Over de identiteitsmigratie
Vanaf versie 2022.1 slaat Tableau Server identiteitsdata op en beheert deze met behulp van de Identiteitsservice. Met de Identiteitsservice maakt Tableau Server gebruik van een modernere, veiligere en onveranderlijke identiteitsstructuur voor het proces van het inrichten en verifiëren van gebruikers. Identiteitsmigratie is een vereiste om identiteitspools(Link wordt in een nieuw venster geopend) te kunnen configureren en gebruiken.
Opmerking: als u de identiteitspoolfunctie niet wilt gebruiken, raden wij aan geen identiteitsmigratie uit te voeren. Als u de identiteitsmigratie uitvoert zonder plannen om identiteitspools te gebruiken, levert dit geen voordelen op voor uw Tableau Server-implementatie.
Voor bestaande implementaties kunt u, als u Tableau Server upgradet naar versie 2022.1 (of later) en een back-up van Tableau 2021.4 (of eerder) terugzet, de identiteitsmigratie starten nadat de upgrade van Tableau Server is voltooid om de nieuwe Identiteitsservice te vullen. Bij de identiteitsmigratie worden aanvullende Identiteitsservice-tabellen voor alle Tableau Server-gebruikers ingevuld. Deze tabellen worden vervolgens gebruikt om gebruikers via de Identiteitsservice te verifiëren. De migratie wordt op de achtergrond uitgevoerd en verstoort of belemmert het gebruik van Tableau Server door uw gebruikers niet.
Als beheerder kunt u de migratie bewaken en beheren, zoals het wijzigen van het tijdstip waarop de migratie wordt uitgevoerd of het oplossen van mogelijke migratieconflicten. Dit vindt plaats op een speciaal daarvoor bestemde Identiteitsmigratie-pagina, die beschikbaar is via de gebruikerspagina van Tableau Server. Deze pagina is beschikbaar zolang het migratieproces duurt.
Samenvatting van stappen voor bestaande implementaties
Voor bestaande implementaties moet u Tableau Server configureren voor gebruik van de Identiteitsservice nadat de migratie is voltooid. Zo kunt u profiteren van de verbeteringen in de identiteitsstructuur en identiteitspools configureren.
Stap 2: Start de identiteitsmigratie
Stap 3: Voltooi de identiteitsmigratie
Stap 4: Configureer Tableau Server voor gebruik van de Identiteitsservice
Kernbegrippen
- Identiteitsservice - een service in Tableau Server 2022.1 (en later) die verantwoordelijk is voor het beheer van gebruikersidentiteiten, waaronder verificatie en inrichting. De service maakt gebruik van een identiteitsschema waarin gebruikersidentiteiten worden weergegeven in Identiteitsservice-tabellen en de oude 'system_users'-tabel.
- Identiteitspools - een tool die inrichtings- en verificatie-informatie gebruikt om gebruikerstoegang tot Tableau Server mogelijk te maken. Identiteitspools maken een meer gecentraliseerde en flexibele workflow voor het beheren van identiteiten mogelijk die is gebaseerd op de Identiteitsservice voor het archiveren en beheren van gebruikersidentiteiten in Tableau Server.
- Oudere identiteitenarchiefmodus - een beperkt identiteitsschema dat wordt gebruikt door Tableau Server 2021.4 (en eerder), waarbij gebruikersidentiteiten alleen worden weergegeven in de oude 'system_users'-tabel.
- Identiteitsmigratie - het auditproces waarbij bestaande Tableau Server-gebruikersidentiteiten worden beoordeeld, de externe identiteitenarchieven stroomopwaarts worden doorzocht op aanvullende identiteitsinformatie (indien van toepassing) en die die aanvullende identiteitsinformatie importeert in de Identiteitsservice.
- Extern identiteitenarchief - een type identiteitenarchief dat zich extern en stroomopwaarts van Tableau Server bevindt, waar alle identiteitsinformatie wordt opgeslagen en beheerd door een externe directoryservice (Active Directory (AD) of LDAP). Als dit is geconfigureerd, synchroniseert Tableau Server met de externe directory, zodat er een kopie van de identiteitsdata in Tableau Server aanwezig is.
- Lokaal identiteitenarchief - een type identiteitenarchief dat wordt geleverd door Tableau Server. Als dit is geconfigureerd, slaat Tableau Server identiteitsdata op en beheert deze in het Tableau Server-archief zonder dat er een externe directory voor deze data is geconfigureerd.
