Windows 版 Tableau Server 說明

您可以使用 tsm authentication 命令來啟用、停用和設定 Tableau Server 的使用者驗證選項。

tsm authentication kerberos <commands>

在 Tableau Server 上啟用、停用和設定 Kerberos 使用者驗證。請參閱設定 Kerberos。

概要

tsm authentication kerberos configure --keytab-file <keytab_file.keytab> [global options]

tsm authentication kerberos enable [global options]

tsm authentication kerberos disable [global options]

kerberos configure 選項

-kt, --keytab-file <keytab_file.keytab>

必要。

指定用於向 KDC 提出請求的服務 .keytab 檔案。

tsm authentication list

列出伺服器現有的驗證相關組態設定。

概要

tsm authentication list [--verbose][global options]

選項

v, --verbose

可選。

顯示所有設定的參數。

tsm authentication mutual-ssl <commands>

在 Tableau Server 上為使用者驗證啟用、停用和設定相互 SSL。若要瞭解有關相互 SSL 的詳情，請參閱設定相互 SSL 驗證。

在啟用相互 SSL 之前，您必須啟用和設定 SSL 以進行外部通訊。有關資訊，請參閱針對與來往 Tableau Server 的外部 HTTP 流量設定 SSL。

概要

tsm authentication mutual-ssl configure [options] [global options]

tsm authentication mutual-ssl disable [global options]

tsm authentication mutual-ssl enable [global options]

選項

-cf, --ca-cert <certificate-file.crt>

可選。

指定憑證檔案的位置和檔案名。該檔案必須是來自憑證授權的有效的受信任憑證（例如 Verisign）。

-fb, --fallback-to-basic <true | false>

可選。

指定在 SSL 驗證失敗的情況下 Tableau Server 是否應該接受使用者名和密碼以進行驗證。

預設值為 false，表示設定為使用相互 SSL 後，如果 SSL 驗證失敗，則 Tableau Server 不允許進行連線。不過，即使此選項設定為 false，Tableau Serer 仍可透過 REST API 用戶端接受使用者名稱與密碼驗證。

-m, --user-name-mapping <upn | ldap | cn>

可選。

指定使用者名語法（UPN、LDAP 或 CN）以從識別身份存放區或目錄中進行檢索。語法必須與使用者憑證上的主題或主題備用名稱的格式相相符。

-rf, --revocation-file <revoke-file.pem>

可選。

指定憑證撤銷清單檔案的位置和檔案名。該檔案可以是 .pem 或 .der 檔案。

tsm authentication openid <commands>

在 Tableau Server 上啟用、停用和設定 OpenID Connect (OIDC) 使用者驗證。

概要

tsm authentication openid configure [options] [global options]

tsm authentication openid disable [global options]

tsm authentication openid enable [global options]

tsm authentication openid get-redirect-url [global options]

tsm authentication openid map-claims [options] [global options]

openid configure 選項

附註：必須在初始設定或重新設定期間設定選項。各個選項不能單獨設定。

-a, --client-authentication <string>

必要。

指定 OpenID Connect 的自訂用戶端驗證方法。

若要將 Tableau Server 設定為使用 Salesforce IdP，請將此值設定為 client_secret_post。

-cs, --client-secret <string>

必要。

指定提供者用戶端密碼。這是 Tableau 用於驗證來自 IdP 的響應的真實性的權杖。此值是密碼，應妥善保管。

-cu, --config-url <url>

必要。

指定包含 OpenID 提供者中繼資料的提供者設定發現文件的位置。若提供者託管公共 JSON 檔案，請使用 --config-url。否則，請改為使用 --metadata-file 指定本機電腦上的路徑和檔案名稱。

-mf, --metadata-file <file-path>, --config-file <config-file.json>

可選。

指定靜態 OIDC 發現 JSON 檔案的本機路徑。

-i, --client-id <client-id>

必要。

指定 IdP 已指派給您的應用程式的提供者用戶端 ID。

-id, --ignore-domain <true | false>

可選。預設值：false

如果滿足以下條件，請將此項設定為 true：

• 您使用電子郵件地址作為 Tableau Server 中的使用者名

• 您在 IdP 中設定了具有多個網域名稱的使用者

• 您想要從 IdP 中忽略 email 宣告的網域名稱部分

在繼續之前，請檢查由於將此選項設定為 true 而使用的使用者名。可能會發生使用者名衝突。如果發生使用者名衝突，資訊洩露的風險將很高。請參閱使用 OpenID Connect 的要求。

