使用外部識別身分存放區進行部署中的使用者管理
本主題說明您在使用外部識別身分存放區來管理 Tableau Sever 的使用者時所應熟悉的重要技術細節。Tableau Server 支援使用 LDAP 連線到外部目錄。在這種情況下,Tableau Server 會將使用者從外部 LDAP 目錄匯入 Tableau Server 存放庫作為系統使用者。
任意 LDAP 目錄
您在 LDAP 組態中設定的任何屬性,都將成為 Tableau 中的系統使用者名稱,例如 "cn"。對個別使用者匯入和群組同步功能而言,也是如此。請參閱外部識別身分存放區設定參考資料。
登入時的使用者繫結行為
您可能需要更新 LDAP 設定以允許繫結附加有 DN 的使用者名稱。具體而言,當 Tableau Server 設定有任意 LDAP 目錄時,將需要更新 LDAP 設定。(例如 OpenLDAP)使用 UPN 或電子郵件位址作為使用者名稱。
Tableau Server 將根據登入期間提供的使用者名稱搜尋給定使用者。然後,Tableau Server 將嘗試繫結附加有 DN 的使用者名稱。如果 Tableau Server 已設定有 GSSAPI,則將使用 username@REALM(網域名稱)。
Active Directory
本主題的其餘內容假定您熟悉 Active Directory 使用者管理和 Active Directory 的基本架構和網域概念。
如果您要安裝在 Active Directory,則必須在已加入 Active Directory 網域的電腦上安裝 Tableau Server。
附註:在使用者和群組同步的情況下,使用 LDAP 識別身分存放區設定的 Tableau Server 與 Active Directory 等效。Tableau Server 中的 Active Directory 同步功能可以無縫地與正確設定的 LDAP 目錄解決方案配合使用。
Active Directory 使用者驗證和 Tableau Server
Tableau Server 將所有使用者名存儲在 Tableau Server 識別身分存放區中,識別身分存放區由存放庫進行管理。如果 Tableau Server 設定為使用 Active Directory 進行驗證,則您必須首先將使用者識別從 Active Directory 匯入到識別身分存放區。當使用者登入到 Tableau Server 時,他們的認證會傳遞到 Active Directory,後者負責對使用者進行驗證;Tableau Server 不執行此驗證。(預設情況下使用 NTLM 進行驗證,但您可以針對單一登入功能啟用 Kerberos 或 SAML - 然而,在所有這些情況下,驗證留給 Active Directory 去做。然而,儲存在識別身分存放區中的 Tableau 使用者名稱與 Tableau Server 的權限相關聯。因此,確認驗證後,Tableau Server 會管理使用者的 Tableau 資源存取權限(授權)。
Active Directory 使用者名屬性和 Tableau Server
Active Directory 使用一些屬性唯一識別使用者物件。(有關詳情,請參閱 MSDN 網站上的使用者命名屬性(連結在新視窗開啟)。)Tableau Server 依賴於兩個 Active Directory 使用者命名屬性:
sAMAccountName
。此屬性指定最初設計用於舊版本 Windows 的登入名稱。在許多組織中,此名稱與 NetBIOS 名稱結合起來進行驗證,使用的格式如example\jsmith
,example
是 NetBIOS 名稱,而jsmith
是sAMAccountName
值。由於 Windows 中原始設計的緣故,sAMAccountName
值必須小於 20 個字元。在 Windows [Active Directory 使用者和電腦] 管理主控台中,此值在使用者物件的 [帳戶] 索引標籤上標記為 [使用者登入名(Windows 2000 之前)] 的欄位中。
userPrincipalName
(UPN)。此屬性使用jsmith@example.com
格式指定使用者名,其中jsmith
是 UPN 首碼,@example.com
是 UPN 尾碼。在 Windows [Active Directory 使用者和電腦] 管理主控台中,UPN 是使用者物件的 [帳戶] 索引標籤上級聯的以下兩個欄位: [使用者登入名] 欄位以及它旁邊的下拉清單域。
從 Active Directory 中新增使用者
透過在伺服器環境中鍵入使用者,或建立一個 CSV 檔案並匯入使用者,您可以從 Active Directory 中單獨新增使用者。透過 Active Directory 建立群組並匯入所有群組使用者,您也可以新增 Active Directory 使用者。結果可能會根據所使用的方法而有所不同。
匯入 UPN 首碼做為使用者名稱
不能將整個 UPN 作為使用者名稱匯入。
在大多數情況下,Tableau Server 要匯入身份識別的使用者名稱是 sAMAccountName 值。有關此行為例外狀況的詳細資訊,請參閱 Tableau 知識庫中的在使用 Active Directory 的非標準情境中將 UPN 首碼作為使用者名稱匯入(連結在新視窗開啟)。
