Identiteitspools instellen en beheren
Om identiteitspools te maken en te beheren, moet u met behulp van de Tableau REST OpenAPI programmatische oproepen plaatsen bij de Identiteitspoolmethoden(Link wordt in een nieuw venster geopend). U kunt de gebruikersinterface (UI) van Tableau Server rechtstreeks of via de Tableau REST API gebruiken om gebruikers aan een identiteitspool toe te voegen of te beheren.
Het proces voor het instellen van identiteitspools wordt in de volgende stappen samengevat.
- Tableau Server configureren en een sessie instellen.
- Gebruikers instellen door een nieuwe lokale instantie van het identiteitenarchief in te stellen. Opmerking: u kunt deze stap overslaan als u een bestaand lokaal identiteitenarchief of het externe identiteitenarchief wilt gebruiken dat u tijdens de installatie van Tableau Server in TSM hebt geconfigureerd.
- Verificatie instellen om uw gebruikers met behulp van OpenID Connect (OIDC) te verifiëren bij Tableau Server.
- Een identiteitspool maken die gebruikmaakt van het identiteitenarchief en OIDC-verificatie die u hebt geconfigureerd.
- Gebruikers toevoegen aan een identiteitspool door Tableau Server UI of REST API te gebruiken om gebruikers in staat te stellen zich aan te melden bij Tableau Server.
Na de installatie kunt u testen, beheren en problemen oplossen met uw identiteitspools.
Opmerking: u kunt de Postman-verzameling van de identiteitspools(Link wordt in een nieuw venster geopend) in de Postman-werkruimte van Salesforce Developer gebruiken om meer te weten te komen over de methoden die in dit onderwerp worden beschreven, en om deze methoden te ontwikkelen en testen.
Vereisten
Voordat u aan de slag kunt gaan met identiteitspools, moet aan de volgende vereisten zijn voldaan:
- Er moet al een integratie met een OIDC-identiteitsprovider (IdP), zoals Okta, zijn geconfigureerd
- U voert Tableau Server 2023.1 of hoger uit
- U hebt de identiteitsmigratie(Link wordt in een nieuw venster geopend) uitgevoerd als u Tableau Server uitvoert na een upgrade van versie 2021.4 of eerder
Aan de slag
Stap 1: Configureer Tableau Server en stel een sessie in
Om wijzigingen in te schakelen die verband houden met het instellen van identiteitspools, is een eenmalige TSM-configuratie en een declaratie van sessie- en hostvariabelen vereist.
Open een opdrachtprompt als beheerder op het eerste knooppunt (waar TSM is geïnstalleerd) in het cluster.
Voer de volgende opdracht uit:
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
U kunt bijvoorbeeld de volgende opdrachten uitvoeren om uw Tableau Server te configureren, http://myco:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Zie gateway.external_url(Link wordt in een nieuw venster geopend) voor meer informatie.
(Optioneel) Voer de volgende opdrachten uit om een beschrijving toe te voegen voor de initiële pool (TSM geconfigureerd):
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
U kunt bijvoorbeeld de volgende opdrachten uitvoeren om de beschrijving 'Sign-in for MyCo employees' toe te voegen:
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Zie wgserver.authentication.identity_pools.default-poolbeschrijving(Link wordt in een nieuw venster geopend) voor meer informatie.
Meld u als beheerder aan bij Tableau Server en doe het volgende:
- Ga naar het ontwikkelaarsgereedschap van de browser en navigeer naar de cookies van de toepassing.
- Let op de waarde van workgroup_session_id.
Als u bijvoorbeeld in Chrome werkt, klikt u met de rechtermuisknop ergens op de startpagina van Tableau Server, klikt u met de rechtermuisknop en selecteert u Inspecteren. Klik Toepassing in het bovenste navigatiedeelvenster en klik op Cookies in het linker navigatiedeelvenster. Klik onder Cookies op de naam van uw Tableau Server, bijvoorbeeld http://myco.com, en noteer de waarde voor workgroup_session_id in het middelste deelvenster.
Doe het volgende in het script of het API-ontwikkelaarsgereedschap waarmee u identiteitspoolaanvragen doet met behulp van Tableau REST OpenAPI:
- Voeg de waarde van workgroup_session_id toe als een algemene variabele.
