使用外部身份存储的部署中的用户管理
- 版本 :2022.1 及更高版本
本主题介绍重要的技术细节,如果您使用外部身份存储为 Tableau Server 管理用户,您应该熟悉这些细节。Tableau Server 支持使用 LDAP 连接到外部目录。在这种情况下,Tableau Server 会将用户作为系统用户从外部 LDAP 目录导入 Tableau Server 存储库。
本主题介绍重要的技术细节,如果您使用外部身份存储为 Tableau Server 管理用户,您应该熟悉这些细节。Tableau Server 支持使用 LDAP 连接到外部目录。在这种情况下,Tableau Server 会将用户作为系统用户从外部 LDAP 目录导入 Tableau Server 存储库。
任意 LDAP 目录
Tableau 中的系统用户名是您在 LDAP 配置过程中设置的任何属性,例如“cn”。对于单个用户导入和组同步功能,情况都是如此。请参见外部身份识存储配置参考。
登录时的用户绑定行为
您可能需要更新 LDAP 配置以允许绑定附加有 DN 的用户名。具体而言,当 Tableau Server 配置有任意 LDAP 目录时,您将需要更新 LDAP 配置。(例如,OpenLDAP)使用 UPN 或电子邮件地址作为用户名。
Tableau Server 将根据登录期间提供的用户名搜索给定用户。然后,Tableau Server 将尝试绑定附加有 DN 的用户名。如果 Tableau Server 配置有 GSSAPI,则将使用 username@REALM(域名)。
Active Directory
本主题其余部分中内容假定您熟悉 Active Directory 用户管理和 Active Directory 的基本架构和域概念。
注意:在用户和组同步的情况下,使用 LDAP 标识存储配置的 Tableau Server 与 Active Directory 等效。Tableau Server 中的 Active Directory 同步功能可以无缝地与正确配置的 LDAP 目录解决方案配合使用。
Active Directory 用户身份验证和 Tableau Server
Tableau Server 将所有用户名存储在 Tableau Server 身份存储中,身份存储由存储库进行管理。如果 Tableau Server 配置为使用 Active Directory 进行身份验证,则您必须首先将用户标识从 Active Directory 导入到标识存储。当用户登录到 Tableau Server 时,他们的凭据会传递到 Active Directory,后者负责对用户进行身份验证;Tableau Server 不执行此身份验证。(默认情况下使用 NTLM 进行身份验证,但您可以针对单点登录功能启用 Kerberos 或 SAML - 然而,在所有这些情况下,身份验证留给 Active Directory 去做。)然而,存储在标识存储中的 Tableau 用户名与 Tableau Server 的权限相关联。因此,确认身份验证后,Tableau Server 会管理用户的 Tableau 资源访问权限(授权)。
Active Directory 用户名属性和 Tableau Server
Active Directory 使用一些属性唯一标识用户对象。(有关详细信息,请参见 MSDN 网站上的用户命名属性。)Tableau Server 依赖于两个 Active Directory 用户命名属性:
sAMAccountName
。此属性指定的登录名称最初适用于 Windows 的旧版本。在许多组织中,此名称结合 NetBIOS 名称使用像example\jsmith
之类的格式进行身份验证,其中example
是 NetBIOS 名称,jsmith
是sAMAccountName
值。由于 Windows 中原始设计的缘故,sAMAccountName
值必须小于 20 个字符。在 Windows“Active Directory 用户和计算机”管理控制台中,此值在用户对象的“帐户”选项卡上标记为“用户登录名(Windows 2000 之前)”的字段中。
userPrincipalName
(UPN)。此属性使用jsmith@example.com
格式指定用户名,其中jsmith
是 UPN 前缀,@example.com
是 UPN 后缀。在 Windows“Active Directory 用户和计算机”管理控制台中,UPN 是用户对象的“帐户”选项卡上级联的以下两个字段:“用户登录名”字段以及它旁边的下拉列表域。
从 Active Directory 中添加用户
通过在服务器环境中键入用户,或创建一个 CSV 文件并导入用户,您可以从 Active Directory 中单独添加用户。通过 Active Directory 创建组并导入所有组用户,您也可以添加 Active Directory 用户。结果可能会根据所使用的方法而有所不同。
将 UPN 前缀作为用户名导入
Tableau Server 将导入到标识存储的用户名将是 sAMAccountName 值,除非下列条件之一成立:
如果指定的用户的 UPN 前缀超过 20 个字符,并且搜索字符串与完整 UPN 匹配,且是使用 Windows 登录名格式(域\UPN)输入的。
考虑具有以下 Active Directory 属性的用户:
若要导入此用户,以便将 UPN 前缀 (
jsmith123456789012345
) 用作 Tableau Server 用户名,请在导入用户时指定此搜索字符串:example.lan\jsmith123456789012345@example.lan
(若要导入此用户以便使用 sAMAccountName,只需在导入时指定
jsmith
)。UPN:
jsmith123456789012345@example.lan
sAMAccountName:
jsmith
如果指定的用户名在 UPN 前缀中包括
@
符号 (jsmith@domain
),并且您输入的搜索字符串要么采用 Windows 域登录名格式 (example.lan\jsmith@domain
),要么是完整的 UPN。考虑具有以下 Active Directory 属性的用户:
