Configurar e gerenciar grupos de identidades

Para criar e gerenciar grupos de identidades, você precisa fazer chamadas programaticamente nos Métodos de grupos de identidade(O link abre em nova janela) usando o Tableau REST OpenAPI. Para adicionar ou gerenciar usuários em um grupo de identidades, você pode usar a interface de usuário (IU) do Tableau Server diretamente ou por meio da API REST do Tableau.

O processo de configuração dos grupos de identidades é resumido nas etapas a seguir.

  1. Configure o Tableau Server e estabeleça uma sessão.
  2. Provisione usuários configurando uma nova instância de armazenamento de identidades local. Observação: você pode pular esta etapa para usar um armazenamento de identidades local existente ou externo que você configurou no TSM durante a instalação do Tableau Server.
  3. Configurar autenticação para autenticar seus usuários no Tableau Server usando o OpenID Connect (OIDC).
  4. Criar um pool de identidades que usa o armazenamento de identidade e a autenticação OIDC que você configurou.
  5. Adicionar usuários a um grupo de identidades usando a IU do Tableau Server ou a API REST para permitir que os usuários entrem no Tableau Server.

Após a configuração, você pode testar, gerenciar e solucionar problemas dos seus pools de identidade.

Observação: você pode usar a coleção Postman de Pools de identidades(O link abre em nova janela) no workspace Postman do desenvolvedor do Salesforce para aprender, desenvolver e testar os métodos descritos neste tópico.

Pré-requisitos

Antes de começar a usar os pools de identidades, os seguintes requisitos devem ser atendidos:

  • A integração com um provedor de identidade OIDC (IdP), como Okta, já está configurada
  • O Tableau Server 2023.1 ou anterior está em execução
  • Você executou a migração de identidade(O link abre em nova janela) – isso é necessário para novas implantações do Tableau Server e atualizações do Tableau Server

Introdução

Etapa 1: configurar o Tableau Server e estabelecer uma sessão

A habilitação de alterações associadas à configuração de grupos de identidade requer uma configuração única do TSM e uma declaração de variáveis de sessão e host.

  1. Abra um prompt de comando como administrador no nó inicial (onde o TSM está instalado) no cluster.

  2. Execute o seguinte comando:

    1. tsm configuration set -k gateway.external_url -v http://<host>
    2. tsm pending-changes apply

    Por exemplo, você pode executar os seguintes comandos para configurar seu Tableau Server, http://myco:

    tsm configuration set -k gateway.external_url -v http://myco
    tsm pending-changes apply

    Para obter mais informações, consulte gateway.external_url(O link abre em nova janela).

  3. (Opcional) Execute os seguintes comandos para adicionar uma descrição para o pool inicial (TSM configurado):

    1. tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
    2. tsm pending-changes apply

    Por exemplo, você pode executar os seguintes comandos para adicionar uma descrição "Entrar para funcionários da MyCo":

    tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
    tsm pending-changes apply

    Para obter mais informações, consulte descrição de pool wgserver.authentication.identity_pools.default(O link abre em nova janela).

  4. Entre no Tableau Server como administrador do site e selecione o seguinte:

    1. Acesse as ferramentas de desenvolvedor do navegador e navegue até os cookies do aplicativo.
    2. Observe o valor workgroup_session_id.

    Por exemplo, se estiver trabalhando no Chrome, clique com o botão direito do mouse em qualquer lugar na página inicial do Tableau Server, clique com o botão direito do mouse e selecione Inspecionar. Clique em Aplicativo no painel de navegação superior e clique em Cookies no painel de navegação esquerdo. Em Cookies, clique no nome do Tableau Server, como http://myco.com, e observe o valor workgroup_session_id no painel central.

  5. No script ou na ferramenta de desenvolvedor de API que você está usando para fazer solicitações de grupos de identidade usando o Tableau REST OpenAPI, faça o seguinte:

    1. Adicione o valor workgroup_session_id como uma variável global.
    2. Além disso, adicione porta 80, host (sua URL do Tableau Server) e protocolo (HTTP ou HTTPS) às suas variáveis globais.

    Por exemplo, a tabela a seguir mostra as variáveis globais necessárias para seu Tableau Server, http://myco.

Variável globalValor
ID da sessão do grupo de trabalhoXxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx
Porta80
Hosthttp://myco
ProtocoloHTTP

Etapa 2: configurar a agenda de atualização

O Tableau Server exige que você configure um armazenamento de identidade para fornecer ou provisionar seus usuários do Tableau Server.

Ao configurar um pool de identidades, você pode usar um novo ou existente armazenamento de identidades local(O link abre em nova janela) ou pode usar um armazenamento de identidades externo(O link abre em nova janela), Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP), se esse armazenamento de identidades externo foi configurado durante a instalação do Tableau Server.