- Systeemgebruiker - een Tableau Server-gebruiker. Een gebruiker komt overeen met een aanmeldingsrecord ("system_users") in zowel de Identiteitsservice (in de "system_users_identities"-tabel) als in de oude identiteitenarchiefmodus. Aan een 'system_users'-record kunnen mogelijk meerdere gebruikersidentiteiten worden gekoppeld, die zich bij meerdere sites kunnen aanmelden. De koppeling tussen een 'system_users'-record en sites wordt gedefinieerd in de 'users'-tabel.
Doel van de identiteitsmigratie
Wanneer u een back-up van Tableau Server maakt, worden identiteitsdata opgeslagen in het identiteitsschema dat wordt gebruikt door de versie van Tableau Server waarvoor de back-up is gemaakt. De migratie is nodig om identiteitsdata uit het identiteitsschema dat in de back-up wordt gebruikt, over te zetten naar het identiteitsschema dat door de identiteitsservice wordt gebruikt.
Identiteitsschema van Tableau Server 2021.4 en eerder
Het identiteitsschema dat door de oude identiteitenarchiefmodus wordt gebruikt, bestaat uit twee tabellen: 'system_users' en 'domains'.
Identiteitsschema van Tableau Server 2022.1 en later
Het identiteitsschema dat door de Identiteitsservice wordt gebruikt, omvat de oude 'system_users'-tabellen en aanvullende Identiteitsservice-tabellen (*_identity_stores en *identities) waarin meer identiteitsinformatie wordt vastgelegd. De extra tabellen zorgen ervoor dat er minder problemen optreden die kunnen worden veroorzaakt door wijzigingen stroomopwaarts in de externe identiteitenarchieven.
Wat gebeurt er tijdens de identiteitsmigratie?
Wanneer informatie over gebruikersidentiteiten wordt gemigreerd, worden identiteitsdata die zijn opgeslagen in de oude 'system_users'-tabel aangevuld met de Identiteitsservice-tabellen.
Het type Identiteitsservice-tabellen waarmee de identiteitsinformatie wordt aangevuld, is afhankelijk van het type identiteitenarchief waarvoor Tableau Server is geconfigureerd: lokaal, Active Directory (AD) of Lightweight Directory Access Protocol (LDAP).
Voor identiteitenarchieven het type AD nemen Identiteitsservice-tabellen alleen ondubbelzinnige kenmerken of kenmerken over die niet in dezelfde databaserecord zijn opgeslagen.
Zo kunnen sAMAccountNAme en userPrincipalName (UPN) worden opgeslagen in dezelfde naamrecord van een oude 'systems_users'-tabel, wat zich kan voordoen als gevolg van een complexe reeks regels. In de meeste gevallen kan de migratie de gebruikersidentiteit correct interpreteren en succesvol migreren. Als de migratie echter onduidelijke resultaten oplevert, moet u de onduidelijkheid handmatig bevestigen of het conflict handmatig oplossen via de speciale pagina Identiteitsmigratie. Zie Identiteitsmigratieconflicten oplossen voor meer informatie.
Voor identiteitenarchieven van het type LDAP, zoals AD-identiteitenarchieftypen, nemen Identiteitsservice-tabellen alleen ondubbelzinnige kenmerken over. In de meeste gevallen kan de migratie de gebruikersidentiteit correct interpreteren en succesvol migreren. Als de migratie echter onduidelijke resultaten oplevert, moet u de onduidelijkheid handmatig bevestigen of het conflict handmatig oplossen via de speciale pagina Identiteitsmigratie. Zie Identiteitsmigratieconflicten oplossen voor meer informatie.
Voor identiteitenarchieven van het type Lokaal nemen Identiteitsservice-tabellen de gebruikers- en domeinvelden rechtstreeks over. Dit betekent dat u geen aanvullende informatie hoeft te verstrekken of handmatig een oplossing hoeft te zoeken. Wanneer Tableau Server is geconfigureerd voor dit type identiteitenarchief, vindt de migratie van gebruikersidentiteiten plaats na het back-up- en herstelproces van Tableau Server.
Stap 1: Voordat u begint
Voordat u begint, moet u hieronder uw Tableau Server-upgrademethode kiezen om de volgende stappen in de identiteitsmigratie te bepalen.
Als u een Blauwe/groene upgrade uitvoert of voor handmatig upgraden van Tableau Server kiest door 1) Tableau Server op een nieuwe machine te installeren en vervolgens 2) een back-up van Tableau Server te maken en deze te herstellen met behulp van de tsm maintenance (backup and restore)-opdrachten, moet u enkele aanvullende stappen uitvoeren om de migratie te starten.
Voor de volgende stappen verwijzen wij u naar Problemen met de identiteitsmigratie oplossen.
