Referência de configuração do armazenamento de identidades externo

O Tableau Server é compatível com a conexão a um diretório externo usando LDAP. Nesse cenário, o Tableau Server importa os usuários do diretório LDAP externo para o repositório do Tableau Server como usuários do sistema.

Este tópico fornece uma descrição de todas as opções de configuração relacionadas ao LDAP compatíveis com o Tableau Server. Se você estiver se conectando ao Active Directory, recomendamos fortemente que configure automaticamente a conexão LDAP com o Tableau Server como parte da instalação, em vez de configurar a conexão manualmente. Consulte Configurar as definições do nó inicial.

As opções listadas nesta referência podem ser usadas para qualquer diretório compatível com LDAP. Se você não tiver experiência configurando LDAP, fale com o administrador do diretório ou com um especialista em LDAP.

Este é um tópico de referência. Para obter mais informações sobre como o Tableau Server armazena e gerencia os usuários, comece com Repositório de identidades.

Métodos de configuração

Os parâmetros de configuração que permitem que o Tableau Server se conecte ao diretório LDAP são armazenados em arquivos .yml. Esses arquivos são gerenciados e sincronizados por vários serviços no Tableau Server. A atualização dos arquivos .yml deve ser feita usando uma interface TSM (Tableau Services Manager).

Não tente atualizar arquivos .yml diretamente com um editor de texto. O TSM deve gerenciar todas as atualizações para uma operação adequada.

Os arquivos de configuração .yml são compostos por pares de chave-valor. Por exemplo, a chave wgserver.domain.username tem um nome de usuário como um valor. Esta chave define o nome de usuário que será usado para autenticação ao diretório LDAP durante a operação de vinculação.

Existem quatro métodos TSM diferentes que podem definir valores de chave yml. Os quatro métodos são descritos aqui, usando a chave wgserver.domain.username como exemplo para ilustrar os diferentes métodos:

  • pares de valor de chave configKey — você pode atualizar uma chave de arquivo de configuração .yml atualizando a chave wgserver.domain.username executando Opções do tsm configuration set ou incluindo a chave em um arquivo de configuração JSON sob uma entidade configKey. Consulte Exemplo de arquivo de configuração.

    Os pares de valor de chave configKey em um arquivo de configuração JSON são os mesmos usados para tsm configuration set, mas são definidos de forma diferente. Este tópico refere-se a ambos os métodos como configKey.

    Ao contrário do uso de configEntities e comandos tsm nativos descritos abaixo, a entrada configKey não é validada. Ao definir uma opção com uma configKey, o valor inserido é copiado como uma cadeia de caracteres literal para os arquivos de configuração .yml subjacentes. Por exemplo, para uma chave onde true ou false são as entradas válidas, quando você configura a chave usando um par de valor de chave configKey, pode inserir um valor de sequência arbitrária e ele será salvo para a chave. Nesses casos, os valores inválidos, sem dúvida, levarão a erros de configuração do LDAP.

    Recomendamos o uso de configKeys apenas quando não houver opção para definir a configuração com as outras três opções listadas abaixo (configEntities, um comando tsm nativo ou a interface de usuário Web TSM). Ao usar o configKeys, verifique novamente seus valores e lembre-se de diferenciar maiúsculas de minúsculas.

  • configEntities JSON — Você pode atualizar um arquivo de configuração .yml passando a opção username em um JSON ConfigEntities.

    Quando você configura um valor usando opções de configEntities em um arquivo JSON, os valores são validados antes de serem salvos. Os valores diferenciam letras maiúsculas de minúsculas. Para obter detalhes sobre como configurar um valor usando configEntities, consulte o exemplo Entidade identityStore. O arquivo JSON é importado com o comando tsm settings import. As opções disponíveis para configEntities são um subconjunto de todos os pares de chave-valor .yml.

    A validação significa que o comando de importação só terá sucesso se todos os valores do arquivo JSON forem tipos de dados válidos. Por exemplo, se você inserir no para um valor que só aceita true ou false, você receberá um erro e a configuração não será importada.

    Você pode importar os arquivos de configuração JSON apenas como parte da configuração inicial. Se precisar fazer alterações LDAP depois de importar o arquivo de configuração JSON e o Tableau Server inicializado, não tente importar novamente o arquivo JSON. Em vez disso, faça mudanças individuais de chaves com comandos nativos tsm, se disponíveis, ou com configKeys e tsm configuration set.

