ความช่วยเหลือ Tableau Server บน Windows

เมื่อคุณใช้การตรวจสอบสิทธิ์ SSL ร่วมกัน (แบบสองทาง) ไคลเอ็นต์จะแสดงใบรับรอง Tableau Server ให้เป็นส่วนหนึ่งของกระบวนการตรวจสอบสิทธิ์ Tableau Server จากนั้นแมปข้อมูลผู้ใช้ในใบรับรองไคลเอ็นต์กับข้อมูลประจำตัวผู้ใช้ที่รู้จัก กลยุทธ์ที่ Tableau Server ใช้ในการแมปไคลเอ็นต์ขึ้นอยู่กับเนื้อหาของใบรับรองไคลเอ็นต์ขององค์กรคุณ

หัวข้อนี้อธิบายวิธีที่ข้อมูลในใบรับรองไคลเอ็นต์สามารถแมปกับข้อมูลประจำตัวผู้ใช้ และวิธีเปลี่ยนวิธี Tableau Server การดำเนินการแมปนั้น หากต้องการเข้าใจว่าการแมปเกิดขึ้นได้อย่างไรและคุณจำเป็นต้องเปลี่ยนหรือไม่ คุณต้องรู้ว่าใบรับรองไคลเอ็นต์มีโครงสร้างในองค์กรของคุณอย่างไร

• ตัวเลือกการแมปผู้ใช้-ชื่อ

• เปลี่ยนการแมปใบรับรอง

• ระบุความคลุมเครือของชื่อผู้ใช้ในองค์กรหลายโดเมน

ตัวเลือกการแมปผู้ใช้-ชื่อ

Tableau Server ใช้หนึ่งในแนวทางต่อไปนี้เพื่อแมปใบรับรองไคลเอ็นต์กับข้อมูลประจำตัวผู้ใช้

• Active Directory. หาก Tableau Server กำหนดค่าให้ใช้ Active Directory สำหรับการตรวจสอบสิทธิ์ผู้ใช้ เมื่อ Tableau Server ได้รับใบรับรองไคลเอ็นต์ ใบรับรองนั้นจะส่งผ่านใบรับรองไปยัง Active Directory ซึ่งแมปใบรับรองกับข้อมูลประจำตัวของ Active Directory ข้อมูลชื่อผู้ใช้ที่ชัดเจนในใบรับรองจะได้รับการละเว้น

  หมายเหตุ: แนวทางนี้กำหนดให้ต้องเผยแพร่ใบรับรองไคลเอ็นต์สำหรับบัญชีผู้ใช้ใน Active Directory

• ชื่อผู้ใช้หลัก (UPN) ใบรับรองไคลเอ็นต์สามารถกำหนดค่าให้เก็บชื่อผู้ใช้ในฟิลด์ชื่อผู้ใช้หลัก Tableau Server อ่านค่า UPN และนำไปแมปกับผู้ใช้ใน Active Directory หรือผู้ใช้ในเครื่อง

• ชื่อทั่วไป (CN) ใบรับรองไคลเอ็นต์สามารถกำหนดค่าให้เก็บชื่อผู้ใช้ในฟิลด์ชื่อทั่วไปของใบรับรองได้ Tableau Server อ่านค่า CN และนำไปแมปกับผู้ใช้ใน Active Directory หรือผู้ใช้ในเครื่อง

หากคุณกำหนดค่าเซิร์ฟเวอร์สำหรับการตรวจสอบสิทธิ์ Active Directory และการแมปชื่อผู้ใช้ UPN หรือ CN ให้ใส่ชื่อผู้ใช้ในรูปแบบใดรูปแบบหนึ่งดังต่อไปนี้

username, domain/username หรือ username@domain

ตัวอย่างเช่น: jsmith, example.org/jsmith หรือ jsmith@example.org.

