tsm authentication

您可以使用 tsm authentication 命令来启用、禁用和配置 Tableau Server 的用户身份验证选项。

tsm authentication identity-migration configure

更改身份迁移的默认作业设置。有关详细信息,请参见管理身份迁移

概要

tsm authentication identity-migration configure –job-run-time

tsm authentication identity-migration configure –rate

选项

-j,--job-run-time <数字>

可选。

确定计划的迁移作业可以运行的最长允许时间(以分钟为单位)。默认值为 120 分钟。

-r,--rate <数字>

可选。

确定迁移作业期间每秒可以运行的请求数。默认值为每秒 5 个请求。

tsm authentication kerberos <commands>

Tableau Server 上启用、禁用和配置 Kerberos 用户身份验证。请参见配置 Kerberos

概要

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure 选项

-kt, --keytab-file <keytab_file.keytab>

必需。

指定用于向 KDC 提出请求的服务 .keytab 文件。

tsm authentication legacy-identity-mode <命令>

启用或禁用身份迁移期间可能需要的旧版身份存储模式。查看无法还原备份部分以确定何时使用此命令。

有关详细信息,请参见关于身份迁移

概要

tsm authentication legacy-identity-mode enable

tsm authentication legacy-identity-mode disable

tsm authentication list

列出服务器现有的身份验证相关配置设置。

概要

tsm authentication list [--verbose][global options]

选项

v, --verbose

可选。

显示所有配置的参数。

tsm authentication mutual-ssl <commands>

Tableau Server 上为用户身份验证启用、禁用和配置相互 SSL。若要了解有关相互 SSL 的详细信息,请参见配置相互 SSL 身份验证

在启用相互 SSL 之前,您必须启用和配置 SSL 以进行外部通信。有关信息,请参见针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL

概要

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

选项

-cf, --ca-cert <certificate-file.crt>

可选。

指定证书文件的位置和文件名。该文件必须是来自证书颁发机构的有效的受信任证书(例如 Verisign)。

-fb, --fallback-to-basic <true | false>

可选。

指定在 SSL 身份验证失败的情况下 Tableau Server 是否应该接受用户名和密码以进行身份验证。

默认值为 false,表示配置为使用相互 SSL 后,如果 SSL 身份验证失败,则 Tableau Server 不允许进行连接。Tableau Server 接受来自 REST API 客户端的用户名和密码身份验证,即使此选项设置为 false

-m, --user-name-mapping <upn | ldap | cn>

可选。

指定用户名语法(UPN、LDAP 或 CN)以从身份存储或目录中进行检索。语法必须与用户证书上的主题或主题备用名称的格式相匹配。

-rf, --revocation-file <revoke-file.pem>

可选。

指定证书吊销列表文件的位置和文件名。该文件可以是 .pem 或 .der 文件。

tsm authentication openid <commands>

Tableau Server 上启用、禁用和配置 OpenID Connect (OIDC) 用户身份验证。

概要

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure 选项

注意:选项必须在初始配置期间或重新配置期间设置。单个选项不能单独设置。

-a, --client-authentication <string>

必需。

指定 OpenID Connect 的自定义客户端身份验证方法。

若要将 Tableau Server 配置为使用 Salesforce IdP,请将此值设置为 client_secret_post

-cs, --client-secret <string>

必需。

指定提供程序客户端密码。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密文,应妥善保管。

-cu, --config-url <url>

必需。

指定包含 OpenID 提供程序元数据的提供程序配置发现文档的位置。如果提供程序托管公共 JSON 文件,请使用 --config-url。否则,请改为使用使用 --metadata-file 指定本地计算机上的一个路径以及文件名。

-mf, --metadata-file <文件路径>, --config-file <配置文件 .json>

可选。

指定静态 OIDC 发现 JSON 文档的本地路径。

-i, --client-id <客户端 id>

必需。

指定 IdP 已分配给您的应用程序的提供程序客户端 ID。

-id, --ignore-domain <true | false>

可选。默认值:false

如果满足以下条件,请将此项设置为 true

  • 您使用电子邮件地址作为 Tableau Server 中的用户名

  • 您在 IdP 中配置了具有多个域名的用户

  • 您想要从 IdP 中忽略 email 声明的域名部分

在继续之前,请检查由于将此选项设置为 true 而使用的用户名。可能会发生用户名冲突。如果发生用户名冲突,信息泄露的风险将很高。请参见使用 OpenID Connect 的要求

-if, --iframed-idp-enabled <true | false>

可选。默认值:false

指定是否允许在 iFrame 内部使用 IdP。IdP 必须禁用单击劫持保护才能允许进行 iFrame 演示。

-ij, --ignore-jwk <true | false>

可选。默认值:false

如果您的 IdP 不支持 JWK 验证,请将此项设置为 true。在这种情况下,我们建议使用相互 TLS 或另一种网络层安全协议向 IdP 验证通信的身份。

-r, --return-url <return-url>

服务器的 URL。这通常是您的服务器的公共名称,例如 "http://example.tableau.com"