-if, --iframed-idp-enabled <true | false>

可選。預設值：false

指定是否允許在 iFrame 內部使用 IdP。IdP 必須停用 Clickjack 保護才能允許進行 iFrame 展示。

-ij, --ignore-jwk <true | false>

可選。預設值：false

如果您的 IdP 不支援 JWK 驗證，請將此項設定為 true。在這種情況下，我們建議使用相互 TLS 或另一種網路層安全通訊協定向 IdP 驗證通訊的身分。

-r, --return-url <return-url>

伺服器的 URL。這通常是您的伺服器的公共名稱，例如 "http://example.tableau.com"。

-sn, --custom-scope-name <string>

可選。

指定可用於查詢 IdP 的自訂範圍使用者相關值。請參閱使用 OpenID Connect 的要求。

openid map-claims 選項

使用這些選項變更與 IdP 通訊時 Tableau Server 將使用的預設 OIDC 聲明。請參閱使用 OpenID Connect 的要求。

-i, --id <string>

可選。預設值：sub

如果您的 IdP 不支援使用 sub 宣告在 ID 權杖中唯一標識使用者，請變更此值。您指定的 IdP 宣告應包含單一唯一的字串。

-un, --user-name <string>

可選。預設值：email

將此值變更為組織將使用的 IdP 宣告以與 Tableau Server 中儲存的使用者名相符。

tsm authentication pat-impersonation <commands>

為 Tableau Server 上的管理員啟用和停用個人存取權杖模擬。

有關個人存取權杖模擬的詳情，請參閱個人存取權杖。

概要

tsm authentication pat-impersonation disable [global options]

tsm authentication pat-impersonation enable [global options]

若要檢視是否已啟用個人存取權杖模擬，請執行以下命令：

tsm authentication list

tsm authentication saml <commands>

將 Tableau Server 設定為支援使用 SAML 2.0 標準進行單一登入，對網站啟用或停用 SAML，並在 Tableau Server 與身分識別提供者 (IdP) 之間對應判斷提示屬性名稱。

可用命令

tsm authentication saml configure [options] [global options]

tsm authentication saml disable [options] [global options]

tsm authentication saml enable [options] [global options]

tsm authentication saml export-metadata [options] [global options]

tsm authentication saml map-assertions [options]

tsm authentication saml configure

為伺服器組態 SAML 設定。指定 SAML 憑證和中繼資料檔案，提供額外的必需資訊，設定其他選項。

如果您是第一次設定 SAML 或先前已停用它，則必須使用 tsm authentication saml enable 來執行此命令。有關詳情，請參閱設定全伺服器的 SAML。

概要

tsm authentication saml configure [options] [global options]

選項

-e, --idp-entity-id <id>

對於初始 SAML 設定是必需的；對於其他，則為可選。IdP 實體 ID 值。

通常，這與 Tableau Server 返回 URL（在 --idp-return-url 參數中指定）相同。將使用您輸入的實體 ID 作為產生特定於網站的實體 ID 的基礎。例如，如果您輸入以下內容：

http://tableau-server

則為 SAML 設定的網站可能顯示以下實體 ID：

http://tableau-server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

要查找網站的實體 ID，請轉到該網站的「設定」頁面，然後選取「驗證」索引標籤。啟用 SAML 時，將在第一步中顯示實體 ID 以便設定網站特定的 SAML、匯出中繼資料。

-r, --idp-return-url <idp-return-url>

對於初始 SAML 設定是必需的；對於其他，則為可選。SAML 返回 IdP 中設定的 URL。這通常是 Tableau Server 的外部 URL；例如 https://tableau-server。

附註

• http://localhost 對外部伺服器不起作用。

• 不支援向 URL (https://tableau-server/) 新增結尾斜杠。

-i, --idp-metadata <idp-metadata.xml>

對於初始 SAML 設定是必需的；對於其他，則為可選。提供從 IdP 設定中匯出的 XML 中繼資料檔案的位置和名稱。

例如，C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>

-cf, --cert-file <certificate.crt>

對於初始 SAML 設定是必需的；對於其他，則為可選。適用於 SAML 的憑證檔案的位置和檔案名。有關憑證檔案的要求，請參閱SAML 要求。

例如，C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>

-kf, --key-file <certificate.key>

對於初始 SAML 設定是必需的；對於其他，則為可選。與憑證一起提供的金鑰檔案的位置和名稱。

例如，C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>

-a, --max-auth-age <max-auth-age>

可選。預設值為 -1（從 Tableau Server 版本 2020.4.15、2021.1.12、2021.2.9、2021.3.8、20214.4、2022 及更高版本開始）。之前的預設值為 7200（2 小時）。

使用者的驗證與 AuthNResponse 訊息處理之間允許的最大秒數。

建議保留此預設值，這會停用最長身分驗證期限的檢查。如果此值與您的 IdP 不同，登入 Tableau Server 的使用者可能會看到登入錯誤。有關此錯誤的更多資訊，請參閱 Tableau 知識庫中的文章 Tableau Server 上的 SAML SSO 出現間歇性錯誤“無法登入”(連結在新視窗開啟)。

-d, --desktop-access <enable | disable>

可選。預設值為啟用。

此選項僅適用於伺服器範圍 SAML。使用 SAML 從 Tableau Desktop 登入伺服器。如果透過 Tableau 用戶端應用程式進行單一登入不適用於您的 IdP，您可將此項設定為 disable。

-m, --mobile-access <enable | disable>

可選。預設值為啟用。

允許使用 SAML 從舊版 Tableau Mobile 應用程式登入。執行 Tableau Mobile應用程式 19.225.1731 版和更新版本的裝置會略過此選項。若要停用執行 Tableau Mobile 應用程式19.225.1731 版及更新版本的裝置，請在 Tableau Server 上停用 SAML 做為用戶端登入選項。