  • Comandos tsm nativos — você pode atualizar um arquivo de configuração .yml passando a opção com ldapuser com o comando tsm nativotsm user-identity-store. Assim como em configEntities, os valores inseridos com o comando tsm nativo são validados antes de serem salvos.

    Nem todos os pares de valor-chave em um arquivo .yml podem ser definidos usando comandos tsm nativos.

  • TSM GUI — Você pode definir valores de configuração durante a configuração, usando TSM GUI. Se você estiver se conectando ao Active Directory e configurar o armazenamento de identidades do Tableau durante a configuração, com a interface de usuário, então você será solicitado a fornecer uma conta com acesso de leitura do AD. A chave wgserver.domain.username é definida quando você digita credenciais.

    Esse cenário só funciona se você estiver se conectando ao Active Directory. O Tableau Server não é compatível com a configuração de LDAP arbitrária como parte do processo de configuração de interface gráfica de usuário.

Considere usar a Ferramenta Configuração do repositório de identidades do Tableau(O link abre em nova janela) para gerar o arquivo de configuração LDAP json. A Ferramenta de configuração do repositório de identidades do Tableau também vai gerar uma lista de pares chave/valor que você pode definir ao executar o Opções do tsm configuration set. A ferramenta em si não é compatível com o Tableau. Contudo, usar um arquivo JSON criado pela ferramenta em vez de criar um arquivo manualmente não altera o status compatível do seu servidor.

Configuração do Active Directory

Se estiver configurando o Tableau Server para usar o Active Directory, recomenda-se o uso da interface do usuário na Web do TSM durante a instalação. A interface do usuário na Web do TSM é otimizada para configurar o Tableau Server para Active Directory com a entrada mínima necessária. Consulte Configurar as definições do nó inicial.

Tabela de referência de configuração

Opção configEntities

(As opções diferenciam maiúsculas de minúsculas)

Comandos do tsm nativos

configKey

(Usado com o comando de configuração tsm ou na seção configKeys de um arquivo JSON)

Cenário

Observações

type N/A wgserver.authenticate AD, LDAP, Local Onde deseja armazenar as informações da identidade do usuário. Valores: local ou activedirectory.

Caso deseje se conectar a qualquer servidor do LDAP, insira activedirectory.

sslPort N/A wgserver.domain.ssl_port AD, LDAP Use esta opção para especificar a porta segura do servidor LDAP. Recomendamos o LDAP seguro para associação simples. A porta do LDAPS normalmente é a 636.
port N/A wgserver.domain.port AD, LDAP Use esta opção para especificar a porta não segura do servidor LDAP. O plaintext normalmente é 389.
domain domain wgserver.domain.default AD Em ambientes do Active Directory, especifique o domínio em que o Tableau Server está instalado, por exemplo, "example.lan".

Para LDAP sem AD: a cadeia de caracteres desse valor é exibida na coluna "Domínio" das ferramentas de gerenciamento de usuários. Você pode inserir uma cadeia de caracteres arbitrária, mas a chave não pode ficar em branco.

Esta chave é redundante com wgserver.domain.fqdn. Os valores para ambas as chaves devem ser os mesmos.

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

username ldapusername wgserver.domain.username AD, LDAP O nome de usuário que deseja usar para se conectar ao serviço do diretório.

A conta especificada deve ter permissão para consultar o serviço do diretório.

Para o Active Directory, insira o nome de usuário, por exemplo, jsmith.

Para servidores LDAP, insira o nome diferenciado (DN) do usuário que deseja usar para se conectar. Por exemplo, "cn=jsmith,dc=example,dc=lan".

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

password ldappassword wgserver.domain.password AD, LDAP A senha da conta de usuário que será usada para conectar-se ao servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

directoryServiceType N/A wgserver.domain.directoryservice.type AD, LDAP O tipo de serviço de diretório de LDAP ao qual você deseja se conectar. Valores: activedirectory ou openldap.
kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD, LDAP O nome principal do servidor do Tableau Server na máquina do host. O keytab deve ter permissões para este principal. Não utilize um keytab existente do sistema. Em vez disso, recomendamos que você registre um novo nome principal do servidor. Para ver os principais em um determinado keytab, execute o comando klist -k. Consulte Saiba mais sobre os requisitos do Keytab..

