Tableau Server 管理员指南

Tableau Server 管理员指南版本 9.2；上次更新 2015 版权所有 © 2015 Tableau Software, Incorporated 及其许可方。保留所有权利。本产品是 Tableau Software 的《最终用户软件许可协议》中定义的客户端软件。安装之前 ... 确保要安装 Tableau Server 的计算机满足以下要求： l l 支持的操作系统－ Tableau Server 提供有 32 位和 64 位两种版本。可在 Windows Server 2008 或更高版本、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 7、Windows 8、Windows 8.1 或 Windows 10 上安装 Tableau Server。建议在 64 位操作系统上使用 64 位版本的 Tableau Server。虽然 Tableau Server 可以在 32 位操作系统上良好运行，但建议使用 64 位操作系统。您可以在虚拟或物理平台上安装 Tableau Server。最低要求 — 您在其上安装 Tableau Server 的计算机必须满足或超过最低硬件要求。如果您的计算机未满足最低要求，则 Tableau Server 将不会安装。最低要求适合于测试和原型设计。对于生产环境，您的计算机应满足或超过最低建议。有关详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置在本页 60。 l l l l 管理帐户 — 要安装 Tableau Server 的帐户必须拥有安装软件和服务的权限。可选：运行身份帐户 — 如果您将 NT 身份验证用于数据源或计划进行 SQL Server 模拟，则用于运行 Tableau Server 服务的用户运行身份帐户会十分有用。有关更多信息，请参见用户运行身份在本页 477和 SQL Server 模拟在本页 485。 IIS 和端口 80 - Tableau Server 的网关侦听端口 80，且 Internet Information Services (IIS) 默认情况下也使用此端口。如果您在同样运行 IIS 的计算机上安装 Tableau Server，则应修改 Tableau 的网关端口号以避免与 IIS 发生冲突。如果您在同样运行 IIS 的计算机上安装 Tableau Server，则应修改 Tableau 的网关端口号以避免与 IIS 发生冲突。有关详细信息，请参见 Tableau Server 端口在本页 491和修改默认端口在本页 495。静态 IP 地址 - 运行 Tableau Server 的任何计算机，无论它是单服务器安装还是群集的一部分，都必须具有静态 IP 地址。有关详细信息，请参见 Tableau Server 中的主机名支持在本页 74。配置信息安装和配置 Tableau Server 时，您可能需要提供以下信息：选项说明您的信息服务器帐户服务器必须有一个该服务可以使用的用户帐户。默认设置为内置的 Windows 网络服务帐户。如果使用特定用户帐户，则需要提供域名、用户名和密码。用户名：密码：域： Active 您可以通过 Active Directory 进行身份验证，而不使用 -3- Active Directory 域：选项说明您的信息 Directory Tableau 的内置用户管理系统。如果是这样，您需要使用完全限定域名。打开 Windows 防火墙中的端口选中此选项后，Tableau Server 将打开 Windows 防火墙软件中用于 http 请求的端口，以允许网络中的其他计算机访问该服务器。 __ — 是 __ — 否端口默认情况下，Tableau Server 要求多个 TCP/IP 端口可供服务器使用。请参见主题 Tableau Server 端口在本页 491以获得完整列表，包括哪些端口必须可用于所有安装和分布式安装或故障转移就绪安装。如果发生冲突，则可以更改默认端口。请参见修改默认端口在本页 495了解如何操作。驱动程序您可能需要安装其他数据库驱动程序。可从 www.tableau.com/support/drivers 下载驱动程序。新增功能和更新功能了解 Tableau Server 中的新增功能和更新功能： l l 有关主要新功能的信息，请参见 Tableau Server 联机帮助中的“Tableau Server 新增功能”主题。有关可能影响用户的更改的信息，请参见更新功能 - 升级前须知事项在本页 57。 -4- Tableau Server 的最低硬件要求和推荐配置以下最低硬件要求和推荐配置适用于运行 Tableau Server 的所有计算机，包括物理硬件和虚拟机 (VM)： l l 最低要求是指您的计算机要设置为安装 Tableau Server 所至少必须具有的硬件。如果您的计算机未满足这些要求，安装程序将不会安装 Tableau Server。这些要求适合于测试和原型设计。最低推荐配置比最低要求要高，表示您应为 Tableau Server 的生产安装使用的最低硬件配置。如果您的计算机满足最低要求但未满足这些推荐配置，则安装程序将向您发出警告，但您可以继续进行安装。此外，Tableau Server 不应安装在同时运行资源密集型应用程序( 例如数据库或应用程序服务器) 的物理计算机或 VM 实例上。注意：如果将 Tableau Server 安装在满足最低要求但没有至少 8 个内核和 16 GB 系统内存的计算机上，则依据设计，所有进程的默认数量将减少为每个进程一个。有关进程的详细信息，请参见服务器进程默认值和限制在本页 67 最低硬件要求要安装或升级 Tableau Server 的计算机必须满足最低硬件要求：如果安装程序确定您的计算机未满足以下要求，您将无法安装 Tableau Server。有关安装程序如何确定硬件的详细信息，请参见下面的“确定计算机硬件” 。最低要求适合于 Tableau Server 的原型设计和测试，并适用于单节点安装以及分布式安装中的每台计算机。服务器版本 CPU RAM 可用磁盘空间 64 位 Tableau Server 4 内核 8 GB 15 GB 32 位 Tableau Server 2 内核 4 GB 15 GB 对于这些要求： l l 可用磁盘空间在 Tableau Server 安装程序解压缩之后计算而得。安装程序使用约 1 GB 空间。内核数基于“物理”内核。物理内核可能表示实际服务器硬件或虚拟机 (VM) 上的内核。出于计算内核数的目的，将忽略超线程。如果由于硬件要求的原因而无法安装 64 位 Tableau Server，但您的计算机满足 32 位 Tableau Server 的最低硬件要求，您也许能够安装 32 位版本。 -5- 注意：对于 64 位虚拟机上的 Tableau Server 9.2，您至少需要 4 个物理内核。如果在 Amazon EC2 实例上安装，这表示 8 个 vCPU。有关详细信息，请参见 Amazon EC2 实例。最低硬件推荐配置对于生产用途，您在其上安装或升级 Tableau Server 的计算机至少应满足或超过最低硬件推荐配置。这些推荐配置为一般性配置。Tableau Server 安装的实际系统需求可能因许多因素而异，其中包括用户数以及数据提取的数量和大小。安装类型处理器 CPU RAM 可用磁盘空间单节点 64 位 8 核，2.0 GHz 或更高频率 32 GB 50 GB 多节点和企业部署请与 Tableau 联系以获得技术指导。节点必须满足或超过最低硬件推荐配置，运行后台程序的节点除外，在这些节点中，4 个内核是可接受的。确定计算机硬件 Tableau Server 安装程序通过查询操作系统来确定计算机拥有的物理内核数。若要查看在您的计算机上检测到的硬件信息以及安装程序，请打开位于安装 Tableau Server 所在的计算机上的 tabadmin.log 文件： <install directory>\ProgramData\Tableau\Tableau Server\logs\tabadmin.log 在 tabadmin.log 中，寻找与下面相似的行，以检查安装程序检测到的物理和逻辑核心，这些核心用于确定正在用于许可的核心计数： 2015-04-09 14:22:29.533 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Running hardware check 2015-04-09 14:22:29.713 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Detected 12 cores and 34281857024 bytes of memory 2015-04-09 14:22:29.716 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Hardware meets recommended specifications. Default values will be used. -6- 手动确定计算机上的内核数您可以使用 Windows Management Instrumentation Command-line 工具 (WMIC) 来确定您的服务器拥有的物理内核数。如果不知道您的计算机是否将满足安装 Tableau Server 的最低硬件要求，这可能非常有用。 1. 打开命令提示符。 2. 输入以下命令： WMIC CPU Get DeviceID,NumberOfCores 输出将显示一个或多个设备 ID，以及计算机拥有的物理内核数：上面的示例中有两个 CPU，各自具有 6 个内核，总共有 12 个物理内核。此计算机将满足安装 64 位 Tableau Server 的最低硬件要求。一个更长的命令将可列出逻辑处理器以及物理内核： WMIC CPU Get DeviceID,NumberOfCores,NumberOfLogicalProcessors,SocketDesign ation 在上面的示例中，除了 12 个物理内核外，还有 24 个逻辑内核。 -7- 安装和配置下面是安装和配置 Tableau Server 时需要执行的主要步骤：运行服务器安装程序下载 Tableau Server 安装文件后，请按照下面的步骤安装服务器。 1. 双击安装文件。 2. 按照屏幕指示完成安装并安装应用程序。注意：如果要升级并且原始安装不在默认位置，当您浏览到该位置时，请不要包括 Tableau Server 文件夹。如果包括 Tableau Server 文件夹，则将安装到第二个 Tableau Server 文件夹，例如 install-drive\Program Files\Tableau\Tableau Server\Tableau Server。选择位置后，请验证安装程序中的路径。有关升级的详细信息，请参见升级到9.2 在本页 63。 3. 安装完成后，单击 “下一步”打开“产品密钥管理器”窗口。如果需要支持非“Latin-1”字符集，请通过 “控制面板”>“区域和语言选项”来安装 Windows 语言包。主服务器以及任何工作计算机上都需要安装语言包。 -8- 激活 Tableau Tableau Server 要求至少使用一个产品密钥来同时激活服务器和指定可为用户分配的许可级别数。您可以在 Tableau 客户帐户中心访问自己的产品密钥。安装和配置服务器后，产品密钥管理器会自动打开，您可以输入自己的产品密钥并注册产品。如果需要在脱机计算机中激活产品，请参见脱机激活 Tableau 向下。 1. 选择“激活”，然后粘贴产品密钥： 2. 关于分步说明，请参见该网站上的下载帮助页面。脱机激活 Tableau 如果需要脱机工作，可按照以下步骤完成脱机激活。 1. 产品密钥管理器打开后，单击 “激活产品”。将服务器产品密钥粘贴到相应的文本框中，然后单击“激活”。您可以在 Tableau 客户门户中获得自己的产品密钥。 2. 如果处于脱机状态，激活将失败，系统会提供一个选项用于保存脱机激活文件。单击 “保存”。 3. 为文件选择一个位置，然后单击 “保存”。文件将保存为 offline.tlq。 4. 返回 Tableau，单击 “退出”关闭“激活”对话框。 -9- 5. 从能够访问 Internet 的计算机上，打开 Web 浏览器并访问 Tableau 网站上的产品激活页。完成说明中的步骤并提交 offline.tlq 文件。联机提交您的 offline.tlq 文件后，尽管您的浏览器仍显示产品激活页，但已经创建一个名为 activation.tlf 的文件，并且 Tableau 会提示您将此文件保存到您的计算机。 6. 保存 activation.tlf 文件并将其移到安装 Tableau Server 的计算机中。 7. 在安装 Tableau Server 的计算机中，以管理员身份打开命令提示符，运行以下命令： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 8. 接下来键入 tabadmin activate --tlf <path>\activation.tlf，其中 <path> 是您从产品激活页中保存的响应文件的位置。例如： tabadmin activate --tlf \Desktop\activation.tlf 将命令提示符窗口保持打开状态。 9. 初始化许可证后，将提示您再次激活产品。在 Tableau Server 上，依次单击 “开始”>“所有程序”>“Tableau Server”9.2 10. 右键单击 “管理产品密钥”，选择 “以管理员身份运行”。即使作为管理员登录到 Tableau Server 计算机，也需要这样做以避免可能的注册错误。 11. 单击 “激活产品”。 12. 再次输入产品密钥( 与在步骤 1 中输入的产品密钥相同) 。 13. 保存 .tlq 文件。 14. 从能够访问 Internet 的计算机上，打开 Web 浏览器，再次访问 Tableau 网站上的产品激活页。完成说明中的步骤。 Tableau 将再次创建一个名为 activation.tlf 的文件并提示您保存它。 15. 保存文件并将其移到安装 Tableau Server 的计算机中。 16. 返回到 Tableau Server 上的命令提示符窗口，键入 tabadmin activate --tlf <path>\activation.tlf，其中 <path> 是您从产品激活页中保存的第二个响应文件的位置。例如： tabadmin activate --tlf \Desktop\activation.tlf Tableau Server 现在已激活。如果需要其他帮助，请与 Tableau 客户服务部门联系。配置 Tableau Server Tableau Server 配置实用工具在 Tableau Server 安装过程中打开。您可以在安装过程中的此时( 在服务器启动之前) 设置配置选项。服务器在安装过程结束时启动。 - 10 - 通过在 Windows“开始”菜单上选择 “所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”，您也可以在安装 Tableau Server 之后运行该实用工具。在进行任何配置更改之前，需要停止服务器。有关步骤，请参见重新配置服务器在本页 32。关于您在“配置”对话框中指定的设置，有两点需要注意： l l 设置是系统范围的：您输入的设置会应用于整个服务器。如果服务器正在运行多个站点，则这些设置会影响每个站点。用户身份验证是“永久性的”：只有在首次安装 Tableau Server 时，才能设置 “用户身份验证”设置( 在 “常规”选项卡上) 。可在安装之后通过停止服务器并重新运行配置实用工具来更改所有其他设置。有关不同“配置”选项卡的详细信息，请参见以下主题：配置一般服务器选项通过下面的步骤可以在“常规”选项卡上配置选项： 1. 默认情况下，Tableau Server 在“网络服务”帐户下运行。若要使用将为数据源提供 NT 身份验证功能的帐户，请指定用户名和密码。用户名中应包含域名。若要详细了解如何使用特定用户帐户，请访问用户运行身份在本页 477。 2. 选择是否使用 Active Directory 对服务器上的用户进行身份验证。选择 “使用本地身份验证”以使用 Tableau Server 的内置用户管理系统来创建用户并分配密码。您随后无法在 Active Directory 和本地身份认证之间进行切换。 3. 如果使用 Active Directory： l 您可以选择 “启用自动登录”，这会使用 Microsoft SSPI 基于用户的 Windows 用户名和密码自动使用户登录。这将创建类似于单点登录 (SSO) 的体验。如果计划将 Tableau Server 配置为使用 SAML、受信任身份验证或代理服务器，请勿 - 11 - 选择 “启用自动登录”。 l 请确保键入完全限定域名 (FQDN) 和昵称。确定 FQDN：选择 “开始”>“运行”，然后在“运行”文本框中键入 sysdm.cpl。在“系统属性”对话框中，选择 “计算机名”选项卡。FQDN 显示在对话框的中心附近位置。您的用户首次登录时，需要使用完全限定域名( 例如 myco.lan\jsmith) 。以后进行登录时，他们可以使用昵称 (myco\jsmith)。 4. 通过 Web 访问 Tableau Server( 通过 HTTP) 时的默认端口为端口 80。如果其他服务器正在端口 80 上运行或者有其他联网需要，则可能需要更改端口号。举例来说，如果 Tableau Server 主机前面有硬件防火墙或代理，则后端系统可能不适合在端口 80 上运行。 5. 选择是否打开 Windows 防火墙中的端口。如果不打开此端口，则其他计算机上的用户可能无法访问该服务器。 6. 选择是否包含示例数据和用户。“包括示例数据和用户”选项会安装若干示例工作簿和数据，可帮助您熟悉 Tableau Server( 特别是在安装该产品的试用版时) 。如果选择 “包括示例数据和用户”，则会分配在 Tableau Server 中创建的第一个用户作为示例工作簿和数据的所有者。若要更改分配的所有者，请参见管理所有权在本页 299。 7. 可选择继续打开下一个页面以配置“缓存”和“初始 SQL”选项。如果不想配置这些选项，请单击 “确定”。配置数据连接使用“数据连接”选项卡上的选项可以配置缓存并指定要如何从数据源处理初始 SQL 语句。正在缓存发布到 Tableau Server 的视图是交互式的，有时具有与数据库的实时连接。当用户在 Web 浏览器中与这些视图交互时，查询的数据将存储在缓存中。随后的访问将从此缓存中取出数据( 如果有数据) 。您可通过“数据连接”选项卡来配置将应用于所有数据连接的缓存设置： - 12 - 若要配置缓存，请选择以下选项之一：: l l l 刷新频率低于 — 每当有数据时就对数据进行缓存并重复使用，而不管该数据是何时添加到缓存的。此选项可将发送到数据库的查询数量降到最低。当数据变化不频繁时，可选择此选项。“刷新频率低于”可以提高性能。平衡 — 在指定的分钟数之后将缓存中的数据删除。如果在指定时间内已将数据添加到缓存，则将使用缓存的数据，否则，将在数据库中查询新数据。刷新频率高于 — 每次加载页面时都查询数据库。仍将对数据进行缓存，并在用户重新加载页面之前重新使用该数据。此选项可确保用户看到最新的数据，但可能会降低性能。无论缓存是如何配置的，用户都可以单击工具栏中上 “刷新数据”按钮，以强制服务器发送查询并检索新数据。初始 SQL 对于连接到 Teradata 数据源的视图，工作簿创建者可指定在浏览器中加载工作簿时只运行一次的 SQL 命令。该命令称为初始 SQL 语句。出于性能或安全原因，某些管理员可能想要禁用此功能。可以在数据连接选项卡上执行此操作： - 13 - 若要禁用初始 SQL 功能，请选中 “对所有数据源忽略初始 SQL”复选框。使用初始 SQL 语句创建的工作簿仍会打开，但不会发送初始 SQL 命令。配置通知和订阅 Tableau Server 可在存在系统故障的情况下发送电子邮件以提醒系统管理员，并可通过电子邮件将订阅( 所选视图的快照) 发送给系统用户。在 “通知和订阅”选项卡上配置 Tableau Server 用于发送通知和订阅电子邮件的 SMTP 服务器。注意：通知或订阅不支持加密 SMTP 连接。配置电子邮件通知如果您配置了通知，一旦数据引擎、存储库或网关服务器进程停止或重新启动，或者一旦主 Tableau Server 停止或重新启动，Tableau Server 就会在“将电子邮件发送至”下向收件人发送邮件。如果在运行单一服务器安装( 所有进程位于同一计算机上) ，则只有在 Tableau Server 启动时才会发送运行状况警报。未发送“关闭”警报。