Konfigurera och hantera identitetspooler
Om du vill skapa och hantera identitetspooler måste du programmatiskt anropa metoder för identitetspooler(Länken öppnas i ett nytt fönster) med hjälp av Tableau REST OpenAPI. Du kan lägga till eller hantera användare i en identitetspool direkt med Tableau Servers användargränssnitt (UI) eller med Tableaus REST API.
Konfigurationsprocessen för identitetspooler kan sammanfattas i följande steg.
- Konfigurera Tableau Server och upprätta en session
- Provisionera användare genom att skapa en ny instans med ett lokalt identitetsregister. Obs! Du kan hoppa över det här steget för att använda ett befintligt lokalt identitetsregister eller det externa identitetsregistret som konfigurerades i TSM under konfigurationen av Tableau Server.
- Konfigurera autentisering för att autentisera användarna i Tableau Server med OpenID Connect (OIDC).
- Skapa en identitetspool som använder det identitetsregister och den OIDC-autentisering du konfigurerade.
- Lägg till användare i en identitetspool med hjälp av Tableau Server eller REST API så att de kan logga in på Tableau Server.
Efter konfigurationen kan du testa, hantera och felsöka identitetspoolerna.
Obs! Du kan använda Identitetspoolernas(Länken öppnas i ett nytt fönster) Postman-samling i Salesforce-utvecklarens Postman-arbetsyta om du vill veta mer om, utveckla och testa metoderna som beskrivs i det här avsnittet.
Förutsättningar
Innan du börjar med identitetspooler måste följande krav uppfyllas:
- Integrering med en OIDC-identitetsleverantör (IdP), som Okta, har konfigurerats
- Du kör Tableau Server 2023.1 eller senare
- Du har utfört identitetsmigrering(Länken öppnas i ett nytt fönster) – detta krävs för både nya Tableau Server-driftsättningar och Tableau Server-uppgraderingar
Komma igång
Steg 1: Konfigurera Tableau Server och upprätta en session
De ändringar som behövs för att konfigurera identitetspooler kräver en engångskonfiguration av TSM och en deklaration av sessions- och värdvariabler.
Öppna en kommandotolk som administratör på den initiala noden (där TSM har installerats) i klustret.
Kör följande kommando:
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
Du kan till exempel köra följande kommandon för att konfigurera Tableau Server: http://myco:
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
Mer information finns i gateway.external_url(Länken öppnas i ett nytt fönster).
(Valfritt) Kör följande kommandon för att lägga till en beskrivning för den initiala poolen (TSM-konfigurerad):
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
Du kan till exempel köra följande kommandon för att lägga till beskrivningen ”Inloggning för MyCo-anställda”:
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
Mer information finns i wgserver.authentication.identity_pools.default_pool_description(Länken öppnas i ett nytt fönster).
Logga in på Tableau Server som administratör och gör följande:
- Gå till webbläsarens utvecklarverktyg och navigera till programmets cookies.
- Anteckna värdet för workgroup_session_id.
Om du till exempel använder Chrome högerklickar du var som helst på hemsidan för Tableau Server, högerklickar igen och väljer Inspektera. Klicka på App i den övre navigeringsrutan och klicka på Cookies i den vänstra navigeringsrutan. Under Cookies klickar du på Tableau Server-namnet, till exempel http://myco.com, och antecknar värdet på workgroup_session_id i mittrutan.
Gör följande i det skript eller API-utvecklarverktyg du använder för begäranden om identitetspooler med Tableau REST OpenAPI:
- Lägg till värdet workgroup_session_id som en global variabel.
- Lägg dessutom till port 80, värd (URL:en för Tableau Server) och protokoll (HTTP eller HTTPS) i de globala variablerna.
Följande tabell visar till exempel de globala variabler som krävs för Tableau Server, http://myco.
Global variabel | Värde |
---|---|
ID för arbetsgruppssession | XxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx |
Port | 80 |
Värd | http://myco |
Protokoll | HTTP |
Steg 2: Konfigurera ett identitetsregister
Med Tableau Server måste du konfigurera ett identitetsregister för att hämta eller provisionera Tableau Server-användare.
När en identitetspool konfigureras kan du använda ett nytt eller befintligt lokalt identitetsregister(Länken öppnas i ett nytt fönster). Alternativt kan du använda ett externt identitetsregister(Länken öppnas i ett nytt fönster), antingen Active Directory (AD) eller Lightweight Directory Access Protocol (LDAP), om det externa identitetsregistret konfigurerades under installationen av Tableau Server.
