Tableau Server i Windows-hjälp

Det här ämnet beskriver viktiga tekniska detaljer som du bör känna till om du använder ett externt identitetsregister för att hantera användare för Tableau Server. Tableau Server stöder anslutning till en extern katalog med LDAP. I det här scenariot importerar Tableau Server användare från den externa LDAP-katalogen till Tableau Server-lagringsplatsen som systemanvändare.

Godtyckliga LDAP-kataloger

Systemanvändarnamnet i Tableau är det attribut som du anger under LDAP-konfigurationen, till exempel ”cn”. Det här gäller både för individuell användarimport och gruppsynkroniseringsfunktionalitet. Se Konfigurationsreferens för externt identitetsregister.

Användarbindning vid inloggning

Du kan behöva uppdatera din LDAP-konfiguration för att tillåta bindning med användarnamn som läggs till DN. Specifikt måste du uppdatera din LDAP-konfiguration när Tableau Server är konfigurerad med en godtycklig LDAP-katalog (t.ex. OpenLDAP) som använder UPN eller e-postadresser som användarnamn.

Tableau Server söker efter en viss användare baserat på det användarnamn som anges vid inloggning. Tableau Server försöker sedan binda med användarnamnet som läggs till DN. Om Tableau Server har konfigurerats med GSSAPI används användarnamn@REALM (domännamn).

Active Directory

Innehållet i resten av det här ämnet förutsätter att du är bekant med Active Directory-användarhantering och grundläggande Active Directory-scheman och domänkoncept.

Om du installerar i Active Directory måste du installera Tableau Server på en dator som är ansluten till Active Directory-domänen.

Obs! Tableau Server konfigurerad med LDAP-identitetsregister motsvarar Active Directory när det gäller synkronisering av användare och grupper. Funktioner för Active Directory-synkronisering i Tableau Server fungerar smidigt med korrekt konfigurerade LDAP-lösningar.

Active Directory-användarautentisering och Tableau Server

Tableau Server lagrar alla användarnamn i Tableau Server-identitetsregistret som hanteras av lagringsplatsen. Om Tableau Server är konfigurerat att använda Active Directory för autentisering måste du först importera användaridentiteter från Active Directory till identitetsregistret. När användare loggar in på Tableau Server skickas deras inloggningsuppgifter till Active Directory som ansvarar för autentisering av användaren. Tableau Server utför inte denna autentisering. (Som standard används NTLM för autentisering, men du kan aktivera Kerberos eller SAML för enkel inloggning – men i alla de här fallen överlåts autentiseringen till Active Directory.) Men de Tableau-användarnamn som lagras i identitetsregistret är dock kopplade till rättigheter och behörigheter för Tableau Server. När autentiseringen har verifierats hanterar Tableau Server därför användaråtkomst (auktorisering) för Tableau-resurser.

Active Directory-användarnamnsattribut och Tableau Server

Active Directory identifierar användarobjekt unikt med hjälp av flera attribut. (Mer information finns i Användarnamnsattribut(Länken öppnas i ett nytt fönster) på MSDN-webbplatsen.) Tableau Server förlitar sig på två Active Directory-användarnamngivningsattribut:

• sAMAccountName. Det här attributet anger inloggningsnamnet som ursprungligen utformades för användning med äldre versioner av Windows. I många organisationer kombineras det här namnet med NetBIOS-namnet för autentisering, med ett format som example\jsmith där example är NetBIOS-namnet och jsmith är sAMAccountName-värdet. På grund av den ursprungliga designen i Windows måste sAMAccountName-värdet vara mindre än 20 tecken.

  I den administrativa konsolen för Windows Active Directory-användare och -datorer finns det här värdet i fältet med etiketten Användarinloggningsnamn (före Windows 2000) på fliken Konto i användarobjektet.

• userPrincipalName (UPN). Det här attributet anger ett användarnamn i formatet jsmith@example.com, där jsmith är UPN-prefixet och @example.com är UPN-suffixet.

  I den administrativa konsolen för Windows Active Directory-användare och -datorer är UPN en sammanfogning av två fält på fliken Konto i användarobjektet: fältet Användarinloggningsnamn och listrutan för domäner bredvid det.

Lägga till användare från Active Directory

Du kan lägga till användare individuellt från Active Directory genom att antingen skriva in dem i servermiljön eller genom att skapa en CSV-fil och importera användarna. Du kan också lägga till Active Directory-användare genom att skapa en grupp via Active Directory och importera alla gruppens användare. Resultatet kan variera beroende på vilken metod du använder.

Lägga till användargrupper

Om du importerar en Active Directory-användargrupp importerar Tableau alla användare från gruppen med hjälp av sAMAccountName.

Synkroniseringsbeteende vid borttagning av användare från Active Directory

Användare kan inte tas bort automatiskt från Tableau Server genom en Active Directory-synkroniseringsåtgärd. Användare som inaktiverats, raderats eller tagits bort från grupper i Active Directory finns kvar på Tableau Server så att du kan granska och omtilldela användarens innehåll innan användarens konto tas bort permanent.

