identityStore 實體

Tableau Server 需要識別身份存放區來存放使用者和群組資訊。在首次設定識別身份存放區之前,請檢閱驗證身分存放區主題。在 Tableau Server 上安裝了識別身份存放區後,如果不重新安裝伺服器,則無法變更識別身份存放區。

重要事項所有實體選項均大小寫視為相異。

開始之前

檢閱以下資訊:

  • 如果您將不使用本機識別身份存放區,則將使用某種版本的 LDAP。在這種情況下,請與您的目錄/LDAP 管理員一起針對 LDAP 模式設定 Tableau Server 並繫結需求。

  • Tableau Server 設定已針對 Active Directory 進行優化。如果安裝到 Active Directory 中,我們建議使用 設定初始節點設定設定識別身份存放區。

  • LDAP 繫結與使用者驗證無關。例如,您可以將 Tableau Server 設定為使用簡單繫結來向 LDAP 目錄進行驗證,然後將 Tableau Server 設定為在安裝後使用 Kerberos 進行使用者驗證。

  • 不要透過不安全的連線使用簡單繫結連線到 LDAP。預設情況下,使用簡單繫結的 LDAP 會傳送純文字中的資料。請使用 LDAPS 來加密含有簡單繫結的流量。請參閱設定到 LDAP 外部身分存放區的加密通道

  • 若要為 Tableau Server 服務中的 LDAP 繫結使用 Kerberos 驗證,您將需要用於 GSSAPI 繫結的 keytab 檔案,如以上部分所述。另請參閱瞭解 keytab 需求。在 Kerberos 的上下文中,您只需在 Tableau Server 的基本安裝過程中進行 GSSAPI 繫結。安裝伺服器之後,您可以隨後為使用者驗證設定 Kerberos 以及將 Kerberos 委派給資料來源

  • 在本主題中,我們區分了 LDAP(用於連線到目錄服務的協定)和 LDAP 伺服器(目錄服務的實現)。例如,slapd 是 OpenLDAP 項目中的 LDAP 伺服器。

  • 請在初始化伺服器之前驗證 LDAP 設定,參閱設定初始節點設定

  • 在初始設定中僅匯入 JSON 組態檔。如果在匯入 JSON 組態檔並初始化 Tableau Server 後需要進行 LDAP 變更,請勿嘗試重新匯入 JSON 檔案。相反,請透過原生 tsm 命令或 tsm configuration set 進行個別的金鑰變更。請參閱 外部識別身分存放區設定參考資料

組態範本

本節中的 JSON 範本用於設定具有不同身分識別存放區情況的 Tableau Server。除非您正在設定本機身分識別存放區,否則您必須選取並編輯 LDAP 環境專用的組態檔範本。

不妨考慮使用 Tableau 身分識別存放區組態工具(連結在新視窗開啟)來協助產生 LDAP JSON 組態檔。Tableau 不支援工具本身。但使用工具建立的 JSON 檔案,而不是手動建立檔案,不會變更伺服器的支援狀態。

選取識別身份存放區設定範本以編輯:

  • 本機
  • LDAP - Active Directory
  • OpenLDAP - GSSAPI 繫結
  • OpenLDAP - 簡單繫結

有關組態檔、實體和金鑰的更多說明,請參閱組態檔範例

本機

如果組織還沒有用於使用者驗證的 Active Directory 或 LDAP 伺服器,請將「本機」設定為識別身份存放區類型。選取「本機」作為識別身份存放區類型時,可以使用 Tableau Server 建立和管理使用者。

針對本機身分識別存放區設定 Tableau Server 的另一種方法,是在安裝過程中執行設定 GUI 並選取「本機」。請參閱設定初始節點設定

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

重要資訊

下面的 LDAP 設定範本是一些範例。所呈現的範本將不會在您的組織中設定 LDAP 連線。您必須與您的目錄管理員一起編輯 LDAP 範本值才能成功部署。

此外,configEntities 中引用的所有檔案均必須位於本機電腦上。不要指定 UNC 路徑。

LDAP - Active Directory

Tableau Server 設定已針對 Active Directory 進行優化。若要安裝到 Active Directory 中,請使用 設定初始節點設定設定身分存放區。

需要與 Active Directory 的加密連線。請參閱設定到 LDAP 外部身分存放區的加密通道

若出於某些原因無法將身分存放區設定為使用 TSM Web 介面與 Active Directory 通訊,請使用此 JSON 範本將 Tableau Server 設定為連線到 Active Directory。此範本使用 GSSAPI (Kerberos) 繫結來向 Active Directory 驗證 Tableau Server 服務的身分。Tableau Server 包括對 Active Directory 架構的支援。因此,如果將 "directoryServiceType" 選項設定為 "activedirectory",則不需要在 "identityStoreSchemaType" 選項中提供架構資訊。

