Entidade identityStore

O Tableau Server exige um repositório de identidades para guardar informações de usuário e de grupo. Consulte os tópicos Autenticação e Repositório de identidades antes de configurar o repositório de identidades pela primeira vez. Após instalar o armazenamento de identidades no Tableau Server, não é possível alterá-lo sem reinstalar o servidor.

Importante: todas as opções de entidade diferenciam maiúsculas de minúsculas.

Antes de começar

Consulte as informações a seguir:

  • Se não for utilizar o repositório de identidades local, usará alguma versão do LDAP. Nesse caso, trabalhe com o administrador de diretório/LDAP para configurar o Tableau Server para os requisitos do esquema LDAP e de associação.

  • A Configuração do Tableau Server está otimizada para o Active Directory. Se você estiver instalando no Active Directory, recomendamos configurar o repositório de identidades com a Configurar as definições do nó inicial.

  • A associação ao LDAP não depende de autenticação do usuário. Por exemplo, é possível configurar o Tableau Server para usar a associação simples para autenticar o diretório LDAP e, em seguida, configurar o Tableau Server para autenticar usuários com o Kerberos após a instalação.

  • Não se conecte ao LDAP com uma associação simples por meio de uma conexão não protegida. Por padrão, o LDAP com associação simples envia dados em cleartext. Use o LDAPS para criptografar o tráfego com uma associação simples. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

  • Para usar a autenticação do Kerberos para associação ao LDAP com o serviço do Tableau Server, precisará de um arquivo keytab para associação GSSAPI, conforme descrito nas seções a seguir. Consulte também Saiba mais sobre os requisitos do Keytab.. No contexto do Kerberos, a associação GSSAPI é tudo que precisa durante a instalação básica do Tableau Server. Após você instalar o servidor, é possível configurar o Kerberos para autenticação do usuário e delegação do Kerberos para fonte de dados.

  • Neste tópico, fazemos a distinção entre LDAP (o protocolo da conexão com serviços do diretório) e um servidor LDAP (uma implementação de um serviço de diretório). Por exemplo, o slapd é um servidor LDAP que é parte de um projeto do OpenLDAP.

  • Valide a configuração LDAP antes de inicializar o servidor, consulte Configurar as definições do nó inicial.

  • Importar arquivos de configuração JSON apenas como parte da configuração inicial. Se precisar fazer alterações LDAP depois de importar o arquivo de configuração JSON e o Tableau Server inicializado, não tente importar novamente o arquivo JSON. Em vez disso, faça mudanças individuais de chaves com comandos nativos tsm ou com tsm configuration set. Consulte Referência de configuração do armazenamento de identidades externo.

Modelos de configuração

Os modelos JSON nesta seção são usados para configurar o Tableau Server com diferentes cenários de repositório de identidades. A menos que esteja configurando um repositório de identidades local, precisará selecionar e editar um modelo de arquivo de configuração específico para o ambiente LDAP.

Considere usar a Ferramenta de configuração do repositório de identidades do Tableau(O link abre em nova janela) para gerar o arquivo de configuração LDAP JSON. A ferramenta em si não é compatível com o Tableau. Contudo, usar um arquivo JSON criado pela ferramenta em vez de criar um arquivo manualmente não altera o status compatível do seu servidor.

Selecione um modelo de armazenamento de identidades para editar:

  • Local
  • LDAP - Active Directory
  • OpenLDAP - Associação GSSAPI
  • OpenLDAP - Associação simples

Para obter mais explicações sobre arquivos de configuração, entidades e chaves, consulte Exemplo de arquivo de configuração.

Local

Se sua empresa ainda não possui um Active Directory ou servidor LDAP para autenticação de usuário, configure o local como o tipo de armazenamento de identidades. Ao selecionar local, você usa o Tableau Server para criar e gerenciar usuários.

Uma maneira alternativa de configurar o Tableau Server para o repositório de identidades local é executar a GUI de configuração e selecionar "Local" durante o processo de instalação. Consulte Configurar as definições do nó inicial.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

Importante

Os modelos de configuração LDAP abaixo são exemplos. Os modelos, conforme apresentados, não configurarão a conectividade LDAP na sua organização. Você deve trabalhar com o administrador do diretório para editar os valores de modelo do LDAP para obter uma implantação bem-sucedida.

Além disso, todos os arquivos referenciados em configEntities devem estar no computador local. Não especifique caminhos UNC.

LDAP - Active Directory

A Configuração do Tableau Server está otimizada para o Active Directory. Se você estiver instalando no Active Directory, configure o repositório de identidades com a Configurar as definições do nó inicial.

É necessária uma conexão criptografada com o Active Directory. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

Se, por algum motivo, você não conseguir configurar o repositório de identidades para se comunicar com o Active Directory com a interface na Web do TSM, use esse modelo JSON para configurar o Tableau Server para se conectar ao Active Directory. Esse modelo usa a associação GSSAPI (Kerberos) para autenticar o serviço do Tableau Server para o Active Directory. O Tableau Server inclui suporte para o esquema do Active Directory. Sendo assim, se você definir a opção "directoryServiceType" como "activedirectory", não será necessário fornecer as informações de esquema na opção "identityStoreSchemaType".