Observação: instâncias AD ou LDAP novas que não são a instância AD ou LDAP que você configurou no TSM durante a instalação do Tableau Server (também conhecidas como o pool inicial, configurado pelo TSM) não são configuráveis com pools de identidades.

Para configurar um novo armazenamento de identidades local, use o procedimento abaixo. Pule para Etapa 3: configurar autenticação se quiser usar um armazenamento de identidades local existente ou o armazenamento de identidades que você configurou durante a instalação do Tableau Server.

  1. Faça uma solicitação de Entrar(O link abre em nova janela) à API REST do Tableau para gerar um token de credenciais.

    Exemplo

    URI

    POST https://myco/api/3.19/auth/signin

  2. Depois que o token de credenciais for gerado, adicione o token de credenciais ao cabeçalho de todas as solicitações de API subsequentes.

  3. Configure o armazenamento de identidade chamando o endpoint Configurar armazenamento de identidade(O link abre em nova janela) usando a OpenAPI da API REST do Tableau.

  4. Na solicitação, especifique o seguinte:

    1. Tipo. O valor do tipo é sempre 0 para um tipo de armazenamento de identidades local. Se quiser usar um armazenamento de identidades local existente ou o armazenamento de identidades que você configurou no TSM durante a instalação do Tableau Server, não será necessário configurar uma nova instância de armazenamento de identidades local. Em vez disso, pule para Etapa 3: configurar a autenticação, abaixo.
    2. Nome. O nome deve ser exclusivo.
    3. Nome de exibição. Isso é opcional.

    Exemplo

    URI

    https://myco/api/services/authn-service/identity-stores/

    Corpo da solicitação (JSON)
    {
    "type": "0",
    "name": "Local identity store #1",
    "display_name": "Local identity store #1"
    }
    Corpo de resposta

    Nenhum

Etapa 3: configurar autenticação

Você pode configurar o método de autenticação OpenID Connect (OIDC) para autenticar seus usuários.

Observação: atualmente, o OIDC é o único método de autenticação configurável com pools de identidades, independentemente do tipo de armazenamento de identidades usado com o pool de identidades.

  1. Depois de configurar um armazenamento de identidade, chame o endpoint Criar configuração de autenticação(O link abre em nova janela) usando a OpenAPI da API REST do Tableau.

  2. Na solicitação, especifique o seguinte:

    1. Tipo de autenticação. O valor do tipo de autenticação é "OIDC".

    2. iFrame. O valor padrão de iFrame é "false".
    3. A ID do cliente OIDC necessária, o segredo do cliente, a URL de configuração, a declaração de ID, a autenticação do cliente e a declaração de nome de usuário.

      • O ID do cliente e o segredo do cliente são fornecidos pelo seu OIDC IdP.
      • A URL de configuração também é fornecida pelo seu IdP. A URL e normalmente pode usar o seguinte formato: https://<idp_url>/.well-known/openid-configuration.
      • O valor padrão da declaração de ID é "sub". Para obter mais informações, consulte Alteração da reivindicação sub.
      • O valor padrão da autenticação do cliente é "CLIENT_SECRET_BASIC".
      • O valor padrão da declaração de nome de usuário é "email". Para obter mais informações, consulte Padrão: uso de reivindicação de e-mail para mapear usuários.

      Sobre a reivindicação de nome de usuário

      O Tableau usa a declaração de nome de usuário para fins de correspondência de identidade. Se você fornecer identificadores ao adicionar usuários ao Tableau Server, o identificador será usado para corresponder ao valor fornecido na declaração de nome de usuário. Se nenhum identificador for fornecido, o padrão do Tableau é o nome de usuário definido no Tableau Server.

      Observações:

      • Se você pretende usar essa configuração de autenticação com um pool de identidades que usa AD como seu armazenamento de identidades, certifique-se de que o usuário atribuído tenha o valor AD sAMAccountName na declaração de nome de usuário.
      • Se você pretende usar esta configuração de autenticação com um pool de identidade que usa LDAP como seu armazenamento de identidade, certifique-se de que o usuário atribuído tenha o valor de nome de usuário LDAP na declaração de nome de usuário.