如果您运行的是专为故障转移配置的分布式安装( 请参见配置故障转移和多个网关在本页 92) ，则 DOWN 通知表示活动存储库或数据引擎实例出现故障，而随后出现的 UP 通知表示该进程的被动实例( 存储库) 或第二个实例( 数据引擎) 已被接管。 - 14 - 配置电子邮件通知 1. 选择 “针对服务器运行状况问题发送电子邮件通知”。 2. 在 “SMTP 服务器”下： a. 输入 SMTP 服务器的名称。 b. ( 可选) 输入 SMTP 服务器帐户的 “用户名”和 “密码”( 仅当需要时输入；有些需要，有些则不需要) 。 c. 默认 SMTP 端口值为 25。只有当您知道自己未使用端口 25 时才更改此项。 d. 对于 “电子邮件的发送地址”，输入将在发生系统故障时发送通知的电子邮件地址。电子邮件地址必须具有有效的语法( 例如，ITalerts@bigco.com 或 noreply@mycompany) ，但它不必同时是 Tableau Server 上的实际电子邮件帐户。 e. 保持 “启用 TLS”框处于未选中状态，以便不对邮件服务器连接加密。 3. 对于 “电子邮件的接收地址”，至少输入一个将接收通知的电子邮件地址。如果输入 - 15 - 多个地址，请用逗号分隔这些地址。 4. 单击 “确定”。当您启动服务器时，它将触发电子邮件通知，这将确认您已正确设置了通知。针对电子邮件订阅配置 SMTP 配置电子邮件订阅 1. 选择 “启用电子邮件订阅”。 2. 在 “SMTP 服务器”下，输入您的 SMTP 服务器的名称。输入 SMTP 服务器帐户的 “用户名”和 “密码”( 仅当需要时输入；有些需要，有些则不需要) 。默认 SMTP 端口号为 25。在 “电子邮件的发送地址”下输入将用于向 Tableau Server 用户发送订阅的电子邮件地址。 a. 输入 SMTP 服务器的名称。 b. ( 可选) 输入 SMTP 服务器帐户的 “用户名”和 “密码”( 仅当需要时输入；有些需要，有些则不需要) 。 c. 默认 SMTP 端口值为 25。只有当您知道自己未使用端口 25 时才更改此项。 d. 对于 “电子邮件的发送地址”，输入将在发生系统故障时发送通知的电子邮件地址。电子邮件地址必须具有有效的语法( 例如，ITalerts@bigco.com 或 noreply@mycompany) ，Tableau Server 不要求它是实际电子邮件帐户( 但是，某些 SMTP 服务器可能要求它是实际电子邮件帐户) 。您可以逐个站点地覆盖用于订阅的系统范围的 “电子邮件的发送地址”。有关详细信息，请参见添加或编辑站点在本页 108。 e. 保持 “启用 TLS”框处于未选中状态，以便不对邮件服务器连接加密。 f. 对于 “电子邮件的接收地址”，至少输入一个将接收通知的电子邮件地址。如果输入多个地址，请用逗号分隔这些地址。 - 16 - 3. 在 “Tableau Server URL”下，输入 http:// 或 https://，后跟 Tableau Server 的名称。此名称将用于订阅电子邮件的页脚。 4. 单击 “确定”。配置外部 SSL 可以将 Tableau Server 配置为对所有外部 HTTP 流量使用安全套接字层 (SSL) 加密的通信。设置 SSL 可确保对 Tableau Server 的访问是安全的，并且在 Web 浏览器与服务器之间或 Tableau Desktop 与服务器之间传递的敏感信息将受到保护。下面的主题介绍了针对 SSL 配置服务器的步骤；不过，您必须先从受信任的颁发机构获取证书，然后将证书文件导入到 Tableau Server 中。如果您运行的是 Tableau Server 群集并且希望使用 SSL，请参见下面的为群集配置 SSL 在本页 19 以获取建议。 1. 从受信任的颁发机构( 例如 Verisign、Thawte、Comodo、GoDaddy) 获取 Apache SSL 证书。您也可以使用您的公司颁发的内部证书。还支持允许您将 SSL 用于同一个域中多个主机名的通配符证书。某些浏览器还需要其他配置才能接受来自特定提供者的证书。请参见由您的证书颁发机构提供的文档。 2. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SSL 的文件夹中。例如： C:\Program Files\Tableau\Tableau Server\SSL - 17 - 此位置为运行 Tableau Server 的帐户提供这些文件的必要权限。注意：您可能需要创建此文件夹。 3. 通过在“开始”菜单上选择 “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”打开 Tableau Server 配置实用工具。 4. 在“配置 Tableau Server”对话框中，选择 “SSL”选项卡。 5. 选择 “将 SSL 用于服务器通信”并提供以下每个证书文件的位置： l SSL 证书文件 — 必须是有效的 PEM 编码 x509 证书，扩展名为 .crt。 SSL 证书密钥文件 — 必须是不受密码保护的有效 RSA 或 DSA 密钥( 包含嵌入式密码) ，文件扩展名为 .key。 SSL 证书链文件( 可选) — 某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件，连接构成服务器证书的证书链的所有证书。文件中的所有证书必须为 x509 PEM 编码，文件扩展名必须为 .crt( 而不是 .pem) 。 6. ( 可选) 如果要使用 SSL 进行服务器通信，并且想要使用服务器和客户端上的证书来配置 Tableau Server 与客户端之间的 SSL 通信： l l 选择 “使用相互 SSL 和具有客户端证书的自动登录”。在 “SSL CA 证书文件”中，浏览到证书文件的位置。SSL CA 证书文件必须是有效的 PEM 编码 x509 证书，扩展名为 .crt。注意：如果您有多个受信任的证书颁发机构 (CA)，则可以将每个 CA 证书的整个内容( 包括“BEGIN CERTIFICATE”和“END CERTIFICATE”行) 复制和粘贴到新文件中，然后将文件另存为 CAs.crt。在 “SSL CA 证书文件” 中，浏览到此新文件的位置。 7. 单击 “确定”。更改将在下次重新启动服务器时生效。针对 SSL 配置服务器后，该服务器会将请求接受到非 SSL 端口( 默认为端口 80) 并自动重定向至 SSL 端口 443。注意：Tableau Server 仅支持端口 443 作为安全端口。它不能在有其他应用程序正在使用端口 443 的计算机上运行。 SSL 错误记录在以下位置的安装目录中。使用此日志可解决验证和加密问题： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log - 18 - 为群集配置 SSL 您可将 Tableau Server 群集配置为使用 SSL。如果主 Tableau Server 计算机是唯一一个运行网关进程的节点( 默认情况下如此) ，则您只需要在此节点上配置 SSL。有关步骤，请参见上述过程。 SSL 和多个网关一个高度可用的 Tableau Server 群集可包括多个网关，它们前面有负载平衡器( 了解详情 ) 。如果您要将此类型的群集配置为使用 SSL，则有两种选择： l l 为 SSL 配置负载平衡器。从客户端 Web 浏览器到负载平衡器的流量会经过加密。从负载平衡器到 Tableau Server 网关进程的流量不会经过加密。不需要在 Tableau Server 中进行 SSL 配置，这全都由负载平衡器处理。将 Tableau Server 配置为使用 SSL：从客户端 Web 浏览器到负载平衡器以及从负载平衡器到 Tableau Server 网关进程的流量都会经过加密。有关详细信息，请参见以下过程。将服务器群集配置为使用 SSL 当您将 Tableau Server 群集配置为使用 SSL 时，您将 SSL 证书和密钥文件放在运行网关进程的每台计算机上。将 Tableau Server 群集配置为使用 SSL： 1. 将负载平衡器配置为使用 SSL 传递。请查阅负载平衡器的文档以获取帮助。 2. 确保为负载平衡器的主机名颁发了所使用的 SSL 证书。 3. 按照上面过程中所述配置主 Tableau Server 节点。 4. 将用于主服务器的同一 SSL 证书和密钥文件放在运行网关进程的每台 Tableau Server 工作服务器节点上。对工作计算机使用您用于主服务器的相同文件夹位置。如果要使用相互 SSL，请将用于主服务器的 SSL CA 证书文件放在运行网关进程的每个工作服务器节点上。使用您用于主服务器的相同文件夹位置。您无需对工作计算机执行任何其他配置。 - 19 - 例如，假设您具有一个包括主 Tableau Server 节点和三个工作服务器节点的群集，并且网关进程运行在主服务器、工作服务器 2 和工作服务器 3 上。在此情况下，您将主 Tableau Server 配置为使用 SSL，然后将同一 SSL 证书和密钥文件复制到工作服务器 2 和工作服务器 3。因为这些文件位于主服务器上的 C:\Program Files\Tableau\Tableau Server\SSL 文件夹中，所以它们位于工作服务器 2 和工作服务器 3 上的同一位置。您可将 Tableau Server 群集配置为使用 SSL。如果主 Tableau Server 计算机是唯一一个运行网关进程的节点( 默认情况下如此) ，则您只需要在此节点上配置 SSL。有关步骤，请参见上述过程。配置内部 SSL 可以将 Tableau Server 配置为对 Postgres 存储库和其他服务器组件之间的所有流量使用安全套接字层 (SSL) 进行加密通信。默认情况下，已为服务器组件和存储库之间的通信禁用了 SSL。 1. 通过选择 “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”打开 Tableau Server 配置实用工具。 2. 在“Tableau Server 配置”对话框中，单击 “SSL”选项卡。 3. 选择以下选项之一： l 所有连接都需要选择此选项之后，Tableau Server 将为存储库数据库和其他服务器组件之间的通信使用 SSL。此外，与 Tableau Server 的直接连接( 使用“tableau” 或“readonly” 用户) 必须使用 SSL。 l 对于直接用户连接为可选此选项将 Tableau Server 配置为在存储库和其他服务器组件之间使用 SSL，并且支持( 但不需要) 为以下用户的直接连接使用 SSL：“tableau” 或“readonly”用户。 l 对于所有连接均关闭 ( 默认值) 此选项为内部通信和直接连接禁用 SSL。 4. 单击 “确定”。有关下载用于直接连接的公共证书的详细信息，请参见配置用于直接连接的 SSL 在本页 450。配置用于直接连接的 SSL 当 Tableau Server 配置为在内部使用 SSL 时，对于直接连接到 Tableau Server 存储库数据库的客户端计算机而言，SSL 连接是可选或者必需的。直接连接包括使用以下用户进行的连接：“tableau”用户或“readonly”用户的访问权。 - 20 - 若要为直接连接使用 SSL，请生成 SSL 证书文件并将其复制到将从中进行直接连接的计算机。 1. 使用 regenerate_internal_tokens 在本页 548 命令来生成 SSL 证书文件。 2. 通过查看主 Tableau Server 节点上的 workgroup.yml 文件查找 SSL 证书文件。 workgroup.yml 文件位于 Tableau Server 主节点上的 \ProgramData\Tableau\Tableau Server\data\tabsvc\config 文件夹中。 SSL 证书和密钥文件列在该文件中。例如： pgsql.ssl.cert.file: C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql/server.crt pgsql.ssl.key.file: C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql/server.key 3. 将证书文件复制到将进行直接连接的计算机，并使用操作系统制造商提供的文档将它们导入到该计算机的证书存储中。注意：不要复制密钥文件。此文件只应位于服务器上。配置 SAML 可以将 Tableau Server 配置为使用外部身份提供程序 (IdP) 通过 SAML 对 Tableau Server 用户进行身份验证。所有用户身份验证都在 Tableau 中完成，无论您是使用 Active Directory 还是 Tableau Server 中的本地身份验证来管理 Tableau Server 上的用户。这使您能够在组织中的所有应用程序之间提供单点登录体验。在将 Tableau Server 配置为使用 SAML 之前，确保满足 SAML 要求在本页 433。配置 SAML 将 Tableau Server 配置为使用 SAML： 1. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SAML 的文件夹中。例如： C:\Program Files\Tableau\Tableau Server\SAML 您应使用此位置，因为运行 Tableau Server 的用户帐户具有访问此文件夹的必要权限。 2. 如果您在 Tableau Server 安装过程中配置 SAML，请转到配置实用工具中的“SAML”选项卡。 - 21 - 如果在安装 Tableau Server 之后配置 SAML，请打开 Tableau Server 配置实用工具 ( “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”) ，然后单击 “SAML”选项卡。 3. 在“SAML”选项卡上，选择 “使用 SAML 进行单点登录”并提供以下各项的位置： Tableau Server 返回 URL － Tableau Server 用户将访问的 URL，例如 http://tableau_server。不建议使用 http://localhost。不支持使用结尾有斜杠的 URL( 例如，http://tableau_server/) 。 SAML 实体 ID - 实体 ID 可向 IdP 唯一地标识您的 Tableau Server 安装。如果您愿意，可以在此处再次输入 Tableau Server URL，但它不必非得是您的 Tableau Server URL。 SAML 证书文件 - PEM 编码的 x509 证书，文件扩展名为 .crt。此文件由 Tableau Server 而不是 IdP 使用。 SAML 证书密钥文件 - 不受密码保护的 RSA 或 DSA 私钥文件，文件扩展名为 .key。此文件由 Tableau Server 而不是 IdP 使用。 4. 暂时将 “SAML IdP 元数据文件”文本框保留为空，然后单击 “导出元数据文件”。 5. 将会打开一个对话框，允许您将 Tableau Server 的 SAML 设置保存为 XML 文件。此时，不包括来自 IdP 的元数据。使用所选名称保存 XML 文件。 6. 在您的 IdP 网站上或在其应用程序中： l l 添加 Tableau Server 作为服务提供程序。有关如何执行此操作的信息，请参阅 IdP 的文档。在将 Tableau Server 配置为服务提供程序的过程中，您将导入在步骤 5 中保存的文件。确认您的 IdP 使用 “用户名”作为要验证的属性元素。 - 22 - 7. 仍然是在 IdP 中，导出您的 IdP 的元数据 XML 文件。最好验证一下您从 IdP 获得的元数据 XML 是否包括绑定设置为 HTTP-POST 的 SingleSignOnService 元素，如以下示例中所示： <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/> 8. 将 IdP 的元数据 XML 文件复制到安装了 Tableau Server 的计算机上的以下文件夹： C:\Program Files\Tableau\Tableau Server\SAML 9. 在“Tableau Server 配置”对话框的“SAML”选项卡上，在 “SAML IdP 元数据文件”文本框中输入文件位置： 10. 单击“确定”。Tableau Server 现在已配置为使用 SAML 身份验证。将 Server 群集配置为使用 SAML 在配置 Tableau Server 群集以使用 SAML 时，您需要将相同的 SAML 证书、SAML 密钥和 SAML IdP 元数据文件放在运行 Tableau 应用程序服务器进程( 也称为 vizportal.exe) 的每台计算机上。将 Tableau Server 群集配置为使用 SAML： 1. 按照上面过程中所述配置主 Tableau Server。 2. 将您用于此主服务器的相同 SAML 证书、SAML 密钥和 SAML IdP 元数据文件放置在运行应用程序服务器进程的每台 Tableau 工作计算机上。对工作计算机使用您用于主 - 23 - 服务器的相同文件夹位置。您无需对工作计算机执行任何其他配置。例如，假设有一个包括一台主 Tableau Server 和两台工作服务器的群集。应用程序服务器进程在主服务器以及工作服务器 2 和工作服务器 3 上运行。在这种情况下，您将主 Tableau Server 配置为使用 SAML，然后将相同的 SAML 证书、SAML 密钥和 SAML IdP 元数据文件复制到工作服务器 2 和工作服务器 3 计算机。在工作服务器计算机上，将 SAML 文件放在 C:\Program Files\Tableau\Tableau Server\SAML 文件夹中，就像它们位于主计算机上一样。测试配置打开一个新的 Web 浏览器实例并在 URL 窗口中键入 Tableau Server 名称，来测试您的 SAML 配置：您应该会注意到出现的登录提示来自 IdP 而不是 Tableau Server：配置 Kerberos 可以将 Tableau Server 配置为使用 Kerberos。这使您能够在组织中的所有应用程序之间提供单点登录体验。在针对 Kerberos 配置 Tableau Server 之前，请确保满足 Kerberos 要求 - 24 - 在本页 460。 1. 以管理员身份打开命令提示符，并将目录切换到 Tableau Server 的 bin 目录的位置。默认位置为 C:\Program Files\Tableau\Tableau Server\9.0\bin。 2. 键入以下命令以停止 Tableau Server： tabadmin stop 3. 打开 Tableau Server 配置实用工具( “开始”>“所有程序”>“Tableau Server”9.2>“配置 Tableau Server”) ，然后单击 “Kerberos”选项卡。 4. 选择 “为单点登录启用 Kerberos”。 5. 单击 “导出 Kerberos 配置脚本”。生成的脚本可配置 Active Directory 域以将 Kerberos 用于 Tableau Server。有关详细信息，请参见 Kerberos 配置脚本在本页 463。注意：验证脚本的 setspn 行中的主机名称。如果您使用外部负载平衡器或反向代理，则主机名称应与您在针对该负载平衡器或代理配置 Tableau Server 时使用的名称匹配。如果尚未将 Tableau Server 配置为使用代理或外部负载平衡器，请这样做，然后重新导出 Kerberos 配置脚本，以确保它具有正确的主机名称。请参见添加负载平衡器在本页 99和配置 Tableau 以使用代理服务器在本页 410。 6. 让 Active Directory 域管理员运行此配置脚本，以创建服务主体名称 (SPN) 和 .keytab 文件。域管理员应执行以下操作： l l 查看脚本以验证其是否包含正确的值。通过键入脚本名称( 而不是在 Windows 资源管理器中双击脚本) ，在域中任何计算机上的命令提示符处运行脚本。脚本会在其运行位置下的 \keytabs 文件夹中创建 kerberos.keytab 文件。 7. 将脚本创建的 .keytab 文件的副本保存到 Tableau Server 计算机。在步骤 3 中，输入 .keytab 文件的路径，或者单击浏览按钮导航到该文件。当您在配置实用工具中单击 “确定”时，keytab 文件将复制到所安装的 Tableau Server 中的所有网关节点。 - 25 - 注意：请勿重命名 .keytab 文件。此脚本会创建一个名为 kerberos.keytab 的文件，您必须使用此名称来保存该文件。 