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

我們建議您使用 GSSAPI 繫結到 Active Directory。但是,您可以使用簡單的繫結和 LDAPS 進行連線。要使用簡單繫結進行連線,請將 bind 變更為 simple,刪除三個 Kerberos 實體,並新增 port/sslPortusernamepassword 選項。以下範例顯示了 Active Directory 以及簡單繫結 json。

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP - GSSAPI 繫結

使用下面的範本來設定包含 GSSAPI 繫結的 OpenLDAP。如果您的組織正在執行 Active Directory,請不要使用此範本。如果要安裝到 Active Directory 中,請使用下面的 LDAP - Active Directory 範本。

大多數情況下,將 OpenLDAP 與 GSSAPI (Kerberos) 配合使用的組織將使用 keytab 檔案來存放認證。在以下範例中,keytab 檔案用於存放驗證認證。

但是,您可以透過 usernamepassword 實體提供認證。

您還可以同時指定 keytab 以及使用者名和密碼對。在這種情況下,Tableau Server 將嘗試使用 keytab,但是如果由於任何原因導致驗證失敗,它將回退並使用使用者名和密碼認證。

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP - 簡單繫結

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

設定範本參考

共用識別身份存放區選項

type
您想要在其中存放使用者身分資訊的位置。localactivedirectory。(如果要連線到任何 LDAP 伺服器,請選取 activedirectory。)
domain
您在其中安裝 Tableau Server 的電腦的網域。
nickname
網域的昵稱。這在 Windows 環境中也稱為 NetBIOS 名稱。
所有 LDAP 實體都需要 nickname 選項。如果您的組織不需要昵稱/NetBIOS,則傳遞一個空白鍵,例如:"nickname": ""

LDAP GSSAPI 繫結選項

directoryservicetype
要連線到的目錄服務的類型。activedirectoryopenldap
kerberosConfig
本機電腦上 Kerberos 組態檔的路徑。如果要安裝到 Active Directory 目錄,我們不建議使用現有 Kerberos 組態檔或聯接域的電腦上已有的 keytab 檔案。請參閱身分存放區
kerberosKeytab
本機電腦上 Kerberos keytab 檔案的路徑。建議您建立一個包含專門用於 Tableau Server 服務的金鑰的 keytab 檔案,並且不要與電腦上的其他應用程式共用此 keytab 檔案。
kerberosPrincipal
Tableau Server 在主機電腦上的服務主要名稱。Keytab 必須具有此主體的使用權限。不要使用系統的現有 keytab 。相反,我們建議您註冊一個新的服務主要名稱。若要查看給定 keytab 中的主體,請執行 klist -k 命令。請參閱瞭解 keytab 需求

LDAP 簡單繫結選項

directoryservicetype
要連線到的目錄服務的類型。activedirectoryopenldap
hostname
LDAP 伺服器的主機名稱。您可以針對該值輸入主機名稱或 IP 位址。您在這裡指定的主機將僅用於主要網域上的使用者/群組查詢。若使用者/群組查詢在其他網域中(不在主要網域中),Tableau Server 將不會使用此值,而是會查詢 DNS,以識別適當的網域控制器。
port
使用此選項指定 LDAP 伺服器的非安全埠。明文通常使用 389。
sslPort
可使用此選項啟用 LDAPS,並指定 LDAP 伺服器的安全連接埠。LDAPS 通常使用埠 636。若要使用 LDAPS,還必須指定主機名稱選項。請參閱設定到 LDAP 外部身分存放區的加密通道
username
要用於連線到目錄服務的使用者名。您指定的帳戶必須擁有查詢目錄服務的權限。對於 Active Directory,請輸入使用者名稱,例如,jsmith。對於 LDAP 伺服器,請輸入進行連線所要使用的使用者可分辨名稱 (DN)。例如,您可能會輸入 cn=username,dc=your-local-domain,dc=lan
password
要用於連線到 LDAP 伺服器的使用者的密碼。

共用 LDAP 選項

您可以針對一般 LDAP、OpenLDAP 或 Active Directory 實作設定以下選項。

bind
將驗證通訊從 Tableau Server 服務傳遞到 LDAP 目錄服務的所需方式。為 GSSAPI (Kerberos) 輸入 gssapi
domain
在 Active Directory 環境中,指定安裝 Tableau Server 所在的網域,例如「example.lan」。
對於非 AD LDAP︰您為此值輸入的字串會顯示在使用者管理工具的「網域」欄中。您可以輸入任意字串,但金鑰不能為空白。