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

Recomendamos a associação ao Active Directory com o GSSAPI. Contudo, é possível conectar usando associação simples e LDAPS. Para conectar com associação simples, altere bind para simple, remova as três entidades do Kerberos e adicione as opções port/sslPort, username e password. Os exemplos a seguir mostram o Active Directory com json de associação simples.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP - Associação GSSAPI

Use o modelo abaixo para configurar o OpenLDAP com a associação GSSAPI. Não use esse modelo se sua empresa estiver executando o Active Directory. Se estiver instalando no Active Directory, use o modelo acima, LDAP - Active Directory.

Na maioria dos casos, as empresas que usam o OpenLDAP com GSSAPI (Kerberos) usarão um arquivo keytab para armazenar credenciais. No exemplo a seguir, um arquivo keytab é usado para as credenciais de autenticação.

Contudo, é possível fornecer as credenciais por meio das entidades username e password.

Além disso, é possível especificar um keytab, um par de nome de usuário e senha. Nesse caso, o Tableau Server tentará usar o keytab, mas se a autenticação falhar por alguma razão, ele fará o fallback e usará as credenciais de nome de usuário e senha.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP - Associação simples

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

Referência do modelo de configuração

Opções de armazenamento de identidades compartilhado

type
Onde deseja armazenar as informações da identidade do usuário. Pode ser local ou activedirectory. (Caso deseje se conectar a qualquer servidor do LDAP, selecione activedirectory.)
domain
O domínio do computador no qual o Tableau Server foi instalado.
nickname
O apelido do domínio. Também é chamado de nome NetBIOS nos ambientes do Windows.
A opção nickname é necessária para todas as entidades LDAP. Se sua organização não exigir um apelido /NetBIOS, envie uma chave em branco, por exemplo: "nickname": "".

Opções de associação GSSAPI LDAP

directoryservicetype
O tipo de serviço de diretório ao qual você deseja se conectar. Pode ser activedirectory ou openldap.
kerberosConfig
O caminho para o arquivo de configuração do Kerberos no computador local. Se você estiver instalando o Active Directory, não recomendamos usar o arquivo de configuração do Kerberos ou o arquivo keytab existente que já possa estar no PC unido pelo domínio. Consulte Repositório de identidades.
kerberosKeytab
O caminho para o arquivo keytab do Kerberos no computador local. É recomendado criar um arquivo keytab com chaves especificas ao serviço do Tableau Server e que você não compartilhe o arquivo keytab com outros aplicativos do computador.
kerberosPrincipal
O nome principal do servidor do Tableau Server na máquina do host. O keytab deve ter permissões para este principal. Não utilize um keytab existente do sistema. Em vez disso, recomendamos que você registre um novo nome principal do servidor. Para ver os principais em um determinado keytab, execute o comando klist -k. Consulte Saiba mais sobre os requisitos do Keytab..

Opções de associações simples do LDAP

directoryservicetype
O tipo de serviço de diretório ao qual você deseja se conectar. Pode ser activedirectory ou openldap.
hostname
O nome de host do servidor LDAP. Você pode inserir um nome de host ou endereço IP para este valor. O host especificado aqui será usado apenas para consultas de usuário/grupo no domínio primário. Se as consultas de usuário/grupo estiverem em outros domínios (não no domínio primário), o Tableau Server não usará esse valor, mas, em vez disso, consultará o DNS para identificar o controlador de domínio apropriado.
port
Use esta opção para especificar a porta não segura do servidor LDAP. O plaintext normalmente é 389.
sslPort
Use esta opção para ativar o LDAPS. Especifique a porta segura do servidor LDAP. A porta do LDAPS normalmente é a 636. Para usar o LDAPS, você também deve especificar a opção hostname. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.
username
O nome de usuário que deseja usar para se conectar ao serviço do diretório. A conta especificada deve ter permissão para consultar o serviço do diretório. Para o Active Directory, insira o nome de usuário, por exemplo, jsmith. Para servidores LDAP, insira o nome diferenciado (DN) do usuário que deseja usar para se conectar. Por exemplo, você pode inserir cn=username,dc=your-local-domain,dc=lan.
password
A senha do usuário que deseja usar para se conectar ao servidor LDAP.