8. ( 可选) 单击 “测试配置”以确认您的环境已正确配置为将 Kerberos 用于 Tableau Server。如果没有为 Kerberos 委派配置任何数据源，则会为 “为委派配置的服务数量”显示 0。 9. 单击 “确定”保存 Kerberos 配置。 10. 启动 Tableau Server。确认 SSO 配置在 Tableau Server 重新启动后，在另一台计算机上的 Web 浏览器中，通过在 URL 窗口内键入 Tableau Server 名称来测试 Kerberos 配置： Tableau Server 应会自动验证您的身份。配置 SAP HANA SSO 可以将 Tableau Server 配置为使用 SAML 委派来为 SAP HANA 提供单点登录 (SSO)。HANA SSO 不依赖于 Tableau Server 的 SAML 身份验证。注意：您无需使用 Tableau Server 的 SAML 登录来使用 HANA SSO。您可以使用所选的任何方法登录到 Tableau Server。通过 SAP HANA 的 SSO，Tableau Server 充当身份提供程序 (IdP)，并且此配置允许您为进行 SAP HANA 连接的用户提供单点登录体验。在配置过程中，您需要获取 Tableau Server 的 - 26 - SAML 证书和密钥文件( 应该是公钥证书和私钥) 。您还需要在 HANA 中安装签名的证书。您可以自己生成证书和密钥，也可以从证书颁发机构获取。有关生成证书/私钥以及配置 SAP HANA 的详细信息，请参见 Tableau 知识库。注意：Tableau Server 上必须安装 SAP HANA 驱动程序版本 1.00.9 或更高版本才能为 SAP HANA 使用 SSO。驱动程序无法对 SAML 断言进行加密，因此您可能需要为 SAML 连接启用加密。有关详细信息，请参见 Tableau 知识库。针对 SAP HANA 配置 SSO 将 Tableau Server 配置为针对 SAP HANA 使用 SSO： 1. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SAML 的文件夹中。例如： C:\Program Files\Tableau\Tableau Server\SAML 您应使用此位置，因为运行 Tableau Server 的用户帐户具有访问此文件夹的必要权限。 2. 安装 Tableau Server 之后，运行配置实用工具( “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”) ，然后单击 “SAP HANA”选项卡。 3. 选择 “使用 SAML 为 SAP HANA 启用单点登录”并提供以下各项的位置： SAML 证书文件 - PEM 编码的 x509 证书，文件扩展名为 .crt 或 .cert。此文件由 Tableau Server 使用，并且还必须安装在 HANA 上。 SAML 私钥文件 - 不受密码保护的 DER 编码的私钥文件，文件扩展名为 .der。此文件仅由 Tableau Server 使用。 - 27 - 4. 选择用户名的格式。 5. 选择用户名的大小写。这将确定将在名称转发到 SAP HANA 身份提供程序 (IdP) 时的名称大小写。针对 OpenID Connect 配置 Tableau Server 本主题描述如何将 Tableau Server 配置为使用 OpenID Connect 进行单点登录 (SSO)。这是由多个步骤组成的过程中的一步。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l OpenID Connect 在本页 470 l 针对 OpenID Connect 配置身份提供程序 (IdP) 在本页 471 l 针对 OpenID Connect 配置 Tableau Server( 此部分) l 使用 OpenID Connect 登录到 Tableau Server 在本页 474 l 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 注意：在执行此处介绍的步骤之前，您必须配置 OpenID 身份提供程序 (IdP)，如针对 OpenID Connect 配置身份提供程序 (IdP) 在本页 471 中所述。 - 28 - 重要注意事项在针对 OpenID Connect 配置 Tableau Server 之前，请确保阅读这些注意事项。 l l 只有在服务器配置为使用本地身份验证时，您才能将 OpenID Connect 与 Tableau Server 一起使用。如果服务器配置为使用 Active Directory 身份验证，则 OpenID Connect 不可用。有关详细信息，请参见配置一般服务器选项在本页 11。我们建议您将 Tableau Server 配置为使用 SSL 进行外部通信。这可帮助在身份验证信息交换期间保持 Tableau Server 和 IdP 之间的通信的安全。有关详细信息，请参见配置外部 SSL 在本页 447。如果您在 Tableau Server 的初始配置过程中( 配置实用工具第一次运行时) 配置 OpenID Connect，则没有用于设置 SSL 的选项。在这种情况下，我们建议您完成安装，然后返回到配置来设置 SSL，之后再配置 OpenID。注意：如果要为 Tableau Server 使用外部 SSL，在配置 OpenID Connect 之前执行该操作通常更方便。如果在已配置了 OpenID 之后配置 SSL，则需要返回到 IdP 并更新您之前进行的配置。例如，您需要将 Tableau Server 外部 URL 的协议从 http:// 更改为 https://。配置服务器若要针对 OpenID Connect 配置 Tableau Server，请执行以下步骤： 1. 以管理员身份登录到运行 Tableau Server 的计算机。 2. 如果服务器正在运行，请将其停止( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“停止 Tableau Server”) 。提示：也可以通过使用 tabadmin stop 命令来停止服务器。 3. 运行 Tableau Server 配置工具( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“配置 Tableau Server”) 。 4. 单击 “OpenID”选项卡。 5. 选择 “使用 OpenID Connect 进行单点登录”选项。 6. 使用之前记录的值填写 “提供程序客户端 ID”和 “提供程序客户端密码”框。 7. 在 “提供程序配置 URL”框中，输入 IdP 用于 OpenID Connect 发现的 URL。 8. 在 “Tableau Server 外部 URL”框中，输入服务器的 URL。这通常是您的服务器的公共名称，例如 http://example.tableau.com。一开始配置 OpenID 时，“提供程序配置 URL”框包含基于服务器名称 (gateway.public.host) 和网关端口( gateway.public.port，如果有) 构建的默认值。此外，如果为服务器启用了 SSL，则协议默认情况下设置为 https://。 - 29 - 注意：如果默认值不是可用于从外部源访问您的服务器的 URL，请确保更新外部 URL。 9. 复制标签为 “使用以下 Tableau Server 重定向 URL 配置 OpenID 提供程序”的框中的 URL。您将在下一个过程中使用此值来完成 IdP 的配置。 10. 启动服务器( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“启动 Tableau Server”) 。提示：也可以通过使用 tabadmin start 命令来启动服务器。向 IdP 配置中添加重定向 URL 配置 Tableau Server 之后，您将使用服务器的重定向 URL 完成 IdP 配置。 1. 返回到您设置项目或应用程序的 IdP 门户。 2. 编辑项目配置并查找重定向 URL。 3. 输入您在前面的过程中复制的重定向 URL。添加管理员帐户激活 Tableau Server 的最后一步是添加管理员帐户。管理员将具有服务器的完全访问权限，包括管理用户、组和项目的权限。添加管理员帐户的步骤将根据是使用 Active Directory 还是使用本地身份验证而有所不同。 - 30 - Active Directory 如果使用 Active Directory，请键入将成为管理员的现有 Active Directory 用户的用户名和密码。然后单击 “添加用户”。注意：如果该管理员帐户与服务器在同一个域中，则只需键入用户名，无需键入域。否则，应包括进完全限定域名。例如，test.lan\username。本地身份验证如果使用本地身份验证，请通过键入所选的用户名、显示名称和密码 ( 键入两次) 来创建管理帐户。然后单击 “添加用户”。 - 31 - 重新配置服务器首次安装 Tableau Server 时，将在安装过程中进行服务器的初始配置。您可以在安装 Tableau Server 之后运行 Tableau Server 配置实用工具来进行其他配置更改。某些配置选项仅在安装之后运行配置实用工具时才可用。也可以使用 tabadmin 在本页 526 命令行工具进行配置更改。配置设置更改将写入位于 <install drive>:\ProgramData\Tableau\Tableau Server\config 目录中的 tabsvc.yml 文件。注意：您不能在 Active Directory 和本地身份验证之间进行切换。只能在 Tableau Server 的初始安装过程中配置这些选项。更改 Tableau Server 配置设置： 1. 通过在 Windows“开始”菜单上选择 “所有程序”>“Tableau Server 9.2”>“停止 Tableau Server”来停止服务器。 2. 在 Windows 的“开始”菜单上选择 “配置 Tableau Server”。 3. 如果使用 Active Directory 帐户作为服务器的“用户运行身份”帐户，请在 “常规”选项卡上输入其密码。 4. 进行配置更改。 5. 单击 “确定”。 6. 通过在 Windows“开始”菜单上选择 “所有程序”>“Tableau Server 9.2”>“启动 Tableau Server”来启动服务器。 - 32 - 重新配置进程若要更改针对单服务器安装配置进程的方式，请按以下步骤操作。如果您要更改针对工作服务器配置进程的方式，请参见安装和配置工作服务器节点在本页 74。 1. 必须停止 Tableau Server 才能进行此配置更改。在“开始”菜单中，单击 “所有程序”>“Tableau Server”9.2>“停止 Tableau Server”。 2. 在“开始”菜单中，通过导航到 “所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”打开“Tableau Server 配置”对话框。 3. 如有必要，在 “常规”选项卡上输入您的 “密码”，然后单击 “服务器”选项卡： 4. 突出显示 This Computer，然后单击 “编辑”： 5. “编辑 Tableau Server”对话框是您更改进程数的位置： - 33 - 您可以最多运行 VizQL 进程、应用程序服务器进程、数据服务器进程或后台进程的 8 个实例( 尽管如果需要可以更改此限制) 。有关详细信息，请参见服务器进程默认值和限制在本页 67。您至少需要安装一个后台程序的实例。另外，为使 Tableau Server 正常运行，数据引擎( 及关联的文件存储) 和存储库必须始终有一个活动实例。有关如何将它们移动到其他计算机的步骤，请参见移动数据引擎进程和文件存储进程在本页 66。有关如何配置它们的其他实例的步骤，请参见高可用性在本页 80。进行更改之后，单击 “确定”。 6. 如果要将特定计算机指定为首选主动存储库，请从 “选择主机”列表中选择计算机。如果添加工作服务器，您需要保存配置并重新启动配置实用工具，工作服务器才会显示在列表中。有关存储库的详细信息，请参见 Tableau Server 存储库在本页 50。 7. 单击 “确定”关闭配置实用工具。 8. 重新启动 Tableau Server。在“开始”菜单中，单击 “所有程序”>“Tableau Server”9.2>“启动 Tableau Server”。 Tableau Server 进程有一些您可以更改其默认配置来获得不同结果的 Tableau Server 进程。主题提高服务器性能在本页 386和高可用性在本页 80介绍了您可以采用的某些方法。每个进程的高级别状态显示在服务器的“状态”页面上，与某些进程( 例如后台进程) 相关的更详细信息位于管理视图在本页 268 主题中。 - 34 - 注意：下面列出的某些进程无法进行配置：在基本安装过程中，将在每个节点上安装群集控制器和协调服务。它们需要位于每个服务器节点上。文件存储是在安装数据引擎时安装的，无法单独安装。每个数据引擎进程的实例将始终也存在文件存储进程的实例。从结构上说，64 位版本的 Tableau Server 使用本机 64 位进程；32 位版本的 Tableau Server 使用 32 位进程。但数据引擎例外。如果 32 位版本的 Tableau Server 安装在 64 位操作系统上，则会使用 64 位版本的数据引擎进程。有关这些进程生成的日志文件的信息，请参见服务器日志文件位置在本页 586。进程文件名用途是否为多线程？ API Server wgserver.exe 处理 REST API 调用应用程序服务器 vizportal.exe 处理是 Web 应用程序，支持浏览和搜索 - 35 - 是性能特征除非您为关键业务进程使用 REST API，否则此服务可关闭，而不会对 Tableau Server 的总体运行状况产生影响。在不经常使用的操作 ( 例如，发布包含数据提取的工作簿，进程后台程序文件名 backgrounder.exe - 36 - 用途是否为多线程？执行服否务器任务( 包括数据提取刷新) 、 “立即运行”任务以及通过 tabcmd 启动的任务性能特征或者生成视图的静态图像) 中仅占用显而易见的资源。可通过基于浏览器的交互和 tabcmd 创建该进程的负载。可在群集内的任何或所有计算机上运行多个进程以扩展容量的单线程进程。后台程序通常不会占用很多进程内存，但后台程序可进程缓存服务器文件名 redis-server.exe - 37 - 用途是否为多线程？查询缓否存性能特征能会根据面向它的工作负载的性质占用 CPU 资源、I/O 资源或网络资源。例如，执行大量数据提取刷新时，可能会使用网络带宽来检索数据。数据检索或复杂的 tabcmd 任务可能会占用 CPU 资源。在服务器群集中分布和共享的查询进程文件名用途是否为多线程？性能特征缓存。这种内存中的缓存在许多方案中可加快用户体验。 VizQL Server、后台程序和数据服务器( 以及较小范围的 API 服务器和应用程序服务器) 代表用户或作业向缓存服务器发出缓存请求。缓存为单一线程方式，因此如果您需要更好的性能，您应运行其他 - 38 - 进程文件名群集控制器 clustercontroller.exe 协调服务 zookeeper.exe 数据引擎 tdeserver64.exe tdeserver.exe( 32 位) - 39 - 用途负责监视各个组件、检测故障以及在需要时执行故障转移在分布式安装中，负责确保在故障转移过程中有做出决策的法定人数。存储数据提取和回答查询是否为多线程？性能特征不适用包括在每个节点上的基本安装中。不适用包括在每个节点上的基本安装中。是数据引擎的工作负载由来自 VizQL Server、应用程序服务器、API 服务器、进程文件名用途是否为多线程？性能特征数据服务器和后台程序服务器进程的请求生成。数据引擎服务也会从大多数其他服务器进程中进行请求。该进程是将数据提取加载到内存并针对数据提取执行查询的组件。内存占用主要基于所加载的数据提取的大小。在 64 位操作系统 - 40 - 进程文件名用途是否为多线程？性能特征 r，也是如此。数据引擎是多线程的进程，可以一次处理多个请求。在高负载的情况下，该进程可能会占用 CPU 资源、I/O 资源和网络资源，所有这些资源都可能是高负载的性能瓶颈。高负载时，数据引擎的单个实例可能会占用所有 CPU 资源，以便处理请求。 - 41 - 进程数据服务器文件名 dataserver.exe - 42 - 用途是否为多线程？管理与是 Tableau Server 数据源的连接性能特征由于该进程是一个代理，因此它通常仅受限制于网络，但在有很多同时存在的用户会话时，可能会受限制于 CPU。该进程的负载是以下内容产生的：基于浏览器的交互，基于 Tableau Desktop 的交互，以及针对 Tableau Server 数据源的数据提取刷新作业。进程文件名用途是否为多线程？文件存储 filestore.exe 自动在不适数据引用擎节点之间复制数据提取。存储库 postgres.exe Tableau 不适 Server 用数据库，用于存储工作簿和用户元数据 - 43 - 性能特征随数据引擎一起安装 ( 无法单独安装) 。如果安装了一个或多个数据引擎进程，则文件存储进程将始终存在。通常仅占用很少的资源。执行诸如用户查看所有工作簿或更改权限等操作时，在极少情况下，对于超大型部署 ( 存在数千位用户) ，该进程可能会成进程文件名用途是否为多线程？搜索和浏览 searchserver.exe 在服务是器上处理内容元数据的快速搜索、筛选、检索和显示 VizQL Server vizqlserver.exe 加载和是呈现视图，计算和执行查询 - 44 - 性能特征为瓶颈。有关详细信息，请参见 Tableau Server 存储库在本页 50。进程首先与内存绑定，然后与 IO 绑定。使用的内存量随服务器上的内容量( 站点 /项目/工作簿/数据源/视图/用户的数量) 缩放。在从 Web 浏览器加载视图和交互使用的过程中，占用明进程文件名用途是否为多线程？性能特征显的资源。可能受限制于 CPU、 I/O 或网络。进程负载只能由浏览器的交互创建。进程内存可能不足。 Tableau Server 协调服务如果将 Tableau Server 配置为分布式环境，则群集中每个节点上运行的进程之一是协调服务。Tableau Server 使用协调服务来协调服务器上的活动，包括高可用性安装的活动。协调服务基于 Apache Zookeeper( 一种开源项目) 构建。群集的硬件可能会对协调服务的运行效果有一定影响。特别是： l l l 内存。协调服务将状态信息保留在内存中。按照设计，内存占用空间很小，通常不是总体服务器性能中的因素。磁盘速度。由于服务将状态信息存储在磁盘上，因此，如果单独的节点计算机上的磁盘速度很快，服务将能从中受益。节点之间的连接速度。服务在群集节点之间连续不断地通信；快速的连接速度可帮助实现高效的同步。协调服务的配置协调服务在 Tableau Server 的每个节点上自动运行。您不必显式配置协调服务，并且没有您可对服务进行的设置。因此，当向您群集中添加节点时，您将不会看到以进程方式列出的配置服务 — 举例来说，您不会看到 “添加 Tableau Server”对话框中列出的协调服务： - 45 - “基本安装”选项包括协调服务和群集控制器。正如您所见，此选项处于禁用状态，因为您无法选择不安装那些服务。协调服务法定数量为了确保协调服务能够正常工作，服务需要一个法定数量 — 即服务的最小实例数。在 Tableau 服务安装中，协调服务必须在群集中超过 50% 的节点上运行。如果您减少安装中的节点数，这可能会产生影响。如果群集中的计算机数量减少，它也会产生重要影响。如果减少节点数量如果您将群集中的节点从三个( 或更多) 节点减少为两个节点，一条警告将告知您 Tableau Server 不再能够支持高可用性： A minimum of three Tableau Server nodes are required for high availability. You can add a third node now, or continue with only two nodes. Continuing with only two nodes means Tableau Server will not be highly available. You can always add a third node later. Click OK to continue with 2 nodes, or Cancel to go back and add a node. 如果继续，Tableau Server 将运行，但您将没有任何存储库自动故障转移功能。 - 46 - 如果服务器遇到问题如果协调服务检测到正在运行的服务实例数少于半数，它将关闭服务器，因为这意味着节点无法同步，并且服务器安装无法管理故障转移。如果发生这种情况，您可以通过以下方式确定是协调服务导致了服务器关闭： l l 通知。如果已将服务器配置为向您发送通知，则协调服务会导致发送一封电子邮件，指出协调服务的实例数低于法定数量。有关配置通知的详细信息，请参见配置通知和订阅在本页 14。日志文件。您可以检查日志文件，特别是协调服务 (zookeeper) 和群集控制器服务的日志文件。有关详细信息，请参见服务器日志文件位置在本页 586。查看协调服务状态当您查看服务器进程状态时，列表中未包括协调服务。为了查看该服务的状态，您可以使用以下 tabadmin 命令： tabadmin status --verbose 该命令的输出向您显示服务是否正在运行： 10.32.139.21: Status: RUNNING 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server 'Tableau Server Repository). 'Tableau Server Data Engine 0' (2456) is running. Vizqlserver 0' (3336) is running. Backgrounder 0' (11976) is running. CacheServer 0' (2508) is running. Dataserver 0' (3572) is running. Application Server 0' (804) is running. API Server 0' (3584) is running. Coordination Service 0' (2624) is running. Search and Browse 0' (2744) is running. Gateway' (2824) is running. Cluster Controller' (2840) is running. Repository' (2032) is running (Active File Store' (2964) is running. 对协调服务执行清理协调服务保留服务器的状态信息，例如服务器上活动的事务日志。此信息将写入磁盘，当服务器重新启动时，磁盘上的信息将用于重新启动协调服务和确定状态信息( 例如多个存储库是否已同步) 。如果服务维护的数据损坏( 例如，由于硬件问题而损坏) ，或者存在某些其他影响服务器启动的协调服务问题，则可以对服务的信息执行清理操作。为此，请运行以下 tabadmin 命令： tabadmin cleanup --reset-coordination - 47 - 此命令将执行正常 cleanup 在本页 533，以及移除协调服务文件。注意：此命令只能在服务器停止时运行。 Tableau Server 文件存储 Tableau Server 文件存储进程随数据引擎一起安装，并控制数据提取的存储。在高可用 (HA) 环境中，文件存储可确保数据提取与其他存储文件节点同步，以便它们在一个文件存储节点停止运行时可用。进程文件存储文件名 filestore.exe 状态可在“状态”页面上查看文件存储进程的状态。有关详细信息，请参见查看服务器进程状态在本页 225。日志记录日志位于 \logs\filestore 中。有关详细信息，请参见服务器日志文件位置在本页 586。 decommission 命令如果您希望或需要移除文件存储，您应首先使用 decommission 命令停止使用文件存储。停止使用操作会将文件存储置于只读模式，并将文件存储中包含的任何唯一数据复制到群集中的其他文件存储。在停止使用文件存储的同时，这将显示在“状态”页面上，将所有唯一内容复制到其他文件存储节点后，停止使用的节点将显示为准备移除。 Tableau Server 网关进程 Tableau Server 网关进程是一个 Apache Web 服务器组件 (httpd.exe)。它的任务是处理从所有客户端( Tableau Desktop、移动设备、代理或负载平衡器等) 传递到服务器的请求。服务器运行网关进程的单一实例；每台计算机上不能运行多个实例。 - 48 - 端口分配默认情况下，网关进程在端口 80( 对于 HTTP 请求) 和 443( 对于 SSL 请求) 上侦听请求。在计算机上安装 Tableau Server 时，会在服务器配置过程中确保此端口在计算机的防火墙中已打开。如果计算机运行需要端口 80 的其他进程，您可以更改网关进程的端口分配。可在 Tableau Server 配置工具中执行此操作： - 49 - 或者，您可以运行以下 tabadmin 命令，其中 nn 是新端口号： tabadmin gateway.public.port nn 网关进程的日志文件网关进程会在日志文件存档的 \logs\httpd 文件夹中创建两组日志文件： l 活动日志。这些日志文件名称的格式为 access.yy_mm_dd_hh_mm_ss.log。 l 错误日志。所有错误均记录在一个名为 error.log 的文件中。有关详细信息，请参见对日志文件进行存档在本页 583。群集中的网关进程如果您的服务器环境分布在多台计算机中，您可以在群集的每个节点上运行单一网关进程。在群集中的多台计算机上运行网关进程的最常见方案是群集前面有负载平衡器。在此方案中，负载平衡器将请求分发到群集中的任何网关。如果需要使某个节点脱机( 例如，以便在该节点上执行维护) ，您可以禁用负载平衡器到该计算机的路由。维护完成时，您可以在负载平衡器上重新启用该节点。您必须在群集中的至少一台计算机上运行网关进程。如果从主服务器中移除网关进程，您必须确保群集中的另一台计算机正在运行网关进程。您还必须确保客户端可访问该计算机。如果 Tableau Server 配置为使用 SSL，您必须确保用于支持 SSL 的证书在群集中运行网关进程的每台计算机上位于相同位置中。有关使用 SSL 的详细信息，请参见配置外部 SSL 在本页 447。同样，如果服务器安装使用自定义徽标，该徽标在运行网关进程的每台计算机上必须位于相同位置中。如果需要更改网关进程侦听的端口号( 如前所述) ，您可以为运行网关进程的每台工作服务器计算机使用配置对话框或运行以下命令： tabadmin workerN.gateway.port nn 其他信息代理服务器在本页 409 添加负载平衡器在本页 99 配置故障转移和多个网关在本页 92 Tableau Server 存储库 Tableau Server 存储库是用于存储服务器数据的数据库。此数据包括有关 Tableau Server 用户、组和组分配、权限、项目、数据源和数据提取元数据的信息以及刷新信息。进程存储库 - 50 - 文件名 postgres.exe 状态可在“状态”页面上查看存储库的状态。有关详细信息，请参见查看服务器进程状态在本页 225。日志记录存储库生成的日志位于 \logs\repository 中。有关详细信息，请参见服务器日志文件位置在本页 586。首选主动存储库在初始安装之后配置 Tableau Server 时，您可以选择指定首选主动存储库。这是可选步骤，如果您不指定首选主动存储库，Tableau Server 将在启动时选择主动存储库。如果希望 Tableau Server 在启动时选择特定节点，请配置首选主动存储库。如果您有要用于主动存储库的特定服务器( 例如，具有更多磁盘空间或内存的计算机) ，或者您在使用自定义管理视图，则可能需要这样做。自定义管理视图具有嵌入式连接信息，该信息引用您为其创建了视图的存储库。 failoverrepository 命令如果发生故障转移，并且您的被动存储库成为主动存储库，它将一直是主动存储库，直至 Tableau Server 重新启动或者您使用 failoverrepository 命令切换回来为止。指定要作为主动存储库的存储库，或者指定应再次成为主动存储库的首选主动存储库( 如果已配置) 。有关详细信息，请参见 failoverrepository 在本页 540。服务器进程默认值和限制已安装进程实例的数量取决于您安装 Tableau Server 的计算机。如果计算机满足或超过了最低硬件建议，则大多数进程的默认安装数量是两个实例。如果计算机满足最低硬件要求，但没有至少 8 个内核和 16 GB 系统内存，则默认值将减少为每个进程一个实例。这是有意的，意图是将软件与可用硬件匹配。有关服务器硬件要求和建议的详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置在本页 60。 - 51 - 注意：您不应在不增加关联 RAM 的情况下更改进程数。如果不确定，请与 Tableau 支持联系以获得指引。在分布式安装中，最多只能有存储库的两个实例( 主动和被动) 。您也可以运行包含一个存储库的 Tableau Server，但这样做意味着无法对存储库进行故障转移。如果运行 64 位版本的 Tableau Server( 从 8.1 版开始提供) ，则大多数配置的建议最大值为一个进程的两个实例。有关何时您可能希望一个进程有超过两个实例的详细信息，请参见提高服务器性能在本页 386。如果运行 32 位版本的 Tableau Server 并且默认设置不够，则可以在安装过程中( 仅限升级) 或安装后使用 Tableau Server 配置实用工具更改为最多 8 个实例。更改默认上限每个进程 8 个实例是默认上限。如果您的计算机有足够的 RAM 和 CPU 内核，并且想要设置超过此限制的值，则可以使用 service.max_procs tabadmin 设置来更改限制。对于每个进程实例，Tableau 建议运行进程的计算机至少具有 1 GB RAM 和 1 个逻辑 CPU 内核。更改允许的最大进程数： 1. 安装后，停止服务器。 2. 在 Tableau Server 的 bin 目录中，键入以下命令，其中 number 是要允许的进程实例的最大数目： tabadmin set service.max_procs <number> 例如： tabadmin set service.max_procs 10 3. 还是在 bin 目录中键入： tabadmin config 4. 启动服务器以使更改生效。 - 52 - 升级到 9.2 请参考以下主题将 Tableau Server 软件升级到版本 9.2。如果要从版本 8.2 以前的版本进行升级，请参见 Tableau 知识库。升级前检查表在将 Tableau Server 升级到版本 9.2.x 之前，您应阅读更新功能 - 升级前须知事项在本页 57和本主题，并执行此处所述的步骤。注意：每个版本的 Tableau Server 都会发布新版本的 tabcmd。如果将此命令行实用工具安装在没有运行 Tableau Server 的计算机上，则在升级 Tableau Server 时可能需要在这些计算机上升级 tabcmd。有关详细信息，请参见安装 tabcmd 在本页 500。凭据和安装文件在升级前，请确保您有以下几项： l l l 用户帐户凭据：对于要升级的每台计算机，您都需要拥有本地管理员权限的用户帐户的凭据。以帐户凭据身份运行：确认您拥有 Tableau Server 的运行身份帐户的用户名和密码。如果您在使用 NT AUTHORITY\NetworkService( 默认设置) ，则无需密码。安装文件：除了有要执行的升级所需的 .exe 文件外，还应找到或重新下载生产环境中当前所用服务器版本的安装 .exe 文件( 请参见下载 Tableau 产品 ) 。如果在升级过程中发生意外情况，这可帮助您更快恢复。自定义项当 Tableau 在升级过程中保留配置设置时，最佳做法是记录您所做的所有自定义操作，以便以后进行验证。这些操作包括配置 SSL、更改 Tableau 的默认端口和超时值以及使用自定义徽标。此外，如果您向 Windows PATH 环境变量中添加了当前 Tableau Server 版本，升级后还需要更新该条目，以便它引用较新版本的 Tableau Server。硬件要求 ( 内核数、RAM 和可用磁盘空间 ) 在升级之前，请确保要进行升级的计算机满足或超过最低硬件要求。有关详细信息，请参见硬件要求。位版本从 8.1 版开始，Tableau Server 作为本机 64 位应用程序以及 32 位应用程序提供。早期版本的 Tableau Server 仅作为 32 位应用程序提供。 - 53 - 如果您以前在 64 位操作系统上运行 32 位版本的 Tableau Server，建议您升级到 64 位版本的 Tableau Server。有关最低要求，请参见安装之前... 在本页 3。 Tableau如果您要升级 Tableau Server 的分布式安装，则整个群集必须运行同一位版本 — 全都运行 32 位或全都运行 64 位 Tableau Server 软件。当从 32 位版本的 Tableau Server 升级到 64 位版本时，您必须首先在每台工作计算机上卸载 32 位版本才能安装 64 位版本的工作软件。有关详细信息，请参见将 Tableau Server 的分布式安装从 32 位升级到 64 位在本页 65。检查产品维护状态如果尝试从维护已过期的 Tableau Server 进行升级，您会得到一个未许可的 Tableau Server 实例。查看您服务器的维护是否已过期： l 选择 “开始”>“所有程序”>“Tableau Server”>“管理产品密钥”，并在 “维护过期”列下查看。如果您的维护已过期，请选择密钥并单击 “刷新”。如果维护日期未更新，请联系 Tableau 客户支持。安装过程中将重新激活产品密钥。有关详细信息，请参见激活 Tableau 在本页 9。如果服务器无法访问 Internet，请参见脱机激活 Tableau 在本页 9。创建 “清洁 ”备份最佳做法是，除了定期备份外，您应始终在升级 Tableau Server 之前及时创建备份。在创建备份之前，应运行 tabadmin cleanup 命令从备份中移除不重要的文件。有关步骤，请参见运行清理和备份 Tableau 数据在本页 568。仅限分布式安装：是否在创建备份之前删除工作服务器 Tableau 备份文件 (.tsbak) 包含配置信息以及数据。因此，Tableau Server 分布式安装的备份将包括有关工作服务器节点的配置信息( 包括其 IP 地址) 。如果您不希望在备份中包含此信息( 例如，因为您要在升级过程中将工作服务器节点迁移到新硬件) ，则可执行以下两项操作之一： l 在创建备份之前从 Tableau Server 配置中删除工作计算机。 l 计划在将备份文件还原到新安装时使用 --no-config 选项。请注意，使用此选项 - 54 - 时，不会还原任何配置信息，包括主 Tableau Server 节点的配置信息。注意：您应从未包括在新安装中的任何工作服务器中卸载 Tableau Server，以避免旧工作服务器与新安装发生冲突。如果正在运行 Tableau Server 的分布式安装，并且具有运行 Windows XP 或 Windows Server 2003 SP1 或 SP2 的工作服务器，则必须在升级之前将该工作服务器从配置中移除。9.2 版不支持这些操作系统平台。请注意，Windows Server 2008 或更高版本受支持。从 Tableau Server 配置中删除工作计算机： 1. 在主 Tableau Server 上停止服务器。 2. 在主服务器上，在“开始”菜单中依次选择 Tableau Server <version> > 配置 Tableau Server。 3. 在配置实用工具中，选择 “服务器”选项卡。 4. 如果工作服务器承载数据引擎或存储库，请在继续之前将那些进程转移到其他计算机上。有关步骤，请参见移动数据引擎进程和文件存储进程在本页 66。 5. 接下来，突出显示工作服务器，然后单击 “删除”。 6. 单击 “确定”。 7. 启动服务器。运行清理运行 tabadmin cleanup 命令可从 Tableau Server 系统中移除备份文件中不需要的文件。应在服务器运行时运行一次清理，以便对 Tableau 数据库执行清理；还应在服务器停止后运行一次清理，以便移除日志文件。有关更多信息，请参见移除不需要的文件在本页 570。运行 tabadmin cleanup： - 55 - 1. 以管理员身份打开命令提示符： 2. 导航到 Tableau Server 的 bin 目录。例如： cd “C:\Program Files\Tableau\Tableau Server\9.1\bin” 3. 确认服务器正在运行： tabadmin status 4. 通过键入以下命令运行清理： tabadmin cleanup 5. 停止服务器： tabadmin stop 6. 再次运行清理： tabadmin cleanup 不启动服务器以便创建备份( 下一步) 。创建备份文件 tabadmin backup 命令可创建包含存储库、数据提取和服务器配置中的数据的 .tsbak 文件。创建该文件后，将其存储于其他计算机上。有关步骤，请参见备份 Tableau 数据在本页 568。请注意，如果您使用 Tableau Server 8.0 版或更早版本创建备份，则必须在创建备份之前停止服务器。从版本 8.1 开始，您不用先停止服务器即可创建备份。仅限分布式安装：如果您在创建备份之前从服务器配置中移除了工作服务器节点，并且不会在升级过程中迁移至新硬件，则现在可以将这些工作服务器重新添加到配置 - 56 - 中。请按升级到9.2 在本页 63中的步骤操作。否则，如果要在升级过程中迁移至新硬件，则不要在配置中重新添加工作计算机。有关详细信息，请参见迁移到新硬件在本页 68。更新功能 - 升级前须知事项 Tableau Server 9.2 包括您在升级之前应了解的一些更新内容。有关 Tableau Server 9.2 中的新增功能的信息，请参见 Tableau Server 联机帮助中的 “Tableau Server 新增功能”主题。 Tableau Server 9.2 的更新具有以下影响： SAML 身份验证 - 注销从 9.1 版开始，Tableau Server 支持 SAML 注销。SAML 注销默认情况下已启用，您可以使用 tabadmin set wgserver.saml.logout.enabled false/true 命令来禁用或启用 SAML 注销。如果您的预装 9.1 Tableau Server 配置为使用 SAML 身份验证，则注销功能将不工作，直到您重新配置 SAML 元数据为止。您必须重新导出 SAML 元数据文件，并将其重新导入到 IDP 中。有关配置 SAML 元数据的详细信息，请参阅配置 SAML 在本页 437。发布的数据源中的隐藏字段 - 不可用于工作簿从版本 9.1 开始，工作簿会考虑发布的数据源中的隐藏字段。在 9.1 之前，使用隐藏字段的工作簿会自动显露这些字段。如果在 Tableau 9.1 之前创建的工作簿使用包含隐藏字段的已发布数据源，则隐藏字段会显示在工作簿上。从 Tableau 9.1 开始，该行为发生了变化： l l 如果创建的新工作簿使用包含隐藏字段的已发布数据源，则这些字段在工作簿上仍然为隐藏，并且无法在计算、集、组和其他对象创建中使用。如果您处理的现有工作簿使用包含隐藏字段的已发布数据源，则这些隐藏字段在工作簿中显示为红色来指明这些字段是无效的，因而使用这些字段的视图和计算也是无效的。您可通过两种方式之一来解决此问题，具体情况视您是否需要显示字段而定： l 显示( 取消隐藏) 数据源中的相关字段，然后重新发布数据源，或者 l 更新相关工作簿以排除隐藏字段。有关在“数据”窗格中取消隐藏字段的信息，请参见 Tableau Desktop 帮助中的隐藏或取消隐藏字段。 - 57 - 单击劫持保护 - 默认情况下已启用从版本 9.1 开始，单击劫持保护默认情况下在 Tableau Server 上已启用。若干版本中都提供了该保护，但默认情况下是关闭的。有关单击劫持保护以及它将如何影响嵌入视图的详细信息，请参见单击劫持保护在本页 379。注意：启用了单击劫持保护后，使用从浏览器地址栏中复制的嵌入 URL 的嵌入式视图可能无法加载。如果在 Tableau Server 上启用了单击劫持保护，服务器名称后面包含井号 (#) 的这些视图 URL( 例如， http://myserver/#/views/Sales/CommissionModel?:embed=y) 将被阻止。可通过编辑嵌入 URL 来修复这些视图。有关详细信息，请参见 Tableau 知识库中的如果启用了单击劫持保护，嵌入的视图将不会加载。 “分配对内容的权限 ”设置由于内容权限可锁定到项目，因此 “分配对内容的权限”按钮已移除，并且不再可用于项目和工作簿。有关详细信息，请参见快速开始：锁定项目权限和将内容权限锁定至项目在本页 334。