僅限 LDAP。請勿為 Active Directory 指定。
如果您在 LDAP 根中未使用 dc 元件,或者您想要指定更複雜的根,則需要設定 LDAP 根。使用「o=my,u=root」格式。例如,對於網域,example.lan 根則為 "o=example,u=lan"
membersRetrievalPageSize
此選項會決定 LDAP 查詢傳回的最大結果數量。
例如,考慮 Tableau Server 匯入包含 50,000 個使用者的 LDAP 群組的情景。在單一作業中嘗試匯入如此大量的使用者不是最佳作法。當此選項設定為 1500 時,Tableau Server 將在第一次回應時先匯入 1500 個使用者。在處理這些使用者之後,Tableau Server 會從 LDAP 伺服器要求下一批 1500 個使用者,以此類推。
建議您僅根據您的 LDAP 伺服器需求修改此選項。

identityStoreSchemaType 選項

如果設定與 LDAP 伺服器的 LDAP 連線,您可以在 identityStoreSchemaType 物件中輸入特定於 LDAP 伺服器的架構資訊。

重要資訊:如果您要連線到 Active Directory ("directoryServiceType": "activedirectory"),則請勿設定這些選項。

userBaseFilter
要用於 Tableau Server 使用者的篩選條件。例如,您可以指定物件類屬性和組織單元屬性。
userUsername
與 LDAP 伺服器上的使用者名對應的屬性。
userDisplayName
與 LDAP 伺服器上的使用者顯示名稱對應的屬性。
userEmail
與 LDAP 伺服器上的使用者電子郵件地址對應的屬性。
userCertificate
與 LDAP 伺服器上的使用者憑證對應的屬性。
userThumbnail
與 LDAP 伺服器上的使用者縮圖影像對應的屬性。
userJpegPhoto
與 LDAP 伺服器上的使用者設定檔影像對應的屬性。
groupBaseFilter
要用於 Tableau Server 使用者群組的篩選條件。例如,您可以指定物件類屬性和組織單元屬性。
groupName
與 LDAP 伺服器上的群組名稱對應的屬性。
groupEmail
與 LDAP 伺服器上的群組電子郵件地址對應的屬性。
groupDescription
與 LDAP 伺服器上的群組說明對應的屬性。
member
用於描述群組中使用者清單的屬性。
distinguishedNameAttribute
用於存放使用者的可分辨名稱的屬性。此屬性是可選屬性,但它大大提高了 LDAP 查詢的性能。
serverSideSorting
是否為查詢結果的伺服器端排序設定了 LDAP 伺服器。如果 LDAP 伺服器支援伺服器端排序,請將此選項設定為 true。如果您不確定 LDAP 伺服器是否支援這種情況,請輸入 false,不當設定可能會造成錯誤。
rangeRetrieval
LDAP 伺服器是否設定為返回請求查詢結果的範圍。這意味著具有多個使用者的群組將以小型集合要求,而不是所有使用者一次性要求。支援範圍擷取的 LDAP 伺服器在執行大型查詢時效能更好。如果 LDAP 伺服器支援範圍擷取,請將此選項設定為 true。如果您不確定 LDAP 伺服器是否支援範圍擷取,請輸入 false,不當設定可能會造成錯誤。
groupClassNames
預設情況下,Tableau Server 會尋找包含字串「group」的 LDAP 組物件類別。如果您的 LDAP 組物件不適合預設類別名稱,請透過設定此值來覆寫預設值。您可以提供由逗號分隔的多個類別名稱。此選項採用字串清單,這需要以引號傳遞每個類別,並用逗號(無空格)在括號中分隔。例如:["basegroup","othergroup"]
userClassNames
預設情況下,Tableau Server 會尋找包含字串 “user” 和 “inetOrgPerson” 的 LDAP 使用者物件類。如果您的 LDAP 使用者物件不使用這些預設類別名稱,請透過設定此值來覆寫預設值。您可以提供由逗號分隔的多個類別名稱。此選項採用字串清單,這需要以引號傳遞每個類別,並用逗號(無空格)在括號中分隔。例如:["userclass1",userclass2”]

匯入 JSON 檔案

在完成編輯 JSON 檔案之後,請使用以下命令傳遞 JSON 檔案並套用設定:

tsm settings import -f path-to-file.json

tsm pending-changes apply

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply

感謝您的意見反應!已成功提交您的意見回饋。謝謝!