Provisionar e autenticar usuários usando grupos de identidade
introduzidos no Tableau Server versão 2023.1, os pools de identidade são uma ferramenta de gerenciamento de identidade que usa informações de provisionamento e autenticação para permitir o acesso do usuário ao Tableau Server. Os pools de identidade permitem um fluxo de trabalho de gerenciamento de identidade mais centralizado e flexível, criado no Serviço de identidade(O link abre em nova janela) para repositório e gerenciamento de identidades de usuário no Tableau Server.
Os pools de identidade não substituem o provisionamento de usuário e as configurações de autenticação feitas usando o Tableau Services Manager (TSM) durante a instalação do Tableau Server. Em vez disso, eles são projetados para complementar e oferecer suporte a opções adicionais de provisionamento e autenticação de usuário que você pode precisar em sua organização, especialmente para organizações em que o TSM é configurado com Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP). Os pools de identidade adicionam um método alternativo, após a configuração do Tableau Server, que dá suporte aos administradores do Tableau Server para adicionar usuários, que geralmente são usuários externos, parceiros ou contratados, à sua implantação do Tableau Server.
Os pools de identidades são otimizados para os seguintes casos de uso:
Usuários externos: uma grande organização corporativa que não deseja adicionar usuários externos ao seu AD interno.
Por exemplo, suponha que sua organização tenha dois tipos de funcionários: funcionários regulares e contratados. Seus funcionários regulares são provisionados por meio do Active Directory (AD) com autenticação SAML gerenciada por IdP, Okta. Seus funcionários contratados consistem em usuários que normalmente são associados a um grupo temporário ou fazem parte de outra organização que fornece usuários fora do AD e autentica separadamente. Os pools de identidade podem permitir que você adicione usuários do Tableau Server externos ao seu AD.
Vários repositórios de identidade: uma organização que hospeda aplicativos SaaS que fornece usuários de vários repositórios de identidade.
Por exemplo, suponha que sua organização compartilhe o conteúdo do Tableau com várias organizações externas de um único site. Você pode separar esses usuários usando diferentes pools de identidade configurados com repositórios de identidade local para identificar e gerenciar mais facilmente os usuários de cada organização.
Limites de segurança entre organizações internas: uma organização com várias organizações filhas adquiridas com limites de segurança distintos.
Por exemplo, você pode adicionar usuários da organização recém-adicionada a um pool de identidades configurado com um repositório de identidade local para solucionar as complexidades associadas à combinação de repositórios de identidade.
O que são pools de identidade?
Um pool de identidades tem três componentes principais: um repositórios de identidades para provisionar usuários, autenticação OpenID Connect (OIDC) e usuários atribuídos.
Armazenamento de identidades: o armazenamento de identidades(O link abre em nova janela) que você fornece ou provisiona para seus usuários pode ser um armazenamento de identidade local ou externo.
Se for um armazenamento de identidades local, um pool de identidades pode ser configurado para usar um armazenamento de identidades local novo ou existente. Observação: a autenticação local não é compatível.
Se for um armazenamento de identidades externo, um pool de identidades só poderá usar o mesmo armazenamento de identidades externo (AD ou LDAP) que você configurou no TSM durante a instalação do Tableau Server. Você não pode configurar um pool de identidades para usar um repositório de identidade externo diferente.
As configurações de provisionamento e autenticação feitas no TSM durante a configuração do Tableau Server são chamadas de padrão ou “pool inicial (TSM configurado)”.
Autenticação: o único método de autenticação com suporte para um pool de identidade é OIDC(O link abre em nova janela).
Usuários: para que os usuários entrem no Tableau Server, eles devem ser provenientes do pool inicial (TSM configurado) ou ser membros de pelo menos um pool de identidades.
Quando usar pools de identidades
Como administrador do Tableau Server, você pode usar um pool de identidades para segmentar seus usuários em coortes de identidade com base no local de provisionamento dos usuários e como esses usuários são autenticados no Tableau Server. Embora as configurações de autenticação e repositório de identidade feitas no TSM durante a configuração do Tableau Server, também chamadas de pool inicial (configurado pelo TSM), permaneçam inalteradas, os pools de identidade são configuráveis no Tableau Server.
Observação: no momento, os pools de identidades estão disponíveis apenas para configuração no nível do servidor. Os pools de identidades não podem ter como escopo um site.
Mais sobre pools de identidade
Pool inicial (TSM configurado) versus pools de identidade
Conforme observado acima, a combinação de configurações de provisionamento e autenticação que você faz no TSM durante a configuração do Tableau Server é chamada de “pool inicial (TSM configurado)”. O pool inicial (TSM configurado) é um componente necessário do processo de configuração do Tableau Server e não pode ser modificado.
Um pool de identidades, no entanto, é opcional e você pode criar quantos pools de identidades forem necessários diretamente no Tableau Server.
Os pools de identidades afetam a experiência de login dos usuários
Por padrão, quando nenhum pool de identidades é criado para o Tableau Server, não há alteração na forma como os usuários navegam até a página inicial do Tableau Server e entram no Tableau Server.
Quando um ou mais grupos de identidades são criados, a página inicial do Tableau Server exibe várias opções de login. A opção de login principal é exibida na parte superior da página e é a maneira como os usuários que pertencem ao pool inicial (TSM configurado) podem entrar.
Abaixo da opção de entrada principal estão as opções de entrada secundárias. Cada opção representa um grupo de identidades, exibido na ordem em que foram criados. Os usuários atribuídos a esses grupos devem entrar usando a opção do grupo de identidades ao qual pertencem. Para ajudar a orientar seus usuários para a opção de login correta, considere adicionar uma descrição ao grupo de identidades ao criar um.
Observação: todos os usuários verão todos os pools configurados para o Tableau Server, independentemente de sua associação ao pool.
Nomes de usuário e identificadores no Tableau
Um nome de usuário é a informação que representa o usuário do sistema. Um identificador é usado para complementar as informações de nome de usuário e pode ser usado por armazenamentos de identidade externos como alternativas aos nomes de usuário.
No Tableau, um nome de usuário é um valor imutável usado para entrar no Tableau e os identificadores são valores mutáveis usados na estrutura de identidade do Tableau como uma forma de corresponder os usuários aos seus nomes de usuário. Os identificadores permitem que o Tableau seja mais flexível porque podem se desviar do nome de usuário. Se houver alterações no nome de usuário no armazenamento de identidade externo, os administradores do Tableau Server podem atualizar o identificador para garantir que os usuários correspondam aos nomes de usuário corretos.
Ao adicionar um usuário existente a um grupo de identidades, você pode esperar a capacidade de definir um identificador. Por exemplo, se um usuário existente pertence a um pool de identidade configurado com um armazenamento de identidade local e você deseja adicioná-lo a um pool de identidade configurado com um armazenamento de identidade do AD, solicitamos que você forneça o nome de usuário para pesquisar identificadores associados a esse usuário . Por outro lado, se um usuário existente pertencer a um pool de identidade configurado com um armazenamento de identidade do AD e você quiser adicioná-lo a um pool de identidade configurado com um armazenamento de identidade local, pedimos que você forneça um identificador opcional. Uma exceção a isso é se você deseja adicionar um usuário ao pool inicial (configurado por TSM) que está configurado com um armazenamento de identidade local e autenticação local. Você não poderá definir um identificador para esse usuário.