet passen bij de standaardklassenaam, overschrijft u de standaardwaarde door deze waarde in te stellen. U kunt meerdere klassenamen opgeven, gescheiden door een komma. Deze optie gebruikt een lijst met tekenreeksen. Hiervoor moet u elke klasse tussen aanhalingstekens plaatsen, gescheiden door een komma (geen spatie) en tussen haakjes. Bijvoorbeeld: ["basegroup","othergroup"].
userClassNames
Standaard zoekt Tableau Server naar LDAP-gebruikersobjectklassen die de tekenreeks "user" en "inetOrgPerson" bevatten. Als uw LDAP-gebruikersobjecten deze standaardklassenamen niet gebruiken, overschrijft u de standaardwaarde door deze waarde in te stellen. U kunt meerdere klassenamen opgeven, gescheiden door een komma. Deze optie gebruikt een lijst met tekenreeksen. Hiervoor moet u elke klasse tussen aanhalingstekens plaatsen, gescheiden door een komma (geen spatie) en tussen haakjes. Bijvoorbeeld: ["userclass1",userclass2”].

Het JSON-bestand importeren

Nadat u klaar bent met het bewerken van het JSON-bestand, geeft u het bestand door en past u de instellingen toe met de volgende opdrachten:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.