关于身份迁移
- 版本 :2022.1 及更高版本
从版本 2022.1 开始,Tableau Server 使用身份服务存储和管理身份信息。借助身份服务,Tableau Server 使用更现代、更安全且不可变的身份结构进行用户预置和身份验证过程。
从版本 2022.1 开始,Tableau Server 使用身份服务存储和管理身份信息。借助身份服务,Tableau Server 使用更现代、更安全且不可变的身份结构进行用户预置和身份验证过程。
默认情况下,Tableau Server 2022.1(及更高版本)的所有新部署都使用身份服务,无需您执行任何其他操作。将新用户添加到 Tableau Server 时,将使用默认身份服务。
对于现有部署,如果将 Tableau Server 升级到版本 2022.1(或更高版本)并还原 Tableau 2021.4(或更低版本)的备份,则会在 Tableau Server 升级后启动身份迁移以填充新的身份服务。身份迁移为所有 Tableau Server 用户填充补充“身份服务”表,然后使用这些表通过身份服务对用户进行身份验证。迁移在后台运行,不会中断或干扰用户对 Tableau Server 的使用。
作为管理员,您可以通过 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面来监控和管理迁移,包括更改迁移运行的时间或解决任何潜在的迁移冲突。此页面在迁移过程中可用。
现有部署的步骤摘要
对于现有部署,您必须将 Tableau Server 配置为在迁移完成后使用身份服务,以利用身份结构改进以及未来的安全和功能更新。
关键术语
身份服务 - Tableau Server 2022.1(及更高版本)中的一项服务,负责管理用户身份,包括身份验证和预置。该服务使用身份架构,其中用户身份由“身份服务”表和旧版“system_users”表表示。
旧版身份存储模式 - Tableau Server 2021.4(及更低版本)使用的有限身份架构,其中用户身份仅由旧版“system_users”表表示。
身份迁移 - 评估现有 Tableau Server 系统用户、查询上游外部身份存储以获取其他身份信息(视情况而定)并将该附加身份信息导入身份服务的审核过程。
外部身份存储 - Tableau Server 外部和上游的身份存储类型,所有身份信息都由外部目录服务(Active Directory (AD) 或 LDAP)存储和管理。如果已配置,Tableau Server 会同步到外部目录,以便身份信息的副本存在于 Tableau Server 中。
本地身份存储 - Tableau Server 提供的身份存储类型。如果已配置,Tableau Server 将在 Tableau Server 存储库中存储和管理身份信息,而无需为此信息配置的任何外部目录。
系统用户 - Tableau Server 用户。用户对应于身份服务(通过“system_users_identities”表)和旧版身份存储模式中的登录记录(“system_users”)。“System_users”记录可能具有与其关联的多个用户身份,并且可以登录到多个站点。“system_user”记录和站点之间的链接是在“users”表中定义的。
身份迁移的目的
创建 Tableau Server 备份时,身份信息保存在为其创建备份的 Tableau Server 版本所使用的身份架构中。迁移对于将身份信息从备份中使用的身份架构填充到身份服务使用的身份架构是必要的。
Tableau Server 2021.4 及更低版本的身份架构
旧版身份存储模式使用的身份架构由两个表组成:“system_users”和“domains”。
Tableau Server 2022.1 及更高版本的身份架构
身份服务使用的身份架构包括捕获更多身份信息的旧版“system_users”表,以及补充“身份服务”表(*_identity_stores 和 *identities)。附加表有助于减少外部身份存储的上游更改可能导致的问题。
身份迁移期间会发生什么
当迁移有关用户身份的信息时,存储在旧版“system_users”表中的身份信息将由“身份服务”表进行补充。
补充身份信息的“身份服务”表的类型取决于为 Tableau Server 配置的身份存储类型:本地、Active Directory (AD) 或轻量级目录访问协议 (LDAP)。