Exemplo

URI

https://myco/api/services/authn-service/auth-configurations/

Corpo da solicitação (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
	"client_id": "Xxx1hotzhjv4tyCxxX",
	"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
	"config_url": "https://admin.okta.com/.well-known/openid-configuration",
	"custom_scope": "",
	"id_claim": "sub",
	"username_claim": "email",
	"client_authentication": "CLIENT_SECRET_BASIC",
	"essential_acr_values": "",
	"voluntary_acr_values": "",
	"prompt": "login,consent",
	"connection_timeout": 100,
	"read_timeout": 100,
	"ignore_domain": false,
	"ignore_jwk": false
	}
}
Corpo de resposta

Nenhum

Etapa 4: criar um pool de identidades

Dependendo do armazenamento de identidades que você configurou durante a instalação do Tableau Server, o pool de identidades criado pode ter apenas uma das seguintes combinações de armazenamento de identidades e método de autenticação:

  • Armazenamento de identidades AD + autenticação OIDC
  • Armazenamento de identidades LDAP + autenticação OIDC
  • Armazenamento de identidades local + autenticação OIDC

As duas primeiras combinações requerem que o pool inicial (configurado por TSM) seja configurado para usar AD ou LDAP.

O procedimento descrito abaixo cria um pool de identidades com a última combinação, "armazenamento de identidades local + autenticação OIDC".

  1. Depois de configurar a autenticação OIDC, chame o endpoint Criar pool de identidades(O link abre em nova janela) usando a OpenAPI da API REST do Tableau.

  2. Na solicitação, especifique o seguinte:

    1. Nome e descrição para seu pool de identidades. O nome e a descrição do grupo de identidades ficam visíveis para todos os usuários na página inicial do Tableau Server.

    2. ID da instância do armazenamento de identidades e ID da instância do tipo de autenticação.

      Observações:

    Exemplo

    URI

    https://myco/api/services/authn-service/identity-pools/

    Corpo da solicitação (JSON)
    {
    "name": "MyCo contractors",
    "identity_store_instance": "2",
    "auth_type_instance": "0",
    "is_enabled": true,
    "description": "Sign-in for MyCo contractors"
    }

    Exemplo do corpo de resposta

    Nenhum

  3. Depois de criar o pool de identidades, acesse suas configurações de IdP e defina o URI de redirecionamento de logon como http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.

    Por exemplo, http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login

    Observação: para obter a ID do pool de identidades, você pode chamar o endpoint Listar pools de identidade(O link abre em nova janela).

Observações:

  • Você pode criar quantos grupos de identidades sua organização precisar.
  • Outros tipos de armazenamento de identidade e métodos de autenticação são suportados pelo pool inicial (TSM) configurado. Para obter mais informações, consulte Autenticação.

Etapa 5: adicionar usuários a um pool

Você pode usar o Tableau Server diretamente para adicionar usuários a um grupo de identidades. Os usuários devem pertencer ao pool inicial (TSM configurado) ou ser adicionados a um pool de identidades para entrar no Tableau Server. Ao adicionar usuários a um pool de identidades, seu fluxo de trabalho pode mudar dependendo do armazenamento de identidade que foi configurado com o pool de identidades.

O procedimento abaixo descreve como adicionar usuários a uma identidade por meio da interface do usuário do Tableau Server. No entanto, você pode adicionar usuários a um grupo de identidades usando a API REST do Tableau chamando o endpoint Adicionar usuário ao pool de identidades(O link abre em nova janela).

  1. Entre no Tableau Server como um administrador.

  2. No painel de navegação esquerdo, selecione Usuários (ou Todos os sites > Usuários para um Tableau Server de vários sites).

  3. Clique no Adicionar usuários botão e selecione Criar novo usuário ou Importar usuários do arquivo.

    Para Criar novo usuário:

    1. Selecione o grupo de identidades ao qual deseja adicionar o novo usuário e clique em Avançar.

      1. Se você selecionou um pool de identidades configurado com um armazenamento de identidade AD ou LDAP, insira nomes de usuário, atribua associação ao site e funções no site. Quando terminar, clique no botão Importar usuários.

      2. Se você selecionou um pool de identidades configurado com um armazenamento de identidade local, insira o nome de usuário. A caixa de diálogo se expande para que você possa adicionar um nome de exibição, um identificador (na maioria dos casos), endereço de e-mail e definir o site e as funções do site. Quando terminar, clique no usuários botão Criar usuário.

        Para obter mais informações sobre nomes de usuário e como atribuir associação e funções de site ao site, consulte Definir funções dos usuários no site.

        Sobre nomes de usuário e identificadores no Tableau

        Um nome de usuário é a informação que representa o usuário do sistema. Um identificador é usado para complementar as informações de nome de usuário e pode ser usado por armazenamentos de identidade externos como alternativas aos nomes de usuário.

