Identitetsregister
Tableau Server kräver ett identitetsregister för att hantera användar- och gruppinformation. Det finns två typer av identitetsregister: lokala och externa. När du installerar Tableau Server måste du konfigurera antingen ett lokalt identitetsregister eller ett externt identitetsregister.
För information om konfigurationsalternativ för identitetsregistret, se identityStore Entity och Konfigurationsreferens för externt identitetsregister. Se Provisionera och autentisera användare med hjälp av identitetspooler för mer information om att skapa mer flexibilitet till modellen med ett enda identitetsregister.
Lokalt identitetsregister
När du konfigurerar Tableau Server med ett lokalt identitetsregister lagras och hanteras all användar- och gruppinformation på Tableau Server-lagringsplatsen. I scenariot med lokalt identitetsregister finns det ingen extern källa för användare och grupper.
Externt identitetsregister
När du konfigurerar Tableau Server med ett externt register lagras och hanteras all användar- och gruppinformation av en extern katalogtjänst. Tableau Server måste synkroniseras med det externa identitetsregistret så att lokala kopior av användare och grupper finns på Tableau Server-lagringsplatsen, men det externa identitetsregistret är den auktoritativa källan för alla användar- och gruppdata.
Om du har konfigurerat Tableau Server identitetsregister för att kommunicera med en extern LDAP-katalog, måste alla användare (inklusive det ursprungliga administratörskontot) som du lägger till i Tableau Server ha ett konto i katalogen.
7När Tableau Server är konfigurerad att använda en extern LDAP-katalog måste du först importera användaridentiteter från den externa katalogen till Tableau Server-lagringsplatsen som systemanvändare. När användare loggar in på Tableau Server skickas deras inloggningsuppgifter till den externa katalogen, som ansvarar för autentisering av användaren. Tableau Server utför inte denna autentisering. Men de Tableau-användarnamn som lagras i identitetsregistret är dock kopplade till rättigheter och behörigheter för Tableau Server. När autentiseringen har verifierats hanterar Tableau Server därför användaråtkomst (auktorisering) för Tableau-resurser.
Active Directory är ett exempel på ett externt användarmagasin. Tableau Server är optimerad för gränssnitt med Active Directory. När du till exempel installerar Tableau Server på en domänansluten Active Directory-dator med Konfigurera initiala nodinställningarkommer installationen att detektera och konfigurera de flesta Active Directory-inställningar. Om du däremot använder TSM CLI för att installera Tableau Server måste du ange alla Active Directory-inställningar. I detta fall ska du se till att använda LDAP – Active Directory-mallen för att konfigurera identitetsregistret.
Om du installerar i Active Directory måste du installera Tableau Server på en dator som är ansluten till Active Directory-domänen. Dessutom rekommenderar vi att du granskar Användarhantering i driftsättningar med externa identitetsregister innan du distribuerar.
För alla andra externa arkiv stöder Tableau Server LDAP som ett generiskt sätt att kommunicera identitetsregistret. Till exempel är OpenLDAP en av flera LDAP-serverimplementationer med ett flexibelt schema. Tableau-servern kan konfigureras för att fråga OpenLDAP-servern. För att göra detta måste katalogadministratören tillhandahålla information om schemat. Under installationen måste du använda Konfigurera initiala nodinställningar för att konfigurera en anslutning till andra LDAP-kataloger.
LDAP-bindning
Klienter som vill fråga efter ett användararkiv med LDAP måste autentisera och etablera en session. Detta görs genom bindning. Det finns flera sätt att binda. Enkel bindning är autentisering med ett användarnamn och lösenord. För organisationer som ansluter till Tableau Server med enkel bindning rekommenderar vi att du konfigurerar en SSL-krypterad anslutning, annars skickas inloggningsuppgifterna över nätet i klartext. En annan typ av bindning Tableau Server stöder är GSSAPI-bindning. GSSAPI använder Kerberos för att autentisera. I fallet med Tableau Server är Tableau Server klienten och det externa användarlagret är LDAP-servern.
LDAP med GSSAPI (Kerberos)-bindning
Vi rekommenderar att binda till LDAP-katalogen med GSSAPI med hjälp av en keytab-fil för att autentisera till LDAP-servern. Du behöver en keytab-fil specifikt för tjänsten Tableau Server. Vi rekommenderar också att du krypterar kanalen med LDAP-servern med SSL/TLS. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
Om du installerar i Active Directory, och datorn där du installerar Tableau Server redan är ansluten till domänen, då kan datorn redan ha en konfigurationsfil och en keyab-fil. I detta fall är Kerberos-filerna för operativsystemets funktionalitet och autentisering. Du kan använda de här filerna för GSSAPI-bindning, men vi rekommenderar inte detta. I stället ber vi dig kontakta Active Directory-administratören och begära en keytab-fil som är specifik för Tableau Server-tjänsten. Läs mer i Förstå kraven för keytab-filer.
Förutsatt att ditt operativsystem har en korrekt konfigurerad keytab för autentisering till domänen, så är Kerberos keyfile för GSSAPI-bindning allt du behöver för basinstallationen av Tableau Server. Om du planerar att använda Kerberos autentisering för användare, konfigurera sedan Kerberos för användarautentisering och Kerberos delegering till datakällor efter installationen är klar.
LDAP över SSL
Som standard är LDAP med enkel bindning till godtyckliga LDAP-servrar inte krypterad. Användaruppgifter som används för att upprätta bindningssessionen med LDAP-servern kommuniceras i klartext mellan Tableau Server och LDAP-servern. Vi rekommenderar starkt att du krypterar kanalen mellan Tableau Server och LDAP-servern.
Om din organisation använder en annan LDAP-katalog än Active Directory, se Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
Autentisera klienter
Grundläggande användarautentisering i Tableau Server sker genom inloggning med användarnamn och lösenord för både lokala och externa användarbutiker. I det lokala fallet lagras användarens lösenord som ett hash-lösenord i lagringsplatsen. I det externa fallet skickar Tableau Server inloggningsuppgifterna till den externa användarens arkiv och väntar på ett svar om huruvida inloggningsuppgifterna är giltiga. Externa användaarkiv kan också hantera andra typer av autentisering som Kerberos
Du kan konfigurera Tableau Server så att inloggning med användarnamn och lösenord är inaktiverad. I dessa scenarier kan andra autentiseringsmetoder, såsom tillförlitlig autentisering, OpenID eller SAML användas. Läs mer i Autentisering.
I vissa fall kan du behöva uppdatera LDAP externa kataloger för att tillåta bindningsåtgärder med användarnamn + DN-format från Tableau Server. Se Användarbindning vid inloggning.