使用身份池预置和验证用户
身份池在 Tableau Server 版本 2023.1 中引入,是一种身份管理工具,它使用预置和身份验证信息来支持用户访问 Tableau Server。身份池可实现基于身份服务(链接在新窗口中打开)的更集中、更灵活的身份管理工作流,用于存储和管理 Tableau Server 中的用户身份。
身份池不会替换您在 Tableau Server 设置期间使用 Tableau 服务管理器 (TSM) 进行的用户预置和身份验证配置。相反,身份池旨在补充和支持您在组织中可能需要的额外用户预置和身份验证选项,特别是对于 TSM 配置有 Active Directory (AD) 或轻量级目录访问协议 (LDAP) 的组织。身份池在 Tableau Server 设置之后添加了一种替代方法,支持 Tableau Server 管理员将用户(通常是外部用户、合作伙伴或承包商)添加到您的 Tableau Server 部署中。
身份池针对以下用例进行了优化:
外部用户:不想将外部用户添加到其内部 AD 的大型企业组织。
例如,假设您的组织有两种类型的员工:正式员工和合同员工。您的正式员工通过 Active Directory (AD) 预置 SAML 身份验证,该身份验证通过您的 IdP Okta 进行管理。您的合同员工包括通常分配有临时组成员身份的用户,或者属于另一个组织,该组织在 AD 之外预置用户并单独进行身份验证。身份池可以让您添加 AD 外部的 Tableau Server 用户。
多个身份存储:托管从多个身份存储中获取用户的 SaaS 应用程序的组织。
例如,假设您的组织从一个站点向多个外部组织共享 Tableau 内容。您可以使用配置有本地身份存储的不同身份池来分离这些用户,以更轻松地识别和管理来自每个组织的用户。
内部组织之间的安全边界:由具有不同安全边界的多个已收购子组织组成的组织。
例如,您可以将来自新添加组织的用户添加到配置有本地身份存储的身份池,以解决与组合身份存储相关的复杂性。
什么是身份池?
身份池包含三个主要组件:用于预置用户的身份存储、OpenID Connect (OIDC) 身份验证和分配的用户。
身份存储:您获取或预置用户的身份存储(链接在新窗口中打开)可以是本地身份存储或外部身份存储。
如果是本地身份存储,则可以将身份池配置为使用新的本地身份存储或现有本地身份存储。注意:不支持本地身份验证。
如果是外部身份存储,则身份池只能使用您在 Tableau Server 设置期间在 TSM 中配置的同一外部身份存储(AD 或 LDAP)。您无法将身份池配置为使用不同的外部身份存储。
您在 Tableau Server 设置期间在 TSM 中进行的预置和身份验证配置称为默认或“初始池(已配置 TSM)”。
身份验证:身份池唯一支持的身份验证方法是 OIDC(链接在新窗口中打开)。
用户:为了让用户登录到 Tableau Server,他们必须来自初始池(已配置 TSM)或至少是一个身份池的成员。
何时使用身份池
作为 Tableau Server 管理员,您可以使用身份池根据您的用户是从哪里预置的以及这些用户如何在 Tableau Server 中进行身份验证,将您的用户分成身份群组。您在 Tableau Server 设置期间在 TSM 中进行的身份存储和身份验证配置也称为初始池(已配置 TSM ),尽管其保持不变,但身份池可从 Tableau Server 中配置。
注意:身份池目前仅可用于服务器级配置。身份池不能限定在站点范围内。
有关身份池的更多信息
初始池(已配置 TSM)与身份池
如上所述,您在 Tableau Server 设置期间在 TSM 中进行的预置和身份验证配置的组合称为“初始池(已配置 TSM)”。初始池(已配置 TSM)是 Tableau Server 设置过程的必需组件,无法修改。
但是,身份池是可选的,您可以直接从 Tableau Server 创建任意数量的所需身份池。
身份池对用户登录体验的影响
默认情况下,当没有为 Tableau Server 创建身份池时,您的用户导航到 Tableau Server 登陆页面和登录 Tableau Server 的方式不会发生变化。
创建一个或多个身份池时,Tableau Server 登陆页面会显示多个登录选项。主要登录选项显示在页面顶部,是属于初始池(已配置 TSM)的用户可采用的登录方式。
主要登录选项下方是辅助登录选项。每个选项代表一个身份池,按照它们的创建顺序显示。分配给这些池的用户必须使用他们所属的身份池的选项登录。为了帮助引导您的用户使用正确的登录选项,请考虑在创建身份池时向其中添加描述。
注意:所有用户都将看到为您的 Tableau Server 配置的所有池,无论他们的池成员身份如何。
Tableau 中的用户名和标识符
用户名是代表系统用户的信息。标识符用于补充用户名信息,并且可以被外部身份存储用作用户名的替代。
在 Tableau 中,用户名是用于登录 Tableau 的不可变值,标识符是可变值,在 Tableau 的身份结构中用作将用户与其用户名匹配的方式。标识符使 Tableau 更加灵活,因为它们可以与用户名不同。如果外部身份存储中的用户名发生更改,Tableau Server 管理员可以更新标识符以确保用户与正确的用户名匹配。
将现有用户添加到身份池时,您可能希望能够设置标识符。举例来说,如果现有用户属于配置有本地身份存储的身份池,而您希望将其添加到配置有 AD 身份存储的身份池中,我们会要求您提供用户名以搜索与该用户关联的标识符。另一方面,如果现有用户属于配置有 AD 身份存储的身份池,而您希望将其添加到配置有本地身份存储的身份池中,我们会要求您提供一个可选标识符。如果您希望将用户添加到配置有本地身份存储和本地身份验证的初始池(已配置 TSM),则是例外情况。您将无法为该用户设置标识符。