        No Tableau, um nome de usuário é um valor imutável usado para entrar no Tableau e os identificadores são valores mutáveis usados na estrutura de identidade do Tableau como uma forma de corresponder os usuários aos seus nomes de usuário. Os identificadores permitem que o Tableau seja mais flexível porque podem se desviar do nome de usuário. Se houver alterações no nome de usuário no armazenamento de identidade externo, os administradores do Tableau Server podem atualizar o identificador para garantir que os usuários correspondam aos nomes de usuário corretos.

        Ao adicionar um usuário existente a um grupo de identidades, você pode esperar a capacidade de definir um identificador. Por exemplo, se um usuário existente pertence a um pool de identidade configurado com um armazenamento de identidade local e você deseja adicioná-lo a um pool de identidade configurado com um armazenamento de identidade do AD, solicitamos que você forneça o nome de usuário para pesquisar identificadores associados a esse usuário . Por outro lado, se um usuário existente pertencer a um pool de identidade configurado com um armazenamento de identidade do AD e você quiser adicioná-lo a um pool de identidade configurado com um armazenamento de identidade local, pedimos que você forneça um identificador opcional. Uma exceção a isso é se você deseja adicionar um usuário ao pool inicial (configurado por TSM) que está configurado com um armazenamento de identidade local e autenticação local. Você não poderá definir um identificador para esse usuário.

    Para Importar usuários do arquivo:

    1. Carregue um arquivo .csv que contenha as seguintes colunas na ordem listada:

      username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier

      Observação: nome de usuário e senha são as únicas colunas obrigatórias. No entanto, se você não especificar o nome do pool de identidades, o usuário será adicionado ao pool inicial (TSM configurado). Para obter mais informações, consulte Diretrizes do arquivo de importação CSV.

      Por exemplo, suponha que você queira adicionar Henry Wilson e Fred Suzuki ao grupo de identidades General Contractors. Seu .csv pode conter os seguintes valores:

      henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
      freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki

Observação: quando um ou mais grupos de identidades são criados, a página inicial do Tableau Server é atualizada para incluir opções de entrada para usuários que são membros desses grupos de identidades. Para obter mais informações, veja Provisionar e autenticar usuários usando grupos de identidade.

Testar pools de identidade

Depois de configurar um pool de identidades, recomendamos que você o teste saindo do Tableau Server e entrando novamente como um usuário que pertence ao pool de identidades. Certifique-se de concluir o processo de login para garantir que a autenticação OIDC foi configurada corretamente.

Observação: Se você configurou uma descrição opcional para o pool inicial (TSM configurado) em Etapa 1: configurar o Tableau Server e estabelecer uma sessão ou fazer uma observação de Configurações do servidor (geral e personalização) para o Tableau Server, sugerimos que a descrição seja específica para usuários que entram usando o pool inicial (TSM configurado), e a observação de Personalização de entrada se aplica a todos os usuários que entram no Tableau Server.

Gerenciar pools de identidade

Você pode gerenciar os usuários em grupos de identidades na página Usuários no nível do servidor e no nível do site. Na página Usuários, você pode ver a quais grupos de identidades os usuários pertencem e detalhes resumidos sobre o grupo de identidades.

Para todas as outras tarefas de gerenciamento de pools de identidades, incluindo atualizar uma configuração de autenticação ou pool de identidades e excluir um armazenamento de identidade local ou pool de identidades, use o Tableau REST API OpenAPI descrito no Métodos de grupos de identidade(O link abre em nova janela).

Solucionar problemas de pools de identidade

Limitações de pools de identidade

Os pools de identidades estão disponíveis apenas com o Tableau Server.

Observação: no momento, os pools de identidades estão disponíveis apenas para configuração no nível do servidor. Os pools de identidades não podem ter como escopo um site.

A página inicial do Tableau Server mostra erros de IdP

Na página inicial do Tableau Server, abaixo da opção de entrada principal, uma mensagem de erro relacionada ao IdP pode ser exibida ao lado de uma opção de entrada do grupo de identidades. Esse problema relacionado à autenticação OIDC pode ocorrer quando um ou ambos os itens a seguir forem verdadeiros: 1) O Tableau Server não foi configurado para enviar uma URL externa para o IdP e 2) as variáveis globais não foram declaradas.

Para resolver esse problema, certifique-se de concluir o procedimento descrito em Etapa 1: configurar o Tableau Server e estabelecer uma sessão acima.

A página inicial do Tableau Server não mostra pools de identidades

Se o recurso de grupos de identidades estiver desativado, será possível ativá-lo novamente usando os seguintes comandos do TSM:

tsm configuration set -k features.IdentityPools -v true

tsm configuration set -k features.NewIdentityMode -v true

tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false

tsm pending-changes apply

Observação: a execução desses comandos faz com que o Tableau Server seja reiniciado.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!