關於身份識別遷移
從版本 2022.1 開始,Tableau Server 使用身份識別服務存儲和管理身份識別資訊。借助身份識別服務,Tableau Server 使用更現代、更安全且不可變的身份識別結構進行使用者配置和身份驗證過程。身分識別移轉是設定和使用身分識別集區(連結在新視窗開啟)的先決條件。
附註: 如果不打算使用身分集區功能,則建議不要執行身分移轉。在沒有方案的情況下使用身分集區執行身分移轉對您的 Tableau Server 部署沒有任何好處。
預設情況下,Tableau Server 2022.1(及更高版本)的所有新部署都使用身份識別服務,無需您執行任何其他操作。在 Tableau Server 中新增使用者時,將使用預設身份識別服務。
如果是現有部署,要將 Tableau Server 升級到版本 2022.1(或更高版本)並還原 Tableau 2021.4(或更早版本)的備份,則可以在 Tableau Server 升級後啟動身分移轉,以填充新的身分服務。身份識別遷移為所有 Tableau Server 使用者填充補充身份識別服務表,然後使用這些表通過身份識別服務對使用者進行身份驗證。遷移在背景執行,不會中斷或乾擾使用者對 Tableau Server 的使用。
作為管理員,您可以透過 Tableau Server 的使用者頁面中提供的專用身份識別遷移頁面監控和管理遷移,包括更改遷移執行的時間或解決任何潛在的遷移衝突。遷移過程中可使用此頁面。
現有部署的步驟摘要
如果是現有部署,則必須將 Tableau Server 設定為在移轉完成後使用身分服務,以利用身分結構改進並設定身分集區。
關鍵術語
- 身份識別服務 - Tableau Server 2022.1(及更高版本)中的一項服務,負責管理使用者身份,包括身份驗證和佈建。該服務使用身份模式,其中使用者身份使用身份識別服務表和舊版 “system_users” 表格表示。
- 身分集區 - 是一種身分管理工具,可用來佈建與驗證資訊,以啟用使用者對 Tableau Server 的存取。透過身分集區,可基於身分服務建立更加集中式和更具彈性的身分管理工作流程,以便在 Tableau Server 中儲存和管理使用者身分。
- 舊版身份存儲模式 - Tableau Server 2021.4(及更早版本)使用的有限身份架構,其中使用者身份僅由舊版 “system_users” 表格表示。
- 身份識別遷移 - 評估現有 Tableau Server 使用者身份、查詢上游外部身份存儲以獲取其他身份識別資訊(視情況而定),並將其他身份識別資訊匯入身份識別服務的審核過程。
- 外部身份存儲 - Tableau Server 外部和上游的身份存儲類型,所有身份資訊都由外部目錄服務(Active Directory (AD) 或 LDAP)存儲和管理。如果已設定,Tableau Server 會同步到外部目錄,以便在 Tableau Server 中儲存身份資訊的副本。
- 本機身份識別存儲 - Tableau Server 提供的身份識別存儲類型。如果已設定,Tableau Server 將在 Tableau Server 存放庫中存儲和管理身份資訊,而無需為此資訊設定任何外部目錄。
- 系統使用者 - Tableau Server 使用者。使用者對應於身份識別服務(以 “system_users_identities” 表顯示)和舊版身份識別存儲模式中的登入記錄(“system_users”)。“System_users” 記錄可能有與其關聯的多個使用者身份,並且可以登入多個站點。"system_users” 記錄及其允許的站點之間的連結是透過 "users” 表定義。
身份識別遷移的目的
建立 Tableau Server 備份時,身份識別資訊儲存在為其建立備份的 Tableau Server 版本所使用的身份識別架構中。遷移對於將身份識別資訊從備份中使用的身份識別架構填充到身份識別服務使用的身份架構是必要的。
Tableau Server 2021.4 及更早版本的身份識別架構
舊版身份識別儲存模式使用的身份架構由兩個表組成,即 “system_users” 和 “domains”。
Tableau Server 2022.1 及更高版本的身份識別架構
身份識別服務使用的身份識別架構包括捕獲更多身份資訊的舊版 “system_users” 表和補充身份識別服務表(*_identity_stores 和 *identities)。附加表有助於減少外部身份識別存儲中的上游變更可能導致的問題。
身份識別遷移期間會發生什麼
遷移有關使用者身份識別資訊時,存儲在舊版 “system_users” 表中的身份識別資訊將由身份識別服務表進行補充。
補充身份資訊的身份識別服務表的類型取決於 Tableau Server 設定的身份存儲類型:本機、Active Directory (AD) 或輕量級目錄存取協定 (LDAP)。
如果是 AD 身份識別存儲類型,身份識別服務表僅繼承明確的屬性或未存儲在同一資料庫記錄中的屬性。