-so, --signout <enable | disable>

可選。預設情況下處於啟用狀態。

為 Tableau Server 啟用或停用 SAML 登出。

-su, --signout-url <url>

可選。輸入使用者登出伺服器後要重定向到的 URL。預設情況下，這是 Tableau Server 登入頁面。您可以指定絕對或相對 URL。

範例

tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata.xml>" --idp-return-url https://tableau-server --cert-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>" --key-file "C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

tsm authentication saml enable and saml disable

啟用或停用伺服器範圍的 SAML 驗證。在這種情況下，您為 SAML 啟用的所有網站和使用者都將執行完單一身分識別提供者。

概要

tsm authentication saml enable [global options]

tsm authentication saml disable [global options]

tsm authentication saml export-metadata

匯出您將用於設定 SAML IdP 的 Tableau Server .xml 中繼資料檔案。

概要

tsm authentication saml export-metadata [options] [global options]

選項

-f, --file [/path/to/file.xml]

可選。

指定將寫入中繼資料的位置和檔案名。如果未包括此選項，則 export-metadata 會將檔案儲存到目前的目錄，並將其命名為 samlmetadata.xml。

-o, --overwrite

可選。

覆寫 -f 中指定的相同名稱的現有檔案，或者預設名稱的現有檔案（如果未包括 -f）。如果 -f 中指定的檔案存在，並且未包括 -o，則該命令不會覆寫現有檔案。

tsm authentication saml map-assertions

在 IdP 與 Tableau Server 之間對應屬性。提供 IdP 用於每個參數中指定的屬性的名稱。

概要

tsm authentication saml map-assertions --user-name <user-name> [global options]

選項

-r, --user-name <user-name-attribute>

可選。IdP 將使用者名儲存到的屬性。在 Tableau Server 上，與顯示名稱相同。

-e, --email <email-name-attribute>

請勿使用。Tableau 不支援此選項。

-o, --domain <domain-name-attribute>

可選。IdP 將網域名稱儲存到的屬性。若新增的使用者來自與 Tableau Server 電腦網域不同的網域，請使用此選項。有關更多資訊，請參閱 執行多個網域。

-d --display-name <display-name-attribute>

請勿使用。Tableau 不支援此選項。

saml map-assertions 範例

tsm authentication saml map-assertions --user-name=<sAMAccountName> --domain=<FQDM> 或 tsm authentication saml map-assertions --user-name=jnguyen --domain=example.myco.com

tsm authentication sitesaml enable and sitesaml disable

將伺服器組態為允許或不允許網站層級的 SAML 驗證。啟用特定於網站的 SAML 可讓您存取 Tableau Server Web UI 中的「設定」>「驗證」索引標籤。「驗證」索引標籤包含特定於網站的 SAML 組態設定。

如果尚未將伺服器設定為允許使用特定於網站的 SAML，請將 sitesaml enable 命令與 saml configure 搭配使用。有關詳情，請參閱設定特定於網站的 SAML。

概要

tsm authentication sitesaml enable [global options]

tsm authentication sitesaml disable [global options]

tsm authentication trusted <commands>

設定受信任的驗證（可信任票證）以在 Tableau Server 上進行使用者驗證。

概要

tsm authentication trusted configure [options] [global options]

選項

-th, --hosts <string>

可選。

指定將託管 Tableau 內容頁面的 Web 伺服器的受信任主機名稱（或 IPv4 位址）。

對於多個值，在逗號分隔的清單中輸入名稱，其中每個值都括在雙引號中。

例如：

tsm authentication trusted configure -th "192.168.1.101", "192.168.1.102", "192.168.1.103" 

或

tsm authentication trusted configure -th "webserv1", "webserv2", "webserv3" 

-t, --token-length <integer>

可選。

確定每個受信任票證中的字元數量。預設設定（24 個字元）提供 144 位隨機性。該值可設定為 9 和 255（包括 9 和 255）之間的任意整數。

全域選項

-h, --help

可選。

顯示命令說明。

-p, --password <password>

在會話不是活動狀態的情況下為必需，-u 或 --username 也為必需。

為在 -u 或 --username 中指定的使用者指定密碼。

如果密碼包括窗格或特殊字元，請將其括在引號中：

--password "my password"

-s, --server https://<hostname>:8850

可選。

對 Tableau 服務管理器使用指定的位址。URL 必須以 https 開頭（包括連接埠 8850），並使用伺服器名稱而不是 IP 位址。例如 https://<tsm_hostname>:8850。如果沒有指定伺服器，則假定為 https://<localhost | dnsname>:8850。

--trust-admin-controller-cert

可選。

使用此旗標來信任 TSM 控制器上的自我簽署憑證。如需有關憑證信任和 CLI 連線的詳細資訊，請參閱連接 TSM 用戶端。

-u, --username <user>

在會話不是活動狀態的情況下為必需，-p 或 --password 也為必需。

請指定使用者名稱。如果未包括此選項，則使用您登入所使用的認證執行該命令。