版本 9.0 中更改的功能 Tableau Server 9.0 包括您在升级之前应了解的一些更新内容。有关 Tableau Server 9.0 中的新增功能的信息，请参见 Tableau Server 联机帮助中的 “Tableau Server 新增功能”主题。 Tableau Server 9.0 的更新具有以下影响：自定义项默认开始页面任何用户定义的默认开始页面将重置为 Tableau Server 默认开始页面。用户将需要在升级后重置其默认开始页面。自定义徽标从版本 9.0 开始，自定义徽标在以下方面发生了变化： l l 根据徽标位置，较大自定义徽标的背景会有所不同。在导航栏上，背景为黑色，而在登录屏幕上背景则为白色。有关详细信息，请参见更改名称或徽标在本页 264。小徽标选项已弃用。Tableau Server 中没有显示小徽标的位置，因此该选项没有作用。 - 58 - 硬件要求 ( 内核数、RAM 和可用磁盘空间 ) 从版本 9.0 开始，如果您的计算机未满足最低要求，则 Tableau Server 将不会安装。此情况也适用于升级和全新安装，以及分布式安装中的所有计算机。硬件要求包括： l l 64 位 Tableau Server — 至少必须有 4 个内核、8 GB RAM 和 15 GB 可用磁盘空间才能安装 64 位版本的 Tableau Server。 32 位 Tableau Server — 至少必须有 2 个内核、4 GB RAM 和 15 GB 可用磁盘空间才能安装 32 位版本的 Tableau Server。有关详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置下一页。注意：如果在未满足最低硬件要求的计算机上升级 Tableau Server，您将无法安装 Tableau Server 9.2。如果由于硬件要求原因而无法升级 64 位 Tableau Server，但您的计算机满足 32 位 Tableau Server 的最低硬件要求，您或许能够升级到 32 位 Tableau Server。高可用性和故障转移自版本 9.0 起，Tableau Server 不再支持两节点群集的自动故障转移。若要获得自动故障转移的优势，您需要将 Tableau Server 安装在至少三个节点上。其中一个节点可包括最小安装 ( “基本安装”选项) 。不再支持使用外部确认主机的选项。任何配置为包含外部确认的安装将在没有该主机的情况下升级。在升级针对高可用性( 自动故障转移) 配置的两节点安装时，将会为您提供用于添加第三个节点的选项。可在升级过程中或在稍后执行此操作。 Tableau Software 用户在 Tableau Server 9.0 之前，如果安装了示例数据和用户，将会创建一个名为 Tableau Software 的用户。Tableau Software 用户是示例数据的所有者。从版本 9.0 开始，将不会创建 Tableau Software 用户。如果安装示例数据，该数据的所有权将分配给创建的初始用户( 管理员用户) 。内部 PostgreSQL 数据库密码重新生成安装 Tableau Server 或从以前的版本升级时，将重新生成内部 Tableau Server 进程用于与 PostgreSQL 数据库通信的密码。此密码仅由内部进程使用，服务器管理员或其他用户无法访问。有关详细信息，请参见重新生成密码。 - 59 - tabadmin restore - 不自动重新启动 Tableau Server 从版本 9.0 开始，tabadmin restore 命令将不会自动启动 Tableau Server。如果希望服务器在执行还原后启动，请使用 --restart 选项。有关详细信息，请参见 restore 在本页 550。 “记住我 ”选项对于 Tableau Server 版本 9.0，登录页面上没有 “记住我”选项。 URL 中的会话 ID 对于 Tableau Server 版本 9.0，服务器 URL 末尾的会话 ID 现在由“iid”参数 :iid=<n> 指明。例如， http://localhost/#/views/Sales2015/SalesMarginsByAreaCode?:iid=1。此参数替换井号“#<n>”。视图 URL 中的更改可能会影响嵌入视图、API 调用和受信任票证在 Tableau Server 9.0 中，视图 URL 已更改。我们建议您通过单击 Tableau Server 9.0 的视图中的 “共享”链接来生成 URL，然后在您在版本 9.0 之前的 Tableau Server 中创建的嵌入视图、API 调用或受信任票证中使用生成的 URL。注意：如果使用通过复制浏览器地址栏中的 URL 创建的视图 URL，而不是使用通过单击 “共享”链接生成的 URL，在升级到版本 9.0 后，视图可能无法按预期方式工作。可通过将视图 URL 替换为 “共享”链接 URL 来解决此问题。 Tableau Server 的最低硬件要求和推荐配置以下最低硬件要求和推荐配置适用于运行 Tableau Server 的所有计算机，包括物理硬件和虚拟机 (VM)： l l 最低要求是指您的计算机要设置为安装 Tableau Server 所至少必须具有的硬件。如果您的计算机未满足这些要求，安装程序将不会安装 Tableau Server。这些要求适合于测试和原型设计。最低推荐配置比最低要求要高，表示您应为 Tableau Server 的生产安装使用的最低硬件配置。如果您的计算机满足最低要求但未满足这些推荐配置，则安装程序将向您发出警告，但您可以继续进行安装。此外，Tableau Server 不应安装在同时运行资源密集型应用程序( 例如数据库或应用程序服务器) 的物理计算机或 VM 实例上。 - 60 - 注意：如果将 Tableau Server 安装在满足最低要求但没有至少 8 个内核和 16 GB 系统内存的计算机上，则依据设计，所有进程的默认数量将减少为每个进程一个。有关进程的详细信息，请参见服务器进程默认值和限制在本页 67 最低硬件要求要安装或升级 Tableau Server 的计算机必须满足最低硬件要求：如果安装程序确定您的计算机未满足以下要求，您将无法安装 Tableau Server。有关安装程序如何确定硬件的详细信息，请参见下面的“确定计算机硬件” 。最低要求适合于 Tableau Server 的原型设计和测试，并适用于单节点安装以及分布式安装中的每台计算机。服务器版本 CPU RAM 可用磁盘空间 64 位 Tableau Server 4 内核 8 GB 15 GB 32 位 Tableau Server 2 内核 4 GB 15 GB 对于这些要求： l l 可用磁盘空间在 Tableau Server 安装程序解压缩之后计算而得。安装程序使用约 1 GB 空间。内核数基于“物理”内核。物理内核可能表示实际服务器硬件或虚拟机 (VM) 上的内核。出于计算内核数的目的，将忽略超线程。如果由于硬件要求的原因而无法安装 64 位 Tableau Server，但您的计算机满足 32 位 Tableau Server 的最低硬件要求，您也许能够安装 32 位版本。注意：对于 64 位虚拟机上的 Tableau Server 9.2，您至少需要 4 个物理内核。如果在 Amazon EC2 实例上安装，这表示 8 个 vCPU。有关详细信息，请参见 Amazon EC2 实例。最低硬件推荐配置对于生产用途，您在其上安装或升级 Tableau Server 的计算机至少应满足或超过最低硬件推荐配置。这些推荐配置为一般性配置。Tableau Server 安装的实际系统需求可能因许多因素而异，其中包括用户数以及数据提取的数量和大小。安装类型处理器 CPU RAM 可用磁盘空间单节点 64 位 8 核，2.0 GHz 或更高频率 32 GB 50 GB - 61 - 安装类型处理器多节点和企业部署请与 Tableau 联系以获得技术指导。 CPU RAM 可用磁盘空间节点必须满足或超过最低硬件推荐配置，运行后台程序的节点除外，在这些节点中，4 个内核是可接受的。确定计算机硬件 Tableau Server 安装程序通过查询操作系统来确定计算机拥有的物理内核数。若要查看在您的计算机上检测到的硬件信息以及安装程序，请打开位于安装 Tableau Server 所在的计算机上的 tabadmin.log 文件： <install directory>\ProgramData\Tableau\Tableau Server\logs\tabadmin.log 在 tabadmin.log 中，寻找与下面相似的行，以检查安装程序检测到的物理和逻辑核心，这些核心用于确定正在用于许可的核心计数： 2015-04-09 14:22:29.533 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Running hardware check 2015-04-09 14:22:29.713 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Detected 12 cores and 34281857024 bytes of memory 2015-04-09 14:22:29.716 -0700_DEBUG_10.36.2.32:<machine name>_:_ pid=21488_0x2cd83560__user=__request=__ Hardware meets recommended specifications. Default values will be used. 手动确定计算机上的内核数您可以使用 Windows Management Instrumentation Command-line 工具 (WMIC) 来确定您的服务器拥有的物理内核数。如果不知道您的计算机是否将满足安装 Tableau Server 的最低硬件要求，这可能非常有用。 1. 打开命令提示符。 2. 输入以下命令： WMIC CPU Get DeviceID,NumberOfCores 输出将显示一个或多个设备 ID，以及计算机拥有的物理内核数： - 62 - 上面的示例中有两个 CPU，各自具有 6 个内核，总共有 12 个物理内核。此计算机将满足安装 64 位 Tableau Server 的最低硬件要求。一个更长的命令将可列出逻辑处理器以及物理内核： WMIC CPU Get DeviceID,NumberOfCores,NumberOfLogicalProcessors,SocketDesign ation 在上面的示例中，除了 12 个物理内核外，还有 24 个逻辑内核。升级到 9.2 完成升级前检查表在本页 53 之后，请按以下过程之一操作将现有 Tableau Server 安装升级到 9.2 版。如果要在升级过程中迁移到新硬件，请参见迁移到新硬件在本页 68 而非以下过程。安装较新版本的 Tableau Server 时，使用早期版本所用的同一驱动器和目录。这样，可以自动导入早期版本中的数据和配置设置。注意：如果要升级并且原始安装不在默认位置，当您浏览到该位置时，请不要包括 Tableau Server 文件夹。如果包括 Tableau Server 文件夹，则将安装到第二个 Tableau Server 文件夹，例如 install-drive\Program Files\Tableau\Tableau Server\Tableau Server。选择位置后，请验证安装程序中的路径。有关升级的详细信息，请参见升级到9.2 向上。在新版本的安装过程中，会将现有数据提取迁移到新文件存储。此过程可能需要很长时间 ( 如果有大量的数据提取或数据提取很大，则可能需要长达数小时) 。发生这种情况时，将显 - 63 - 示一条消息："正在将数据提取迁移到文件存储。此过程可能需要长达数小时。” 有关详细信息，请参见 Tableau Server 安装和升级疑难解答在本页 606。如果在内核数少于 8 个或 RAM 不足 16 GB 的服务器上进行升级，并且您未显式设置 VizQL 服务器进程数，则数量将设置为一个实例。为了在内核数少于 8 个并且 RAM 少于 16 GB 的计算机上获得最佳性能，请将 VizQL Server 和数据服务器进程的数量设置为 1。如果您是从 32 位 Tableau Server 升级到 64 位 Tableau Server，则必须卸载现有版本才能安装新版本。注意：最佳做法是，您应在升级之前备份 Tableau Server 数据。有关详细信息，请参见升级前检查表在本页 53。单服务器安装将 Tableau Server 的单服务器安装升级到 9.2 或 9.2.x 版： 1. 使用 Tableau Server 上的“添加/删除程序”卸载早期版本。卸载时将删除服务器软件，但数据和配置设置将保留不动。 2. 安装 Tableau Server。Tableau Server 安装程序将从之前的版本导入数据和配置设置。分布式安装如果您要在升级到 9.2 版的过程中将群集移至 64 位版本的 Tableau Server，请查看相关指南( “请查看升级前检查表在本页 53中有关“位版本”的指南。将 Tableau Server 的分布式安装从版本 8.2 或 9.1 升级到版本 9.2 或 9.2.x： 1. 使用主 Tableau Server 计算机上的“添加/删除程序”卸载早期版本。 2. 在主服务器节点上安装 Tableau Server。 Tableau Server 装程序将从之前的版本导入数据和配置设置。注意：如果从两节点群集( 一个主服务器和一个工作服务器) 或使用外部确认主机的配置中升级，您可能会看到一条有关在两个节点上运行 Tableau Server 的限制的警告。有关详细信息，请参见分布式要求在本页 72 3. 如果“配置 Tableau Server”实用工具提示升级工作服务器节点，请切换到工作服务器节点并使用“添加/删除程序”卸载这些工作服务器节点上的早期版本。卸载时将删除服务器软件，但数据和配置设置将保留不动。 4. 在每个工作服务器节点上安装 Tableau 工作服务器。 5. 返回至主服务器并继续安装。 - 64 - 将 Tableau Server 的分布式安装从 9.2.x 版升级到 9.2.x 版： 1. 使用主 Tableau Server 计算机上的“添加/删除程序”卸载早期版本。卸载时将删除服务器软件，但数据和配置设置将保留不动。 2. 在主 Tableau Server 上安装 Tableau Server。在大多数情况下，对于“相同版本”升级 ( 版本 9.2.x 升级到 9.2.x) 主 Tableau Server 会将更新推送到工作服务器，因此无需在 Tableau 工作服务器上卸载并重新安装服务器软件。注意：如果 PostgreSQL 驱动程序或其他第三方软件有更新，Tableau 工作服务器将无法自动升级。在升级期间，一条消息将指出“一个或多个工作服务器无法自动升级” 并指示您在每个工作服务器上手动升级软件。即使在“相同版本”升级过程中也会发生这种情况。如果您是从 32 位 Tableau Server 升级到 64 位，则需要卸载并重新安装。请参见下面的“将 Tableau Server 的分布式安装从 32 位升级到 64 位”。 Tableau Server 安装程序将从之前的版本导入数据和配置设置。将 Tableau Server 的分布式安装从 32 位升级到 64 位如果您要将分布式安装从 32 位升级到 64 位，则需要执行以下步骤： 1. 使用主 Tableau Server 计算机上的“添加/删除程序”从主服务器卸载 32 位版本。 2. 在主 Tableau Server 节点上安装 64 位 Tableau Server。 3. 如果“配置 Tableau Server”实用工具提示升级工作服务器节点，请切换到工作服务器节点并使用“添加/删除程序”卸载这些工作服务器节点上的早期版本。卸载时将删除服务器软件，但数据和配置设置将保留不动。 4. 在每个工作服务器节点上安装 64 位 Tableau 工作服务器。 5. 返回至主服务器并继续安装 64 位 Tableau Server。移动存储库进程如果您需要从 Tableau Server 配置中删除某一工作服务器节点，而该工作服务器承载存储库的唯一实例，则您必须在删除节点之前将进程移到另一台计算机。始终必须至少有一个存储库进程的活动实例，因此在实例是唯一实例的情况下您无法将其移除。注意：如果还要移动数据引擎/文件存储组，您可以同时移动存储库。请参见移动数据引擎进程和文件存储进程下一页。 1. 创建 Tableau Server 的完整备份。有关详细信息，请参见备份 Tableau 数据在本页 568。 2. 如果尚未这样做，请停止 Tableau Server，并在主 Tableau Server 节点上运行 - 65 - Tableau Server 配置实用工具( “开始”>“Tableau Server”9.2>“配置 Tableau Server”) 。 3. 在 “服务器”选项卡上，选择要将进程移到其中的计算机( IP 地址或计算机名称) ，并单击 “编辑”。该计算机可以是其他工作服务器，也可以是主服务器 (This Computer (Primary))。 4. 在 “编辑 Tableau Server”对话框中，选中 “存储库”复选框，并单击 “确定”关闭对话框。 5. 在 Tableau Server 配置实用工具中单击 “确定”以保存更改并关闭实用工具。 6. 启动主 Tableau Server 节点以便完成现有存储库和新添加的存储库之间的同步。 7. 在 Tableau Server 中打开“状态”页面，并等待新存储库状态不再显示“正在设置”。当存储库状态为“被动”时，同步即完成。 8. 停止服务器，并打开 Tableau Server 配置实用工具。 9. 在 “服务器”选项卡上，突出显示要从中移除进程的计算机，然后单击 “编辑”。 10. 移除所移动的进程：清除 “存储库”复选框并单击 “确定”。 11. 再次单击 “确定”以保存更改并关闭实用工具。 12. 启动主服务器以使更改生效。如果您在从 Tableau Server 配置中删除某个工作服务器节点期间执行此过程( 如升级前检查表在本页 53 中所述) ，请再次停止该服务器，然后继续。移动数据引擎进程和文件存储进程如果需要从 Tableau Server 配置中删除工作服务器节点，并且该工作服务器承载数据引擎和文件存储( 处理数据提取) 的唯一实例，则您首先必须将进程转移到另一台计算机。始终必须至少有一个数据引擎/文件存储进程的实例，因此在实例是唯一实例的情况下您无法将其移除。 1. 创建 Tableau Server 的完整备份。有关详细信息，请参见备份 Tableau 数据在本页 568。 2. 如果您尚未这么做，请停止主 Tableau Server 节点，然后在主 Tableau Server 节点上运行 Tableau Server 配置实用工具( “开始”>“Tableau Server 9.2”>“配置 Tableau Server”) 。 3. 在 “服务器”选项卡上，突出显示要将进程移到其中的计算机( IP 地址或计算机名称) ，并单击 “编辑”。该计算机可以是其他工作服务器，也可以是主服务器 (This Computer (Primary))。 4. 在 “编辑 Tableau Server”对话框中，输入 “数据引擎”进程的数量，并单击 “确定”关闭对话框。 - 66 - 注意：在节点上安装数据引擎进程时，也会安装文件存储进程。从 0 更改 “数据引擎”的值会自动选中 “文件存储”复选框。 5. 在 Tableau Server 配置实用工具中单击 “确定”以保存更改并关闭实用工具。 6. 启动主 Tableau Server 节点以使更改生效。 7. 在 Tableau Server 中打开“状态”页面，并等待新文件存储状态不再显示“正在同步”. 8. 停止服务器。 9. 停止使用工作服务器上的文件存储：从 Windows 命令行中，在 C:\Program Files\Tableau\Tableau Server\9.2\bin 目录中运行： tabadmin decommission <worker_node> 其中 <worker_node> 是将要移除的工作服务器的名称或 IP 地址，出现在配置实用工具的 “服务器”选项卡上的服务器列表中。 10. 打开 Tableau Server 配置实用工具，并在 “服务器”选项卡上突出显示要从中移除进程的计算机，然后单击 “编辑”。 11. 移除所移动的进程：为 “数据引擎”输入 0 并单击 “确定”。将自动清除“文件存储”复选框。 12. 再次单击 “确定”以保存更改并关闭实用工具。 13. 启动主服务器以使更改生效。