ที่เก็บข้อมูลประจำตัว
Tableau Server ต้องการที่เก็บข้อมูลประจำตัวเพื่อจัดการผู้ใช้และจัดกลุ่มข้อมูล ที่เก็บข้อมูลประจำตัวมีสองประเภท ได้แก่ ในเครื่องและภายนอก เมื่อคุณติดตั้ง Tableau Server คุณต้องกำหนดค่าที่เก็บข้อมูลประจำตัวในเครื่องหรือที่เก็บข้อมูลประจำตัวภายนอก
หากต้องการข้อมูลเกี่ยวกับตัวเลือกการกำหนดค่าสำหรับที่เก็บข้อมูลประจำตัว โปรดดู เอนทิตี identityStore และการอ้างอิงการกำหนดค่าที่เก็บข้อมูลประจำตัวภายนอก หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการเพิ่มความยืดหยุ่นให้กับรูปแบบที่เก็บข้อมูลประจำตัวเดียว โปรดดูจัดสรรและตรวจสอบสิทธิ์ผู้ใช้โดยใช้พูลข้อมูลประจำตัว
ที่เก็บข้อมูลประจำตัวในเครื่อง
เมื่อคุณกำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลประจำตัวในเครื่อง ข้อมูลผู้ใช้และกลุ่มทั้งหมดจะถูกจัดเก็บและจัดการในที่เก็บของ Tableau Server ในสถานการณ์ของที่เก็บข้อมูลประจำตัวในเครื่อง จะไม่มีแหล่งภายนอกสำหรับผู้ใช้และกลุ่ม
ที่เก็บข้อมูลประจำตัวภายนอก
เมื่อคุณกำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลภายนอก ข้อมูลผู้ใช้และกลุ่มทั้งหมดจะถูกจัดเก็บและจัดการโดยบริการไดเรกทอรีภายนอก Tableau Server ต้องซิงโครไนซ์กับที่เก็บข้อมูลประจำตัวภายนอก เพื่อให้สำเนาในเครื่องของผู้ใช้และกลุ่มมีอยู่ในที่เก็บของ Tableau Server แต่ที่เก็บข้อมูลประจำตัวภายนอกเป็นแหล่งที่เชื่อถือได้สำหรับข้อมูลผู้ใช้และกลุ่มทั้งหมด
หากคุณกำหนดค่าที่เก็บข้อมูลประจำตัวของ Tableau Server เพื่อสื่อสารกับไดเรกทอรี LDAP ภายนอก ผู้ใช้ทั้งหมด (รวมถึงบัญชีผู้ดูแลระบบเริ่มต้น) ที่คุณเพิ่มใน Tableau Server จะต้องมีบัญชีในไดเรกทอรี
เมื่อ Tableau Server กำหนดค่าให้ใช้ไดเรกทอรี LDAP ภายนอก คุณต้องอิมพอร์ตข้อมูลประจำตัวผู้ใช้จากไดเรกทอรีภายนอกไปยังที่เก็บของ Tableau Server ให้เป็นผู้ใช้ระบบก่อน เมื่อผู้ใช้เข้าสู่ระบบ Tableau Server ข้อมูลประจำตัวจะถูกส่งไปยังไดเรกทอรีภายนอก ซึ่งมีหน้าที่ในการตรวจสอบสิทธิผู้ใช้ โดย Tableau Server ไม่ได้ทำการรับรองการตรวจสอบสิทธินี้ อย่างไรก็ตาม ชื่อผู้ใช้ Tableau ที่จัดเก็บไว้ในที่เก็บข้อมูลประจำตัวจะเชื่อมโยงกับสิทธิ์และการอนุญาตสำหรับ Tableau Server ดังนั้นหลังจากยืนยันการตรวจสอบสิทธิแล้ว Tableau Server จะจัดการการเข้าถึงของผู้ใช้ (การให้สิทธิ์) สำหรับทรัพยากรของ Tableau