对于 AD 身份存储类型,“身份服务”表仅继承明确的属性或未存储在同一数据库记录中的属性。
例如,sAMAccountNAme 和 userPrincipalName (UPN) 可以存储在旧版“systems_users”表的相同名称记录中,这可能是一系列复杂规则的结果。在大多数情况下,迁移能够正确解释并成功迁移用户身份。但是,如果迁移产生不明确的结果,您必须手动确认不明确之处,或使用专用的“身份迁移”页面手动解决冲突。有关详细信息,请参见解决身份迁移冲突。
对于 LDAP 身份存储类型,如 AD 身份存储类型,“身份服务”表仅继承明确的属性。在大多数情况下,迁移能够正确解释并成功迁移用户身份。但是,如果迁移产生不明确的结果,您必须手动确认不明确之处,或使用专用的“身份迁移”页面手动解决冲突。有关详细信息,请参见解决身份迁移冲突。
对于本地身份存储类型,“身份服务”表直接继承用户和域字段。这意味着,您无需提供其他信息或进行手动解决。为这种类型的身份存储配置 Tableau Server 时,用户身份的迁移会在 Tableau Server 备份还原过程之后发生。
步骤 1:开始身份迁移
在大多数情况下,身份迁移会在您不进行任何操作的情况下启动。但是,根据您的 Tableau Server 升级方法,需要一些额外的步骤才能启动迁移。
如果您使用此处描述的方法对 Tableau Server 进行“就地”单服务器或多节点升级,则您无需执行其他步骤即可启动迁移。迁移在 Tableau Server 升级到版本 2022.1(或更高版本)完成后启动。
跳到步骤 2。
如果您通过以下方式手动升级 Tableau Server:1) 在新计算机上安装 Tableau Server,然后 2) 使用 tsm settings(导出和导入)命令导出和导入配置和拓扑信息,您也无需执行其他步骤即可启动迁移。迁移在新 Tableau Server 计算机上完成导入过程后启动。
跳到步骤 2。
如果您通过以下方式执行蓝/绿升级或手动升级 Tableau Server:1) 在新计算机上安装 Tableau Server,然后 2) 使用 tsm maintenance(备份和还原)命令备份和还原 Tableau Server,则需要采取一些额外的步骤来启动迁移。
有关后续步骤,请参见对身份迁移问题进行故障排除。
注意:我们强烈建议您按照下面的步骤 2 和步骤 3 允许完成迁移并将 Tableau Server 配置为使用身份服务。尽管您可以延迟迁移,但它将在未来的版本中强制执行,以确保您拥有最新的安全和功能更新。
步骤 2:完成身份迁移
若要完成身份迁移,必须先解决或确认所有身份冲突,然后才能为 Tableau Server 启用身份服务。
以管理员身份登录到 Tableau Server。
从左侧导航窗格中,选择“用户”(或者,对于多站点 Tableau Server,选择“所有站点”>“用户”),然后单击“身份迁移”页面以验证迁移是否已开始。
您可以使用 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面来监控和管理其进度。有关详细信息,请参见管理身份迁移。
如解决身份迁移冲突中所述,解决或确认所有身份冲突。
执行以下操作之一:
若要立即运行身份迁移作业,请单击“迁移概述”标题旁边的“编辑计划”下拉箭头,然后选择“立即运行”。
或者,您可以等待迁移作业在下一个计划的时间运行。
迁移完成后,从“身份迁移”页面中验证“迁移概述”是否显示“100% 完成”。
步骤 3:将 Tableau Server 配置为使用身份服务
身份迁移完成后,将 Tableau Server 配置为使用身份服务,以确保用户预置和身份验证过程的身份结构更加安全且不可变。
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
运行以下命令:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
在 Tableau Server 配置为使用身份服务后,当用户登录到 Tableau Server 时,Tableau Server 会使用他们在配置的身份存储中的标识符来搜索他们的用户身份。从标识符中,将返回通用唯一标识符 (UUID) 并用于匹配现有 Tableau Server 用户身份。然后,此过程为用户生成会话并完成身份验证工作流程。
