Lokale verificatie

Als de server is geconfigureerd om een lokale identiteitsopslag te gebruiken, verifieert Tableau Server gebruikers. Wanneer gebruikers zich aanmelden en hun referenties invoeren, via Tableau Desktop, tabcmd, API of webclient, verifieert Tableau Server de referenties. Tableau-gebruikersnamen die in het identiteitenarchief zijn opgeslagen, zijn echter wel gekoppeld aan rechten en machtigingen voor Tableau Server. Nadat de verificatie is gecontroleerd, beheert Tableau Server de gebruikerstoegang (autorisatie) voor Tableau-resources.

Om lokale verificatie te gebruiken, moet u Tableau Server tijdens de installatie configureren met een lokale identiteitsopslag. U kunt geen lokale verificatie gebruiken als uw Tableau Server is geconfigureerd met een externe identiteitsopslag (LDAP, Active Directory, enz.).

Opmerking: Identiteitspools zijn een methode die is ontworpen ter aanvulling en ondersteuning van aanvullende opties voor gebruikersinrichting en verificatie die u mogelijk nodig hebt in uw organisatie. Deze methode ondersteunt alleen OpenID Connect (OIDC)-verificatie. Zie Gebruikers inrichten en verifiëren met identiteitspools voor meer informatie.

Wachtwoordopslag

Wanneer u lokale verificatie gebruikt, wordt het 'gesalte' en 'gehashte' wachtwoord van de gebruiker opgeslagen in de repository. Wachtwoorden worden nooit rechtstreeks opgeslagen, maar worden opgeslagen als resultaat van het 'salten' en 'hashen' van het wachtwoord. Server gebruikt de PBKDF2-afleidingsfunctie met de HMAC SHA512-hashfunctie.

Wachtwoordinstellingen configureren

Nadat u Tableau Server met lokale verificatie hebt geïnstalleerd, kunt u Tableau Server Manager (TSM) gebruiken om een aantal wachtwoordgerelateerde instellingen te configureren:

  • Wachtwoordbeleid: dit beleid definieert de vereisten voor de wachtwoordstructuur, zoals lengte, tekensoorten en andere vereisten.

  • Wachtwoordverloop: schakel het verlopen van wachtwoorden in en specificeer dit.

  • Limiet voor aanmeldpogingen: Tableau Server beperkt de tijd tussen aanmeldpogingen nadat gebruikers 5 keer een onjuist wachtwoord hebben ingevoerd. Gebruikers moeten een paar seconden wachten voordat ze opnieuw kunnen inloggen. Als gebruikers onjuiste wachtwoorden blijven invoeren, moeten ze exponentieel langere tijd wachten tussen de aanmeldpogingen. Standaard bedraagt de maximale tijd tussen aanmeldpogingen 60 minuten.

    Blokkeer de toegang tot uw account na te veel mislukte pogingen. U kunt opgeven hoeveel mislukte pogingen gebruikers mogen doen voordat ze worden buitengesloten. Zie Gebruikers op een site bekijken en beheren voor informatie over hoe u de toegang tot een vergrendeld account kunt ontgrendelen.

  • Gebruikerswachtwoord opnieuw instellen: hiermee kunnen gebruikers hun wachtwoord opnieuw instellen. Als u wachtwoord opnieuw instellen inschakelt, wordt Tableau Server zo geconfigureerd dat er een koppeling op de aanmeldpagina wordt weergegeven. Gebruikers die hun wachtwoord vergeten of hun wachtwoord opnieuw willen instellen, kunnen op de link klikken om een workflow voor het opnieuw instellen van het wachtwoord te starten. Het opnieuw instellen van het wachtwoord moet worden geconfigureerd met behulp van TSM CLI, zoals hieronder beschreven.

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Klik op Gebruikersidentiteit en -toegang op het tabblad Configuratie en klik vervolgens op Verificatiemethode.

  3. Selecteer Lokale verificatie in het vervolgkeuzemenu om de wachtwoordinstellingen weer te geven.

  4. Configureer de wachtwoordinstellingen en klik vervolgens op Lopende wijzigingen opslaan.

  5. Klik op Lopende wijzigingen boven aan de pagina:

  6. Klik op Wijzigingen toepassen en opnieuw opstarten.

Voor de initiële configuratie van het wachtwoordbeleid raden we u aan de onderstaande configuratiebestandsjabloon te gebruiken om een JSON-bestand te maken. U kunt ook elke onderstaande configuratiesleutel instellen met de syntaxis die wordt beschreven in tsm configuration set.