Active Directory เป็นตัวอย่างของที่เก็บข้อมูลผู้ใช้ภายนอก Tableau Server ได้รับการปรับให้เหมาะกับการเชื่อมต่อกับ Active Directory ตัวอย่างเช่น เมื่อคุณติดตั้ง Tableau Server บนคอมพิวเตอร์ที่เข้าร่วมโดเมน Active Directory โดยใช้ กำหนดการตั้งค่าโหนดเริ่มต้น โปรแกรมติดตั้งจะตรวจหาและกำหนดการตั้งค่า Active Directory ส่วนใหญ่ ในทางกลับกัน หากคุณใช้ TSM CLI เพื่อติดตั้ง Tableau Server คุณต้องระบุการตั้งค่า Active Directory ทั้งหมด ในกรณีนี้ อย่าลืมใช้เทมเพลต LDAP - Active Directory เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัว
หากคุณกำลังติดตั้งลงใน Active Directory คุณต้องติดตั้ง Tableau Server บนคอมพิวเตอร์ที่รวมอยู่ในโดเมน Active Directory นอกจากนี้ เราขอแนะนำให้คุณตรวจสอบ การจัดการผู้ใช้ในการปรับใช้ที่เก็บข้อมูลประจำตัวภายนอก ก่อนที่จะปรับใช้
สำหรับที่เก็บข้อมูลภายนอกอื่นๆ ทั้งหมด Tableau Server รองรับการใช้ LDAP เป็นวิธีการสื่อสารโดยทั่วไปสำหรับที่เก็บข้อมูลประจำตัว ตัวอย่างเช่น OpenLDAP เป็นหนึ่งในการใช้งานเซิร์ฟเวอร์ LDAP หลายรายการที่มีสคีมาที่ยืดหยุ่น สามารถกำหนดค่า Tableau Server เพื่อสอบถามเซิร์ฟเวอร์ OpenLDAP ได้ ในการดำเนินการดังกล่าว ผู้ดูแลระบบไดเร็กทอรีต้องให้ข้อมูลเกี่ยวกับสคีมา ระหว่างการตั้งค่า คุณต้องใช้ กำหนดการตั้งค่าโหนดเริ่มต้น เพื่อกำหนดค่าการเชื่อมต่อกับไดเรกทอรี LDAP อื่นๆ
การผูก LDAP
ไคลเอนต์ที่ต้องการสอบถามที่เก็บข้อมูลผู้ใช้โดยใช้ LDAP จะต้องตรวจสอบสิทธิ์และสร้างเซสชัน ทำได้โดยการผูก วิธีการผูกมีอยู่หลายวิธี การผูกแบบง่ายกำลังตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่าน สำหรับองค์กรที่เชื่อมต่อกับ Tableau Server ด้วยการผูกอย่างง่าย เราแนะนำให้กำหนดค่าการเชื่อมต่อที่เข้ารหัส SSL ไม่เช่นนั้น ข้อมูลประจำตัวจะถูกส่งผ่านสายในรูปแบบข้อความธรรมดา Tableau Server รองรับการผูกอีกประเภทหนึ่งคือการผูก GSSAPI GSSAPI ใช้ Kerberos เพื่อตรวจสอบสิทธิ์ ในกรณีของ Tableau Server นั้น Tableau Server คือไคลเอนต์ และที่เก็บข้อมูลผู้ใช้ภายนอกคือเซิร์ฟเวอร์ LDAP
การผูก LDAP กับ GSSAPI (Kerberos)
เราแนะนำให้ทำการผูกไดเรกทอรี LDAP กับ GSSAPI โดยใช้ไฟล์แท็บคีย์เพื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ LDAP คุณจะต้องมีไฟล์คีย์แท็บสำหรับบริการ Tableau Server โดยเฉพาะ นอกจากนี้เรายังแนะนำให้เข้ารหัสฟิลด์ด้วยเซิร์ฟเวอร์ LDAP โดยใช้ SSL/TLS โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP
