Gebruikersbeheer in implementaties met externe identiteitenarchieven
In dit onderwerp worden belangrijke technische details beschreven waarmee u bekend moet zijn als u een extern identiteitenarchief gebruikt om gebruikers voor Tableau Server te beheren. Tableau Server ondersteunt verbinding met een externe directory via LDAP. In dit scenario importeert Tableau Server gebruikers uit de externe LDAP-directory in de Tableau Server-opslagplaats als systeemgebruikers.
Willekeurige LDAP-directory's
De systeemgebruikersnaam in Tableau is het kenmerk dat u instelt als onderdeel van de LDAP-configuratie, bijvoorbeeld 'cn'. Dit geldt zowel voor de import van individuele gebruikers als voor de synchronisatie van groepen. Zie Referentie configuratie van het externe identiteitenarchief.
Gebruikersbindingsgedrag bij aanmelden
Mogelijk moet u uw LDAP-configuratie bijwerken om binding met gebruikersnamen met de DN toe te staan. U moet met name uw LDAP-configuratie bijwerken wanneer Tableau Server is geconfigureerd met een willekeurige LDAP-directory. (bijv. OpenLDAP) die UPN of e-mailadressen als gebruikersnamen gebruiken.
Tableau Server zoekt naar een bepaalde gebruiker op basis van de gebruikersnaam die bij het aanmelden is opgegeven. Tableau Server probeert vervolgens een koppeling te maken met de gebruikersnaam, aangevuld met de DN. Als Tableau Server is geconfigureerd met GSSAPI, wordt gebruikersnaam@REALM (domeinnaam) gebruikt.
Active Directory
In de rest van dit onderwerp wordt ervan uitgegaan dat u bekend bent met Active Directory-gebruikersbeheer en basisconcepten van Active Directory-schema's en -domeinen.
Als u in Active Directory installeert, moet u Tableau Server installeren op een computer die is gekoppeld aan het Active Directory-domein.
Opmerking: in de context van gebruikers- en groepssynchronisatie is Tableau Server geconfigureerd met LDAP-identiteitenarchief gelijk aan Active Directory. Active Directory-synchronisatiefuncties in Tableau Server werken naadloos met correct geconfigureerde LDAP-directoryoplossingen.
Active Directory-gebruikersverificatie en Tableau Server
Tableau Server slaat alle gebruikersnamen op in het identiteitenarchief van Tableau Server, dat wordt beheerd door de opslagplaats. Als Tableau Server is geconfigureerd om Active Directory te gebruiken voor verificatie, moet u eerst gebruikersidentiteiten importeren vanuit Active Directory naar het identiteitenarchief. Wanneer gebruikers zich aanmelden bij Tableau Server, worden hun referenties doorgegeven aan Active Directory, die verantwoordelijk is voor de verificatie van de gebruiker. Tableau Server voert deze verificatie niet uit. (Standaard wordt NTLM gebruikt voor verificatie, maar u kunt Kerberos of SAML inschakelen voor de functionaliteit voor eenmalige aanmelding. In al deze gevallen wordt de verificatie echter aan Active Directory overgelaten.) Tableau-gebruikersnamen die in het identiteitenarchief zijn opgeslagen, zijn echter wel gekoppeld aan rechten en machtigingen voor Tableau Server. Nadat de verificatie is gecontroleerd, beheert Tableau Server de gebruikerstoegang (autorisatie) voor Tableau-resources.
Active Directory-gebruikersnaamkenmerken en Tableau Server
Active Directory identificeert gebruikersobjecten op unieke wijze met behulp van verschillende kenmerken. (Zie Gebruikersnaamgevingskenmerken(Link wordt in een nieuw venster geopend) op de MSDN-website voor meer informatie.) Tableau Server is afhankelijk van twee Active Directory-gebruikersnaamgevingskenmerken:
sAMAccountName
. Dit kenmerk specificeert de aanmeldingsnaam die oorspronkelijk is ontworpen voor gebruik met oudere versies van Windows. In veel organisaties wordt deze naam gecombineerd met de NetBIOS-naam voor verificatie, met behulp van een indeling alsexample\jsmith
, waarbijexample
de NetBIOS-naam is enjsmith
desAMAccountName
-waarde. Vanwege het oorspronkelijke ontwerp in Windows, moet desAMAccountName
-waarde korter zijn dan 20 tekens.In de Windows-beheerconsole Active Directory-gebruikers en computers bevindt deze waarde zich in het veld met het label Aanmeldnaam gebruiker (vóór Windows 2000) op het tabblad Account van het gebruikersobject.