例如,sAMAccountNAme 和 userPrincipalName (UPN) 可以存儲在舊版 “systems_users” 表的相同名稱記錄中,這可能是一系列複雜規則的結果。在大多數情況下,遷移能夠正確解釋並成功遷移使用者身份。但是,如果遷移產生不明確的結果,則必須手動確認不明確或使用專用的身份識別遷移頁面手動解決衝突。有關詳情,請參閱解決身份移轉衝突。
如果是 LDAP 身份識別存儲類型,如 AD 身份存儲類型,身份識別服務表僅繼承明確的屬性。在大多數情況下,遷移能夠正確解釋並成功遷移使用者身份。但是,如果遷移產生不明確的結果,則必須手動確認不明確或使用專用的身份識別遷移頁面手動解決衝突。有關詳情,請參閱解決身份移轉衝突。
如果是本機身份識別存儲類型,身份識別服務表直接繼承使用者和網域欄位。這意味著,您無需提供其他資訊或手動解決方案。為這種類型的身份存儲設定 Tableau Server 時,使用者身份的遷移會在 Tableau Server 備份還原過程之後發生。
第 1 步:開始前
開始前,請確定下面的 Tableau Server 升級方法,以決定身分移轉的後續步驟。
如果透過以下方式執行藍/綠升級或手動升級 Tableau Server:1) 在新電腦桌安裝 Tableau Server,然後 2) 使用tsm 維護(備份和還原)命令備份和還原 Tableau Server ,則需要採取一些額外的步驟來啟動遷移。
有關詳情,請參閱對身份移轉問題進行疑難排解。
如果使用此處描述的方法對 Tableau Server 進行「就地」單一伺服器或多節點升級,則無需執行其他步驟即可啟動遷移。遷移在 Tableau Server 升級到版本 2022.1(或更高版本)完成後啟動。
跳至 步驟 2。
如果透過以下方式手動升級 Tableau Server:1) 在新機器中安裝 Tableau Server,然後 2) 使用tsm settings(匯出和匯入)命令匯出和匯入組態和拓撲資訊,也無需執行其他步驟即可啟動遷移。在新 Tableau Server 電腦桌完成匯入過程後啟動遷移。
跳至 步驟 2。
第 2 步:開始身分移轉
要啟動身分移轉,則必須使用 tsm 命令 features.IdentityMigrationBackgroundJob 啟用身分移轉功能。
附註:如果已升級至 Tableau Server 版本 2021.4.21、2022.1.17、2022.3.9 和 2023.1.5,則預設會啟動身分移轉,且可以跳至 第 3 步:完成身分移轉。
在叢集中的初始節點(安裝 TSM 的位置)中以管理員身分開啟命令提示字元。
執行以下命令:
tsm configuration set -k features.IdentityMigrationBackgroundJob -v true
身分移轉開始後,會在 Tableau Server 中看到將您連結到「身分移轉」頁面的通知。在「身分移轉」頁面中,您可以監視身分移轉的狀態以及需要解決的身分衝突。
第 3 步:完成身分移轉
要完成身份識別遷移,必須先解決或確認所有身份識別衝突,然後才能為 Tableau Server 啟用身份識別服務。
- 以管理員身分登入 Tableau Server。
在左側巡覽窗格中,選取使用者(或多站台 Tableau Server 的所有站台>使用者),然後按一下身份移轉頁面以驗證移轉是否已開始。
可以使用 Tableau Server 使用者頁面中提供的專用身份移轉頁面來監控和管理其進度。有關詳情,請參閱管理身份移轉。
解決或確認所有身分衝突,如解決身份移轉衝突中所述,以便所有失敗索引標籤顯示「0」,如下圖所示。
執行以下其中一項動作:
要立即執行身份移轉作業,請按一下「移轉概觀」標題旁邊的「編輯排程」下拉式箭頭,然後選取「立即執行」 。
- 或者,可以等待移轉作業在下一個排程時間執行。
移轉完成後,從「身分移轉」頁面驗證「移轉概觀」是否顯示100% 完成。
第 4 步:將 Tableau Server 設定為使用身分服務
身份識別遷移完成後,將 Tableau Server 設定為使用身份識別服務,以確保使用者佈建和身份驗證過程的身份識別結構更加安全且不可變。
- 在叢集中的初始節點(安裝 TSM)上以管理員身分開啟命令提示字元。
執行以下命令:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
附註:執行上述命令後,專用的身分移轉頁面將被移除且無法再存取。僅當啟用
tsm authentication legacy-identity-mode
時才能存取該頁面。
在 Tableau Server 配置為使用身份服務後,當使用者登入到 Tableau Server 時,Tableau Server 會使用他們在配置身份存放區中的識別碼來搜尋他們的使用者身份。識別碼會傳回通用唯一識別碼 (UUID) 並用於符合的現有 Tableau Server 使用者身份。然後,此過程為使用者產生工作階段並完成身份驗證工作流程。