如果您在从 Tableau Server 配置中删除某个工作服务器节点期间执行此过程( 如升级前检查表在本页 53 中所述) ，请再次停止该服务器，然后继续。服务器进程默认值和限制已安装进程实例的数量取决于您安装 Tableau Server 的计算机。如果计算机满足或超过了最低硬件建议，则大多数进程的默认安装数量是两个实例。如果计算机满足最低硬件要求，但没有至少 8 个内核和 16 GB 系统内存，则默认值将减少为每个进程一个实例。这是有意的，意图是将软件与可用硬件匹配。有关服务器硬件要求和建议的详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置在本页 60。注意：您不应在不增加关联 RAM 的情况下更改进程数。如果不确定，请与 Tableau 支持联系以获得指引。在分布式安装中，最多只能有存储库的两个实例( 主动和被动) 。您也可以运行包含一个存储库的 Tableau Server，但这样做意味着无法对存储库进行故障转移。 - 67 - 如果运行 64 位版本的 Tableau Server( 从 8.1 版开始提供) ，则大多数配置的建议最大值为一个进程的两个实例。有关何时您可能希望一个进程有超过两个实例的详细信息，请参见提高服务器性能在本页 386。如果运行 32 位版本的 Tableau Server 并且默认设置不够，则可以在安装过程中( 仅限升级) 或安装后使用 Tableau Server 配置实用工具更改为最多 8 个实例。更改默认上限每个进程 8 个实例是默认上限。如果您的计算机有足够的 RAM 和 CPU 内核，并且想要设置超过此限制的值，则可以使用 service.max_procs tabadmin 设置来更改限制。对于每个进程实例，Tableau 建议运行进程的计算机至少具有 1 GB RAM 和 1 个逻辑 CPU 内核。更改允许的最大进程数： 1. 安装后，停止服务器。 2. 在 Tableau Server 的 bin 目录中，键入以下命令，其中 number 是要允许的进程实例的最大数目： tabadmin set service.max_procs <number> 例如： tabadmin set service.max_procs 10 3. 还是在 bin 目录中键入： tabadmin config 4. 启动服务器以使更改生效。迁移到新硬件使用以下过程将 Tableau Server 从一台计算机迁移到另一台计算机。这些步骤具体描述了如何将 Tableau Server 数据和配置设置从生产计算机移动到安装了 Tableau Server 版本 9.2 的新计算机。在开始之前，请确保已执行了升级前检查表在本页 53 中的步骤，包括创建备份。 1. 在新计算机上安装 Tableau Server。 2. 将 .tsbak 文件复制到新 Tableau Server 上的 bin 文件夹( 例如 C:\Program Files\Tableau\Tableau Server\9.2\bin) 。 3. 然后，停止 Tableau Server。 4. 将没有配置信息的生产数据还原到新安装的 Tableau Server： tabadmin restore --no-config <filename> 其中 <filename> 是 .tsbak 文件的名称。例如： tabadmin restore --no-config mybackup.tsbak - 68 - --no-config 选项用于从生产 Tableau Server 中还原数据，但不包括配置信息。在转移到新硬件时，您需要使用此选项，因为不使用此选项的话将会与旧配置冲突。执行还原之后，您可能需要重新配置某些选项( 例如 SMTP 或代理设置) 。 5. 启动服务器。 6. 仅限分布式安装：在要添加到 Tableau Server 集群的其他所有计算机上运行 Tableau 工作软件安装程序。有关步骤，请参见安装和配置工作服务器节点在本页 74。 7. 同一 Tableau Server 产品密钥可激活三次：一次针对生产环境，一次针对测试环境，一次针对 QA 环境。在您测试了新 Tableau Server 安装并确认它可用于生产后，必须先停用然后卸载 Tableau Server 的早期生产版本。停用早期版本： - 依次选择 “开始”>“所有程序”>“Tableau Server”>“管理产品密钥”。 - 选中所有产品密钥，然后单击 “停用”。注意：如果您未连接到 Internet，系统将提示您创建离线激活文件以完成停用过程。有关步骤，请参见脱机激活 Tableau 在本页 9。 Tableau Server 安装和升级疑难解答按照本主题中的建议来解决 Tableau Server 的常见问题。有关基于在“状态”页面上查看的进程状态的其他疑难解答步骤，请参见服务器进程疑难解答在本页 226。一般疑难解答步骤许多 Tableau Server 问题可通过某些基本步骤解决： 1. 确保运行 Tableau Server 的每台计算机上都有足够的磁盘空间。有限的磁盘空间可能会导致安装失败、升级失败或运行 Tableau Server 时出现问题。 2. 重新启动 Tableau Server。与索引及未完全启动的进程相关的问题可通过以受控方式重新启动 Tableau Server 解决。若要重新启动 Tableau Server，请使用 tabadmin restart 命令。这将停止与 Tableau Server 关联的所有进程，然后重新启动这些进程。 3. 清理与协调服务 (ZooKeeper) 关联的文件。若要清理协调服务文件，请使用 tabadmin cleanup --reset-coordination 命令。启动 Tableau Server Tableau Server 无法确定其是否已完全启动在某些情况下，Tableau Server 可能会报告它无法确定所有组件在启动时是否已正常启动。一条消息将显示："无法确定所有服务组件是否已正常启动。” - 69 - 如果在启动后看到此消息，请通过使用 tabadmin status -v 命令验证 Tableau Server 是否按预期方式运行。如果状态显示为正在运行( “Status: RUNNING”) ，则服务器已成功启动，您可以忽略该消息。如果状态为 DEGRADED 或 STOPPED，请参见下一节中的“Tableau Server 未启动”。 Tableau Server 未启动如果 Tableau Server 未启动或在降级的状态下运行，请从命令提示符中运行 tabadmin restart 命令。这将关闭正在运行的任何进程，并重新启动 Tableau Server。安装 Tableau Server 安装由于硬件要求而失败从版本 9.0 开始，如果要进行安装的计算机未满足最低硬件要求，则 Tableau Server 无法安装。最低要求旨在最大程度地减少由于在能力不足的计算机上运行 Tableau Server 而造成的问题。这些要求既适用于主服务器计算机，也适用于工作服务器计算机。32 位版本的 Tableau Server 的最低要求较低。如果由于硬件限制而无法安装 64 位版本，您或许能够改用 32 位版本。有关最低硬件要求的详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置在本页 60。升级 Tableau Server 将数据提取迁移到文件存储 Tableau Server 9.2 为数据提取引入了更可靠的存储机制( 称为文件存储) 。从以前的版本升级时，需要迁移数据提取。如果有大量的数据提取或数据提取包含大量数据，此操作可能要花费很长时间( 长达数小时) 。在迁移期间，一条消息将显示： Migrating extracts to File Store This process may take up to several hours. 如果迁移进度看起来已停止或卡滞，您可以通过观察 tabadmin.log 来验证迁移是否正在继续。每迁移一个数据提取，都会向此日志中写入一个条目。升级由于缺少磁盘空间而失败如果磁盘空间不足，使得 Tableau Server 安装程序无法运行和执行升级，则安装将失败。所需的磁盘空间量将取决于存储库数据库的大小以及数据提取的数量和大小。在升级到版本 9.0 的过程中，安装程序会将数据提取迁移到新的文件存储，这将会占用空间。释放磁盘空间： - 70 - 1. 使用 tabadmin ziplogs 命令压缩和保存日志。创建 ziplogs 文件之后，请将其保存到不是 Tableau Server 安装一部分的安全位置。 2. 使用 tabadmin cleanup 命令清理不必要的文件。有关详细信息，请参见移除不需要的文件在本页 570 重建 Tableau Server 搜索和浏览索引可通过重建搜索和浏览索引来解决的其他问题需要重建的索引的其他症状包括： l l l l 用户尝试登录时出现空白站点列表用户尝试选择项目时出现空白项目列表缺少内容( 工作簿、视图、仪表板) 意外或不准确的通知( 例如，未包括数据提取的工作簿上的“刷新失败”通知) 如果看到任何这些行为，请使用 tabadmin reindex 命令来重建搜索和浏览索引。 - 71 - 分布式环境对于分布式安装，您会将 Tableau Server 的各个部分安装在不同计算机上。分布式要求在开始配置 Tableau Server 群集之前，请确保满足以下要求。硬件虽然您在群集中使用的计算机必须满足安装之前... 在本页 3 中所述的要求，但它们不需要完全相同。实现高可用性的硬件指南下面是一些针对您用于实现故障转移和高可用性的系统的指南： l 故障转移 — 三台计算机：若要配置一个群集来为数据引擎和存储库进程提供故障转移支持，您至少需要三台计算机或虚拟机：一台用作主 Tableau Server，两台用作 Tableau 工作服务器节点。注意：如果在每个节点上有存储库以及数据引擎/文件存储的两节点群集( 主计算机和一台工作服务器) 上安装 Tableau Server，则会显示一条警告，告知您在使用此配置的情况下将不支持故障转移，并询问您是否要添加第三个节点。不会要求您添加第三台服务器，但两节点群集不支持故障转移，如果两个节点中的一个节点停机，Tableau Server 将会关闭。 l l l 故障转移和多网关支持 - 三台计算机和一个负载平衡器：若要配置提供上述功能并支持多个网关的群集，您至少需要三台计算机或虚拟机和一个位于群集前端的负载平衡器。高可用性 - 四台计算机和一个负载平衡器：要配置高可用性，您不仅需要上面描述的资源，而且还需要一台计算机作为主 Tableau Server 的备份。主计算机：如果您配置高可用性，则主 Tableau Server 计算机和备份主计算机可以运行很少的 Tableau Server 进程，或不运行任何 Tableau Server 进程。因此，运行主计算机和备份主计算机的计算机无需具有与运行工作服务器的计算机一样多的内核。不过，将需要足够的磁盘空间进行备份，因为在数据库备份和还原过程中将会使用主计算机。除了备份文件所需的空间量外，还需要大约相当于备份文件大小 10 倍的临时磁盘空间( 因此如果备份是 4 GB，则应有大约 40 GB 的可用临时磁盘空间) 。软件 Tableau Server 提供 32 位和 64 位两种版本。如果您运行 Tableau Server 群集，则其中的每台计算机必须运行相同位数的版本，要么全都是 64 位，要么全都是 32 位。例如，如果主 - 72 - Tableau Server 运行 64 位版本的 Tableau Server，则群集中的工作服务器也必须运行 64 位版本的 Tableau Server 工作软件。它们不能运行 32 位版本的 Tableau Server 工作软件。注意：若要在多个节点上安装 Tableau Server，您必须有“Tableau Server—多计算机内核”许可证或用户许可证。联网与端口 l l l 端口：与任何分布式系统一样，您所使用的计算机或虚拟机需要能够互相通信。有关网关和工作服务器上必须具有的端口的列表，请参见 Tableau Server 端口在本页 491。相同域：群集中的所有计算机都必须是同一域的成员。在主 Tableau Server 上指定的服务器的用户运行身份在本页 477帐户也必须是同一域中的域帐户。静态 IP 地址：运行 Tableau Server 的任何计算机，无论它是单服务器安装还是群集的一部分，都必须具有静态 IP 地址( 了解更多信息 ) 。最佳做法下面是开始安装和配置之前需要注意的问题： l l l l IP 地址或计算机名称：记下将要使用的各计算机或虚拟机的 IPv4 地址或计算机名称。在 Tableau 工作服务器安装和配置期间，需要提供这些信息。如上所述，群集中的每台计算机必须都使用静态 IP 地址，即使在配置过程中使用计算机名称进行标识也是如此。 CNAME 记录：如果您配置高可用性并且未使用负载平衡器，则应确保主 Tableau Server 服务器和备份主计算机具有相同的 CNAME 记录，以便在一个主服务器出现故障并且您已配置由另一个服务器进行接替时，Tableau Server 用户能够平稳过渡。如果使用负载平衡器，用户将使用负载平衡器的名称作为 Tableau Server URL，与实际处理该请求的网关无关。用户帐户凭据：对于每台计算机，都需要拥有本地管理员权限的用户帐户的凭据。如果您配置高可用性，则用于主 Tableau Server 的“运行身份”帐户必须与用于备份主 Tableau Server 的“运行身份”帐户相同。备份：最好在进行重要的系统更改之前创建备份。有关步骤，请参见备份 Tableau 数据在本页 568。 SSL 如果您计划为使用多个网关和一个负载平衡器的高度可用的 Tableau Server 群集配置 SSL，( 了解更多信息 ) ，请确保为负载平衡器的主机名称颁发您使用的 SSL 证书。有关其他详细信息，请参见为群集配置 SSL 在本页 449。 - 73 - Tableau Server 中的主机名支持从 8.1 版开始，向 Tableau Server 中添加了主机名支持。这意味着，当您配置 Tableau Server 以便与其他计算机一起使用时，您可以使用该计算机的名称来标识它，而不是使用其静态 IPv4 地址。但是，在内部，Tableau Server 仍然依赖 IP 地址与各种服务( 例如 Tableau 工作计算机或受信任主机) 通信。因此，即使您提供了计算机的名称而非其 IP 地址，与该计算机关联的 IP 地址也无法更改或者可能只是暂时的。如果运行 Tableau Server 的计算机获得新 IP 地址，例如在虚拟机重新启动后或者在使用 DHCP 的网络环境中，那么您将需要运行 tabadmin config 使用该更改更新 Tableau Server 的配置。有关步骤，请参见下面的过程。除 DHCP 外，另一个可能导致 IP 地址在设置后发生变化的项目是 Windows 操作系统的 IPv6 地址功能，称为“临时 IPv6 地址”。请参见知识库，了解有关如何识别和禁用此功能的详细信息。更新 Tableau Server 配置： 1. 在主 Tableau Server 上，以管理员身份打开命令提示符。 2. 键入以下命令： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 3. 停止服务器： tabadmin stop 4. 通过键入以下命令更新服务器的配置： tabadmin config 5. 启动服务器： tabadmin start 安装和配置工作服务器节点完成初始配置后，可以将 Tableau Server 设置为在多台计算机上运行。这称为分布式安装，或群集。运行分布式安装时将使用主 Tableau Server 上的附加端口，且要求在安装过程中 Tableau 工作服务器上的某些端口可用于绑定。有关详细信息，请参见 Tableau Server 端口在本页 491。当您运行分布式安装时还要注意一些其他要求。有关详细信息，请参见分布式要求在本页 72。注意：如果在每个节点上有存储库以及数据引擎/文件存储的两节点群集( 主计算机和一台工作服务器) 上安装 Tableau Server，则会显示一条警告，告知您在使用此配置的情况下将不支持故障转移，并询问您是否要添加第三个节点。不会要求您向群集中添 - 74 - 加第三台服务器，但两节点群集不支持故障转换，如果两个节点中的一个节点停机， Tableau Server 将会关闭。安装和配置 Tableau 工作服务器 1. 确保已在主计算机上安装 Tableau Server。 2. 停止主节点上的 Tableau Server( 请参见 Tableau Server Monitor 在本页 245 了解如何操作) 。 3. 在 Tableau 客户帐户中心下载 Tableau Server 工作软件。 4. 在要添加到 Tableau Server 群集的所有其他计算机上运行 Tableau Server 工作软件安装程序。 5. 安装过程中，您需要提供主服务器的 IPv4 地址或计算机名称。建议使用计算机名称。如果主计算机启用了多个网络接口卡 (NIC)，并且您选择输入 IPv4 地址，请输入主计算机的所有 IPv4 地址，并用逗号将每个地址分隔开。运行主计算机的计算机的 IP 地址必须是静态的，即使您使用计算机名称来标识主计算机，也是如此( 了解更多信息) 。如果您有一个运行 Windows 7 的工作服务器，且启用了 Windows 防火墙，请先参见 Tableau 知识库，然后再继续。 6. 在工作计算机上安装了工作软件后，在主 Tableau Server 仍然停止时返回到主服务器，然后通过在“开始”菜单上选择 “Tableau Server 9.2”>“配置 Tableau Server”打开配置实用工具。 7. 在配置实用工具中，在 “常规”选项卡上输入您的密码，选择 “服务器”选项卡，然后单击 “添加”。 - 75 - 注意：单击 “发现”按钮，使用您在其上运行配置实用工具的计算机的 IPv4 地址或名称自动添加在( 上面的) 步骤 5 中配置的任何工作服务器计算机。 8. 在下一个对话框中，键入其中一台工作计算机的 IPv4 地址或计算机名称，并指定要分配给该计算机的 “VizQL”、“应用程序服务器”、“后台程序”、“缓存服务器”、“数据服务器”、“数据引擎”、“文件存储”、“存储库”、“网关”和 “搜索和浏览”进程的数目。使用 Tableau Worker Server 的 64 位版本，您最多可以运行每个进程的两个实例。在极少数情况下，如果服务器的硬件允许，则可以更改此限制。有关详细信息，请参见服务器进程默认值和限制在本页 67和性能在本页 384。默认情况下，数据引擎和文件存储、存储库以及网关承载于主服务器上。在另外一台服务器上运行这些进程或者将这些进程移出主服务器是配置高可用性的一部分。有关详细信息，请参见高可用性在本页 80。 9. 单击 “确定”。可能需要几分钟时间才能完成更新。 10. 针对要添加到分布式环境中的每台计算机，重复这些步骤。添加完工作服务器后，单击 “确定”以保存更改并关闭配置实用工具，然后启动主节点上的 Tableau Server。 - 76 - 数据库驱动程序 Tableau Server 和 Tableau Server Workers 的安装程序会自动安装 Oracle 和 Oracle Essbase 数据库的驱动程序。如果您计划发布与其他数据库连接的工作簿和数据源，则需要确保您的主服务器和工作服务器上有相应驱动程序。运行 VizQL 的工作计算机、应用程序服务器、数据服务器或后台程序进程需要这些数据库驱动程序。例如，如果您有一台专门用作 VizQL 服务器的工作计算机和另一台专用于数据提取存储的计算机，则只需在运行 VizQL 服务器进程的计算机上安装驱动程序。服务器进程是否需要数据库驱动程序？ VizQL Server 是应用程序服务器是数据服务器是后台程序是 API 服务器是数据引擎( 提取存储) 否存储库否网关否群集控制器否缓存服务器否搜索和浏览否文件存储否重新安装和配置工作服务器节点您可能需要重新安装某个 Tableau 工作服务器节点。若要这样做，请按照以下过程之一进行。您要执行的具体步骤取决于您重新安装的工作服务器是否含有数据引擎或存储库组件，以及是否在此安装中的任何其他节点上复制了这些组件。注意：同时重新安装多个工作服务器可能会导致数据丢失。 - 77 - 使用以下过程帮助您重新安装和配置一个工作服务器节点，使其承载分布式安装中的唯一数据引擎或存储库。每个 Tableau Server 安装都至少需要一个数据引擎和一个存储库。如果要重新安装承载任一这些进程的工作服务器节点，您必须首先将该进程添加到第二个节点。重新安装承载数据引擎或存储库实例的工作服务器节点 1. 创建 Tableau Server 的完整备份。有关详细信息，请参见备份 Tableau 数据在本页 568。 