userPrincipalName
(UPN). Dit kenmerk specificeert een gebruikersnaam in de indelingjsmith@example.com
, waarbijjsmith
het UPN-voorvoegsel is en@example.com
het UPN-achtervoegsel.In de Windows-beheerconsole Active Directory-gebruikers en computers is de UPN een aaneenschakeling van twee velden op het tabblad Account van het gebruikersobject: het veld Gebruikersnaam voor inloggen en de vervolgkeuzelijst met domeinen ernaast.
Gebruikers uit Active Directory toevoegen
U kunt gebruikers individueel toevoegen vanuit Active Directory, door ze in de serveromgeving in te typen of door een csv-bestand te maken en de gebruikers te importeren. U kunt ook Active Directory-gebruikers toevoegen door een groep te maken via Active Directory en alle gebruikers van de groep te importeren. Het resultaat kan verschillen, afhankelijk van de aanpak die u gebruikt.
UPN-voorvoegsel importeren als gebruikersnaam
U kunt niet de volledige UPN als gebruikersnaam importeren.
In de meeste gevallen is de gebruikersnaam die Tableau Server in het identiteitenarchief importeert, de waarde sAMAccountName. Voor meer informatie over uitzonderingen op dit gedrag raadpleegt u UPN-voorvoegsel importeren als gebruikersnaam in niet-standaardscenario's met Active Directory(Link wordt in een nieuw venster geopend) in de Tableau-knowledgebase.
Gebruikersgroepen toevoegen
Als u een Active Directory-gebruikersgroep importeert, importeert Tableau alle gebruikers uit de groep met behulp van de sAMAccountName
.
Synchronisatiegedrag bij het verwijderen van gebruikers uit Active Directory
Gebruikers kunnen niet automatisch via een Active Directory-synchronisatiebewerking uit Tableau Server worden verwijderd. Gebruikers die zijn uitgeschakeld, verwijderd of uit groepen in Active Directory zijn verwijderd, blijven in Tableau Server staan, zodat u de inhoud van de gebruiker kunt controleren en opnieuw kunt toewijzen voordat zij het account van de gebruiker volledig verwijderen.
Tableau Server reageert echter anders op gebruikersobjecten, afhankelijk van hoe de status van dat gebruikersobject verandert in Active Directory. Er zijn twee scenario's: gebruikers verwijderen/uitschakelen in Active Directory of gebruikers verwijderen uit gesynchroniseerde groepen in Active Directory.
Wanneer u een gebruiker in Active Directory verwijdert of uitschakelt en vervolgens de groep van die gebruiker synchroniseert op Tableau Server, gebeurt het volgende:
- De gebruiker wordt verwijderd uit de Tableau Server-groep die u hebt gesynchroniseerd.
- De rol van de gebruiker is ingesteld op niet-gelicentieerd.
- De gebruiker behoort nog steeds tot de groep Alle gebruikers.
- De gebruiker kan zich niet aanmelden bij Tableau Server.
Wanneer u een gebruiker uit een groep in Active Directory verwijdert en die groep vervolgens synchroniseert op Tableau Server, gebeurt het volgende:
- De gebruiker wordt verwijderd uit de Tableau Server-groep die u hebt gesynchroniseerd.
- De gebruikersrol blijft behouden: deze wordt niet ingesteld op niet-gelicentieerd.
- De gebruiker behoort nog steeds tot de groep Alle gebruikers.
- De gebruiker heeft nog steeds toestemming voor de Tableau Server en toegang tot alles waarvoor de groep Alle gebruikers toestemming heeft gekregen.
In beide gevallen moet de serverbeheerder een gebruiker verwijderen van Tableau Server via de pagina Servergebruikers in Tableau Server.
