Identiteitenarchief

Voor Tableau Server is een identiteitenarchief vereist om gebruikers- en groepsinformatie te beheren. Er zijn twee soorten identiteitenarchieven: lokaal en extern. Wanneer u Tableau Server installeert, moet u een lokaal identiteitenarchief of een extern identiteitenarchief configureren.

Zie identityStore-entiteit en de Referentie configuratie van het externe identiteitenarchief voor informatie over configuratieopties voor het identiteitenarchief. Zie Gebruikers inrichten en verifiëren met identiteitspools voor meer informatie over het toevoegen van meer flexibiliteit aan één identiteitenarchiefmodel.

Lokaal identiteitenarchief

Wanneer u Tableau Server configureert met een lokaal identiteitenarchief, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd in de Tableau Server-opslagplaats. In het geval van een lokaal identiteitenarchief is er geen externe bron voor gebruikers en groepen.

Extern identiteitenarchief

Wanneer u Tableau Server configureert met een externe opslag, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd door een externe directoryservice. Tableau Server moet synchroniseren met het externe identiteitenarchief, zodat er lokale kopieën van de gebruikers en groepen bestaan in de Tableau Server-opslagplaats, maar het externe identiteitenarchief is de betrouwbare bron voor alle gebruikers- en groepsdata.

Als u het identiteitenarchief van Tableau Server hebt geconfigureerd om te communiceren met een externe LDAP-directory, moeten alle gebruikers (inclusief het initiële beheerdersaccount) die u aan Tableau Server toevoegt, een account in de directory hebben.

Wanneer Tableau Server is geconfigureerd om een externe LDAP-directory te gebruiken, moet u eerst gebruikersidentiteiten uit de externe directory importeren naar de Tableau Server-opslagplaats als systeemgebruikers. Wanneer gebruikers zich aanmelden bij Tableau Server, worden hun inloggegevens doorgegeven aan de externe directory, die verantwoordelijk is voor de verificatie van de gebruiker. Tableau Server voert deze verificatie niet uit. De Tableau-gebruikersnamen die in het identiteitenarchief zijn opgeslagen, zijn echter wel gekoppeld aan rechten en machtigingen voor Tableau Server. Nadat de verificatie is gecontroleerd, beheert Tableau Server daarom de gebruikerstoegang (autorisatie) voor Tableau-resources.

Active Directory is een voorbeeld van een externe gebruikersopslag. Tableau Server is geoptimaliseerd om te communiceren met Active Directory. Wanneer u bijvoorbeeld Tableau Server installeert op een computer die is aangesloten op een Active Directory-domein met gebruik van de Initiële knooppuntinstellingen configureren, wordt tijdens de configuratie de meeste Active Directory-instellingen gedetecteerd en geconfigureerd. Als u daarentegen TSM CLI gebruikt om Tableau Server te installeren, moet u alle Active Directory-instellingen opgeven. Zorg er in dit geval voor dat u het sjabloon LDAP - Active Directory gebruikt om het identiteitenarchief te configureren.

Als u in Active Directory installeert, moet u Tableau Server installeren op een computer die is gekoppeld aan het Active Directory-domein. Daarnaast raden wij u aan om Gebruikersbeheer in implementaties met externe identiteitenarchieven te bekijken voor de implementatie.

Voor alle andere externe archieven ondersteunt Tableau Server LDAP als een algemene manier om met het identiteitenarchief te communiceren. OpenLDAP is bijvoorbeeld een van de vele LDAP-serverimplementaties met een flexibel schema. Tableau Server kan worden geconfigureerd om aanvragen te doen bij de OpenLDAP-server. Om dit te doen, moet de directorybeheerder informatie over het schema verstrekken. Tijdens de configuratie moet u Initiële knooppuntinstellingen configureren gebruiken om verbinding met andere LDAP-directory's te configureren.