- Voeg daarnaast poort 80, de host (de URL van uw Tableau Server) en het protocol (HTTP of HTTPS) toe aan uw algemene variabelen.
In de volgende tabel staan bijvoorbeeld de algemene variabelen die nodig zijn voor uw Tableau Server: http://myco.
Algemene variabele | Waarde |
---|---|
Werkgroepsessie-ID | AbC_2abcDefDwGVzPu1hCQ|FJk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|ca608d3c-fc01-4e40-ae5e-9b2131e4e7mm |
Poort | 80 |
Host | http://myco |
Protocol | HTTP |
Stap 2: Stel de visualisatie in
Voor Tableau Server moet u een identiteitenarchief configureren om uw Tableau Server-gebruikers op te halen of in te richten.
Bij het opzetten van een identiteitspool kunt u een nieuw of bestaand lokaal identiteitenarchief(Link wordt in een nieuw venster geopend) gebruiken, of u kunt een extern identiteitenarchief(Link wordt in een nieuw venster geopend) gebruiken, hetzij Active Directory (AD) of Lightweight Directory Access Protocol (LDAP) als dat externe identiteitenarchief tijdens de installatie van Tableau Server is geconfigureerd.
Opmerking: nieuwe AD- of LDAP-instanties die niet de AD- of LDAP-instantie zijn die u tijdens de installatie van Tableau Server in TSM hebt geconfigureerd (ook wel de initiële pool (TSM geconfigureerd) genoemd), kunnen niet worden geconfigureerd met identiteitspools.
Volg de onderstaande procedure om een nieuw lokaal identiteitenarchief in te stellen. Ga naar Stap 3: Stel de visualisatie in als u een bestaand lokaal identiteitenarchief wilt gebruiken of het identiteitenarchief wilt gebruiken dat u tijdens de installatie van Tableau Server hebt geconfigureerd.
Maak een Aanmelden(Link wordt in een nieuw venster geopend)-aanvraag voor de Tableau REST API om een referentietoken te genereren.
Voorbeeld
URI
POST https://myco/api/3.19/auth/signin
Nadat de referentietoken is gegenereerd, voegt u het referentietoken toe aan de header van alle volgende API-aanvragen.
Configureer het identiteitenarchief door het Identiteitenarchief configureren(Link wordt in een nieuw venster geopend)-eindpunt aan te roepen met behulp van de Tableau REST API OpenAPI.
Geef in de aanvraag het volgende op:
- Type. De typewaarde is altijd 0 voor een lokaal identiteitenarchieftype. Als u een bestaand lokaal identiteitenarchief wilt gebruiken of het identiteitenarchief wilt gebruiken dat u tijdens de installatie van Tableau Server in TSM hebt geconfigureerd, hoeft u geen nieuwe instantie van het lokale identiteitenarchief in te stellen. Ga in plaats daarvan naar Stap 3: Stel verificatie in, hieronder.
- Naam. De naam moet uniek zijn.
- Weergavenaam Dit is optioneel.
Voorbeeld
URI
https://myco/api/services/authn-service/identity-stores/
Hoofdtekst van aanvraag (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Tekst van reactie
Geen
Stap 3: Stel de visualisatie in
U kunt de verificatiemethode OpenID Connect (OIDC) configureren om uw gebruikers te verifiëren.
Opmerking: OIDC is momenteel de enige verificatiemethode die kan worden geconfigureerd voor identiteitspools, ongeacht het type identiteitenarchief dat u met de identiteitspool gebruikt.
Nadat u een identiteitenarchief hebt ingesteld, roept u het verificatieconfiguratie maken(Link wordt in een nieuw venster geopend)-eindpunt aan met behulp van de Tableau REST API OpenAPI.
Geef in de aanvraag het volgende op:
Verificatietype. De waarden voor het verificatietype zijn "
OIDC
".- iFrame. De standaardwaarde van iFrame is "
false
". De vereiste OIDC-client-ID, het clientgeheim, de configuratie-URL, de ID-claim, clientverificatie en gebruikersnaamclaim.
- De client-ID en het clientgeheim worden door uw OIDC IdP verstrekt.