2. 通过在 Windows 的“开始”菜单上选择 “Tableau Server”9.2>“停止 Tableau Server”，或通过在命令行中运行 tabadmin stop 在本页 553 命令，停止主服务器上的 Tableau Server。 3. 在“开始”菜单上，选择 “Tableau Server”9.2>“配置 Tableau Server”。 4. 在配置实用工具中： l 在 “常规”选项卡上，输入您的密码。 l 在 “服务器”选项卡上，将工作服务器承载的数据引擎和/或存储库组件添加到其他工作服务器或主服务器中，然后保存所做的更改。例如，如果您重新安装的工作服务器当前承载数据引擎，则将数据引擎添加到其他节点中。 5. 启动主 Tableau Server 节点以便完成您将重新安装的工作服务器上的现有数据引擎或存储库与这些进程新添加的实例之间的同步。 6. 在 Tableau Server 中打开“状态”页面，并检查您所添加的组件： l 如果添加了数据引擎/文件存储，请等到新文件存储状态不再显示“正在同步”。 l 如果添加了存储库，请等到新存储库状态显示“被动”。 7. 停止 Tableau Server。 8. 如果要移除承载数据引擎的节点，请停止使用要移除的文件存储：从 Windows 命令行中，在 C:\Program Files\Tableau\Tableau Server\9.2\bin 目录中运行： tabadmin decommission <worker_node> 其中 <worker_node> 是将要移除的工作服务器的名称或 IP 地址，出现在配置实用工具的 “服务器”选项卡上的服务器列表中。 9. 在配置实用工具中： l 在 “常规”选项卡上，输入您的密码。 l 在 “服务器”选项卡上，选择要重新安装的工作服务器，然后单击 “删除”。 l 保存所做的更改。 10. 启动 Tableau Server，然后验证一切是否都按预期工作。 11. 在工作服务器上： - 78 - l l l 通过 Windows 控制面板卸载 Tableau Server 工作软件。删除( 或重命名) 以下文件夹：C:\Program Files\Tableau 和 C:\ProgramData\Tableau。 \ProgramData 是隐藏文件夹，因此可能不会显示出来。安装经过更新的工作软件。 12. 在 Tableau Server 主服务器上，停止 Tableau Server，将工作服务器重新添加到配置中，然后保存所做的更改。注意：在重新添加工作服务器时，数据引擎和存储库需要保留在至少一个节点上。 13. 启动 Tableau Server。使用以下过程来帮助您重新安装和配置未承载数据引擎或存储库 Tableau 工作服务器，或者承载组件但存在承载相同组件的其他节点的工作服务器。重新安装和配置不承载数据引擎或文件存储的工作服务器节点，或承载在其他节点上承载的数据引擎或文件存储的工作服务器节点 1. 创建 Tableau Server 的完整备份。 2. 通过在“开始”菜单上选择 “Tableau Server”9.2>“停止 Tableau Server”，或通过在命令提示符下运行 tabadmin stop 命令，停止主服务器上的 Tableau Server。 3. 如果要移除包括数据引擎/文件存储对的节点，请停止使用该节点上的文件存储：从 Windows 命令行中，在 C:\Program Files\Tableau\Tableau Server\9.2\bin 目录中运行： tabadmin decommission <worker_node> 其中 <worker_node> 是将要移除的工作服务器的名称或 IP 地址，出现在配置实用工具的 “服务器”选项卡上的服务器列表中。 4. 通过在“开始”菜单上选择 “Tableau Server”9.2>“配置 Tableau Server”来打开配置实用工具。 5. 在配置实用工具中： l 在 “常规”选项卡上，输入您的密码。 l 在 “服务器”选项卡上，选择要重新安装的工作服务器，然后单击 “删除”。 l 保存所做的更改。 6. 启动 Tableau Server，然后验证一切是否都按预期工作。 7. 在工作服务器上： - 79 - l l l 通过控制面板卸载 Tableau Server 工作软件。删除( 或重命名) 以下文件夹：C:\Program Files\Tableau 和 C:\ProgramData\Tableau\ProgramData 是隐藏文件夹，因此可能不会显示出来。安装经过更新的工作软件。 8. 在主节点上，停止 Tableau Server，使用配置实用工具将工作服务器重新添加到配置中，然后保存所做的更改。注意：在重新添加工作服务器时，数据引擎和存储库需要保留在至少一个节点上。 9. 启动 Tableau Server。维护分布式环境在设置用于分布式安装的主服务器以及一台或多台工作服务器后，您可以使用主服务器上的命令行工具和配置实用工具，从主服务器执行所有随后的配置和更新。更新将被自动推送到工作计算机上。安装工作服务器时，指定了主服务器的 IPv4 地址或计算机名称。如果该 IP 地址或计算机名称发生更改，您需要重新安装工作服务器。您可以在服务器的“维护”页面上监视 Tableau Server 集群的状态。若要了解关于维护服务器的更多信息，请参见服务器维护在本页 225。高可用性 Tableau Server 的高可用性安装是一种特殊类型的分布式安装，旨在最大程度地提高 Tableau Server 的可用性。 - 80 - 快速开始：配置故障转移和高可用性网关数据提取和存储库数据可能变化很快，即使定期备份都可能无法帮助您完全从系统故障中恢复。另一个漏洞是具有 Tableau Server 群集的单一入口点( 或网关) 。为了帮助解决此漏洞，分布式 Tableau Server 部署提供了实时内容复制和故障转移支持，以及运行多个网关的功能。 1 安装服务器在主计算机上安装 Tableau Server。安装之后，停止服务器并在将提供故障转移支持的另外两台计算机上运行 Tableau 工作服务器安装。在工作服务器安装过程中，提供主服务器的 IPv4 地址或名称。要停止或启动服务器，请在命令提示符处转到 Tableau Server bin 文件夹，并键入 tabadmin stop 或 tabadmin start。停止主服务器并打开其配置实用工具。 3 设置电子邮件警报添加第二台工作服务器之后，并且在配置实用工具仍然打开的情况下，单击配置实用工具中的 “通知和订阅”选项卡，并选择 “针对服务器运行状况问题发送电子邮件通知”： - 81 - 在测试时，您的电子邮件帐户将收到有关服务的邮件。输入 SMTP 服务器的名称 — 以及用户名和密码( 如果 SMTP 服务器需要) 。接着，输入将在出现系统故障时发送警报的电子邮件帐户，以及将接收警报的帐户。单击 “确定”并启动 Tableau Server。 2 配置分布式系统 1. 在 “服务器”选项卡上，单击 “添加”以添加工作服务器。输入其 IPv4 地址或计算机名称。为每个进程输入 1。选择 “存储库”、“网关”以及 “搜索和浏览”。单击 “确定”： - 82 - 2. 单击 “添加”以添加第二台工作服务器。输入其 IPv4 地址或计算机名称。为除 “数据引擎”( 将其设置为 0) 之外的每个进程输入 1。将 “存储库”保持清除状态，但选择 “网关”。单击 “确定”。 3. 单击 “确定”关闭配置实用工具，然后在主服务器上启动 Tableau Server 以使更改生效。 4. 停止主服务器并打开配置实用工具。 5. 在 “服务器”选项卡上，选择第二台工作服务器，然后单击 “编辑”。将 “数据引擎”设置为 1，并选中 “存储库”复选框。单击 “确定”，然后再次单击 “确定”以关闭配置实用工具。启动 Tableau Server。 6. 仍然在 “服务器”选项卡上，选择 This Computer (Primary)，然后单击 “编辑”。将每个进程设置为 0，清除 “存储库”复选框，但将 “网关”保持为选中状态。单击 “确定”。 4 对网关进行负载平衡您可以使用负载平衡器来确保在网关出现故障时群集的可用性，以及分摊群集的工作负载。在负载平衡器中，输入运行网关进程的每台计算机( 主服务器和两台工作服务器) 的 IP 地址，并配置负载平衡方法，例如“预测”或“循环” 快速开始：创建备份主计算机本快速开始指南描述如何创建主 Tableau Server 的备份，以便在当前主服务器出现故障的情况下只需几个步骤便可使备份主服务器上线。在开始之前，请确保使用快速开始：配置故障转移和高可用性网关在本页 81作为指南针 - 83 - 对故障转移和高可用性网关配置了您的环境。应有两台工作服务器和一个主 Tableau Server。为了帮助确保 Tableau Server 用户平稳过渡，请为当前主服务器和备份主服务器分配相同的公用名称。配置主服务器故障转移 1 配置主服务器在主 Tableau Server 上停止服务器，然后从 Tableau Server bin 目录中运行以下命令： tabadmin failoverprimary --primary "<computer1>,<computer2>" - 84 - computer1 是当前主服务器的 IPv4 地址或计算机名称。computer2 是备份主服务器的 IPv4 地址或计算机名称。 2 将主服务器的配置复制到备份服务器将主服务器的 tabsvc.yml 文件( 位于 ProgramData\Tableau\Tableau Server\config 中) 复制到备份主服务器上的一个临时位置。在该文件中，将主服务器的 IPv4 地址或计算机名称( 在 worker.hosts 行上) 替换为备份主服务器的 IPv4 地址或计算机名称。 3 安装和禁用备份主服务器在备份主服务器上安装 Tableau Server。安装完成后，在备份主服务器上打开命令提示符并停止服务器。然后运行以下命令： tabadmin autostart off 在开始下一部分之前，请关闭主服务器电源以模拟系统故障。主服务器出现故障后 4 配置备份主服务器在备份主服务器上，使用在步骤 2 中编辑的 tabsvc.yml 文件覆盖本地安装的 tabsvc.yml。( 如果已将 Web 数据连接器 ) 导入到主服务器，请将它们复制到主备份服务器。) 接着，在备份主服务器上打开命令提示符，并从备份主服务器的 Tableau Server bin 目录中运行以下命令： tabadmin failoverprimary --primary "<computer2>, <computer1>" computer2 是备份主服务器( 很快就会成为活动主服务器) 的 IPv4 地址或计算机名称， computer1 是以前的主服务器( 很快就会成为备份主服务器) 的 IPv4 地址或计算机名称。 5 启动备份主服务器运行以下命令： tabadmin autostart on 然后启动服务器。备份主计算机现在已成为主计算机。 6 查看状态在新的主服务器上登录到 Tableau Server，并在“状态”页面上查看分布式系统的状态。在“状态”表的第一行中，您将看到新的主服务器的 IP 地址或计算机名称。了解高可用性配置高可用性 Tableau Server 系统所执行的步骤就是构建冗余配置，这样就可以缩短潜在停机时间。需要冗余的四个方面是数据引擎进程、存储库进程、网关进程和主 Tableau Server( 运行服务器的许可组件) 。由于存储库进程必须始终有一个活动实例，因此配置群集 - 85 - 是一个多阶段过程，需要将主 Tableau Server 停止并在特定的点重新启动以使设置生效。有关具体步骤，请参见配置故障转移和多个网关在本页 92 和使用备份主计算机在本页 101。另请参见分布式要求在本页 72。下面的主题总结了服务器系统拓扑结构在您配置高可用性时的变化。支持的最低高可用性配置是三节点系统。这包括一台运行许可组件的主服务器和两台承载主要进程的工作服务器。您可以通过添加第四台计算机作为备份主计算机来提高系统的可靠性。如果在所有节点上运行网关进程，还应该对网关使用负载平衡器。单服务器系统安装主 Tableau Server 后，它至少运行所有服务器进程的一个实例。这是最基本的 Tableau Server 配置。该配置没有冗余。 - 86 - 对于单服务器系统，“服务器状态”页面上的“进程状态”表通常如下所示： - 87 - 若要构建冗余，您需要添加另外的服务器以承载存储库和数据引擎/文件存储进程的副本。此外，为了减少系统漏洞，可以运行多个网关，而且主网关应隔离在其自身节点上，理想情况是运行尽可能少的服务器进程。实现此目的至少需要三台计算机( 请参见三节点系统向下) 。注意：若要在多个节点上安装 Tableau Server，您必须有“Tableau Server—多计算机内核”许可证。三节点系统三节点系统可帮助您减少主计算机的漏洞： - 88 - 此配置看起来将类似于“服务器状态”页面上的以下“进程状态”表。 - 89 - 在三节点群集中，数据引擎和存储库进程已从主服务器移至工作服务器，并且主服务器仅运行“网关”以及“搜索和浏览”进程。在此配置中，如果主动工作服务器出现故障，被动工作服务器会自动成为主动服务器。有关创建这种三节点群集，包括添加工作服务器和从主服务器移除进程的具体步骤，请参见配置故障转移和多个网关在本页 92。( 许可功能是主服务器不可分割的一部分并且无法移除，因此它不会显示在“状态”页面上。群集控制器和协调服务作为“基本安装”的一部分安装在所有节点上，并且无法配置。协调服务不会显示在“状态”页面上，并且，只有当群集中存在两个以上的节点时，群集控制器才会显示。) 您还可以做两件事来改善这种三节点群集：1) 添加一个负载平衡器与三个活动网关交互，以及 2) 创建一个备份服务器以解决单点故障：主服务器。有关详细信息，请参见以下主题。添加负载平衡器此时，全部三个节点都具有网关，这些网关用于将请求路由到可用的服务器进程。与存储库进程不同，不存在活动和备用网关。所有网关都处于活动状态。为了进一步降低群集出现中断的可能性，您应该配置一个负载平衡器。添加备份主计算机添加备份主计算机可为系统提供一种安全保护。备份主计算机是添加到系统中的一个附加服务器，可在主计算机出现故障时随时接替工作。该服务器不是活动服务器，但在您完成使用备份主计算机在本页 101 中的第一组步骤后，可以随时将其激活。虽然备份主计算机需要在安装期间得到许可，但它并不算作 Tableau EULA 下允许的三种环境之一。带有备份主计算机的系统与下面类似： - 90 - 配置的“进程状态”表看起来与三节点系统的“进程状态”表相同。如果主计算机出现故障，并且您执行备份主计算机的接替步骤，则系统就会使用新的主计算机重新联机： - 91 - 许可仅在主 Tableau Server 上运行，并且每 8 小时检查一次许可。如果主计算机停机并且未运行任何其他进程，您有最多 72 小时的时间来使备份主计算机上线。实际时间段取决于上次检查许可的时间，以及任何进程在许可时间段中是否重新启动。例如，如果许可检查第一次失败发生在 71 小时之前，那么您有 1 小时的时间来使备份主计算机上线。如果许可检查发生在 1 分钟之前，则您有长达 71 小时 59 分钟的时间。注意：在 72 小时的时间段内重新启动的任何进程将不会获得许可，因此将无法响应服务请求。配置故障转移和多个网关执行以下步骤可配置一个提供多个网关和故障转移支持的三计算机群集。大多数情况下，仅当您还计划使用负载平衡器时，运行多个网关才有意义。注意：若要在多个节点上安装 Tableau Server，您必须有“Tableau Server—多计算机内核”许可证。 1. 在主计算机上安装 Tableau Server。 2. 安装完成后，检查“状态”页面。所有进程都应具有绿色的“活动”状态： - 92 - 3. 在主计算机上停止服务器。 4. 在将会提供故障转移和额外网关支持的另外两台计算机或虚拟机上运行 Tableau 工作软件安装程序。在工作软件安装过程中，您需要提供主 Tableau Server 的计算机名称( 推荐) 或 IPv4 地址。如果输入多个 IPv4 地址，请用逗号将每个地址分隔开。注意：即使您使用主计算机的计算机名称标识它，也必须为主计算机分配一个静态 IP 地址( 了解更多信息 ) 。 5. 在主服务器仍停止的情况下，启动 Tableau Server 配置实用工具：“开始”>“所有程序”>“Tableau Server”>“配置 Tableau Server”。在 “常规”选项卡上，输入“运行身份”帐户密码。 6. 在 “服务器”选项卡上，单击 “添加”以添加工作服务器。 - 93 - 注意：如果要配置使用“ Tableau Server-单计算机内核”许可证授权的服务器，则 “添加”按钮不起作用。 7. 输入工作服务器的 IPv4 地址或计算机名称，为 “数据引擎”输入 1( “文件存储”将自动选中) ，并选中 “存储库”复选框。如果希望工作服务器运行其他服务器进程，请输入要运行的实例数，例如 1 或 2。单击 “确定”关闭“添加 Tableau Server”对话框，并单击 “确定”保存配置并关闭配置实用工具。注意：如果共有两个节点，并且每个节点都有一个存储库和/或数据引擎，则会出现一条消息，告知您至少需要三个服务器节点才能实现高可用性( 故障转移) 支持：“至少需要三个 Tableau Server 节点才能实现高可用性。您可以现在添加第三个节点，或者仅使用两个节点继续操作。"： - 94 - 8. 在主计算机上启动服务器。 9. 重要信息：留几分钟时间，以便服务器的同步进程复制数据。这可能需要 5 分钟到 15 分钟( 甚至更长) 时间，具体取决于您的安装的大小和数据提取的数量。 10. 在 Tableau Server 中打开“状态”页面，并检查您所添加的组件： l 如果添加了数据引擎/文件存储，请等到新文件存储状态不再显示“正在同步”。 l 如果添加了存储库，请等到新存储库状态显示“被动”。 11. 在确认同步已完成后，在主服务器上停止服务器。 12. 打开配置实用工具。在 “常规”选项卡上，输入运行身份帐户密码，然后单击 “服务器” 选项卡并在 “服务器”选项卡上单击 “添加”以添加另一台工作服务器。 13. 输入第二台工作服务器的 IPv4 地址或计算机名称，为每个进程至少输入 1，但 “数据引擎”进程除外( 将该进程设置为 0) 。清除 “存储库”复选框并选择 “网关”。 - 95 - 单击 “确定”。 14. 在 “服务器”选项卡上，选择 “此计算机(主)”，然后单击 “编辑”。 15. 在“编辑 Tableau Serve”对话框中，将 “数据引擎”设置为 0 并取消选中 “存储库”复选框。保持 “网关”处于选中状态。如果希望主 Tableau Server 只运行网关进程 (Apache)，则可通过在各文本框中输入 0 从主服务器中移除剩余服务器进程。对于基于内核的许可证，网关及搜索和浏览进程不消耗内核资源。将主 Tableau Server 配置为只运行网关及搜索和浏览在许多情况下( 例如您拥有一个 8 核服务器许 - 96 - 可证和两台 4 核工作服务器) 是很有效的策略。您可以运行三台服务器( 一台主服务器加两台工作服务器) ，但只有工作服务器消耗内核资源。单击 “确定”。 16. 在 “服务器”选项卡上，选择第一台工作服务器，单击 “编辑”，并选中 “网关”复选框。将其他设置保持不变。单击 “确定”。 17. 仍然在 “服务器”选项卡上，选择第二台工作服务器，并单击 “编辑”。 18. 将 “数据引擎”设置为 1( “文件存储”将自动选中) ，并选中 “存储库”复选框。 - 97 - 19. 单击 “确定”。 “服务器”选项卡现在应与下图类似： 20. 您还可以设置电子邮件通知，以便在服务器出现故障或者数据引擎和存储库进程的状态发生变化时收到通知。为此，请在配置实用工具中单击 “通知和订阅”选项卡，然后按配置电子邮件通知在本页 14中的步骤操作。 21. 单击 “确定”关闭配置实用工具。 22. 如果要移除数据引擎/文件存储( 上面的步骤 14) ，则会出现一条消息，告知您文件存 - 98 - 储未停止使用，并询问您是否要将其停止使用。单击 “是”以停止使用文件存储。 23. 在主计算机上启动服务器 ( 可能需要几分钟时间更改才会生效) 。您的系统现在配置为为存储库进程提供故障转移支持。此外，还为您的系统配置了多个网关。现在您可以使用负载平衡器，以确保在网关出现故障时群集的可用性，以及分摊群集的工作负载。 “状态”页面应与下图类似：添加负载平衡器可以通过运行多个网关并配置负载平衡器在网关之间分配请求，来提高 Tableau Server 群集的可靠性。与可以处于主动或被动状态的存储库进程不同，所有网关进程都必须处于主动状态。如果群集中的一个网关变得不可用，负载平衡器将停止向其发送请求。您选择的负载平衡器算法决定网关路由客户端请求的方式。