Tableau Server kommer dock att agera olika på användarobjekt baserat på hur statusen för användarobjektet ändras i Active Directory. Det finns två scenarier: ta bort/inaktivera användare i Active Directory eller ta bort användare från synkroniserade grupper i Active Directory.

När du tar bort eller inaktiverar en användare i Active Directory och sedan synkroniserar den användarens grupp på Tableau Server inträffar följande:

• Användaren tas bort från Tableau Server-gruppen du synkroniserade.
• Användarens roll ställs in som ”olicensierad”.
• Användaren kommer fortfarande att tillhöra gruppen Alla användare.
• Användaren kan inte logga in på Tableau Server.

När du tar bort en användare från en grupp i Active Directory och sedan synkroniserar gruppen på Tableau Server inträffar följande:

• Användaren tas bort från Tableau Server-gruppen du synkroniserade.
• Användarrollen behålls: den ställs inte in som ”olicensierad”.
• Användaren kommer fortfarande att tillhöra gruppen Alla användare.
• Användaren kommer fortfarande att ha behörighet till Tableau Server med åtkomst till allt som gruppen Alla användare har behörighet att använda.

I båda fallen måste serveradministratören ta bort användaren från sidan Serveranvändare i Tableau Server för att ta bort en användare från Tableau Server.

Smeknamn för domäner

I Tableau Server är smeknamnet för domäner likvärdigt med Windows NetBIOS-domännamnet. I en Windows Active Directory-skog kan ett fullständigt domännamn (FQDN) ha ett godtyckligt NetBIOS-namn. NetBIOS-namnet används som domänidentifierare när en användare loggar in på Active Directory.

Till exempel kan FQDN:et west.na.corp.lan konfigureras med NetBIOS-namnet (smeknamnet) SEATTLE. Användaren jsmith i den domänen kan logga in på Windows med något av följande användarnamn:

• west.na.corp.example.com\jsmith
• SEATTLE\jsmith

Om du vill att dina användare ska logga in på Tableau Server med ett NetBIOS-namn istället för FQDN:et måste du verifiera att smeknamnsvärdet är inställt för varje domän där användare loggar in. Mer information om hur du visar och ställer in smeknamnsvärdet för varje domän finns i editdomain.

Stöd för flera domäner

Du kan lägga till användare och grupper från en domän som skiljer sig från domänen för Tableau Server-datorn i följande fall:

• Tvåvägsförtroende har etablerats mellan serverns domän och användarnas domän.

• Serverns domän litar på användarnas domän (envägsförtroende). Läs mer i Domänförtroendekrav för Active Directory-driftsättningar.

Första gången du lägger till en användare eller grupp från icke-serverdomänen måste du ange det fullständiga domännamnet med användar-/gruppnamnet. Eventuella ytterligare användare eller grupper som du lägger till från den domänen kan läggas till med domänens smeknamn, förutsatt att smeknamnet matchar NetBIOS-namnet. Om Tableau Server ansluter till flera domäner måste du också ange de andra domänerna som Tableau Server ansluter till genom att ställa in alternativet wgserver.domain.whitelist (version 2020.3 och tidigare) eller wgserver.domain.accept_list (version 2020.4 och senare) med TSM. Mer information finns i wgserver.domain.whitelist eller wgserver.domain.accept_list.

Duplicera visningsnamn

Om användares visningsnamn inte är unika på flera domäner kan det vara förvirrande att hantera användare med samma visningsnamn i Tableau. Tableau Server kommer att visa samma namn för två användare. Tänk dig till exempel en organisation med två domäner, example.lan och example2.lan. Om användaren John Smith finns i båda domänerna blir det förvirrande att lägga till användaren till grupper och andra administrativa uppgifter i Tableau Server. I det här scenariot bör du överväga att uppdatera visningsnamnet i Active Directory för den ena användaren så att du kan skilja mellan kontona.

Logga in på Tableau Server med NetBIOS-namn

Användare kan logga in på Tableau Server med smeknamnet för domänen (NetBIOS-namnet), till exempel SEATTLE\jsmith.

Tableau Server kan inte fråga efter NetBIOS-namn för ett givet FQDN. Därför ställs smeknamnet för ett givet FQDN in enligt den första posten i namnrymden i Tableau. För FQDN:et west.na.corp.lan ställs till exempel smeknamnet in som west i Tableau.

Därför kan du behöva uppdatera smeknamnet för domänen på Tableau Server innan användarna kan logga in med smeknamnet. Om du inte uppdaterar smeknamnet måste användarna logga in med ett fullständigt domännamn. Mer information finns i Användare från ny domän kan inte logga in och visas inte i användarlistan(Länken öppnas i ett nytt fönster) i Tableaus kunskapsbas.