此部分中的其他文章
作为管理员,您可以通过 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面监控和管理身份迁移,包括更改迁移作业的运行时间。此页面在迁移过程中可用。
迁移作业设计为在后台运行,而不会中断或干扰 Tableau Server 的使用。但是,如果需要,您可以进行调整以影响迁移作业的运行频率、迁移作业的运行时间以及迁移作业的运行时长。
通常,迁移可能需要 3 分钟到 10 天不等,具体取决于 Tableau Server 部署的大小以及您在迁移期间对默认设置所做的任何更改。举例来说,如果您有 10,000 个用户,则迁移可能需要大约 30 分钟。
注意:在迁移作业运行时,所有身份验证和与用户相关的功能都正常工作。
管理身份迁移作业
您可以管理身份迁移的以下方面。
解决身份冲突
更改每日迁移作业计划
启动迁移作业
暂停身份迁移
重新启动身份迁移
更改身份迁移设置
为了减少身份迁移可能对您的 Tableau Server 造成的任何潜在压力,迁移配置为使用下面列出的默认设置运行。
迁移设置
类型 | tsm 命令 | 默认 |
作业计划 | (可通过“身份迁移”页面配置,请参见上面的更改每日迁移作业计划) | 每天凌晨 3:00,直到完成 |
每秒用户身份请求数(速率) | tsm authentication identity-migration configure –rate | 最多 5 个 |
单个作业运行时间 | tsm authentication identity-migration configure –job-run-time | 120 分钟 |
如果需要,您可以使用 tsm authentication identity-migration
命令,使用以下步骤更改上面列出的迁移设置。
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
运行
tsm authentication identity-migration
中描述的一个或两个命令。例如,若要更改单个作业的运行时间和速率的默认值,您可以运行以下命令:
tsm authentication identity-migration configure -job-run-time 180 -rate 3
完成身份迁移并配置身份服务
在解决所有用户冲突并运行迁移作业后,您必须将 Tableau Server 配置为使用身份服务来完成身份迁移过程。
步骤 1:验证并完成身份迁移
以管理员身份登录到 Tableau Server。
从左侧导航窗格中,选择“用户”(或者,对于多站点 Tableau Server,选择“所有站点”>“用户”),然后单击“身份迁移”页面以验证迁移是否已开始。
您可以使用 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面来监控和管理其进度。有关详细信息,请参见管理身份迁移。
如解决身份迁移冲突中所述,解决或确认所有身份冲突。
执行以下操作之一:
若要立即运行身份迁移作业,请单击“迁移概述”标题旁边的“编辑计划”下拉箭头,然后选择“立即运行”。
或者,您可以等待迁移作业在下一个计划的时间运行。
迁移完成后,从“身份迁移”页面中验证“迁移概述”是否显示“100% 完成”。
步骤 2:将 Tableau Server 配置为使用身份服务
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
运行以下命令:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
在 Tableau Server 配置为使用身份服务后,当用户登录到 Tableau Server 时,Tableau Server 会使用他们在配置的身份存储中的标识符来搜索他们的用户身份。从标识符中,将返回通用唯一标识符 (UUID) 并用于匹配现有 Tableau Server 用户身份。然后,此过程为用户生成会话并完成身份验证工作流程。
在身份迁移期间,Tableau Server 可能会遇到某些无法迁移以使用身份服务的用户身份。当用户身份无法迁移时,它们会成为身份冲突,需要您(管理员)手动解决。