- De configuratie-URL wordt ook door uw IdP verstrekt. De URL heeft doorgaans de volgende indeling:
https://<idp_url>/.well-known/openid-configuration
. - De standaardwaarde van de ID-claim is "
sub
". Zie De sub-claim wijzigen voor meer informatie. - De standaardwaarde voor clientverificatie is "
CLIENT_SECRET_BASIC
". - De standaardwaarde voor de gebruikersnaamclaim is "
email
". Zie Standaard: e-mailclaim gebruiken om gebruikers toe te wijzen voor meer informatie.
Over gebruikersnaamclaim
Tableau gebruikt de gebruikersnaamclaim om overeenkomende identiteiten te vinden. Als u ID's opgeeft bij het aan Tableau Server toevoegen van gebruikers, wordt de ID gebruikt om de waarde te vinden die is opgegeven in de gebruikersnaamclaim. Als er geen identificatiedata worden opgegeven, gebruikt Tableau standaard de gebruikersnaam die in Tableau Server is ingesteld.
Opmerkingen:
- Als u van plan bent deze verificatieconfiguratie te gebruiken met een identiteitspool die AD als identiteitenarchief gebruikt, moet u ervoor zorgen dat de toegewezen gebruiker de AD-waarde sAMAccountName in de gebruikersnaamclaim heeft.
- Als u van plan bent deze verificatieconfiguratie te gebruiken met een identiteitspool die LDAP als identiteitenarchief gebruikt, moet u ervoor zorgen dat de toegewezen gebruiker de LDAP-gebruikersnaamwaarde in de gebruikersnaamclaim heeft.
Voorbeeld
URI
https://myco/api/services/authn-service/auth-configurations/
Hoofdtekst van aanvraag (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "0oa1hotzhjv4tyCd08",
"client_secret": "EsKd2NCxY-BiLu_zcIwr2lJZLziT_7sw9Fi6HV3",
"config_url": "https://dev-532601-admin.oktapreview.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Tekst van reactie
Geen
Stap 4: Maak een identiteitspool
Afhankelijk van het identiteitenarchief dat u tijdens de installatie van Tableau Server hebt geconfigureerd, kan de identiteitspool die u maakt slechts één van de volgende combinaties van identiteitenarchief en verificatiemethode hebben:
- AD-identiteitenarchief + OIDC-verificatie
- LDAP-identiteitenarchief + OIDC-verificatie
- Lokaal identiteitenarchief + OIDC-verificatie
Voor de eerste twee combinaties moet de initiële pool (TSM geconfigureerd) geconfigureerd zijn voor het gebruik van AD of LDAP.
Met de hieronder beschreven procedure wordt er een identiteitspool gemaakt met de laatste combinatie, "Lokaal identiteitenarchief + OIDC-verificatie".
Nadat u OIDC-verificatie hebt geconfigureerd, roept u het Identiteitspool maken(Link wordt in een nieuw venster geopend)-eindpunt aan met behulp van de Tableau REST API OpenAPI.
Geef in de aanvraag het volgende op:
Naam en beschrijving voor de identiteitspool. Zowel de naam als de beschrijving van de identiteitspool zijn voor alle gebruikers op de Tableau Server-startpagina zichtbaar.
Instantie-ID van identiteitenarchief en instantie-ID van verificatietype.
Opmerkingen:
- Om de instantie-ID van het identiteitenarchief en de instantie-ID van het verificatietype te verkrijgen, kunt u het Identiteitenarchief vermelden(Link wordt in een nieuw venster geopend)-eindpunt en het Verificatieconfiguraties vermelden(Link wordt in een nieuw venster geopend)-eindpunt aanroepen.
Als u een identiteitspool wilt maken die gebruikmaakt van het identiteitenarchief dat u tijdens de installatie van Tableau Server in TSM hebt geconfigureerd, is de waarde van de instantie van het identiteitenarchief altijd
'1'
.
Voorbeeld
URI
https://myco/api/services/authn-service/identity-pools/
Hoofdtekst van aanvraag (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Voorbeeldtekst van reactie
Geen
Nadat u de identiteitspool hebt gemaakt, gaat u naar uw IdP-configuraties en stelt u de aanmeldingsomleidings-URI in op
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Bijvoorbeeld:
http://myco/authn-service/authenticate/oidc/57tgfe21-74d2-3h78-bdg6-g2g6h4734564/login
Opmerking: om de identiteitspool-ID te verkrijgen, kunt u het Identiteitspools vermelden(Link wordt in een nieuw venster geopend)-eindpunt aanroepen.