-sn, --custom-scope-name <string>

可选。

指定可用于查询 IdP 的自定义范围用户相关值。请参见使用 OpenID Connect 的要求

openid map-claims 选项

使用这些选项更改与 IdP 通信时 Tableau Server 将使用的默认 OIDC 声明。请参见使用 OpenID Connect 的要求

-i, --id <string>

可选。默认值:sub

如果您的 IdP 不支持使用 sub 声明在 ID 令牌中唯一标识用户,请更改此值。您指定的 IdP 声明应包含单个唯一的字符串。

-un, --user-name <string>

可选。默认值:email

将此值更改为组织将使用的 IdP 声明以与 Tableau Server 中存储的用户名匹配。

tsm authentication pat-impersonation <命令>

Tableau Server 上的管理员启用和禁用个人访问令牌模拟。

有关个人访问令牌模拟的详细信息,请参见个人访问令牌

概要

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

若要查看是否启用了个人访问令牌模拟,请运行以下命令:

tsm authentication list

tsm authentication saml <commands>

Tableau Server 配置为支持使用 SAML 2.0 标准进行单点登录,对站点启用或禁用 SAML,并在 Tableau Server 与身份提供程序 (IdP) 之间映射断言属性名称。

可用命令

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

为服务器配置 SAML 设置。指定 SAML 证书和元数据文件,提供额外的必需信息,设置其他选项。

如果您是第一次配置 SAML 或先前已禁用它,则必须使用 tsm authentication saml enable 来运行此命令。有关详细信息,请参见配置服务器范围 SAML

概要

tsm authentication saml configure [options] [global options]

选项

-e, --idp-entity-id <id>

对于初始 SAML 配置是必需的;对于其他,则为可选。IdP 实体 ID 值。

通常,这与 Tableau Server 返回 URL(在 --idp-return-url 参数中指定)相同。将使用您输入的实体 ID 作为生成特定于站点的实体 ID 的基础。例如,如果您输入以下内容:

http://tableau-server

则为 SAML 配置的站点可能显示以下实体 ID:

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

要查找站点的实体 ID,请转到该站点的“设置”页面,然后选择“身份验证”选项卡。启用 SAML 时,将在第一步中显示实体 ID 以便配置站点特定的 SAML、导出元数据。

-r, --idp-return-url <idp-return-url>

对于初始 SAML 配置是必需的;对于其他,则为可选。SAML 返回 IdP 中配置的 URL。这通常是 Tableau Server 的外部 URL;例如 https://tableau-server。

说明

  • http://localhost 对外部服务器不起作用。

  • 不支持向 URL (https://tableau-server/) 添加结尾斜杠。

-i, --idp-metadata <idp-metadata.xml>

对于初始 SAML 配置是必需的;对于其他,则为可选。提供从 IdP 设置中导出的 XML 元数据文件的位置和名称。

例如,C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>

-cf, --cert-file <certificate.crt>

对于初始 SAML 配置是必需的;对于其他,则为可选。适用于 SAML 的证书文件的位置和文件名。有关证书文件的要求,请参见SAML 要求

例如,C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>

-kf, --key-file <certificate.key>

对于初始 SAML 配置是必需的;对于其他,则为可选。与证书一起提供的密钥文件的位置和名称。

例如,C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>

-a, --max-auth-age <max-auth-age>

可选。默认值为 -1(从 Tableau Server 版本 2020.4.15、2021.1.12、2021.2.9、2021.3.8、20214.4、2022 及更高版本开始)。以前的默认值为 7200(2 小时)。

用户的身份验证与 AuthNResponse 消息处理之间允许的最大秒数。

我们建议您保留此默认值,这会禁用最长身份验证期限的检查。如果此值与您的 IdP 不同,登录到 Tableau Server 的用户可能会看到登录错误。有关此错误的详细信息,请参见 Tableau 知识库中的 Tableau Server 上的 SAML SSO 出现间歇性错误“无法登录”(链接在新窗口中打开)一文。

-d, --desktop-access <enable | disable>

可选。默认值为“启用”。

此选项仅适用于服务器范围 SAML。使用 SAML 从 Tableau Desktop 登录服务器。如果通过 Tableau 客户端应用程序进行单点登录不适用于您的 IdP,您可将此项设置为 disable

-m, --mobile-access <enable | disable>

可选。默认值为“启用”。

允许使用 SAML 从旧版本的 Tableau Mobile 应用登录。运行 Tableau Mobile 应用版本 19.225.1731 及更高版本的设备会忽略此选项。若要禁用运行 Tableau Mobile 应用版本 19.225.1731 及更高版本的设备,请在 Tableau Server 上禁用 SAML 作为客户端登录选项。

