Sobre a migração de identidade
A partir da versão 2022.1, o Tableau Server armazena e gerencia informações de identidade usando o Identity Service. Com o Identity Service, o Tableau Server usa uma estrutura de identidade mais moderna, mais segura e imutável para o processo de autenticação e provisionamento de usuários. A migração de identidade é um pré-requisito para configurar e usar pools de identidade(O link abre em nova janela).
Observação: se você não planeja usar o recurso de pools de identidades, recomendamos não executar a migração de identidade. Executar a migração de identidade sem planos de usar pools de identidades não trará benefícios à implantação do Tableau Server.
Para implantações existentes, se atualizar o Tableau Server para a versão 2022.1 (ou posterior) e restaurar um backup do Tableau 2021.4 (ou anterior), você pode iniciar a migração de identidade após a conclusão da atualização do Tableau Server para preencher o novo Serviço de identidade. A migração de identidade preenche tabelas complementares do Serviço de Identidade para todos os usuários do Tableau Server, que são usadas para autenticar usuários por meio do Serviço de Identidade. A migração é executada em segundo plano e não interromperá nem interferirá no uso do Tableau Server por seus usuários.
Como administrador, você pode monitorar e gerenciar a migração, incluindo alterar quando a migração é executada ou resolver possíveis conflitos de migração, por meio de uma página dedicada de Migração de Identidade disponível na página Usuários do Tableau Server. Essa página está disponível durante o processo de migração.
Resumo das etapas para implantações existentes
Para implantações existentes, você deve configurar o Tableau Server para usar o Serviço de identidade após a conclusão da migração para aproveitar as melhorias na estrutura de identidade e configurar pools de identidade.
Etapa 2: iniciar a migração de identidade
Etapa 3: concluir a migração de identidade
Etapa 4: configurar o Tableau Server para usar o Serviço de identidade
Termos-chave
- Serviço de identidade - um serviço no Tableau Server 2022.1 (e posterior) responsável pela administração de identidades de usuários, incluindo autenticação e provisionamento. O serviço usa um esquema de identidade em que as identidades do usuário são representadas pelas tabelas do Serviço de Identidade e a tabela herdada "system_users".
- Pools de identidade - uma ferramenta de gerenciamento de identidade que usa informações de provisionamento e autenticação para permitir o acesso do usuário ao Tableau Server. Os pools de identidade permitem um fluxo de trabalho de gerenciamento de identidade mais centralizado e flexível, criado no Serviço de identidade para repositório e gerenciamento de identidades de usuário no Tableau Server.
- Modo de armazenamento de identidade herdado - um esquema de identidade limitado usado pelo Tableau Server 2021.4 (e anterior), em que as identidades de usuário são representadas apenas pela tabela "system_users" herdada.
- Migração de identidade - o processo de auditoria que avalia as identidades de usuários existentes do sistema Tableau Server, consulta os armazenamentos de identidade externos upstream para obter informações de identidade adicionais (conforme apropriado) e importa essas informações de identidade adicionais para o Serviço de identidade.
- Armazenamento de identidade externo - um tipo de armazenamento de identidade externo e upstream para o Tableau Server, em que todas as informações de identidade são armazenadas e gerenciadas por um serviço de diretório externo (Active Directory [AD] ou LDAP). Se configurado, o Tableau Server sincroniza com o diretório externo para que exista uma cópia das informações de identidade no Tableau Server.
- Armazenamento de identidade site - um tipo de armazenamento de identidade fornecido pelo Tableau Server. Se configurado, o Tableau Server armazena e gerencia informações de identidade no repositório do Tableau Server sem nenhum diretório externo configurado para essas informações.
- Usuário do sistema - um usuário do Tableau Server. Um usuário corresponde a um registro de entrada ("system_users") no Serviço de Identidade (por meio da tabela "system_users_identities") e no modo de armazenamento de identidade herdado. Um registro "system_users" pode ter várias identidades de usuário associadas a ele e habilitado para entrar em vários sites. O vínculo entre um registro "system_users" e sites é definido na tabela "users".
Objetivo da migração de identidade
Quando você cria um backup do Tableau Server, as informações de identidade são salvas no esquema de identidade usado pela versão do Tableau Server para a qual o backup foi criado. A migração é necessária para preencher as informações de identidade do esquema de identidade usado no backup para o esquema de identidade usado pelo Serviço de Identidade.
Esquema de identidade do Tableau Server 2021.4 e anteriores
O esquema de identidade usado pelo modo de armazenamento de identidade herdado consiste em duas tabelas, "system_users" e "domains".
Esquema de identidade do Tableau Server 2022.1 e posteriores
O esquema de identidade usado pelo Serviço de Identidade inclui as tabelas legadas "system_users" e tabelas complementares do Serviço de Identidade (*_identity_stores e *identities) que capturam mais informações de identidade. As tabelas adicionais ajudam a reduzir problemas que podem ser causados por alterações upstream nos armazenamentos de identidade externos.
O que acontece durante a migração de identidade
Quando as informações sobre identidades de usuários são migradas, as informações de identidade armazenadas na tabela legada "system_users" são complementadas com as tabelas do Serviço de Identidade.
O tipo de tabelas de serviço de identidade com as quais as informações de identidade são complementadas depende do tipo de armazenamento de identidades configurado no Tableau Server: site, Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP).
Para tipos de armazenamento de identidade do AD, as tabelas do Serviço de Identidade herdam apenas atributos não ambíguos ou atributos que não são armazenados no mesmo registro de banco de dados.