Opções de LDAP compartilhado

As opções a seguir podem ser definidas para implementações de LDAP genérico, OpenLDAP ou do Active Directory.

bind
O modo pelo qual você deseja autenticar a comunicação do serviço do Tableau Server ao serviço de diretório do LDAP. Insira gssapi para GSSAPI (Kerberos).
domain
Em ambientes do Active Directory, especifique o domínio em que o Tableau Server está instalado, por exemplo, "example.lan".
Para LDAP sem AD: a cadeia de caracteres desse valor é exibida na coluna "Domínio" das ferramentas de gerenciamento de usuários. Você pode inserir uma cadeia de caracteres arbitrária, mas a chave não pode ficar em branco.

root

Somente LDAP. Não especifique para Active Directory.
Se você não usar um componente dc na raiz do LDAP ou se quiser especificar uma raiz mais complexa, será necessário definir a raiz do LDAP. Use o formato "o=my,u=root". Por exemplo, para o domínio, example.lan, a raiz seria "o=example,u=lan".
membersRetrievalPageSize
Esta opção determina o número máximo de resultados retornados por uma consulta LDAP.
Por exemplo, considere um cenário em que o Tableau Server está importando um grupo LDAP que contém 50.000 usuários. Tentar importar um número de usuários tão grande em uma única operação não é uma prática recomendada Quando essa opção estiver definida como 1500, o Tableau Server importará os primeiros 1500 usuários na primeira resposta. Depois que esses usuários forem processados, o Tableau Server solicitará os próximos 1500 usuários do servidor LDAP e assim por diante.
Recomendamos modificar essa opção apenas para acomodar os requisitos do servidor LDAP

Opções do identityStoreSchemaType

Se configurar uma conexão LDAP com um servidor LDAP, é possível inserir informações de esquema específicas do servidor LDAP no objeto identityStoreSchemaType.

Importante: se estiver se conectando ao Active Directory ("directoryServiceType": "activedirectory"), não configure estas opções.

userBaseFilter
O filtro que deseja usar para os usuários do Tableau Server. Por exemplo, é possível especificar um atributo de classe do objeto e um atributo de unidade organizacional.
userUsername
O atributo que corresponde aos nomes de usuário no servidor LDAP.
userDisplayName
O atributo que corresponde aos nomes de exibição do usuário no servidor LDAP.
userEmail
O atributo que corresponde aos endereços de e-mail do usuário no servidor LDAP.
userCertificate
O atributo que corresponde aos certificados de usuário no servidor LDAP.
userThumbnail
O atributo que corresponde às imagens em miniatura do usuário no servidor LDAP.
userJpegPhoto
O atributo que corresponde às imagens de perfil do usuário no servidor LDAP.
groupBaseFilter
O filtro que deseja usar para os grupos de usuários do Tableau Server. Por exemplo, é possível especificar um atributo de classe do objeto e um atributo de unidade organizacional.
groupName
O atributo que corresponde aos nomes de grupo no servidor LDAP.
groupEmail
O atributo que corresponde aos endereços de e-mail do grupo no servidor LDAP.
groupDescription
O atributo que corresponde às descrições de grupo no servidor LDAP.
member
O atributo que descreve a lista de usuários em um grupo.
distinguishedNameAttribute
O atributo que armazena os nomes diferenciados de usuários. Este atributo é opcional, mas aprimora o desempenho das consultas do LDAP.
serverSideSorting
Se o servidor LDAP está configurado para classificação do lado do cliente dos resultados de consultas. Se o servidor LDAP for compatível com a classificação do lado do servidor, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta essa classificação, insira false, pois uma configuração incorreta pode causar erros.
rangeRetrieval
Se o servidor LDAP está configurado para retornar um intervalo de resultados de consulta de uma solicitação. Isso significa que os grupos com muitos usuários serão solicitados em conjuntos pequenos, em vez de todos de uma vez. Os servidores LDAP que suportam uma recuperação abrangente terão melhor desempenho para consultas grandes. Se o servidor LDAP for compatível com a recuperação de intervalo, defina essa opção como true. Caso não tenha certeza de que seu servidor LDAP suporta a recuperação de intervalo, insira false, pois uma configuração incorreta pode causar erros.
groupClassNames
Por padrão, o Tableau Server pesquisa por classe de objeto do grupo LDAP que contenham a cadeia de caracteres “group”. Se os objetos do grupo LDAP não correspondem com o nome de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas. Essa opção tem uma lista de cadeias de caracteres, o que requer passar cada classe entre aspas, separados por uma vírgula (sem espaço) e entre colchetes. Por exemplo: ["basegroup","othergroup"].
userClassNames
Por padrão, o Tableau Server pesquisa por classes de objeto do usuário LDAP que contenham a cadeia de caracteres “user” e “inetOrgPerson”. Se os objetos do usuário LDAP não usarem estes nomes de classe padrão, substitua o padrão configurando este valor. É possível fornecer vários nomes de classe separados por vírgulas. Essa opção tem uma lista de cadeias de caracteres, o que requer passar cada classe entre aspas, separados por uma vírgula (sem espaço) e entre colchetes. Por exemplo: ["userclass1",userclass2”].

Importar o arquivo JSON

Depois de editar o arquivo JSON, passe o arquivo e aplique as configurações usando os seguintes comandos:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!