新增使用者群組
如果您匯入 Active Directory 使用者群組,Tableau 將使用 sAMAccountName
匯入群組中的所有使用者。
從 Active Directory 中移除使用者時的同步行為
無法透過 Active Directory 同步操作從 Tableau Server 中自動移除使用者。在 Active Directory 中從群組中停用、刪除或移除的使用者保留在 Tableau Server 上,因此,您可在完全移除使用者的帳戶之前審核和重新指派使用者的內容。
但是,Tableau Server 處理使用者物件的方式將因 Active Directory 中使用者物件狀態的變化方式而有所不同。有兩種情形:在 Active Directory 中刪除/停用使用者,或者從 Active Directory 的同步群組中移除使用者。
在 Active Directory 中刪除或停用使用者,然後在 Tableau Server 上同步該使用者所在的群組時,將發生以下情況:
- 從您同步的 Tableau Server 群組中移除該使用者。
- 使用者的角色設定為 [未授權] 。
- 使用者仍將屬於 [所有使用者] 群組。
- 使用者無法登入到 Tableau Server。
從 Active Directory 的群組中移除使用者,然後在 Tableau Server 上同步該群組時,將發生以下情況:
- 從您同步的 Tableau Server 群組中移除該使用者。
- 使用者角色將保留:不會設定為 [未授權] 。
- 使用者仍將屬於 [所有使用者] 群組。
- 使用者仍然具有 Tableau Server 的權限,可以存取 [所有使用者] 群組已獲授權使用的所有內容。
在這兩種情況下,若要從 Tableau Server 中移除使用者,伺服器管理員都必須從 Tableau Server 的 [伺服器使用者] 頁中刪除使用者。
域昵稱
在 Tableau Server 中,域昵稱相當於 Windows NetBIOS 網域名稱。在 Windows Active Directory 林中,完全限定的網域名稱 (FQDN) 可能具有任意的 NetBIOS 名稱。當使用者登入到 Active Directory 時,NetBIOS 名稱會用作域識別字。
例如,可以為 FQDN west.na.corp.lan
設定 NetBIOS 名稱(昵稱)SEATTLE
。該域中的使用者 jsmith
可以使用以下任何一個使用者名登入到 Windows:
west.na.corp.example.com\jsmith
SEATTLE\jsmith
如果您希望使用者使用 NetBIOS 名稱而不是 FQDN 登入到 Tableau Server,則將需要為設定使用者登入名所在的每個域驗證昵稱值。有關如何檢視和設定每個域的昵稱值的資訊,請參閱 editdomain。
支援多個域
在以下情況下,可以從不同於 Tableau Server 電腦網域的網域中新增使用者和群組:
在伺服器域和使用者域之間建立了雙向信任。
伺服器的網域信任使用者的網域(單向信任)。請參閱Active Directory 部署的網域信任需求。
第一次從非伺服器網域新增使用者或群組時,必須使用使用者/群組名稱指定完整網域名稱。從該網域新增的任何其他使用者或群組都可以使用該網域的暱稱新增,前提是該暱稱與 NetBIOS 名稱相符。如果 Tableau Server 連線到多個網域,您也必須藉由透過 TSM 設定 wgserver.domain.whitelist
(版本 2020.3 和更低版本)或 wgserver.domain.accept_list
(版本 2020.4 和更高版本)選項,指定 Tableau Server 要連線到的其他網域。有關詳情,請參閱 wgserver.domain.whitelist 或 wgserver.domain.accept_list。
重複的顯示名稱
如果使用者顯示名稱在多個域中不唯一,則在 Tableau 中使用相同的顯示名稱管理使用者可能會造成混淆。Tableau Server 將顯示兩個使用者的相同名稱。例如,假設某個組織有兩個域:example.lan 和 example2.lan。如果這兩個域中都有使用者 John Smith,則將該使用者新增到群組和其他管理工作將在 Tableau Server 中造成混淆。在這種情形下,請考慮在 Active Directory 中為其中一個使用者更新顯示名稱以區分帳戶。
使用 NetBIOS 名稱登入到 Tableau Server
使用者可以使用域昵稱(NetBIOS 名稱)登入到 Tableau Server,例如使用 SEATTLE\jsmith
。
Tableau Server 無法查詢給定 FQDN 的 NetBIOS 名稱。因此,Tableau 會根據命名空間中的第一個條目設定給定 FQDN 的昵稱。例如,如果給出 FQDN west.na.corp.lan
,Tableau 會將昵稱設定為 west
。
因此,在使用者使用昵稱登入之前,您可能需要在 Tableau Server 上更新域昵稱。如果您不更新昵稱,使用者將必須使用完全限定的網域名稱進行登入。有關詳情,請參閱 Tableau 知識庫中的新域中的使用者無法登入並且不會出現在使用者清單中(連結在新視窗開啟)。