若要导入此用户,以便将 UPN 前缀 (jsmith@domain) 用作 Tableau Server 用户名,请在导入用户时指定以下搜索字符串之一:
(若要导入此用户以便使用 sAMAccountName,只需在导入时指定
jsmith
)。example.lan\jsmith@domain
jsmith@domain@example.lan
UPN:
jsmith@domain@example.lan
(在这种情况下,UPN 前缀是jsmith@domain
,UPN 后缀是example.lan
)sAMAccountName:
jsmith
如果无意中使用 UPN 名称导入了用户名,则可以删除 Tableau Server 中的帐户,然后使用用户名的 sAMAccountName
值重新导入那些帐户,如 Windows“Active Directory 用户和计算机”管理控制台内的“用户登录名(Windows 2000 之前)”中所示。
在所有情况下,“Tableau Server 用户”页面将仅显示带有 UPN 前缀的用户名。完整 UPN 不会显示在“Tableau Server 用户”页面中。
添加用户组
如果您导入 Active Directory 用户组,Tableau 将使用 sAMAccountName
导入组中的所有用户。
从 Active Directory 中移除用户时的同步行为
无法通过 Active Directory 同步操作从 Tableau Server 中自动移除用户。在 Active Directory 中从组中禁用、删除或移除的用户保留在 Tableau Server 上,因此,您可在完全移除用户的帐户之前审核和重新分配用户的内容。
但是,Tableau Server 处理用户对象的方式将因 Active Directory 中用户对象状态的变化方式而有所不同。有两种情形:在 Active Directory 中删除/禁用用户,或者从 Active Directory 的同步组中移除用户。
在 Active Directory 中删除或禁用用户,然后在 Tableau Server 上同步该用户所在的组时,将发生以下情况:
从您同步的 Tableau Server 组中移除该用户。
用户的角色设置为“未许可”。
用户仍将属于“所有用户”组。
用户无法登录到 Tableau Server。
从 Active Directory 的组中移除用户,然后在 Tableau Server 上同步该组时,将发生以下情况:
从您同步的 Tableau Server 组中移除该用户。
用户角色将保留:不会设置为“未许可”。
用户仍将属于“所有用户”组。
用户仍然具有 Tableau Server 的权限,可以访问“所有用户”组已获授权使用的所有内容。
在这两种情况下,若要从 Tableau Server 中移除用户,服务器管理员都必须从 Tableau Server 的“服务器用户”页中删除用户。
域昵称
在 Tableau Server 中,域昵称相当于 Windows NetBIOS 域名。在 Windows Active Directory 林中,完全限定的域名 (FQDN) 可能具有任意的 NetBIOS 名称。当用户登录到 Active Directory 时,NetBIOS 名称会用作域标识符。
例如,可以为 FQDN west.na.corp.lan
配置 NetBIOS 名称(昵称)SEATTLE
。该域中的用户 jsmith
可以使用以下任何一个用户名登录到 Windows:
west.na.corp.example.com\jsmith
SEATTLE\jsmith
如果您希望用户使用 NetBIOS 名称而不是 FQDN 登录到 Tableau Server,则将需要为设置用户登录名所在的每个域验证昵称值。有关如何查看和设置每个域的昵称值的信息,请参阅 editdomain。
支持多个域
在以下情况下,您可以从不同 Tableau Server 计算机域的域中添加用户和组:
在服务器域和用户域之间建立了双向信任。
服务器的域信任用户的域(单向信任)。请参见Active Directory 部署的域信任要求。
首次从非服务器域添加用户或组时,您必须对用户/组名称必须指定完全限定域名。可以使用域昵称添加从该域添加的任何其他用户或组,前提是此昵称与 NetBIOS 名称匹配。如果 Tableau Server 连接到多个域,则还必须通过使用 TSM 设置 wgserver.domain.whitelist
(版本 2020.3 及更低版本)或 wgserver.domain.accept_list
(版本 2020.4 及更高版本)选项来指定 Tableau Server 连接到的其他域。有关详细信息,请参见 wgserver.domain.whitelist 或 wgserver.domain.accept_list。
重复的显示名称
如果用户显示名称在多个域中不唯一,则在 Tableau 中使用相同的显示名称管理用户可能会造成混淆。Tableau Server 将显示两个用户的相同名称。例如,假设某个组织有两个域:example.lan 和 example2.lan。如果这两个域中都有用户 John Smith,则将该用户添加到组和其他管理任务将在 Tableau Server 中造成混淆。在这种情形下,请考虑在 Active Directory 中为其中一个用户更新显示名称以区分帐户。
使用 NetBIOS 名称登录到 Tableau Server
用户可以使用域昵称(NetBIOS 名称)登录到 Tableau Server,例如使用 SEATTLE\jsmith
。
Tableau Server 无法查询给定 FQDN 的 NetBIOS 名称。因此,Tableau 会根据命名空间中的第一个条目设置给定 FQDN 的昵称。例如,如果给出 FQDN west.na.corp.lan
,Tableau 会将昵称设置为 west
。
因此,在用户使用昵称登录之前,您可能需要在 Tableau Server 上更新域昵称。如果您不更新昵称,用户将必须使用完全限定的域名进行登录。有关详细信息,请参见 Tableau 知识库中的新域中的用户无法登录并且不会出现在用户列表中。