Domeinbijnamen
In Tableau Server is de domeinbijnaam gelijk aan de Windows NetBIOS-domeinnaam. In een Windows Active Directory-forest kan een volledig gekwalificeerde domeinnaam (FQDN) een willekeurige NetBIOS-naam hebben. De NetBIOS-naam wordt gebruikt als domein-ID wanneer een gebruiker zich aanmeldt bij Active Directory.
Bijvoorbeeld de FQDN west.na.corp.lan
kan worden geconfigureerd met een NetBIOS-naam (bijnaam) van SEATTLE
. De gebruiker jsmith
in dat domein kan inloggen op Windows met een van de volgende gebruikersnamen:
west.na.corp.example.com\jsmith
SEATTLE\jsmith
Als u wilt dat uw gebruikers zich bij Tableau Server aanmelden met een NetBIOS-naam in plaats van de FQDN, moet u controleren of de bijnaamwaarde is ingesteld voor elk domein waar gebruikers inloggen. Raadpleeg editdomain voor informatie over het bekijken en instellen van de bijnaamwaarde voor elk domein.
Ondersteuning voor meerdere domeinen
U kunt in deze gevallen gebruikers en groepen toevoegen uit een domein dat verschilt van het domein van de Tableau Server-computer:
Er is een tweerichtingsvertrouwen tot stand gebracht tussen het domein van de server en het domein van de gebruikers.
Het domein van de server vertrouwt het domein van de gebruikers (eenrichtingsvertrouwen). Zie Vereisten voor domeinvertrouwen voor Active Directory-implementaties.
De eerste keer dat u een gebruiker of groep toevoegt vanuit een niet-serverdomein, moet u de volledig gekwalificeerde domeinnaam opgeven met de gebruikers-/groepsnaam. Eventuele extra gebruikers of groepen die u vanuit dat domein toevoegt, kunnen worden toegevoegd met behulp van de bijnaam van het domein, op voorwaarde dat de bijnaam overeenkomt met de NetBIOS-naam. Als Tableau Server verbinding maakt met meerdere domeinen, moet u ook de andere domeinen opgeven waarmee Tableau Server verbinding maakt door de volgende instellingen in te stellen: wgserver.domain.whitelist
(versie 2020.3 en eerder) of wgserver.domain.accept_list
(versie 2020.4 en later) optie met TSM. Raadpleeg voor meer informatie wgserver.domain.whitelist of wgserver.domain.accept_list.
Dubbele weergavenamen
Als de weergavenamen van gebruikers niet uniek zijn in meerdere domeinen, kan het beheren van gebruikers met dezelfde weergavenaam in Tableau verwarrend zijn. Tableau Server geeft dezelfde naam weer voor twee gebruikers. Denk bijvoorbeeld aan een organisatie met twee domeinen, example.lan en example2.lan. Als gebruiker John Smith in beide domeinen voorkomt, kan het toevoegen van die gebruiker aan groepen en andere beheertaken verwarrend zijn in Tableau Server. In dit scenario kunt u overwegen om de weergavenaam in Active Directory voor een van de gebruikers bij te werken, zodat u de accounts kunt onderscheiden.
Aanmelden bij Tableau Server met NetBIOS-naam
Gebruikers kunnen zich bij Tableau Server aanmelden met behulp van de domeinbijnaam (NetBIOS-naam), bijvoorbeeld: SEATTLE\jsmith
.
Tableau Server kan geen NetBIOS-naam opvragen voor een bepaalde FQDN. Daarom stelt Tableau de bijnaam van een bepaalde FQDN in op basis van de eerste vermelding in de naamruimte. Gezien de FQDN west.na.corp.lan
stelt Tableau bijvoorbeeld de bijnaam in op west
.
Daarom moet u mogelijk de domeinbijnaam op Tableau Server bijwerken voordat gebruikers zich met de bijnaam kunnen aanmelden. Als u de bijnaam niet bijwerkt, moeten gebruikers zich aanmelden met een volledig gekwalificeerde domeinnaam. Raadpleeg voor meer informatie Gebruikers van nieuw domein kunnen niet inloggen en verschijnen niet in de gebruikerslijst (Link wordt in een nieuw venster geopend)in de Tableau-knowledgebase.