Por exemplo, sAMAccountNAME e userPrincipalName (UPN) podem ser armazenados no mesmo registro de nome de uma tabela legada "systems_users", que pode ocorrer como resultado de uma série complexa de regras. Na maioria dos casos, a migração é capaz de interpretar corretamente e migrar com êxito a identidade do usuário. No entanto, se a migração produzir resultados ambíguos, você deverá confirmar manualmente a ambiguidade ou resolver manualmente o conflito usando a página dedicada de migração de identidade. Para obter mais informações, consulte Resolver conflitos de migração de identidade .
Para tipos de armazenamento de identidade LDAP, como tipos de armazenamento de identidade AD, as tabelas do Serviço de Identidade herdam apenas atributos não ambíguos. Na maioria dos casos, a migração é capaz de interpretar corretamente e migrar com êxito a identidade do usuário. No entanto, se a migração produzir resultados ambíguos, você deverá confirmar manualmente a ambiguidade ou resolver manualmente o conflito usando a página dedicada de migração de identidade. Para obter mais informações, consulte Resolver conflitos de migração de identidade .
Para tipos de armazenamento de identidade local, as tabelas do Serviço de Identidade herdam os campos de usuário e domínio diretamente. Isso significa que nenhuma informação adicional ou resolução manual é exigida de você. Quando o Tableau Server é configurado para esse tipo de armazenamento de identidade, a migração de identidades de usuários ocorre após o processo de restauração de backup do Tableau Server.
Etapa 1: antes de começar
Antes de começar, identifique abaixo o método de atualização do Tableau Server para determinar as próximas etapas da migração de identidade.
Se você estiver executando uma atualização Azul/Verde ou atualizando manualmente o Tableau Server 1) instalando o Tableau Server em uma nova máquina e 2) fazendo backup e restaurando o Tableau Server usando os comandos tsm Maintenance (backup and restore), será necessário que você siga algumas etapas adicionais para iniciar a migração.
Para obter as próximas etapas, consulte Solucionar problemas com migração de identidade.
Se você estiver fazendo uma atualização “in-loco” de servidor único ou de vários nós do Tableau Server usando o método descrito aqui, não há etapas adicionais necessárias para iniciar a migração. A migração é iniciada após a conclusão da atualização do Tableau Server para a versão 2022.1 (ou posterior).
Pule para a Etapa 2.
Se você estiver atualizando manualmente o Tableau Server 1) instalando o Tableau Server em uma nova máquina e 2) exportando e importando informações de configuração e topologia usando os comandos tsm settings (exportar e importar), também não há etapas adicionais necessárias para iniciar a migração. A migração é iniciada após a conclusão do processo de importação na nova máquina do Tableau Server.
Pule para a Etapa 2.
Etapa 2: iniciar a migração de identidade
Para iniciar a migração de identidade, deve-se ativar o recurso de migração de identidade usando o comando tsm features.IdentityMigrationBackgroundJob.
Observação: se você atualizou para as versões 2021.4.21, 2022.1.17, 2022.3.9 e 2023.1.5 do Tableau Server, a migração de identidade será iniciada por padrão e você poderá pular para a Etapa 3: concluir a migração de identidade.
Abra um prompt de comando como administrador no nó inicial (onde o TSM está instalado) no cluster.
Executo o seguinte comando:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
Após o início da migração de identidade, você verá uma notificação no Tableau Server que o vincula à página Migração de identidade. A página Migração de identidade é onde você pode monitorar o status da migração de identidade e dos conflitos de identidade que precisam ser resolvidos.
Etapa 3: concluir a migração de identidade
Para concluir a migração de identidade, todos os conflitos de identidade devem ser resolvidos ou reconhecidos antes que você possa habilitar o Serviço de identidade para Tableau Server.
- Entre no Tableau Server como um administrador.
No painel de navegação esquerdo, selecione Usuários (ou Todos os sites > Usuários para um Tableau Server de vários sites) e clique na página Migração de identidade para verificar se a migração foi iniciada.
Você pode monitorar e gerenciar seu progresso usando a página dedicada de migração de identidade disponível na página Usuários do Tableau Server. Para obter mais informações, consulte Gerenciar a migração de identidade .
Resolva ou reconheça todos os conflitos de identidade conforme descrito em Resolver conflitos de migração de identidade para que a guia Todas as falhas exiba "0" como na imagem abaixo.
Execute um destes procedimentos:
Para executar o trabalho de migração de identidade agora, ao lado do título Visão geral da migração, clique na seta suspensa Editar agendamento e selecione Executar agora.
- Como alternativa, você pode aguardar a execução do trabalho de migração durante o próximo horário agendado.
Após a conclusão da migração, na página Migração de identidade, valide se a Visão geral da migração mostra 100% concluída.
Etapa 4: configurar o Tableau Server para usar o Serviço de identidade
Após a conclusão da migração de identidade, configure o Tableau Server para usar o Serviço de identidade para garantir uma estrutura de identidade mais segura e imutável para o processo de autenticação e provisionamento de usuários.
- Abra um prompt de comando como administrador no nó inicial (onde o TSM está instalado) no cluster.
Execute os seguintes comandos:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
Observação: depois de executar os comandos acima, a página dedicada de migração de identidade é removida e não está mais acessível. A página só é acessível quando
tsm authentication legacy-identity-mode
está ativado.
Depois que o Tableau Server é configurado para usar o Serviço de Identidade, quando os usuários entram no Tableau Server, o Tableau Server pesquisa suas identidades de usuário usando seus identificadores no repositório de identidades configurado. A partir dos identificadores, os identificadores exclusivos universais (UUID) são retornados e usados para corresponder às identidades de usuário existentes do Tableau Server. Esse processo gera sessões para os usuários e conclui o fluxo de trabalho de autenticação.