为确保正确迁移用户身份,您必须先解决所有身份冲突,然后才能使用专用的“身份迁移”页面完成身份迁移。
步骤 1:解决身份冲突
根据冲突类型,您可以通过几种方式解决身份冲突。无论冲突类型如何,都必须先解决所有用户身份,然后才能继续执行下面的步骤 2和完成身份迁移过程。
当身份冲突发生时,身份迁移会将冲突分组为各种类型。这些类型有助于缩小迁移无法自动迁移用户身份的原因范围。
可能发生身份冲突的原因有几个。例如,当迁移识别出与外部身份存储中的多个用户身份匹配的 Tableau Server 用户时,您可能会看到身份冲突。
当识别出身份冲突时,您可以使用以下选项之一解决冲突:
重试迁移 - 此选项将选定的用户身份移回队列中以便再次迁移。迁移作业再次运行后,身份冲突可能会自行解决,可能会再次发生原始身份冲突,也可能会发生新的身份冲突。
确认 - 此选项将选定的用户身份转移到“已确认”选项卡。当您确认用户身份时,您了解 1) 这些用户在身份存储中没有匹配的用户身份,因此不会被迁移,并且 2) 当您在下面的步骤 3中启用身份服务后,这些用户将无法登录到 Tableau Server。
重新评估 - 当冲突已被确认时,此选项会从“已确认”选项卡中将选定的用户身份移回其冲突状态。此选项使您有机会查看原始冲突、解决冲突或再次确认身份冲突。
快速参考:身份冲突
冲突类型 | 适用于配置 | 冲突原因 | 操作 |
所有故障 | 所有 | 此选项卡捕获分类在“无匹配”、“不明确”、“重复”、“非本地”和“未知”选项卡中的所有身份冲突。 | “重试迁移”或“确认” |
无匹配 | AD、LDAP | 用户身份在外部身份存储中没有匹配的用户。 | “重试迁移”或“确认” |
不明确 | AD、LDAP | 对于指定的用户身份,外部身份存储中有多个可能的匹配项。 | “重试迁移”、“确认”或选择建议的用户身份之一 |
重复 | AD | 使用一个 AD 帐户创建了两个用户身份。这是身份服务不支持的遗留功能的产物。 | “重试迁移”或“确认” |
非本地 | 本地 | 与非本地身份存储关联的用户身份。发生此冲突是因为进行了不受支持的手动更改。 | “重试迁移”或“确认” |
未知 | 所有 | 此冲突可能表示内部 Tableau Server 错误,或由未在此表中列出的原因引起的身份冲突。 | “重试迁移”或“确认” |
已确认 | 所有 | 此选项卡捕获将不会迁移的所有用户身份。在 Tableau Server 配置为使用身份服务后,这些用户将无法登录到 Tableau Server。 | “重试迁移”或“确认” |
为了解决冲突,请执行下面的步骤。
以管理员身份登录到 Tableau Server。
从左侧导航窗格中,选择“用户”(或者,对于多站点 Tableau Server,选择“所有站点”>“用户”),然后单击“身份迁移”页面。
在“所有故障”选项卡或特定冲突选项卡之一中选择一个或多个用户身份。
从“操作”下拉菜单中,单击“重试迁移”或“确认”。如果您选择“重试迁移”,则用户身份可能会生成不同的冲突类型。在这种情况下,请根据需要解决冲突。
步骤 2:完成身份迁移
若要完成身份迁移,除了要解决所有身份冲突之外,还必须运行所有迁移作业,然后才能为 Tableau Server 启用身份服务。
执行以下操作之一:
若要立即运行身份迁移作业,请单击“迁移概述”标题旁边的“编辑计划”下拉箭头,然后选择“立即运行”。
或者,您可以等待迁移在下一个计划的时间运行。
在“身份迁移”页面中,验证“迁移概述”是否显示“100% 完成”。
步骤 3:将 Tableau Server 配置为使用身份服务
身份迁移完成后,将 Tableau Server 配置为使用身份服务,以确保用户预置和身份验证过程的身份结构更加安全且不可变。
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
运行以下命令:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
在 Tableau Server 配置为使用身份服务后,当用户登录到 Tableau Server 时,Tableau Server 会使用他们在配置的身份存储中的标识符来搜索他们的用户身份。从标识符中,将返回通用唯一标识符 (UUID) 并用于匹配现有 Tableau Server 用户身份。然后,此过程为用户生成会话并完成身份验证工作流程。
无法还原备份