หากคุณจะติดตั้งลงใน Active Directory และคอมพิวเตอร์ที่คุณกำลังติดตั้ง Tableau Server ได้เข้าร่วมกับโดเมนแล้ว คอมพิวเตอร์อาจมีไฟล์การกำหนดค่าและไฟล์คีย์แท็บอยู่แล้ว ในกรณีนี้ ไฟล์ Kerberos มีไว้สำหรับการทำงานของระบบปฏิบัติการและการตรวจสอบสิทธิ อันที่จริงแล้ว คุณสามารถใช้ไฟล์เหล่านี้สำหรับการผูก GSSAPI ได้ แต่เราไม่แนะนำให้ใช้ไฟล์ดังกล่าว โปรดติดต่อผู้ดูแลระบบ Active Directory ของคุณและขอคีย์แท็บสำหรับบริการ Tableau Server โดยเฉพาะแทน โปรดดู การทำความเข้าใจข้อกำหนดของ Keytab
สมมติว่าระบบปฏิบัติการของคุณมีคีย์แท็บที่กำหนดค่าไว้อย่างเหมาะสมสำหรับการตรวจสอบสิทธิกับโดเมน ดังนั้นไฟล์คีย์ Kerberos สำหรับการผูก GSSAPI คือทั้งหมดที่คุณต้องการสำหรับการติดตั้งฐานของ Tableau Server หากคุณวางแผนที่จะใช้การรับรองสิทธิ์ Kerberos สำหรับผู้ใช้ ให้ทำการกำหนดค่า Kerberos สำหรับตรวจสอบสิทธิ์ของผู้ใช้ และ การมอบหมาย Kerberos ไปยังแหล่งข้อมูล หลังจากการติดตั้งเสร็จสิ้น
LDAP ผ่าน SSL
โดยค่าเริ่มต้น LDAP ที่มีการผูกอย่างง่ายกับเซิร์ฟเวอร์ LDAP ที่กำหนดเองจะไม่ถูกเข้ารหัส ข้อมูลรับรองผู้ใช้ที่ใช้เพื่อสร้างเซสชันการผูกกับเซิร์ฟเวอร์ LDAP จะได้รับการสื่อสารเป็นข้อความธรรมดาระหว่าง Tableau Server และเซิร์ฟเวอร์ LDAP เราขอแนะนำให้คุณเข้ารหัสช่องทางระหว่าง Tableau Server และเซิร์ฟเวอร์ LDAP
หากองค์กรของคุณใช้ไดเร็กทอรี LDAP อื่นที่ไม่ใช่ Active Directory โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP
การตรวจสอบสิทธิไคลเอนต์
การตรวจสอบสิทธิผู้ใช้ขั้นพื้นฐานใน Tableau Server ทำได้โดยการเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านสำหรับที่เก็บข้อมูลผู้ใช้ทั้งในเครื่องและภายนอก ในกรณีในเครื่อง รหัสผ่านของผู้ใช้จะถูกเก็บไว้เป็นรหัสผ่านที่แฮชในที่เก็บ ในกรณีภายนอก Tableau Server จะส่งข้อมูลประจำตัวไปยังที่เก็บข้อมูลผู้ใช้ภายนอกและรอการตอบกลับว่าข้อมูลประจำตัวนั้นถูกต้องหรือไม่ ที่เก็บข้อมูลผู้ใช้ภายนอกยังสามารถจัดการการรับรองความถูกต้องประเภทอื่นๆ ได้ เช่น Kerberos
คุณสามารถกำหนดค่า Tableau Server เพื่อปิดการใช้งานการเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านได้ ในสถานการณ์เหล่านี้ คุณสามารถใช้วิธีการตรวจสอบสิทธิอื่นๆ ได้ เช่น การตรวจสอบสิทธิที่เชื่อถือได้, OpenID หรือ SAML โปรดดูการตรวจสอบสิทธิ์
ในบางกรณี คุณอาจต้องอัปเดตไดเรกทอรีภายนอกของ LDAP เพื่ออนุญาตการดำเนินการผูกด้วยชื่อผู้ใช้ + รูปแบบ DN จาก Tableau Server โปรดดู ลักษณะการทำงานผูกข้อมูลผู้ใช้เมื่อเข้าสู่ระบบ