Opmerkingen:
- U kunt zoveel identiteitspools maken als uw organisatie nodig heeft.
- Er worden andere identiteitenarchieftypen en verificatiemethoden ondersteund door de geconfigureerde initiële pool (TSM). Zie Verificatie voor meer informatie.
Stap 5: Voeg gebruikers aan identiteitspool toe
U kunt Tableau Server rechtstreeks gebruiken om gebruikers aan een identiteitspool toe te voegen. Gebruikers moeten tot de initiële pool (TSM geconfigureerd) behoren of aan een identiteitspool worden toegevoegd om zich bij Tableau Server te kunnen aanmelden. Wanneer u gebruikers toevoegt aan een identiteitspool, kan uw workflow veranderen, afhankelijk van het identiteitenarchief dat met de identiteitspool is geconfigureerd.
In de onderstaande procedure wordt beschreven hoe u gebruikers via de gebruikersinterface van Tableau Server aan een identiteit toevoegt. U kunt echter gebruikers aan een identiteitspool toevoegen met behulp van de Tableau REST API door het Gebruiker toevoegen aan identiteitspool(Link wordt in een nieuw venster geopend)-eindpunt aan te roepen.
Meld u als beheerder aan bij Tableau Server UI.
Selecteer in het linker navigatiedeelvenster Gebruikers (of Alle sites > Gebruikers voor een Tableau Server met meerdere sites).
Klik op de knop Gebruikers toevoegen en selecteer Nieuwe gebruiker maken of Gebruikers uit bestand importeren.
Voor Nieuwe gebruiker maken:
Selecteer de identiteitspool waaraan u de nieuwe gebruiker wilt toevoegen en klik op Volgende.
Als u een identiteitspool hebt geselecteerd die is geconfigureerd met een AD- of LDAP-identiteitenarchief, voert u gebruikersnamen in, en wijst u sitelidmaatschap en siterollen toe. Wanneer u klaar bent, klikt u op de knop Gebruikers importeren.
Als u een identiteitspool hebt geselecteerd die is geconfigureerd met een lokaal identiteitenarchief, voert u de gebruikersnaam in. Het dialoogvenster wordt uitgebreid, zodat u een weergavenaam, een identificatie (in de meeste gevallen) en een e-mailadres kunt toevoegen en de site en siterollen kunt instellen. Wanneer u klaar bent, klikt u op de knop Gebruiker maken.
Zie Siterollen voor gebruikers instellen voor meer informatie over gebruikersnamen en hoe u sitelidmaatschap en siterollen toewijst.
Over gebruikersnamen en identificatiedata in Tableau
Een gebruikersnaam is de informatie waarmee de systeemgebruiker wordt aangeduid. Een identificatiecode wordt gebruikt als aanvulling op de gebruikersnaaminformatie en kan door externe identiteitenarchieven worden gebruikt als alternatief voor gebruikersnamen.
In Tableau is een gebruikersnaam een onveranderlijke waarde die wordt gebruikt om de gebruiker aan te melden bij Tableau. Identificatoren zijn veranderlijke waarden die worden gebruikt in de identiteitsstructuur van Tableau om gebruikers te koppelen aan hun gebruikersnamen. Met behulp van ID's is Tableau flexibeler, omdat deze kunnen afwijken van de gebruikersnaam. Als er wijzigingen zijn in de gebruikersnaam in het externe identiteitenarchief, kunnen Tableau Server-beheerders de identificatie bijwerken om ervoor te zorgen dat gebruikers aan de juiste gebruikersnamen worden gekoppeld.
Wanneer u een bestaande gebruiker aan een identiteitspool toevoegt, verwacht u misschien dat u een identificatiecode kunt instellen. Als een bestaande gebruiker bijvoorbeeld tot een identiteitspool behoort die is geconfigureerd met een lokaal identiteitenarchief en u wilt de gebruiker toevoegen aan een identiteitspool die is geconfigureerd met een AD-identiteitenarchief, vragen we u om de gebruikersnaam op te geven om te kunnen zoeken naar ID's die aan die gebruiker zijn gekoppeld. Als een bestaande gebruiker daarentegen tot een identiteitspool behoort die is geconfigureerd met een AD-identiteitenarchief en u deze wilt toevoegen aan een identiteitspool die is geconfigureerd met een lokaal identiteitenarchief, vragen wij u om een optionele identificatie op te geven. Een uitzondering hierop is als u een gebruiker wilt toevoegen aan de initiële pool (TSM geconfigureerd) die is geconfigureerd met een lokaal identiteitenarchief en lokale verificatie. U kunt geen identificatie voor die gebruiker instellen.