Obs! Nya AD- eller LDAP-instanser som inte är den AD- eller LDAP-instans som konfigurerades i TSM under installationen av Tableau Server (kallas även den initiala poolen (TSM-konfigurerad)) kan inte konfigureras med identitetspooler.
Använd proceduren nedan för att skapa ett nytt lokalt identitetsregister. Gå till Steg 3: Konfigurera autentisering för att använda ett befintligt lokalt identitetsregister eller använd det som konfigurerades under installationen av Tableau Server.
Skicka en inloggningsbegäran(Länken öppnas i ett nytt fönster) till Tableau REST API för att generera en autentiseringstoken.
Exempel
URI
POST https://myco/api/3.19/auth/signin
När autentiseringstoken har genererats lägger du till den i rubriken för alla efterföljande API-förfrågningar.
Konfigurera identitetsregistret genom att anropa slutpunkten Configure Identity Store(Länken öppnas i ett nytt fönster) (Konfigurera identitetsregister) med hjälp av Tableau REST API OpenAPI.
Ange följande i begäran:
- Typ. Typens värde är alltid 0 för typen lokalt identitetsregister. Om du vill använda ett befintligt lokalt identitetsregister eller det som konfigurerades i TSM under installationen av Tableau Server behöver du inte konfigurera en ny instans av ett lokalt identitetsregister. Gå istället till steg 3: Konfigurera autentisering nedan.
- Namn. Namnet måste vara unikt.
- Visningsnamn. Detta är valfritt.
Exempel
URI
https://myco/api/services/authn-service/identity-stores/
Förfråganstext (JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
Svarstext
Inget
Steg 3: Konfigurera autentisering
Du kan konfigurera OpenID Connect (OIDC) som autentiseringsmetod för att autentisera användare.
Obs! OIDC är för närvarande den enda autentiseringsmetoden som kan konfigureras med identitetspooler, oavsett vilket typ av identitetsregister som används med identitetspoolen.
När du har konfigurerat ett identitetsregister anropar du slutpunkten Create Authentication Configuration(Länken öppnas i ett nytt fönster) (Skapa autentiseringskonfiguration) med Tableau REST API OpenAPI.
Ange följande i begäran:
Autentiseringstyp. Autentiseringstypens värden är ”
OIDC
”.- iFrame. Standardvärde för iFrame är ”
false
”. OIDC-klient-ID, klienthemlighet, konfigurations-URL, ID-anspråk, klientautentisering och användarnamnsanspråk som krävs.
- Klient-ID:t och klienthemligheten tillhandahålls av din OIDC-identitetsprovider (IdP).
- Konfigurations-URL:en tillhandahålls också av din identitetsprovider. URL:en har vanligtvis följande format:
https://<idp_url>/.well-known/openid-configuration
. - Standardvärdet för ID-anspråket är ”
sub
”. Se Ändra sub-anspråket för mer information. - Standardvärdet för klientautentiseringen är ”
CLIENT_SECRET_BASIC
”. - Standardvärdet för användarnamnsanspråket är ”
email
”. Se Mappa användare med email-anspråket (standard) för mer information.
Om användarnamnsanspråk
Tableau använder användarnamnsanspråket för identitetsmatchning. Om du anger identifierare när du lägger till användare i Tableau Server används identifieraren för att matcha värdet som anges i användarnamnsanspråket. Om inga identifierare tillhandahålls används som standard det användarnamn som angetts i Tableau Server.
Obs!
- Om du tänker använda den här autentiseringskonfigurationen med en identitetspool som använder AD som identitetsregister ser du till att den tilldelade användaren har AD-värdet sAMAccountName i användarnamnsanspråket.
- Om du tänker använda den här autentiseringskonfigurationen med en identitetspool som använder LDAP som identitetsregister ser du till att den tilldelade användaren har LDAP-värdet username i användarnamnsanspråket.