LDAP-binding

Client die een gebruikersarchief willen raadplegen met LDAP, moeten zich verifiëren en een sessie tot stand brengen. Dit gebeurt door middel van binding. Er zijn meerdere manieren om te binden. Eenvoudig binding is verificatie met een gebruikersnaam en wachtwoord. Voor organisaties die verbinding maken met Tableau Server via een eenvoudige binding, raden we aan een SSL-gecodeerde verbinding te configureren. Anders worden de inloggegevens als niet versleutelde tekst verzonden. Een ander type binding dat Tableau Server ondersteunt, is GSSAPI-binding. GSSAPI gebruikt Kerberos voor verificatie. In het geval van Tableau Server is Tableau Server de client en het externe gebruikersarchief de LDAP-server.

LDAP met GSSAPI (Kerberos)-binding

Wij raden aan om een binding aan te gaan met de LDAP-directory met GSSAPI met gebruik van een keytab-bestand voor verificatie bij de LDAP-server. U hebt een keytab-bestand nodig dat specifiek is bedoeld voor de Tableau Server-service. Wij raden ook aan om het kanaal met de LDAP-server te versleutelen met gebruik van SSL/TLS. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.

Als u in Active Directory installeert en de computer waarop u Tableau Server installeert al aan het domein is toegevoegd, beschikt de computer al over een configuratiebestand en een keytab-bestand. In dit geval zijn de Kerberos-bestanden bedoeld voor de functionaliteit van het besturingssysteem en voor verificatie. Strikt genomen kunt u deze bestanden gebruiken voor GSSAPI-binding, maar we raden het gebruik ervan af. Neem in plaats daarvan contact op met uw Active Directory-beheerder en vraag een keytab aan die specifiek is voor de Tableau Server-service. Zie De basisprincipes van keytab-vereisten.

Ervan uitgaande dat uw besturingssysteem een correct geconfigureerde keytab heeft voor verificatie bij het domein, is het Kerberos-sleutelbestand voor GSSAPI-binding alles wat nodig is voor de basisinstallatie van Tableau Server. Als u van plan bent Kerberos-verificatie voor gebruikers te gebruiken, configureer dan Kerberos voor gebruikersverificatie en Kerberos-delegatie naar databronnen nadat de installatie is voltooid.

 

LDAP heeft de voorkeur boven SSL

LDAP met eenvoudige binding met willekeurige LDAP-servers is standaard niet versleuteld. De gebruikersgegevens die worden gebruikt voor het tot stand brengen van de bindsessie met de LDAP-server worden in platte tekst gecommuniceerd tussen Tableau Server en de LDAP-server. Wij raden u ten zeerste aan om het kanaal tussen Tableau Server en de LDAP-server te versleutelen.

Als uw organisatie een andere LDAP-directory dan Active Directory gebruikt, raadpleeg dan Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.

Clients verifiëren

De basisgebruikersverificatie in Tableau Server bestaat uit aanmelding met een gebruikersnaam en wachtwoord voor zowel lokale als externe gebruikersarchieven. In het geval van een lokaal archief worden gebruikerswachtwoorden als gehasht wachtwoord in de opslagplaats opgeslagen. In het geval van een extern archief geeft Tableau Server de referenties door aan het externe gebruikersarchief en wacht op een antwoord of de gegevens geldig zijn. Voor externe gebruikersarchieven zijn ook andere soorten verificatie mogelijk, zoals Kerberos of SSPI (alleen Active Directory), maar het concept is nog steeds hetzelfde: Tableau Server delegeert de inloggegevens of gebruiker naar het externe archief en wacht op een reactie.

U kunt Tableau Server zo configureren dat aanmelding met gebruikersnaam en wachtwoord is uitgeschakeld. In deze scenario's kunnen andere verificatiemethoden worden gebruikt, zoals vertrouwde verificatie, OpenID of SAML. Zie Verificatie.

In sommige gevallen moet u mogelijk de externe LDAP-directory's bijwerken om bindbewerkingen met de DN-indeling van de gebruikersnaam van Tableau Server toe te staan. Zie Gebruikersbindingsgedrag bij aanmelden.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.