Voor Gebruikers uit bestand importeren:
Upload een .csv-bestand met daarin de volgende kolommen in de aangegeven volgorde:
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Opmerking: alleen de kolommen username en password zijn verplicht. Als u echter geen identiteitspoolnaam opgeeft, wordt de gebruiker toegevoegd aan de initiële pool (TSM geconfigureerd). Zie Richtlijnen voor CSV-importbestand voor meer informatie.
Stel bijvoorbeeld dat u Henry Wilson en Fred Suzuki wilt toevoegen aan de identiteitspool General Contractors. In uw .csv-bestand kunnen dan de volgende waarden worden opgenomen zijn:
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Opmerking: wanneer er een of meer identiteitspools worden gemaakt, wordt de landingspagina van Tableau Server bijgewerkt met aanmeldingsopties voor gebruikers die lid zijn van die identiteitspools. Zie Gebruikers inrichten en verifiëren met identiteitspools voor meer informatie.
Identiteitspools testen
Nadat u een identiteitspool hebt ingesteld, raden wij u aan deze te testen door u af te melden bij Tableau Server en u opnieuw aan te melden als een gebruiker die tot de identiteitspool behoort. Zorg ervoor dat u het aanmeldingsproces voltooit om er zeker van te zijn dat OIDC-verificatie juist is geconfigureerd.
Opmerking: als u een optionele beschrijving voor de initiële pool (TSM geconfigureerd) hebt geconfigureerd in Stap 1: Configureer Tableau Server en stel een sessie in of een Serverinstellingen (algemeen en aanpassing)-opmerking hebt voor Tableau Server, raden we aan de beschrijving specifiek te maken voor gebruikers die zich aanmelden met behulp van de initiële pool (TSM geconfigureerd) en dat de 'Aanmelding aanpassen'-opmerking van toepassing is op alle gebruikers die zich aanmelden bij Tableau Server.
Identiteitspools beheren
U kunt de gebruikers in identiteitspools beheren via de pagina Gebruikers op serverniveau en via de pagina Gebruikers op siteniveau. Op de pagina Gebruikers kunt u zien tot welke identiteitspools gebruikers behoren en krijgt u een samenvatting van de identiteitspool.
Voor alle andere taken voor het beheer van identiteitspools, waaronder het bijwerken van een verificatieconfiguratie of identiteitspool en het verwijderen van een lokaal identiteitenarchief of identiteitspool, gebruikt u de Tableau REST API OpenAPI die wordt beschreven in de Identiteitspoolmethoden(Link wordt in een nieuw venster geopend).
Problemen met identiteitspools oplossen
Beperkingen van identiteitspools
Identiteitspools zijn alleen beschikbaar bij Tableau Server.
Opmerking: identiteitspools zijn momenteel alleen beschikbaar voor configuratie op serverniveau. Identiteitspools kunnen niet worden beperkt tot een site.
Op de landingspagina van Tableau Server staan IdP-fouten
Op de startpagina van Tableau Server kan onder de primaire aanmeldingsoptie naast een aanmeldingsoptie voor een identiteitspool een foutmelding over de IdP worden weergegeven. Dit probleem met OIDC-verificatie kan optreden wanneer een of beide van de volgende situaties van toepassing zijn: 1) Tableau Server is niet geconfigureerd om een externe URL naar de IdP te sturen en 2) de algemene variabelen zijn niet gedeclareerd.
Om dit probleem op te lossen, moet u de procedure voltooien die hierboven wordt beschreven in Stap 1: Configureer Tableau Server en stel een sessie in.
Op de landingspagina van Tableau Server worden geen identiteitspools weergegeven
Als de identiteitspoolfunctie is uitgeschakeld, kunt u deze opnieuw inschakelen met de volgende TSM-opdrachten:
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Opmerking: wanneer u deze opdrachten uitvoert, wordt Tableau Server opnieuw opgestart.