本機驗證

若將伺服器設定為使用本機身分存放區,則 Tableau Server 會對使用者進行驗證。當使用者登入並輸入其認證時,Tableau Server 將透過 Tableau Desktop、tabcmd、API 或 Web 用戶端來驗證認證。儲存在識別身份存放區中的 Tableau 使用者名稱與 Tableau Server 的權限相關聯。確認驗證後,Tableau Server 會管理使用者的 Tableau 資源存取權限(授權)。

若要使用本機驗證,您必須在安裝期間,使用本機身份識別存放區設定 Tableau Server。如果 Tableau Server 已藉由外部身份識別存放區(LDAP、Active Directory 等)加以設定,則您無法使用本機驗證。

密碼儲存

使用本機驗證時,使用者的 salt 和雜湊密碼會儲存在存放庫中。戲碼不會直接儲存密碼,而是儲存密碼的 salt 和雜湊結果。伺服器會將 PBKDF2 派生函數與 HMAC SHA512 雜湊函數搭配使用。

設定密碼設定值

在安裝 Tableau Server 與本機驗證後,您可以使用 Tableau Server Manager (TSM) 來設定一些密碼相關的設定值:

  • 密碼原則:這些原則定義密碼結構的要求,例如長度、字元類型及其他要求。

  • 密碼到期:啟用和指定密碼到期。

  • 登入速率限制:在使用者以錯誤的密碼嘗試登入 5 次後,Tableau Server 會限制嘗試登入的時間間隔。使用者必須等候幾秒鐘後再嘗試其他登入。如果使用者繼續輸入錯誤的密碼,他們在登入嘗試之間必須等候的時間,會次第延長。預設情況下,登入嘗試之間的最長的等候時間為60分鐘。

    在嘗試失敗次數過多之後,系統會鎖定帳戶存取。您可以指定使用者在鎖定之前可以輸入失敗的次數。有關如何解除鎖定對已鎖定帳戶存取權的資訊,請參閱檢視和管理網站上的使用者

  • 使用者密碼重設:讓使用者重設密碼。啟用密碼重設將會設定 Tableau Server 以在登入頁面上顯示連結。忘記密碼或想要重設密碼的使用者可以按一下連結以起始重設密碼工作流程。如要重設密碼,請使用 TSM CLI 進行設定,說明如下。

  1. 在瀏覽器中開啟 TSM:

    https://<tsm-computer-name>:8850。有關詳情,請參閱登入到 Tableau 服務管理器 Web UI

  2. [設定] 索引標籤上,按一下 [使用者身份和存取],然後按一下 [驗證方法]

  3. 選取下拉式功能表的 [本機驗證] 以顯示密碼設定。

  4. 設定密碼設定值,然後按一下 [儲存擱置的變更]

  5. 按一下頁首的 [擱置的變更]

  6. 按一下 [套用變更並重新啟動]

對於密碼原則的初始設定,我們建議您使用下面的設定檔範本建立一個 json 檔。您還可以使用 tsm configuration set 中描述的語法來設定任何下面列出的任何單一設定鍵。

  1. 將以下 json 範本複製到檔案。使用您的密碼原則設定填入機碼值。有關機碼選項詳情,請參閱後面的參考資料一節。

    {
    "configKeys": {
     "wgserver.localauth.policies.mustcontainletters.enabled": false,
      "wgserver.localauth.policies.mustcontainuppercase.enabled": false,
      "wgserver.localauth.policies.mustcontainnumbers.enabled": false,
      "wgserver.localauth.policies.mustcontainsymbols.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.enabled": false,
      "wgserver.localauth.policies.minimumpasswordlength.value": 8,
      "wgserver.localauth.policies.maximumpasswordlength.enabled": false,
      "wgserver.localauth.policies.maximumpasswordlength.value": 255,
      "wgserver.localauth.passwordexpiration.enabled": false,
      "wgserver.localauth.passwordexpiration.days": 90,
      "wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
      "wgserver.localauth.ratelimiting.maxattempts.enabled": false,
      "wgserver.localauth.ratelimiting.maxattempts.value": 5,
      "features.PasswordReset": false
    		}
    }
  2. 執行 tsm settings import -f file.json,將具有適當值的 json 檔傳遞給 Tableau Services Manager,以設定 Tableau Server。

  3. 執行 tsm pending-changes apply 命令以套用變更。請參閱 tsm pending-changes apply

組態檔參考

本節列出了可用於設定密碼原則的所有選項。

wgserver.localauth.policies.mustcontainletters.enabled

預設值:false

密碼至少需要一個字母。

wgserver.localauth.policies.mustcontainuppercase.enabled

預設值:false

在密碼中至少需要一個大寫字母。

wgserver.localauth.policies.mustcontainnumbers.enabled

預設值:false

密碼中至少需要一個數字。

wgserver.localauth.policies.mustcontainsymbols.enabled

預設值:false

密碼至少需要一個特殊字元。

wgserver.localauth.policies.minimumpasswordlength.enabled

預設值:false

強制執行最小長度密碼。

wgserver.localauth.policies.minimumpasswordlength.value

預設值:8

密碼必須具有的最少字元數。請輸入介於 4255(含)之間的值。您必須將將 wgserver.localauth.policies.minimumpasswordlength.enabled 設為 true 方可強制執行此值。

wgserver.localauth.policies.maximumpasswordlength.enabled

預設值:false

強制執行最大長度密碼。

wgserver.localauth.policies.maximumpasswordlength.value

預設值:255

最大字元數可能已經存在。請輸入介於 8225(含)之間的值。您必須將將 wgserver.localauth.policies.maximumpasswordlength.enabled 設為 true 方可強制執行此值。

wgserver.localauth.passwordexpiration.enabled

預設值:false

強制密碼到期。

wgserver.localauth.passwordexpiration.days

預設值:90

密碼到期前的天數。請輸入介於 1365(含)之間的值。您必須將將 wgserver.localauth.passwordexpiration.enabled 設為 true 方可強制執行此值。

wgserver.localauth.ratelimiting.maxbackoff.minutes

預設值:60

使用者多次輸入不正確的密碼後,登入嘗試的時間上限。請輸入介於 51440(含)之間的值。

wgserver.localauth.ratelimiting.maxattempts.enabled

預設值:false

5 次輸入不正確的密碼後強制執行帳戶鎖定。若要變更將觸發帳戶鎖定的密碼不正確次數,您可以設定 wgserver.localauth.ratelimiting.maxattempts.value

wgserver.localauth.ratelimiting.maxattempts.value

預設值:5

使用者輸入密碼錯誤以致於觸發帳戶鎖定的次數。請輸入介於 5100(含)之間的值。您必須將將 wgserver.localauth.ratelimiting.maxattempts.enabled 設為 true 方可強制執行此值。

features.PasswordReset

預設值:false

讓使用者重設密碼。Tableau Server 必須設定為傳送電子郵件後,方可使用此功能。請參閱設定 SMTP 設定

感謝您的意見回饋!