身分存放區

Tableau Server 需要識別身分存放區來管理使用者和群組資訊。有兩種身分識別存放區:本機和外部身分識別存放區。安裝 Tableau Server 時,必須設定本機身分存放區或外部身分存放區。

有關識別身分存放區設定選項的資訊,請參閱identityStore 實體外部識別身分存放區設定參考資料。有關為單一身份存放區模型增加更多彈性的詳情,請參閱 使用身分集區佈建和驗證使用者

本機身分識別存放區

使用本機身分識別存放區設定 Tableau Server 時,所有使用者和群組資訊均儲存在 Tableau Server 存放庫中,並在其中進行管理。在本機身分存放區情境中,使用者和群組沒有外部來源。

外部識別身分存放區

使用外部存放區設定 Tableau Server 時,所有使用者和群組資訊均由外部目錄服務儲存和管理。Tableau Server 必須與外部身分存放區同步,以便使用者和群組的本機複本存在於 Tableau Server 存放庫中,但外部身分存放區是所有使用者和群組資料的權威來源。

如果已將 Tableau Server 識別身分存放區設定為與外部 LDAP 目錄通訊,則您新增到 Tableau Server 的所有使用者(包括初始管理帳戶)都必須在該目錄中具有帳戶。

如果 Tableau Server 設定為使用外部 LDAP 目錄,則您必須先將使用者識別身分從外部目錄匯入 Tableau Server 存放庫中,作為系統使用者。當使用者登入到 Tableau Server 時,他們的認證會傳遞到外部目錄,後者負責對使用者進行驗證;Tableau Server 不執行此驗證。然而,儲存在識別身分存放區中的 Tableau 使用者名稱與 Tableau Server 的權限相關聯。因此,確認驗證後,Tableau Server 會管理使用者的 Tableau 資源存取權限(授權)。

Active Directory 就是外部使用者存放區的一個例子。Tableau Server 經過優化,可與 Active Directory 交互。例如,您使用 設定初始節點設定在已加入 Active Directory 網域的電腦上安裝 Tableau Server 時,安裝程式將會偵測並進行大部分的 Active Directory 設定。再者,如果您是使用 TSM CLI 安裝 Tableau Server,則必須指定所有 Active Directory 設定。在此情況下,請務必使用 LDAP - Active Directory 範本設定識別身份存放區。

如果您要安裝在 Active Directory,則必須在已加入 Active Directory 網域的電腦上安裝 Tableau Server。此外,建議您先檢閱 使用外部識別身分存放區進行部署中的使用者管理,再進行部署。

對於所有其他外部存放區,Tableau Server 支援使用 LDAP 作為通用方式來與識別身分存放區通訊。例如,OpenLDAP 是具有彈性結構描述的多個 LDAP 伺服器實作之一。Tableau Server 可設定為查詢 OpenLDAP 伺服器。為此,目錄管理員必須提供有關架構的資訊。在設定過程中,您必須使用 設定初始節點設定 設定與其他 LDAP 目錄的連線。

LDAP 繫結

想要使用 LDAP 查詢使用者存放區的用戶端必須進行驗證並建立會話。透過繫結來完成此操作。有多種繫結方式。簡單繫結是使用使用者名和密碼進行驗證。對於使用簡單繫結連線到 Tableau Server 的組織,我們建議設定 SSL 加密連線,否則認證會以純文字方式透過網路傳送。Tableau Server 支援的另一種類型的繫結是 GSSAPI 繫結。GSSAPI 使用 Kerberos 進行驗證。在 Tableau Server 的例子中,Tableau Server 是用戶端,外部使用者存放區是 LDAP 伺服器。

LDAP 與 GSSAPI (Kerberos) 繫結

建議使用 keytab 檔案透過 GSSAPI 繫結到 LDAP 目錄,以對 LDAP 伺服器進行驗證。這將需要專用於 Tableau Server 服務的 keytab 檔案。此外,建議使用 SSL/TLS 加密與 LDAP 伺服器的通道。請參閱設定到 LDAP 外部身分存放區的加密通道

如果安裝到 Active Directory 中,並且安裝 Tableau Server 的電腦已加入域,則電腦必須已經有組態檔和 Keytab 檔。在這種情況下,Kerberos 檔用於作業系統功能和驗證。嚴格來說,您可以將這些檔用於 GSSAPI 繫結,但我們不建議使用這些檔。而是要聯絡您的 Active Directory 管理員,並專門為 Tableau Server 服務請求一個 keytab。請參閱瞭解 keytab 需求

假設您的作業系統已正確設定了用於域驗證的 Keytab ,則您只需要 GSSAPI 繫結的 Kerberos 金鑰檔即可進行基本 Tableau Server 安裝。如果排程為使用者使用 Kerberos 驗證,請在安裝完成後為使用者驗證設定 Kerberos 以及將 Kerberos 委派給資料來源

 

LDAP over SSL

預設情況下,簡單繫結到任意 LDAP 伺服器的 LDAP 未加密。用於與 LDAP 伺服器建立繫結工作階段的使用者認證會在 Tableau Server 和 LDAP 伺服器之間以純文字方式進行通訊。強烈建議加密 Tableau Server 和 LDAP 伺服器之間的通道。

若組織使用的是 Active Directory 以外的 LDAP 目錄,請參閱設定到 LDAP 外部身分存放區的加密通道

驗證用戶端的身分

Tableau Server 中的基本使用者驗證對於本機和外部使用者存放區均透過使用者名和密碼登入進行。對於本機使用者存放區,使用者密碼以雜湊密碼的形式存儲在存放庫中。對於外部使用者存放區,Tableau Server 將認證傳遞到外部使用者存放區,並等待有關認證是否有效的回應。外部使用者存放區也可以處理像 Kerberos 或 SSPI(僅限 Active Directory)這樣的其他各種驗證,但概念仍然相同,Tableau Server 將認證或使用者委派給外部存放區並等待回應。

您可以對 Tableau Server 進行設定,以便停用使用者名-密碼登入。在這些方案中,可以使用其他驗證方法,例如受信任驗證、OpenID 或 SAML。請參閱驗證

在某些情況下,可能需要更新 LDAP 外部目錄以允許使用 Tableau Server 中的使用者名稱 + DN 格式進行繫結作業。請參閱登入時的使用者繫結行為

感謝您的意見反應!已成功提交您的意見回饋。謝謝!