  1. Kopieer de volgende JSON-sjabloon naar een bestand. Vul de codewaarden in met de configuratie van uw wachtwoordbeleid. Zie het onderstaande referentiegedeelte voor meer informatie over de belangrijkste opties.

    {
    "configKeys": {
     "wgserver.localauth.policies.mustcontainletters.enabled": false,
      "wgserver.localauth.policies.mustcontainuppercase.enabled": false,
      "wgserver.localauth.policies.mustcontainnumbers.enabled": false,
      "wgserver.localauth.policies.mustcontainsymbols.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.value": 8,
      "wgserver.localauth.policies.maximumpasswordlength.enabled": false,
      "wgserver.localauth.policies.maximumpasswordlength.value": 255,
      "wgserver.localauth.passwordexpiration.enabled": false,
      "wgserver.localauth.passwordexpiration.days": 90,
      "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
      "wgserver.localauth.ratelimiting.maxattempts.enabled": false,
      "wgserver.localauth.ratelimiting.maxattempts.value": 5,
      "vizportal.password_reset": false
    		}
    }
  2. Voer de opdracht tsm settings import -f file.json uit om het JSON-bestand met de juiste waarden door te geven aan Tableau Services Manager om Tableau Server te configureren.

  3. Voer de opdracht tsm pending-changes apply uit om de wijzigingen toe te passen. Zie tsm pending-changes apply

Referentie configuratiebestand

In dit gedeelte worden alle opties weergegeven die u kunt gebruiken om wachtwoordbeleid te configureren.

wgserver.localauth.policies.mustcontainletters.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden minimaal één letter bevatten.

wgserver.localauth.policies.mustcontainuppercase.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden minimaal één hoofdletter bevatten.

wgserver.localauth.policies.mustcontainnumbers.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden minimaal één cijferletter bevatten.

wgserver.localauth.policies.mustcontainsymbols.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden minimaal één speciaal teken bevatten.

wgserver.localauth.policies.minimumpasswordlength.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden een minimale lengte hebben.

wgserver.localauth.policies.minimumpasswordlength.value

Standaardwaarde: 8

Het minimale aantal tekens dat een wachtwoord moet bevatten. Voer een waarde in van 4 tot en met 255. U moet wgserver.localauth.policies.minimumpasswordlength.enabled instellen op true om deze waarde af te dwingen.

wgserver.localauth.policies.maximumpasswordlength.enabled

Standaardwaarde: false

Zorg ervoor dat wachtwoorden een maximale lengte hebben.

wgserver.localauth.policies.maximumpasswordlength.value

Standaardwaarde: 255

Het maximale aantal tekens dat een wachtwoord mag bevatten. Voer een waarde in van 8 tot en met 225. U moet wgserver.localauth.policies.maximumpasswordlength.enabled instellen op true om deze waarde af te dwingen.

wgserver.localauth.passwordexpiration.enabled

Standaardwaarde: false

Stel in dat wachtwoorden verlopen.

wgserver.localauth.passwordexpiration.days

Standaardwaarde: 90

De aantal dagen voordat het wachtwoord verloopt. Voer een waarde in van 1 tot en met 365. U moet wgserver.localauth.passwordexpiration.enabled instellen op true om deze waarde af te dwingen.

wgserver.localauth.ratelimiting.maxbackoff.minutes

Standaardwaarde: 60

Maximale tijd tussen aanmeldpogingen nadat een gebruiker meerdere onjuiste wachtwoorden heeft ingevoerd. Voer een waarde in van 5 tot en met 1440.

wgserver.localauth.ratelimiting.maxattempts.enabled

Standaardwaarde: false

Stel accountvergrendeling in nadat er 5 onjuiste wachtwoorden zijn ingevoerd. Om het aantal onjuiste wachtwoorden te wijzigen dat tot accountvergrendeling leidt, stelt u wgserver.localauth.ratelimiting.maxattempts.value in.

wgserver.localauth.ratelimiting.maxattempts.value

Standaardwaarde: 5

Het aantal onjuiste wachtwoorden dat een gebruiker mag invoeren totdat zijn account wordt geblokkeerd. Voer een waarde in van 5 tot en met 100. U moet wgserver.localauth.ratelimiting.maxattempts.enabled instellen op true om deze waarde af te dwingen.

vizportal.password_reset

Standaardwaarde: false

Geef gebruikers de mogelijkheid om hun wachtwoord opnieuw in te stellen. Voor deze functie moet Tableau Server zo zijn geconfigureerd dat er e-mail kan worden verzonden. Zie SMTP-instellingen configureren.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.