Exempel
URI
https://myco/api/services/authn-service/auth-configurations/
Förfråganstext (JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "Xxx1hotzhjv4tyCxxX",
"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
"config_url": "https://admin.okta.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
Svarstext
Inget
Steg 4: Skapa en identitetspool
Beroende på det identitetsregister som konfigurerades för Tableau Server kan identitetspoolen du skapar ha en av följande kombinationer av identitetsregister och autentiseringsmetod:
- AD-identitetsregister + OIDC-autentisering
- LDAP-identitetsregister + OIDC-autentisering
- Lokalt identitetsregister + OIDC-autentisering
De två första kombinationerna kräver att den initiala poolen (TSM-konfigurerad) har konfigurerats för att använda AD eller LDAP.
Proceduren som beskrivs nedan skapar en identitetspool med den senaste kombinationen som är ”lokalt identitetsregister + OIDC-autentisering”.
När du har konfigurerat OIDC-autentisering anropar du slutpunkten Create Identity Pool(Länken öppnas i ett nytt fönster) (Skapa identitetspool) med Tableau REST API OpenAPI.
Ange följande i begäran:
Namn och beskrivning på identitetspoolen. Både identitetspoolens namn och dess beskrivning är synliga för alla användare på landningssidan för Tableau Server.
Instans-ID för identitetsregistret och autentiseringstypen.
Obs!
- Du kan hämta instans-ID:et för identitetsregistret och autentiseringstypen genom att anropa slutpunkterna Lista identitetsregister(Länken öppnas i ett nytt fönster) och Lista autentiseringskonfigurationer(Länken öppnas i ett nytt fönster).
Om du vill skapa en identitetspool som använder det identitetsregister som konfigurerades i TSM under installationen av Tableau Server, så är värdet på identitetsregisterinstansen alltid
'1'
.
Exempel
URI
https://myco/api/services/authn-service/identity-pools/
Förfråganstext (JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
Exempelsvarstext
Inget
Skapa en identitetspool och gå sedan till IdP-konfigurationerna och ange omdirigerings-URI:en för inloggning till
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
Exempel:
http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login
Obs! Du kan hämta ID:t för identitetspoolen genom att anropa slutpunkten List Identity Pools(Länken öppnas i ett nytt fönster) (Lista identitetspooler).
Obs!
- Du kan skapa så många identitetspooler som organisationen behöver.
- Andra typer av identitetsregister och autentiseringsmetoder stöds av den initiala pool (TSM) som konfigurerats. Mer information finns i Autentisering.
Steg 5: Lägg till användare i identitetspoolen
Du kan använda Tableau Server direkt för att lägga till användare i en identitetspool. Användarna måste tillhöra den initiala poolen (TSM-konfigurerad) eller läggas till i en identitetspool för att logga in på Tableau Server. När du lägger till användare i en identitetspool kan arbetsflödet ändras beroende på det identitetsregister som konfigurerats med identitetspoolen.
Nedan beskrivs hur du lägger till användare i en identitetspool i Tableau Server. Du kan emellertid också lägga till användare i en identitetspool med hjälp av Tableau REST API genom att anropa slutpunkten Add User to Identity Pool(Länken öppnas i ett nytt fönster) (Lägga till användare i en identitetspool).
Logga in på Tableau Server som administratör.
Gå till den vänstra navigeringsrutan och välj Användare (eller Alla platser > Användare om Tableau Server har flera platser).
Klicka på knappen Lägg till användare och välj Skapa ny användare eller Importera användare från fil.
För Skapa ny användare:
Välj den identitetspool i vilken du vill lägga till den nya användaren och klicka sedan på Nästa.
Om du valde en identitetspool som har konfigurerats med ett AD- eller LDAP-identitetsregister anger du användarnamn samt tilldelar platsmedlemskap och platsroller. När du är klar klickar du på knappen Importera användare.
Om du valde en identitetspool som har konfigurerats med ett lokalt identitetsregister anger du användarnamnet. Dialogrutan utökas så att du kan lägga till ett visningsnamn, en identifierare (i de flesta fall) och en e-postadress samt ange en plats och platsroller. När du är klar klickar du på knappen Skapa användare.
Mer information om användarnamn och hur du tilldelar platsmedlemskap och platsroller finns i Ställa in användarnas platsroller.
Om användarnamn och identifierare i Tableau
Ett användarnamn är informationen som representerar systemanvändaren. En identifierare används för att komplettera informationen om användarnamn och kan användas av externa identitetsregister som alternativ till användarnamn.