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

hostname hostname wgserver.domain.ldap.hostname AD, LDAP O nome de host do servidor LDAP. Você pode inserir um nome de host ou endereço IP para este valor. O host especificado aqui será usado para consultas de usuário/grupo no domínio primário. No caso em que as consultas de usuário/grupo estejam em outros domínios, o Tableau Server consultará o DNS para identificar o controlador de domínio apropriado.

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

membersRetrievalPageSize N/A wgserver.domain.ldap.members.retrieval.page.size AD, LDAP

Esta opção determina o número máximo de resultados retornados por uma consulta LDAP.

Por exemplo, considere um cenário em que o Tableau Server está importando um grupo LDAP que contém 50.000 usuários. Tentar importar um número de usuários tão grande em uma única operação não é uma prática recomendada Quando essa opção estiver definida como 1500, o Tableau Server importará os primeiros 1500 usuários na primeira resposta. Depois que esses usuários forem processados, o Tableau Server solicitará os próximos 1500 usuários do servidor LDAP e assim por diante.

Recomendamos modificar essa opção apenas para acomodar os requisitos do servidor LDAP

N/A N/A wgserver.domain.ldap.connectionpool.enabled AD, LDAP Quando estas opções estiverem definidas como true, o Tableau Server tentará reutilizar a mesma conexão ao enviar consultas para o servidor LDAP. Esse comportamento diminui a sobrecarga de uma nova autenticação com o servidor LDAP em cada nova solicitação. Os conjuntos de conexões funcionam apenas com conexões de associação simples e TLS/SSL. Os conjuntos de conexões não são compatíveis em conexões de associação GSSAPI.
N/A N/A wgserver.domain.accept_list AD Viabiliza a conexão do Tableau Server com os domínios secundários do Active Directory. O Tableau Server é conectado a um domínio secundário para sincronização de usuários, porém o Tableau Server não está instalado nesse domínio. Para garantir que o Tableau Server possa se conectar a outros domínios do Active Directory, você deve especificar os domínios confiáveis definindo a opção wgserver.domain.accept_list com o TSM. Para obter mais informações, consulte wgserver.domain.accept_list.
N/A N/A

wgserver.domain.whitelist

AD

Importante:preterido a partir da versão 2020.4.0. No lugar dele, use wgserver.domain.accept_list.

Viabiliza a conexão do Tableau Server com os domínios secundários do Active Directory. O Tableau Server é conectado a um domínio secundário para sincronização de usuários, porém o Tableau Server não está instalado nesse domínio. Para garantir que o Tableau Server possa se conectar a outros domínios do Active Directory, você deve especificar os domínios confiáveis definindo a opção wgserver.domain.whitelist com o TSM. Para obter mais informações, consulte wgserver.domain.whitelist.

kerberosConfig

kerbconfig

Nenhum mapeamento direto AD, LDAP

O caminho para o arquivo de configuração do Kerberos no computador local. Se você estiver instalando o Active Directory, não recomendamos usar o arquivo de configuração do Kerberos ou o arquivo keytab existente que já possa estar no PC unido pelo domínio. Consulte Repositório de identidades.

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

kerberosKeytab kerbkeytab Nenhum mapeamento direto AD, LDAP

O caminho para o arquivo keytab do Kerberos no computador local. É recomendado criar um arquivo keytab com chaves especificas ao serviço do Tableau Server e que você não compartilhe o arquivo keytab com outros aplicativos do computador.

Comando tsm nativo: usa o comando tsm user-identity-store set-connection [options].

nickname N/A wgserver.domain.nickname AD, LDAP

O apelido do domínio. Isso também é chamado de nome NetBIOS nos ambientes do Windows/Active Directory. A opção nickname é necessária para todas as entidades LDAP. O valor não pode ser nulo. Se sua organização não exigir um apelido /NetBIOS, envie uma chave em branco, por exemplo: "".