Als u een “in-place” upgrade van één server of meerdere knooppunten van Tableau Server uitvoert met behulp van de hier beschreven methode, hoeft u geen extra stappen uit te voeren om de migratie te starten. De migratie start nadat de upgrade van Tableau Server naar versie 2022.1 (of later) is voltooid.
Ga naar Stap 2.
Als u een handmatig upgrade van Tableau Server uitvoert door 1) Tableau Server op een nieuwe machine te installeren en vervolgens 2) configuratie- en topologie-informatie exporteert en importeert met behulp van tsm settings (export and import)-opdrachten, hoeft u verder geen stappen uit te voeren om de migratie te starten. De migratie start nadat het importproces op de nieuwe Tableau Server-machine is voltooid.
Ga naar Stap 2.
Stap 2: Start de identiteitsmigratie
Om de identiteitsmigratie te starten, moet u de identiteitsmigratiefunctie inschakelen met behulp van de tsm-opdracht features.IdentityMigrationBackgroundJob.
Opmerking: als u een upgrade hebt uitgevoerd naar Tableau Server-versie 2021.4.21, 2022.1.17, 2022.3.9 of 2023.1.5, wordt de identiteitsmigratie standaard gestart en kunt u doorgaan naar Stap 3: Voltooi de identiteitsmigratie.
Open een opdrachtprompt als beheerder op het eerste knooppunt (waarop TSM is geïnstalleerd) in het cluster.
Voer de volgende opdracht uit:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Nadat de identiteitsmigratie is begonnen, verwijzen wij u naar een melding in Tableau Server met een link naar de pagina Identiteitsmigratie. Op de pagina Identiteitsmigratie kunt u de status van de identiteitsmigratie en identiteitsconflicten controleren die moeten worden opgelost.
Stap 3: Voltooi de identiteitsmigratie
Om de identiteitsmigratie te voltooien, moeten alle identiteitsconflicten worden opgelost of bevestigd voordat u de identiteitsservice voor Tableau Server kunt inschakelen.
- Meld u als beheerder aan bij Tableau Server.
Selecteer in het linker navigatiedeelvenster Gebruikers (of Alle sites > Gebruikers voor een Tableau Server met meerdere sites) en klik vervolgens op de pagina Identiteitsmigratie om te controleren of de migratie is gestart.
U kunt de voortgang ervan bewaken en beheren via de speciale pagina Identiteitsmigratie, die beschikbaar is op de pagina Gebruikers van Tableau Server. Raadpleeg voor meer informatie De identiteitsmigratie beheren.
Los alle identiteitsconflicten op of bevestig ze zoals beschreven in Identiteitsmigratieconflicten oplossen, zodat op het tabblad Alle fouten "0" wordt weergegeven, zoals in de afbeelding hieronder.
Voer een van de volgende handelingen uit:
Als u de identiteitsmigratietaak nu wilt uitvoeren, klikt u naast de kop Migratieoverzicht op de vervolgkeuzepijl Planning bewerken en selecteert u vervolgens Nu uitvoeren.
- U kunt er ook voor kiezen om te wachten tot de migratietaak op het eerstvolgende geplande tijdstip wordt uitgevoerd.
Nadat de migratie is voltooid, controleert u op de pagina Identiteitsmigratie of het migratieoverzicht het volgende weergeeft: 100% compleet.
Stap 4: Configureer Tableau Server voor gebruik van de Identiteitsservice
Nadat de identiteitsmigratie is voltooid, configureert u Tableau Server voor het gebruik van de Identiteitsservice om een veiligere en onveranderlijke identiteitsstructuur te garanderen voor het proces van het inrichten en verifiëren van gebruikers.
- Open een opdrachtprompt als beheerder op het eerste knooppunt (waar TSM is geïnstalleerd) in het cluster.
Voer de volgende opdrachten uit:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
Opmerking: nadat u de bovenstaande opdrachten hebt uitgevoerd, is de speciale pagina Identiteitsmigratie verwijderd en niet langer toegankelijk. De pagina is alleen toegankelijk als
tsm authentication legacy-identity-mode
is ingeschakeld.
Nadat Tableau Server is geconfigureerd voor het gebruik van de identiteitsservice, zoekt Tableau Server, wanneer gebruikers zich bij Tableau Server aanmelden, naar hun gebruikersidentiteiten met behulp van hun ID's in de geconfigureerde identiteitenarchief. Op basis van de identificatiedata worden de universele unieke identificatiedata (UUID) geretourneerd en gebruikt om aan bestaande Tableau Server-gebruikersidentiteiten te koppelen. Dit proces genereert vervolgens sessies voor de gebruikers en voltooit de verificatieworkflow.