升级到 Tableau Server 2022.1(或更高版本)后,还原 Tableau Server 备份会导致以下错误:
“The backup cannot be restored because Tableau Server uses the new identity service tables by default.”(无法还原备份,因为 Tableau Server 默认使用新的身份服务表。)
出现此问题的原因是 Tableau Server 需要运行身份迁移。迁移是填充身份服务所必需的,身份服务是 Tableau Server 2022.1(及更高版本)用于预置和验证用户的身份架构。为防止出现任何潜在问题,当 Tableau Server 检测到 Tableau Server 备份使用与 Tableau Server 2022.1(或更高版本)不同的身份架构时,升级过程将无法继续。
为了解决此问题,请执行下面描述的步骤。
步骤 1:启用 legacy-idenity-mode
并还原备份
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
通过运行以下命令,将 Tableau Server 2022.1(或更高版本)设置为使用旧版身份存储模式:
tsm authentication legacy-identity-mode enable
tsm pending-changes apply
Tableau Server 必须使用旧版身份存储模式来填充身份服务。有关 tsm 命令的详细信息,请参见
tsm authentication legacy-identity-mode
。通过运行以下命令再次还原备份以启动迁移:
tsm restore
tsm pending-changes apply
重要信息:备份还原后,迁移会使用身份信息填充身份服务。
步骤 2:验证并完成身份迁移
以管理员身份登录到 Tableau Server。
从左侧导航窗格中,选择“用户”(或者,对于多站点 Tableau Server,选择“所有站点”>“用户”),然后单击“身份迁移”页面以验证迁移是否已开始。
您可以使用 Tableau Server 的“用户”页面中提供的专用“身份迁移”页面来监控和管理其进度。有关详细信息,请参见管理身份迁移。
如解决身份迁移冲突中所述,解决或确认所有身份冲突。
执行以下操作之一:
若要立即运行身份迁移作业,请单击“迁移概述”标题旁边的“编辑计划”下拉箭头,然后选择“立即运行”。
或者,您可以等待迁移作业在下一个计划的时间运行。
迁移完成后,从“身份迁移”页面中验证“迁移概述”是否显示“100% 完成”。
步骤 3:将 Tableau Server 配置为使用身份服务
在群集中的初始节点(安装了 TSM 的节点)上以管理员身份打开命令提示符。
运行以下命令:
tsm authentication legacy-identity-mode disable
tsm pending-changes apply
在 Tableau Server 配置为使用身份服务后,当用户登录到 Tableau Server 时,Tableau Server 会使用他们在配置的身份存储中的标识符来搜索他们的用户身份。从标识符中,将返回通用唯一标识符 (UUID) 并用于匹配现有 Tableau Server 用户身份。然后,此过程为用户生成会话并完成身份验证工作流程。
“身份迁移”页面上的“意外错误”
从“身份迁移”页面解析或确认所有用户身份后,您会看到“意外错误”消息。当您尝试一次解析或确认超过 1000 个用户身份时,可能会显示此消息。
若要解决此问题,请选择并解析或确认 1000 个或更少的用户身份,然后重试。
有关管理身份冲突的详细信息,请参见解决身份迁移冲突。
恢复身份迁移
如果存在您认为是由身份服务引起的问题,例如某些用户无法登录 Tableau Server,您可以使用 tsm authentication legacy-identity-mode
命令以恢复使用旧版身份存储模式。恢复后,身份迁移后添加的新用户和迁移前只能登录 Tableau Server 的用户都可以登录 Tableau Server,而不会出现任何问题。
从身份服务恢复到旧版身份存储模式后,您可以使用“身份迁移”页面为有问题的用户身份运行迁移。有关管理身份冲突的详细信息,请参见解决身份迁移冲突。