-so, --signout <enable | disable>

可选。默认情况下处于启用状态。

为 Tableau Server 启用或禁用 SAML 注销。

-su, --signout-url <url>

可选。输入用户注销服务器后要重定向到的 URL。默认情况下,这是 Tableau Server 登录页面。您可以指定绝对或相对 URL。

示例

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata.xml>" --idp-return-url https://tableau-server --cert-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>" --key-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

tsm authentication saml enable and saml disable

启用或禁用服务器范围的 SAML 身份验证。在这种情况下,您为 SAML 启用的所有站点和用户都将执行完单个身份提供程序。

概要

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

导出您将用于配置 SAML IdP 的 Tableau Server .xml 元数据文件。

概要

tsm authentication saml export-metadata [options] [global options]

选项

-f, --file [/path/to/file.xml]

可选。

指定将写入元数据的位置和文件名。如果未包括此选项,则 export-metadata 会将文件保存到当前目录,并将其命名为 samlmetadata.xml

-o, --overwrite

可选。

覆盖 -f 中指定的相同名称的现有文件,或者默认名称的现有文件(如果未包括 -f)。如果 -f 中指定的文件存在,并且未包括 -o,则该命令不会覆盖现有文件。

tsm authentication saml map-assertions

在 IdP 与 Tableau Server 之间映射属性。提供 IdP 用于每个参数中指定的属性的名称。

概要

tsm authentication saml map-assertions --user-name <user-name> [global options]

选项

-r, --user-name <user-name-attribute>

可选。IdP 将用户名存储到的属性。在 Tableau Server 上,这与显示名称相同。

-e, --email <email-name-attribute>

请勿使用。Tableau 不支持此选项。

-o, --domain <domain-name-attribute>

可选。IdP 将域名存储到的属性。如果从不同于 Tableau Server 计算机域的域中添加用户,请使用此选项。有关详细信息,请参见 运行多个域时

-d --display-name <display-name-attribute>

请勿使用。Tableau 不支持此选项。

saml map-assertions 示例

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM>tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable and sitesaml disable

将服务器设置为允许或不允许站点级别的 SAML 身份验证。启用特定于站点的 SAML 可让您访问 Tableau Server Web UI 中的“设置”>“身份验证”选项卡。“身份验证”选项卡包含特定于站点的 SAML 配置设置。

如果尚未将服务器配置为允许使用特定于站点的 SAML,请将 sitesaml enable 命令与 saml configure 结合使用。有关详细信息,请参见配置特定于站点的 SAML

概要

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication sspi <commands>

此命令只对 Windows 上的 Tableau Server 起作用。如果尝试对 Linux 上的 Tableau Server 启用 SSPI,将会返回一个错误。

启用或禁用使用 Microsoft SSPI 自动登录。

如果使用 Active Directory 进行身份验证,您可以选择“启用自动登录”,这会使用 Microsoft SSPI 基于用户的 Windows 用户名和密码自动使用户登录。这将创建类似于单点登录 (SSO) 的体验。

如果计划将 Tableau Server 配置为使用 SAML、受信任身份验证、负载平衡器或代理服务器,请不要启用 SSPI。在这些情况下不支持 SSPI。

概要

tsm authentication sspi disable [global options]

tsm authentication sspi enable [global options]

与所有身份验证命令一样,您必须在运行此命令后运行 tsm pending-changes apply

tsm authentication trusted <commands>

配置受信任的身份验证(可信任票据)以在 Tableau Server 上进行用户身份验证。

概要

tsm authentication trusted configure [options] [global options]

选项

-th, --hosts <string>

可选。

指定将托管 Tableau 内容页面的 Web 服务器的受信任主机名(或 IPv4 地址)。

对于多个值,在逗号分隔的列表中输入名称,其中每个值都括在双引号中。

例如:

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

可选。

确定每个受信任票证中的字符数量。默认设置(24 个字符)提供 144 位随机性。该值可设置为 9 和 255(包括 9 和 255)之间的任意整数。

全局选项

-h, --help

可选。

显示命令帮助。

-p, --password <password>

在会话不是活动状态的情况下为必需,-u--username 也为必需。

为在 -u--username 中指定的用户指定密码。

如果密码包括空格或特殊字符,请将其括在引号中:

--password "my password"

-s, --server https://<hostname>:8850

可选。

对 Tableau 服务管理器使用指定的地址。URL 必须以 https 开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如,https://<tsm_hostname>:8850。如果没有指定服务器,则假定为 https://<localhost | dnsname>:8850

--trust-admin-controller-cert

可选。

使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端

-u, --username <user>

在会话不是活动状态的情况下为必需,-p--password 也为必需。

指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。

感谢您的反馈!您的反馈已成功提交。谢谢!