หากเซิร์ฟเวอร์ใช้การตรวจสอบสิทธิ์ภายในเครื่อง รูปแบบของชื่อในฟิลด์ UPN หรือ CN จะไม่กำหนดไว้ล่วงหน้า แต่ชื่อในฟิลด์ต้องตรงกับชื่อผู้ใช้บนเซิร์ฟเวอร์

เปลี่ยนการแมปใบรับรอง

คุณใช้คำสั่ง tsm authentication mutual-ssl <คำสั่ง> เพื่อแมปใบรับรองไคลเอ็นต์กับข้อมูลประจำตัวผู้ใช้ใน Tableau Server ดังนี้ 

tsm authentication mutual-ssl configure -m <value>

ค่าที่เป็นไปได้คือ ldap สำหรับการแมป Active Directory, upn สำหรับการแมป UPN หรือ cn สำหรับการแมป CN

เมื่อคุณติดตั้งและกำหนดค่า Tableau Server ครั้งแรก เซิร์ฟเวอร์จะตั้งค่าการแมปชื่อผู้ใช้เริ่มต้นให้ตรงกับประเภทการตรวจสอบสิทธิ์ของเซิร์ฟเวอร์ดังนี้

• หากเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้ Active Directory เซิร์ฟเวอร์จะใช้ Active Directory เพื่อการแมปใบรับรองกับข้อมูลประจำตัวผู้ใช้ด้วย

• หากเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้การตรวจสอบสิทธิ์ภายในเครื่อง เซิร์ฟเวอร์จะได้รับค่าชื่อผู้ใช้จากฟิลด์ UPN ในใบรับรอง

หากพฤติกรรมเริ่มต้นสำหรับวิธีที่ Tableau Server แมปชื่อผู้ใช้กับข้อมูลประจำตัวไม่ถูกต้องสำหรับการกำหนดค่าเซิร์ฟเวอร์ของคุณ ให้เรียกใช้ชุดคำสั่งต่อไปนี้เพื่อเปลี่ยนการแมปเพื่อใช้ค่า CN

tsm authentication mutual-ssl configure -m cn

tsm pending-changes apply

หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ระบุความคลุมเครือในการแมปชื่อผู้ใช้ในองค์กรหลายโดเมน

ในบางกรณี ชื่อผู้ใช้ในฟิลด์ UPN หรือ CN ของใบรับรองอาจไม่ชัดเจน ความคลุมเครือนี้สามารถนำไปสู่ผลลัพธ์ที่ไม่คาดคิดเมื่อชื่อผู้ใช้แมปกับข้อมูลประจำตัวผู้ใช้บนเซิร์ฟเวอร์

ตัวอย่างเช่น หาก Tableau Server แสดงชื่อผู้ใช้ที่ไม่มีโดเมน เซิร์ฟเวอร์จะแมปชื่อผู้ใช้กับข้อมูลประจำตัวโดยใช้โดเมนเริ่มต้น ซึ่งอาจทำให้เกิดการแมปชื่อผู้ใช้ที่ไม่ถูกต้อง ซึ่งอาจกำหนดข้อมูลประจำตัวและสิทธิ์ของผู้ใช้อื่นให้กับผู้ใช้

สิ่งนี้สามารถเกิดขึ้นได้โดยเฉพาะในสภาพแวดล้อมที่มีเงื่อนไขดังต่อไปนี้

• องค์กรของคุณรองรับโดเมน Active Directory หลายโดเมน

• เซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้การตรวจสอบสิทธิ์ของ Active Directory

• เซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้การแมป UPN หรือ CN

• ผู้ใช้บางคนมีชื่อผู้ใช้เหมือนกันแต่คนละโดเมน ตัวอย่างเช่น jsmith@example.org และ jsmith@example.com

• ชื่อผู้ใช้ในฟิลด์ UPN หรือ CN ของใบรับรองไม่รวมโดเมนเป็นส่วนหนึ่งของชื่อผู้ใช้ ตัวอย่างเช่น แสดง jsmith

หากต้องการหลีกเลี่ยงการแมปชื่อผู้ใช้ที่ไม่ถูกต้อง ตรวจสอบให้แน่ใจว่าใบรับรองไคลเอ็นต์รวมชื่อผู้ใช้ที่มีคุณสมบัติครบถ้วนกับโดเมน โดยใช้รูปแบบ jsmith@example.org หรือ example.org/jsmith