I Tableau är ett användarnamn ett oföränderligt värde som används för att logga in på Tableau, och identifierare är föränderliga värden som används i Tableaus identitetsstruktur för att matcha användare med deras användarnamn. Tack vare identifierarna blir Tableau mer flexibelt då de kan skilja sig från användarnamnet. Om ändringar av användarnamnet sker i det externa identitetsregistret kan Tableau Server-administratörer uppdatera identifieraren för att garantera att användare matchas med rätt användarnamn.
När en befintlig användare läggs till i en identitetspool kan du förvänta dig möjligheten att ange en identifierare. Om en befintlig användare till exempel tillhör en identitetspool konfigurerad med ett lokalt identitetsregister och denne ska läggas till i en identitetspool konfigurerad med ett AD-identitetsregister ska du ange användarnamnet för att söka efter den identifierare som är associerade med användaren. Om en befintlig användare, å andra sidan, tillhör en identitetspool konfigurerad med ett AD-identitetsregister och denne ska läggas till i en identitetspool konfigurerad med ett lokalt identitetsregister ska du ange en valfri identifierare. Ett undantag från detta är om en användare ska läggas till i den initiala poolen (TSM-konfigurerad) och denne är konfigurerad med ett lokalt identitetsregister och lokal autentisering. Du kan då inte ställa in en identifierare för den användaren.
För Importera användare från fil:
Ladda upp en .csv-fil som innehåller följande kolumner i den ordning som anges:
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
Obs! Användarnamn och lösenord är de enda obligatoriska kolumnerna. Om du inte anger namnet på identitetspoolen läggs användaren till i den initiala poolen (TSM-konfigurerad). Mer information finns i Riktlinjer för import av CSV-fil.
Anta till exempel att du vill lägga till Henry Wilson och Fred Suzuki i identitetspoolen General Contractors. Då kan .csv-filen innehålla följande värden:
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
Obs! När en eller flera identitetspooler skapas uppdateras landningssidan för Tableau Server så att den inkluderar inloggningsalternativ för användare som är medlemmar i dessa identitetspooler. Se Provisionera och autentisera användare med hjälp av identitetspooler för mer information.
Testa identitetspooler
När du har konfigurerat en identitetspool bör du testa den genom att logga ut från Tableau Server och logga in igen som en användare i identitetspoolen. Se till att du slutför inloggningsprocessen för att försäkra dig om att OIDC-autentisering har konfigurerats korrekt.
Obs! Om du har konfigurerat en valfri beskrivning för den initiala poolen (TSM-konfigurerad) i Steg 1: Konfigurera Tableau Server och upprätta en session eller om det finns en notering om Serverinställningar (allmänna och anpassade) för Tableau Server föreslår vi att beskrivningen ska gälla för användare som loggar in med den initiala poolen (TSM-konfigurerad) och att noteringen om anpassning av inloggning ska gälla för alla användare som loggar in på Tableau Server.
Hantera identitetspooler
Du kan hantera användarna i identitetspooler från sidan Användare på både servernivå och platsnivå. På sidan Användare kan du se vilka identitetspooler användare tillhör och sammanfattande information om identitetspoolen.
För all annan hantering av identitetspooler, inklusive uppdatering av en autentiseringskonfiguration eller identitetspool och borttagning av ett lokalt identitetsregister eller en lokal identitetspool, använder du Tableau REST API OpenAPI som beskrivs i metoder för identitetspooler(Länken öppnas i ett nytt fönster).
Felsöka identitetspooler
Begränsningar för identitetspooler
Identitetspooler är bara tillgängliga med Tableau Server.
Obs! Identitetspooler kan för närvarande endast konfigureras på servernivå. Identitetspooler kan inte inkluderas i en plats.
Landningssidan för Tableau Server visar IdP-fel
På landningssidan för Tableau Server, nedanför det primära inloggningsalternativet, kan ett IdP-relaterat felmeddelande visas bredvid ett inloggningsalternativ för en identitetspool. Detta problem med OIDC-autentisering kan uppstå när ett eller båda av följande påståenden stämmer: 1) Tableau Server har inte konfigurerats för att skicka en extern URL till IdP och 2) de globala variablerna har inte deklarerats.
Du kan lösa det här problemet genom att slutföra proceduren som beskrivs i Steg 1: Konfigurera Tableau Server och upprätta en session ovan.
Tableau Server-landningssidan visar inte identitetspooler
Om funktionen för identitetspooler är inaktiverad kan du aktivera den igen med följande TSM-kommandon:
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
Obs! Om du kör dessa kommandon startas Tableau Server om.