身份存储

Tableau Server 需要身份存储来管理用户和组信息。有两种身份存储:本地和外部身份存储。安装 Tableau Server 时,您必须配置本地身份存储或外部身份存储。

有关身份存储配置选项的信息,请参见identityStore 实体外部身份识存储配置参考

本地身份存储

使用本地身份存储配置 Tableau Server 时,所有用户和组信息均存储在 Tableau Server 存储库中,并在其中进行管理。在本地身份存储方案中,没有外部用户和组来源。

外部身份存储

使用外部存储配置 Tableau Server 时,所有用户和组信息均由外部目录服务存储和管理。Tableau Server 必须与外部身份存储同步,使 Tableau Server 存储库中存在用户和组的本地副本,但外部身份存储是所有用户和组数据的主要来源。

如果已将 Tableau Server 身份存储配置为与外部 LDAP 目录通信,则您添加到 Tableau Server 的所有用户(包括初始管理帐户)都必须在该目录中具有帐户。

如果 Tableau Server 配置为使用外部 LDAP 目录,则您必须首先将用户身份从外部目录导入到 Tableau Server 存储库作为系统用户。当用户登录到 Tableau Server 时,他们的凭据会传递到外部目录,后者负责对用户进行身份验证;Tableau Server 不执行此身份验证。)然而,存储在标识存储中的 Tableau 用户名与 Tableau Server 的权限相关联。因此,确认身份验证后,Tableau Server 会管理用户的 Tableau 资源访问权限(授权)。

Active Directory 就是外部用户存储的一个例子。Tableau Server 经过优化,可与 Active Directory 交互。例如,使用 配置初始节点设置在加入 Active Directory 域的计算机上安装 Tableau Server 时,安装程序将检测并配置大多数 Active Directory 设置。另一方面,如果使用 TSM CLI 安装 Tableau Server,您必须指定所有 Active Directory 设置。在这种情况下,请确保使用LDAP - Active Directory模板来配置身份存储。

如果要安装到 Active Directory 中,您必须将 Tableau Server 安装到加入 Active Directory 域的计算机上。此外,我们建议您在部署之前查看使用外部身份存储的部署中的用户管理

对于所有其他外部存储,Tableau Server 支持使用 LDAP 作为通用方式来与身份存储通信。例如,OpenLDAP 是具有灵活架构的多种 LDAP 服务器实现之一。Tableau Server 可配置为查询 OpenLDAP 服务器。为此,目录管理员必须提供有关架构的信息。在设置过程中,您必须使用 配置初始节点设置 配置与其他 LDAP 目录的连接。

LDAP 绑定

想要使用 LDAP 查询用户存储的客户端必须进行身份验证并建立会话。通过绑定来完成此操作。有多种绑定方式。简单绑定是使用用户名和密码进行身份验证。对于使用简单绑定连接到 Tableau Server 的组织,我们建议配置 SSL 加密连接,否则凭据会以纯文本方式通过网络发送。Tableau Server 支持的另一种类型的绑定是 GSSAPI 绑定。GSSAPI 使用 Kerberos 进行身份验证。在 Tableau Server 的例子中,Tableau Server 是客户端,外部用户存储是 LDAP 服务器。

LDAP 与 GSSAPI (Kerberos) 绑定

我们建议使用 GSSAPI 绑定到 LDAP 目录。若要使用 GSSAPI 进行绑定,您将需要一个专用于 Tableau Server 服务的密钥表文件。

如果安装到 Active Directory 中,并且安装 Tableau Server 的计算机已加入域,则计算机必须已经有配置文件和密钥表文件。在这种情况下,Kerberos 文件用于操作系统功能和身份验证。严格来说,您可以将这些文件用于 GSSAPI 绑定,但我们不建议使用这些文件。而是要联系您的 Active Directory 管理员,并专门为 Tableau Server 服务请求一个 keytab。请参见了解密钥表要求

假设您的操作系统已正确配置了用于域身份验证的密钥表,则您只需要 GSSAPI 绑定的 Kerberos 密钥文件即可进行基本 Tableau Server 安装。如果计划为用户使用 Kerberos 身份验证,请在安装完成后为用户身份验证配置 Kerberos 以及将 Kerberos 委派给数据源

LDAP over SSL

默认情况下,使用简单绑定的 LDAP 未加密。如果使用简单绑定来配置 LDAP,我们强烈建议您启用 LDAP over SSL (LDAPS)。

如果已在运行 Tableau Server 的计算机上为 LDAP 安装了证书,则在安装过程中 LDAPS 应使用最小配置。

注意:如果在分布式部署中运行 Tableau Server,则必须将 SSL 证书手动复制到群集中的每个节点。仅将证书复制到配置了 Tableau Server 应用程序服务器进程的那些节点。与群集环境中的其他共享文件不同,客户端文件服务不会自动分发用于 LDAP 的 SSL 证书。

具体而言,如果在安装了 Tableau Server,并且在 Tableau 密钥存储 (C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks) 中安装了有效的证书,则在配置身份存储时可以指定 SSL。

Java 密钥存储的密码为 changeit。(不要更改 Java 密钥存储的密码)。

如果您的计算机上还没有针对 LDAP 服务器配置的证书,则您必须获取适用于 LDAP 服务器的 SSL 证书,并将其导入默认系统密钥存储。

使用“keytool”Java 工具来导入证书。在默认安装中,此工具随 Tableau Server 一起安装,位于 C:\Program Files\Tableau\Tableau Server\packages\respository.<version>\jre\bin\keytool.exe

以管理员身份运行以下命令以导入证书(您必须针对您的环境替换 <variables>):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -import -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

 

验证客户端的身份

Tableau Server 中的基本用户身份验证对于本地和外部用户存储均通过用户名和密码登录进行。对于本地用户存储,用户密码以哈希密码的形式存储在存储库中。对于外部用户存储,Tableau Server 将凭据传递到外部用户存储,并等待有关凭据是否有效的响应。外部用户存储也可以处理像 Kerberos 或 SSPI(仅限 Active Directory)这样的其他各种身份验证,但概念仍然相同,Tableau Server 将凭据或用户委派给外部存储并等待响应。

您可以对 Tableau Server 进行配置,以便禁用用户名-密码登录。在这些方案中,可以使用其他身份验证方法,例如受信任身份验证、OpenID 或 SAML。请参见身份验证

感谢您的反馈! 提交反馈时出错。请重试,或向我们发送消息