root N/A wgserver.domain.ldap.root LDAP Se você não usar um componente dc na raiz do LDAP ou se quiser especificar uma raiz mais complexa, será necessário definir a raiz do LDAP. Use o formato "o=my,u=root". Por exemplo, para o domínio, example.lan, a raiz seria "o=example,u=lan".
serverSideSorting N/A wgserver.domain.ldap.server_side_sorting LDAP Se o servidor LDAP está configurado para classificação do lado do cliente dos resultados de consultas. Se o servidor LDAP for compatível com a classificação do lado do servidor, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta essa classificação, insira false, pois uma configuração incorreta pode causar erros.
rangeRetrieval N/A wgserver.domain.ldap.range_retrieval LDAP Se o servidor LDAP está configurado para retornar um intervalo de resultados de consulta de uma solicitação. Isso significa que os grupos com muitos usuários serão solicitados em conjuntos pequenos, em vez de todos de uma vez. Os servidores LDAP que suportam uma recuperação abrangente terão melhor desempenho para consultas grandes. Se o servidor LDAP for compatível com a recuperação de intervalo, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta essa classificação, insira false, pois uma configuração incorreta pode causar erros.
bind N/A wgserver.domain.ldap.bind LDAP A forma como deseja proteger a comunicação com o serviço de diretório. Insira simple para o LDAP, a não ser que esteja se conectando a um servidor LDAP com o Kerberos. Para o Kerberos, insira gssapi.
N/A N/A wgserver.domain.ldap.domain_custom_ports LDAP

Observação: essa chave é compatível apenas para o Tableau Server no Linux.

Permite mapear domínios secundários e suas portas LDAP. O domínio e a porta são separados por dois-pontos (:) e cada domínio:par de portas é separado por uma vírgula (,) usando este formato: FQDN1:port,FQDN2:port

Exemplo: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttribute N/A wgserver.domain.ldap.dnAttribute LDAP

O atributo que armazena os nomes diferenciados de usuários. Este atributo é opcional, mas aprimora o desempenho das consultas do LDAP.

Importante: não defina esta opção como parte da configuração inicial. Só defina isso depois de validar a funcionalidade total do LDAP. Você deve ter um dnAttribute definido em sua organização antes de definir esta chave.

groupBaseDn N/A wgserver.domain.ldap.group.baseDn LDAP

Use essa opção para especificar uma raiz alternativa para os grupos. Por exemplo, se todo o seu grupo estiver armazenado na organização base chamada "grupos", insira "o=groups".

N/A classnames wgserver.domain.ldap.group.classnames LDAP

Por padrão, o Tableau Server pesquisa por classe de objeto do grupo LDAP que contenham a cadeia de caracteres “group”. Se os objetos do grupo LDAP não correspondem com o nome de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas.

Se os nomes dos grupos incluírem vírgulas, evite-as usando uma barra invertida (\). Por exemplo, se você tiver um nome de grupo, groupOfNames, top, insira "groupOfNames\, top".

A implementação do Tableau LDAP interpreta os objetos LDAP como usuário ou grupo. Portanto, certifique-se de que você esteja digitando o nome de classe mais específico. A sobreposição de nomes de classe entre usuários e grupos pode causar conflitos.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

groupBaseFilter basefilter wgserver.domain.ldap.group.baseFilter LDAP

O filtro que deseja usar para os grupos de usuários do Tableau Server. É possível especificar um atributo de classe do objeto e um atributo de unidade organizacional. Por exemplo:

"(&(objectClass=groupofNames)(ou=Group))"

Se "(&(objectClass=inetOrgPerson)(ou=People))"não funcionar na implementação do LDAP, especifique o filtro base que funciona para a sua base de usuários do Tableau.

Esta é uma chave obrigatória. Não pode ficar em branco.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

groupName groupname wgserver.domain.ldap.group.name LDAP

O atributo que corresponde aos nomes de grupo no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

groupEmail groupemail wgserver.domain.ldap.group.email LDAP

O atributo que corresponde aos endereços de e-mail do grupo no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

groupDescription description wgserver.domain.ldap.group.description LDAP

O atributo que corresponde às descrições de grupo no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

member member wgserver.domain.ldap.group.member LDAP

Especifique o atributo LDAP que contém uma lista de nomes distintos de usuários que fazem parte desse grupo.

Comando tsm nativo: usa o comando tsm user-identity-store set-group-mappings [options].

