Repositório de identidades

O Tableau Server exige um repositório de identidades para gerenciar informações de usuário e de grupo. Há dois tipos de repositório de identidades: local e externo. Ao instalar o Tableau Server é necessário configurar um repositório de identidades local ou externo.

Para obter mais informações sobre as opções de configuração do repositório de identidades, consulte Entidade identityStore e Referência de configuração do armazenamento de identidades externo. Para obter mais informações sobre como adicionar mais flexibilidade ao modelo de armazenamento de identidade única, consulte Provisionar e autenticar usuários usando grupos de identidade.

Repositório de identidades local

Ao configurar o Tableau Server com um repositório de identidades local, todas as informações de usuário e de grupo são armazenadas e gerenciadas no repositório do Tableau Server. No cenário de repositório de identidades local, não há fonte externa para usuários e grupos.

Repositório de identidades externo

Ao se configurar o Tableau Server com um repositório externo, todas as informações de usuário e de grupo são armazenadas e gerenciadas por um serviço de diretório externo. O Tableau Server deve sincronizar com o repositório de identidades externo para que cópias locais dos usuários e dos grupos existam no repositório do Tableau Server, mas o repositório de identidades externo é a fonte dominante de todos os dados de usuário e de grupo.

Se você tiver configurado o repositório de identidades do Tableau Server para se comunicar com um diretório LDAP externo, todos os usuários (inclusive a conta de administrador inicial) adicionados ao Tableau Server deverão ter uma conta no diretório.

Quando o Tableau Server estiver configurado para usar um diretório LDAP externo, primeiro você deverá importar as identidades do usuário do diretório externo para o repositório do Tableau Server como usuários do sistema. Quando os usuários fazem logon no Tableau Server, as credenciais são passadas para o diretório externo, que é responsável pela autenticação do usuário; o Tableau Server não faz a autenticação. No entanto, os nomes de usuário do Tableau armazenados no repositório são associados a direitos e permissões do Tableau Server. Portanto, depois que a autenticação for verificada, o Tableau Server gerenciará o acesso do usuário (autorização) aos recursos do Tableau.

O Active Directory é um exemplo de um repositório externo de usuário. O Tableau Server é otimizado para fazer interface com o Active Directory. Por exemplo, ao instalar o Tableau Server em um computador vinculado a um domínio do Active Directory usando a Configurar as definições do nó inicial, a Instalação detectará e definirá a maioria das configurações do Active Directory. Se, por outro lado, você estiver usando a CLI do TSM para instalar o Tableau Server, especifique todas as configurações do Active Directory. Nesse caso, certifique-se de utilizar o modelo LDAP - Active Directory para configurar o armazenamento de identidades.

Se você estiver instalando no Active Directory, instale o Tableau Server em um computador que esteja vinculado ao domínio do Active Directory. Além disso, recomenda-se rever o Gerenciamento de usuários em implantações com armazenamentos de identidades externos antes da implantação.

Para todos os outros armazenamentos externos, o Tableau Server suporta LDAP como forma de comunicação com o repositório de identidades. Por exemplo, OpenLDAP é uma da muitas implementações do servidor LDAP com um esquema flexível. O Tableau Server pode ser configurado para consultar o servidor OpenLDAP. Para isso, o administrador do diretório deve fornecer informações sobre o esquema. Durante a configuração, você deve usar a Configurar as definições do nó inicial para configurar uma conexão com outros diretórios LDAP.

Associação ao LDAP

Os clientes que desejem consultar um repositório de usuário com LDAP devem se autenticar e estabelecer uma sessão. Isso é feito por meio da associação. Há diversas formas de associação. A associação simples autentica com um nome de usuário e uma senha. Para empresas que se conectam ao Tableau Server com associação simples, recomendamos configurar uma conexão de SSL criptografada, caso contrário as credenciais são enviadas pela conexão em formato de texto simples. Outro tipo de associação compatível pelo Tableau Server é a associação GSSAPI. O GSSAPI usa o Kerberos para autenticação. No caso do Tableau Server, o mesmo é o cliente e o servidor LDAP é o repositório externo de usuário.

Associação do LDAP com GSSAPI (Kerberos)

Recomendamos a vinculação ao diretório LDAP com o GSSAPI usando um arquivo keytab para autenticar ao servidor LDAP. Você precisará de um arquivo keytab especificamente para o serviço do Tableau Server. Também recomendamos criptografar o canal com o servidor LDAP usando SSL/TLS. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

Se a instalação for no Active Directory, e o computador onde estiver instalando o Tableau Server já estiver unido ao domínio, é possível que já tenha um arquivo de configuração e um arquivo keytab. Nesse caso, os arquivos do Kerberos são para funcionalidade e autenticação do sistema operacional. A rigor, você pode usar esses arquivos para associação GSSAPI, mas não recomendamos. Em vez disso, entre em contato com o administrador do Active Directory e solicite um keytab especificamente para o serviço do Tableau Server. Consulte Saiba mais sobre os requisitos do Keytab..

Supondo que o sistema operacional tenha um keytab corretamente configurado para autenticação no domínio, o arquivo de chave do Kerberos para associação GSSAPI é tudo o que você precisa para a instalação básica do Tableau Server. Se você planeja usar a autenticação Kerberos para usuários, basta configurar o Kerberos para autenticação do usuário e a delegação do Kerberos para fonte de dados depois que a instalação estiver concluída.

 

LDAP com SSL

Por padrão, o LDAP com associação simples aos servidores arbitrários do LDAP não é criptografado. As credenciais do usuário que são usadas para estabelecer a sessão de vinculação com o servidor LDAP são comunicadas em texto simples entre o Tableau Server e o servidor LDAP. Recomendamos fortemente que você criptografe o canal entre o Tableau Server e o servidor LDAP.

Se sua organização usar um diretório LDAP diferente do Active Directory, consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

Autenticação de clientes

A autenticação básica de usuário no Tableau Server é feita por logon com nome de usuário e senha para os armazenamentos de usuário local e externo. No caso do repositório local, as senhas de usuário são armazenadas no repositório como uma senha com hash. No caso do repositório externo, o Tableau Server passa as credenciais para o repositório externo de usuário e aguarda a resposta para saber se elas são válidas. Os repositórios esternos de usuário também podem gerenciar outros tipos de autenticação, como o Kerberos ou SSPI (apenas no Active Directory), mas o conceito ainda é o mesmo: o Tableau Server delega as credenciais ou o usuário para o repositório externo e aguarda uma resposta.

É possível configurar o Tableau Server de forma que o nome de usuário e senha de logon sejam desabilitados. Nesses cenários, outros métodos de autenticação, como a autenticação confiável, OpenID ou SAML podem ser usados. Consulte Autenticação.

Em alguns casos, pode ser necessário atualizar os diretórios externos LDAP para permitir operações de associação com o formato nome de usuário + DN do Tableau Server. Consulte Comportamento de associação do usuário ao fazer login.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!