身份存储
- 版本 :2022.1 及更高版本
Tableau Server 需要身份存储来管理用户和组信息。有两种类型的标识存储:本地和外部。安装 Tableau Server 时,必须配置本地身份存储或外部身份存储。
本地标识存储
使用本地身份存储配置 Tableau Server 时,所有用户和组信息都将在 Tableau Server 存储库中存储和管理。在本地标识存储方案中,用户和组没有外部源。
外部标识存储
使用外部存储配置 Tableau Server 时,所有用户和组信息都由外部目录服务存储和管理。Tableau Server 必须与外部身份存储同步,以便用户和组的本地副本存在于 Tableau Server 存储库中,但外部身份存储是所有用户和组数据的权威来源。
如果您已将 Tableau Server 身份存储配置为与外部 LDAP 目录通信,则您添加到 Tableau Server 的所有用户(包括初始管理员帐户)都必须在该目录中拥有一个帐户。
当 Tableau Server 配置为使用外部 LDAP 目录时,您必须首先将用户身份从外部目录作为系统用户导入到 Tableau Server 存储库中。当用户登录到 Tableau Server 时,其凭据将传递到外部目录,该目录负责对用户进行身份验证。Tableau Server 不执行此身份验证。但是,存储在标识存储中的 Tableau 用户名与 Tableau Server 的权限相关联。因此,在验证身份验证后,Tableau Server 将管理用户对 Tableau 资源的访问(授权)。
Active Directory 是外部用户存储的一个示例。Tableau Server 经过优化,可与 Active Directory 交互。例如,当您使用“配置初始节点设置”在已加入域的 Active Directory 计算机上安装 Tableau Server 时,安装程序将检测并配置大多数 Active Directory 设置。另一方面,如果您使用 TSM CLI 安装 Tableau Server,则必须指定所有 Active Directory 设置。在这种情况下,请确保使用 LDAP - Active Directory 模板来配置身份存储。
如果要安装到 Active Directory 中,则必须将 Tableau Server 安装到已加入 Active Directory 域的计算机上。此外,我们建议您在部署之前查看使用外部身份存储的部署中的用户管理。
对于所有其他外部存储,Tableau Server 支持 LDAP 作为传达身份存储的通用方式。例如,OpenLDAP 是具有灵活模式的几种 LDAP 服务器实现之一。可以将 Tableau Server 配置为查询 OpenLDAP 服务器。为此,目录管理员必须提供有关架构的信息。在安装过程中,必须使用“配置初始节点设置”来配置与其他 LDAP 目录的连接。
LDAP 绑定
希望使用 LDAP 查询用户存储的客户端必须进行身份验证并建立会话。这是通过绑定完成的。有多种方法可以绑定。简单绑定是使用用户名和密码进行身份验证。对于使用简单绑定连接到 Tableau Server 的组织,我们建议配置 SSL 加密连接,否则凭据将通过网络以纯文本形式发送。Tableau Server 支持的另一种绑定类型是 GSSAPI 绑定。GSSAPI 使用 Kerberos 进行身份验证。在 Tableau Server 的例子中,Tableau Server 是客户端,外部用户存储是 LDAP 服务器。
LDAP with GSSAPI (Kerberos) bind
我们建议使用密钥表文件通过 GSSAPI 绑定到 LDAP 目录,以向 LDAP 服务器进行身份验证。您将需要一个专门用于 Tableau Server 服务的密钥表文件。我们还建议使用 SSL/TLS 使用 LDAP 服务器对通道进行加密。请参阅配置到 LDAP 外部身份存储的加密通道。
如果您要安装到 Active Directory 中,并且要安装 Tableau Server 的计算机已加入域,则该计算机可能已具有配置文件和 keytab 文件。在这种情况下,Kerberos 文件用于操作系统功能和身份验证。严格来说,您可以将这些文件用于 GSSAPI 绑定,但我们不建议使用它们。相反,请与 Active Directory 管理员联系,并请求专门用于 Tableau Server 服务的密钥表。请参见了解密钥表要求。
Assuming your operating system has a properly configured keytab for authentication to the domain, then the Kerberos keyfile for GSSAPI bind is all you need for the base installation of Tableau Server. If you plan to use Kerberos authentication for users, then configure Kerberos for user authentication and Kerberos delegation to data sources after installation is complete.
LDAP over SSL
By default, LDAP with simple bind to arbitrary LDAP servers is not encrypted. User credentials that are used to establish the bind session with the LDAP server are communicated in plaintext between Tableau Server and the LDAP server. We strongly recommend that you encrypt the channel between Tableau Server and the LDAP server.
If your organization uses an LDAP directory other than Active Directory, see Configure Encrypted Channel to LDAP External Identity Store.
对客户端进行身份验证
Tableau Server 中的基本用户身份验证是通过本地和外部用户存储的用户名和密码登录来实现的。在本地情况下,用户密码作为散列密码存储在存储库中。在外部情况下,Tableau Server 会将凭据传递到外部用户存储,并等待有关凭据是否有效的响应。外部用户存储还可以处理其他类型的身份验证,如 Kerberos 或 SSPI(仅限 Active Directory),但概念仍然相同,Tableau Server 将凭据或用户委派给外部存储并等待响应。
您可以配置 Tableau Server,以便禁用用户名-密码登录。在这些情况下,可以使用其他身份验证方法,例如受信任的身份验证、OpenID 或 SAML。请参阅身份验证。
在某些情况下,您可能需要更新 LDAP 外部目录,以允许使用 Tableau Server 中的用户名 + DN 格式进行绑定操作。请参阅登录时的用户绑定行为。