N/A N/A wgserver.domain.ldap.group.memberURL LDAP Especifique o nome do atributo LDAP que armazena a consulta de LDAP para grupos dinâmicos.
userBaseDn N/A wgserver.domain.ldap.user.baseDn LDAP Use essa opção para especificar uma raiz alternativa para os usuários. Por exemplo, se todos os usuários estiverem armazenados na organização base chamada "usuários", insira "o=users".
N/A classnames wgserver.domain.ldap.user.classnames LDAP

Por padrão, o Tableau Server pesquisa por classes de objeto do usuário LDAP que contenham a cadeia de caracteres “user” e “inetOrgPerson”. Se os objetos do usuário LDAP não usarem estes nomes de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas. Por exemplo: "userclass1, userclass2".

Se os nomes incluírem vírgulas, evite-as usando uma barra invertida (\). Por exemplo, se você tiver um nome, Names, top, insira "Names\, top".

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

O filtro que deseja usar para os usuários do Tableau Server. É possível especificar um atributo de classe do objeto e um atributo de unidade organizacional.

Por exemplo:

"(&(objectClass=inetOrgPerson)(ou=People))"

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

O atributo que corresponde aos nomes de usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

O atributo que corresponde aos nomes de exibição do usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userEmail email wgserver.domain.ldap.user.email LDAP

O atributo que corresponde aos endereços de e-mail do usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userCertificate certificado wgserver.domain.ldap.user.usercertificate LDAP

O atributo que corresponde aos certificados de usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

N/A miniatura wgserver.domain.ldap.user.thumbnail LDAP

O atributo que corresponde às imagens em miniatura do usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

userJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

O atributo que corresponde às imagens de perfil do usuário no servidor LDAP.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

Grupo do qual o usuário é um membro.

Comando tsm nativo: usa o comando tsm user-identity-store set-user-mappings [options].

groupClassNames N/A wgserver.domain.ldap.group.classnames LDAP

Por padrão, o Tableau Server pesquisa por classe de objeto do grupo LDAP que contenham a cadeia de caracteres “group”. Se os objetos do grupo LDAP não correspondem com o nome de classe padrão, substitua o padrão configurando este valor.

Para configEntity: essa opção tem uma lista de cadeias de caracteres, o que requer passar cada classe entre aspas, separados por uma vírgula (sem espaço) e entre colchetes. Por exemplo: ["basegroup","othergroup"].

Para configKey: digite cada classe, separada por vírgula (sem espaço) e entre aspas duplas. Por exemplo: "basegroup,othergroup”.

userClassNames N/A wgserver.domain.ldap.user.classnames LDAP

Por padrão, o Tableau Server pesquisa por classes de objeto do usuário LDAP que contenham a cadeia de caracteres “user” e “inetOrgPerson”. Se os objetos do usuário LDAP não usarem estes nomes de classe padrão, substitua o padrão configurando este valor.

Para configEntity: essa opção tem uma lista de cadeias de caracteres, o que requer passar cada classe entre aspas, separados por uma vírgula (sem espaço) e entre colchetes. Por exemplo: ["userclass1",userclass2”].

Para configKey: digite cada classe, separada por vírgula (sem espaço) e entre aspas duplas. Por exemplo: "userclass1,userclass2”.

configKeys calculadas

As seguintes configKeys relacionadas ao Kerberos são calculadas e definidas de acordo com várias entradas do ambiente. Por exemplo, elas devem ser definidas pelo comando tsm nativo ou configEntities. Não tente configurar essas configKeys manualmente.

configKey calculadas Para usar o comando TSM nativo: Para usar configEntity json:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Defina o local do arquivo de configuração Kerberos com a opção kerbconfig do comando tsm user-identity-store set-connection [options].

Defina o local do arquivo de configuração do Kerberos com a opção configEntity kerberosConfig.

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Defina o local do arquivo keytab do Kerberos com a opção kerbkeytab do comando tsm user-identity-store set-connection [options]. Defina o local do arquivo keytab do Kerberos com a opção configEntity kerberosKeytab.

configKeys incompatíveis

Algumas configKeys incompatíveis estão presentes nos arquivos de configuração .yml subjacentes. As chaves a seguir não são destinadas a implantações padrão. Não configure estas chaves:

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • wgserver.domain.fqdn: esta chave é redundante com wgserver.domain.default. Os valores para ambas as chaves devem ser os mesmos. Apenas atualize wgserver.domain.fqdn se o valor não corresponder a wgserver.domain.default.
Agradecemos seu feedback!