如果您还计划创建备份主计算机并且该计算机将运行网关进程，请确保向负载平衡器标识该网关以及所有其他网关。注意：如果您将使用 Kerberos 身份验证，则在将 Tableau Server 配置为使用 Kerberos 之前，必须针对负载平衡器配置 Tableau Server。有关详细信息，请参见配置 Kerberos 在本页 461。指南在配置您的负载平衡器以便与 Tableau Server 一起使用时，请注意以下事项： - 99 - l 已测试负载平衡器：具有多个网关的 Tableau Server 群集已使用 Apache 和 F5 负载平衡器进行了测试。如果使用 Apache 负载平衡器并且创建自定义管理视图，则需要直接连接到 Tableau Server 存储库。不能通过负载平衡器进行连接。 l l Tableau Server URL：当负载平衡器位于 Tableau Server 群集前端时，Tableau Server 用户所访问的 URL 将属于负载平衡器而不是主 Tableau Server。 X-Forwarded-For 和 X-Forwarded-Host 标头：Tableau Server 用户活动管理视图显示客户端 IP 地址及其他信息。要让此视图显示客户端的 IP 地址而不是群集的负载平衡器，可能需要在负载平衡器上显式启用 X-Forwarded-For 和 X-ForwardedHost 标头( 有些负载平衡器默认会将其启用，有些则不会) 。注意： X-Forwarded-For 标头必须包括在客户端和服务器之间遍历的任何代理服务器的 IP 地址。 l l l 受信任主机设置：必须将运行负载平衡器的计算机作为受信任主机向 Tableau Server 标识。请参见下面的过程了解如何配置 Tableau Server。代理服务器配置：用于将负载平衡器标识给 Tableau Server 的设置与用于标识代理服务器的设置相同。如果 Tableau Server 群集需要代理服务器和负载平衡器，那么二者都必须使用 gateway.public.host 中定义的单一外部 URL，并且必须在 gateway.trusted 和 gateway.trusted_hosts 中指定所有代理服务器和负载平衡器。有关详细信息，请参见配置 Tableau 以使用代理服务器在本页 410 持久性：除非使用 Active Directory (NTLM) 身份验证，否则外部负载平衡器配置不应包括任何持久性或相关性。如果使用 Active Directory 身份验证，则仅为 NTLM 协商请求使用基于 Cookie 的持久性。配置 Tableau Server 以使用负载平衡器您可以通过执行下列步骤配置 Tableau Server 以使用负载平衡器。 1. 停止服务器。 2. 在 Tableau Server bin 目录中，输入以下命令，其中 name 是用于通过负载平衡器访问 Tableau Server 的 URL： tabadmin set gateway.public.host "name" 例如，如果通过在浏览器地址栏中输入 tableau.example.com 来访问 Tableau Server，请输入以下命令： tabadmin set gateway.public.host "tableau.example.com" 3. 默认情况下，Tableau 假定负载平衡器在端口 80 上侦听外部通信。要使用其他端口，请输入以下命令，其中 port_number 是端口： tabadmin set gateway.public.port "port_number" - 100 - 4. 现在，输入以下命令，其中 server 是负载平衡器的 IPv4 地址或计算机名称： tabadmin set gateway.trusted "server" server 的值可以是逗号分隔列表，例如： tabadmin set gateway.trusted "10.32.139.45, 10.32.139.46, 10.32.139.47" 或 tabadmin set gateway.trusted "proxy1, proxy2, proxy3" 5. 在下一个命令中，您将为负载平衡器提供任何备用名称，例如它的完全限定域名、任何非完全限定域名和任何别名。这些是用户可能在浏览器中键入的名称。用逗号分隔每个名称： tabadmin set gateway.trusted_hosts "name1, name2, name3" 例如： tabadmin set gateway.trusted_hosts "lb.example.com, lb, ftp.example.com, www.example.com" 6. 运行 config 命令： tabadmin config 7. 启动服务器以使更改生效。使用备份主计算机按照下面主题中的过程进行操作前，请先执行配置故障转移和多个网关在本页 92 中的步骤。完成这些步骤后，您将拥有两个提供故障转移支持的工作服务器。每台服务器还运行一个网关，可以为网关配置负载平衡器。主 Tableau Server 运行网关进程和许可功能，该功能不会公开，也不能作为进程分配。现在您已对数据引擎、存储库和网关实现了冗余，接下来需要为主 Tableau Server 构建冗余。通过创建备份可以实现此目的。虽然备份主计算机需要在安装期间得到许可，但它并不算作 Tableau EULA 下允许的三种环境之一。请记住每 8 小时检查一次许可。如果主计算机停机并且未运行任何其他进程，您有最多 72 小时的时间来使备份主计算机上线。实际时间段取决于上次检查许可的时间，以及任何进程在许可时间段中是否重新启动。例如，如果许可检查第一次失败发生在 71 小时之前，那么您有 1 小时的时间来使备份主计算机上线。如果许可检查发生在 1 分钟之前，则您有长达 71 小时 59 分钟的时间。注意：在 72 小时的时间段内重新启动的任何进程将不会获得许可，因此将无法响应服务请求。若要了解上次检查许可的时间，请查看 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\licensing 文件夹中的 checklicense_lic.log 文件及其他日志文件。下面的第一个主题介绍如何创建主计算机的备份。第二个主题演示在当前主计算机出现故障的情况下如何切换到备份主计算机。 - 101 - 创建备份主计算机执行以下操作以创建备份主计算机： 1. 在主 Tableau Server 上停止服务器。 2. 在主计算机上，以管理员身份打开命令提示符，然后转到 Tableau Server 的 bin 目录： C:\Program Files\Tableau\Tableau Server\9.2\bin 3. 版本 8.1.3 及更早版本：输入以下命令，其中 <primary1> 是当前主计算机的 IPv4 地址或计算机名称，<primary2> 是备份主计算机的 IPv4 地址或计算机名称： tabadmin failoverprimary --primary <primary1> --secondary <primary2> 版本 8.1.4 及更高版本：输入以下命令，使用当前主计算机和备份主计算机的计算机名称( 推荐) 或当前主计算机和备份主计算机的所有 IPv4 地址。如果输入 IPv4 地址，请用逗号将每个地址分隔开。 tabadmin failoverprimary --primary "primary1_name,primary2_ name" 或 tabadmin failoverprimary --primary "primary1_IP,primary2_IP" 例如，如果当前主计算机的计算机名称为 TABLEAU_SERVER，备份主计算机的计算机名称为 TABLEAU_SERVER2，则输入以下命令： tabadmin failoverprimary --primary "TABLEAU_SERVER,TABLEAU_ SERVER2" 下面是一个使用 IPv4 地址的命令示例。此示例假定主计算机 (primary1_IP) 具有单个 IPv4 地址 10.32.139.22，备份主计算机 (primary2_IP) 具有单个 IPv4 地址 10.32.139.26： tabadmin failoverprimary --primary "10.32.139.22,10.32.139.26" 如果主计算机和备份主计算机具有多个 IPv4 地址，则全部输入它们。例如： tabadmin failoverprimary --primary "10.32.139.22,10.32.139.23,10.32.139.26,10.32.139.27" 4. 接下来，复制主节点上的 tabsvc.yml 文件( 位于 ProgramData\Tableau\Tableau Server\config 中) ，并将该副本保存在备份主计算机上的一个临时位置中。如果切换到备份主计算机，您将需要使用此文件。注意：tabsvc.yml 文件包含服务器配置设置。在 Tableau Server 配置实用工具中或使用 tabadmin 命令更改配置设置时，该文件会更新。如果在复制 tabsvc.yml - 102 - 文件之后进行任何配置更改，则您需要更新备份主计算机上的 tabsvc.yml 副本，以确保在需要进行故障转移时有最新的配置。 5. 在备份主计算机上，编辑复制到备份计算机的 tabsvc.yml 文件，并将主计算机的 IP 地址或计算机名称替换为备份主计算机( 您当前所在的计算机) 的 IP 地址或计算机名称。如果主计算机仅运行网关，如本过程中所述，您需要编辑的唯一一行是 worker.hosts。如果主计算机还运行其他进程，请将任何位置显示的主计算机的 IP 地址或名称替换为备份主计算机的 IP 地址或名称。 - 103 - 6. 在备份主计算机上安装 Tableau Server。使用在主计算机上运行 Tableau Server 安装程序时所使用的“运行身份”帐户和配置设置。注意：安装 Tableau Server 时，将会在备份主计算机上创建一个新的 tabsvc.yml 文件。如果需要向备份计算机进行故障转移，请将此文件替换为您在上面的步骤 4 和 5 中建立并更新的副本。 7. 安装完成后，在备份主计算机上停止服务器。 8. 还是在备份主计算机上，输入以下命令以禁止自动启动 Tableau Server 服务： tabadmin autostart off 9. 键入以下命令以提交配置更改： tabadmin config 此时即完成备份主计算机的创建。请参见切换到备份主计算机，了解在当前主计算机出现故障时应执行的操作。如果您在测试环境中工作，这会是关闭当前主计算机，模拟系统故障以测试配置的好时机。切换到备份主计算机如果主节点出现故障，并且您配置了备份主计算机，则可以按照这一组步骤进行操作以切换到备份主计算机。所有步骤都应在备份主计算机上执行。注意：切换到备份主计算机后，您需要在原始主计算机上卸载并重新安装 Tableau Server，并将其配置为备份主计算机。有关详细信息，请参见下面的步骤 7。 1. 在备份主计算机上，查找您在创建备份主计算机在本页 102的步骤 5 中复制和编辑的 tabsvc.yml 文件。将此文件从临时位置复制到 ProgramData\Tableau\Tableau Server\config，并替换备份主计算机上的现有 tabsvc.yml 文件。您需要这样做，以便备份主计算机具有与主计算机相同的配置设置。 2. 如果已将 Web 数据连接器导入到主服务器，请将它们复制到备份主计算机上的以下文件夹： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\httpd\htdocs\webdataconnectors 将 Web 数据连接器从将其导入的位置复制到主服务器，或者提取 Tableau Server .tsbak 备份文件的内容，并从中获取 Web 数据连接器。 3. 以管理员身份打开命令提示符，然后转到 Tableau Server 的 bin 目录： C:\Program Files\Tableau\Tableau Server\9.2\bin - 104 - 4. 版本 8.1.3 及更早版本：输入以下命令，其中 primary2 是备份主计算机( 很快就会成为新的主计算机) 的 IPv4 地址或计算机名称，primary1 是先前的主计算机( 很快就会成为备份主计算机) 的 IPv4 地址或计算机名称： tabadmin failoverprimary --primary <primary2> --secondary <primary1> 版本 8.1.4 及更高版本：输入以下命令，使用备份主计算机( 很快就会成为新的主计算机) 的计算机名称或备份主计算机( 很快就会成为新的主计算机) 和主计算机( 很快就会成为备份主计算机) 的 IPv4 地址。如果输入 IPv4 地址，请用逗号将每个地址分隔开。 tabadmin failoverprimary --primary "primary2_name,primary1_ name" 或 tabadmin failoverprimary --primary "primary2_IP,primary1_IP" 例如，如果备份主计算机的计算机名称为 TABLEAU_SERVER2，先前的主计算机的名称为 TABLEAU_SERVER，则输入以下命令： tabadmin failoverprimary --primary "TABLEAU_SERVER2,TABLEAU_ SERVER" 下面是一个使用 IPv4 地址的示例。此示例假设备份主服务器 (primary2_IP) 具有单个 IPv4 地址 10.32.139.26，以前的主服务器 (primary1_IP) 具有单个 IPv4 地址 10.32.139.22： tabadmin failoverprimary --primary "10.32.139.26,10.32.139.22" 如果备份主计算机和先前的主计算机具有多个 IPv4 地址，则全部输入它们。例如： tabadmin failoverprimary --primary "10.32.139.26,10.32.139.27,10.32.139.22,10.32.139.23" 5. 输入以下命令： tabadmin autostart on 6. 键入以下命令以提交配置更改： tabadmin config 7. 启动服务器。备份主计算机现在已成为主计算机。在查看“状态”页面时，应该会注意到主计算机的 IP 地址或计算机名称已发生改变： - 105 - 8. 若要使先前的主计算机现在充当备份主计算机，需要执行以下操作： l l l 使用“添加/删除程序”从先前的主计算机删除 Tableau Server。在卸载程序结束时，会收到一个备份错误，您可以将其忽略。删除先前的主计算机上 \Program Files 和 \ProgramData 下的 Tableau 文件夹。重复创建备份主计算机在本页 102中从步骤 4 开始的步骤。 - 106 - 使用服务器以下主题介绍如何设置和管理 Tableau Server。站点 Tableau Server 中的一个站点是将用户的内容、数据和组与同一服务器上的其他用户隔离的逻辑空间。Tableau Server 允许服务器管理员为不同用户和内容集在服务器上创建多个站点，从而支持多租户。每个站点在服务器上是独立的，并且可以按用户或组设置项目、工作簿、视图或数据源的权限。将逐个站点发布、访问、管理和控制所有服务器内容。每个站点的工作簿、数据和用户列表都独立于其他站点的相应项，并且用户一次只能访问一个站点。只有服务器管理员才能查看每个站点并执行各种操作，例如，创建站点并进行服务器范围的更改。服务器管理员可以为各种将访问 Tableau Server 的组合或组创建独立站点。站点管理员( 服务器管理员允许其创建站点用户) 能够控制站点成员身份。( 有关更改此设置的详细信息，请参见添加或编辑站点下一页中的步骤 4) 。服务器管理员创建站点之后，内容所有者可以将工作簿、视图和数据源发布到服务器上的特定站点。用户可以属于多个站点，在每个站点上具有不同的站点角色和权限。登录到服务器的用户将看到用户所属的站点中允许他们查看的内容。使用站点下面的主题介绍使用多个站点的各个方面( 例如使用哪种身份验证) 以及应该了解的与用户许可证和管理员角色有关的内容。身份验证和登录凭据服务器上的所有站点都使用相同的用户运行身份帐户和用户身份验证模式。在安装 Tableau Server 时，需要选择这两个设置。有关详细信息，请参见配置一般服务器选项在本页 11。属于同一个服务器系统上的多个站点的用户对每个站点使用相同的凭据。举例来说，如果 Jane Smith 在站点 A 的用户名为 jsmith，密码为 MyPassword，她在站点 B 上使用这些相同的凭据。当她登录 Tableau Server 时，她将能够选择她要访问的站点。 Default 站点为帮助您从单服务器系统平稳过渡到多服务器系统，Tableau Server 在安装时带有一个名为 Default 的站点。如果运行模式为单站点模式，则无需显式使用 Default 站点，它的使用是自动进行的。但是，如果添加一个或多个站点，则 Default 会成为您登录 Tableau Server 时可以登录的站点之一。Default 站点与添加到系统中的站点有以下不同： - 107 - l 永远无法删除该站点，但与添加的站点一样，可以对其重命名。 l 该站点存储随 Tableau Server 提供的示例和数据连接。 l 用于 Default 的 URL 未指定站点。例如，名为“Sales”的站点上名为“Profits”的视图的 URL 为 http://localhost/#/site/sales/views/profits。“默认”站点上同一视图的 URL 为 http://localhost/#/views/profits。站点管理员和服务器管理员站点角色 Tableau Server 中有两种类型的管理员，即服务器管理员和站点管理员。对于每个站点，服务器管理员可以控制站点管理员是否可为其管理的站点添加和移除用户( 选择 “站点 < 名称 >”>“设置”) 。如果选择了 “仅服务器管理员”，则站点管理员不能添加或移除站点用户。但是，他们仍然可以管理其站点中的组、项目、工作簿和数据连接。如果选择了 “服务器和站点管理员”( 默认设置) ，则站点管理员可以执行上述所有操作，并可以添加或移除用户。许可和用户限制用户可以属于多个站点，在每个站点上具有不同的站点角色和权限。不过，属于多个站点的用户也不是对于每个站点都需要许可证。每个服务器用户只需要一个许可证。服务器管理员可以使用 “限制用户数”设置( 选择 “站点 < 名称 >”>“设置”) 来指定站点的用户限制。只会计算许可用户数；将排除服务器管理员。例如，如果站点有 90 个许可用户，20 个未许可用户以及 1 个系统管理员，则用户计数为 90。如果 “限制用户数”设置为 “100”，则还可以添加 10 个许可用户。添加或编辑站点服务器管理员可将站点添加到 Tableau Server，或编辑现有站点。即使在您添加站点之前， Tableau Server 也将有默认站点。 - 108 - 1. 打开“站点”页面。如果要在服务器上添加第一个站点，请选择 “设置”>“添加站点”，然后单击 “添加站点”。否则，选择 “服务器”>“站点”，然后单击 “新建站点”。若要编辑站点，请选择 “服务器”>“站点”( 多站点) ，或单击 “设置”( 单站点) 。选择要修改的站点，然后选择 “编辑设置”。 - 109 - 2. 为站点输入 “站点名称”和 “站点 ID”( 如果编辑的是 Default 站点，则无法更改 “站点 ID”) ：注意：无法更改 URL 中的“#/site”( 例如，http://localhost/#/site/sales) 。在多站点服务器系统中，它出现在除默认站点之外的站点的 URL 中。 3. 工作簿、数据提取和数据源全部占用服务器上的存储空间。对于 “存储”，选择 “服务器限制”或 “GB”，并输入要作为限制的 GB 数。 - 110 - 如果您设置了服务器限制但站点超过了该限制，则将阻止发布者上载新内容，直至站点再次低于该限制。服务器管理员可以使用站点页面上的 “最大存储”和 “已用存储” 列来跟踪站点的限额使用情况。 4. 选择是只有您( 即服务器管理员) 可以添加和移除用户( “仅服务器管理员”) ，还是两类管理员( “服务器和站点管理员”) 均可执行该操作。如果您允许站点管理员添加用户，则可通过选择以下选项之一来指定他们可向站点添加多少用户： l l 服务器限制：对于使用基于用户的许可的服务器，限制是可用的服务器席位许可证数。对于使用基于内核的许可的服务器，对可以添加的用户数没有限制。有关详细信息，请参见查看许可证在本页 237和处理未许可的服务器在本页 595。 <n> 个用户：允许站点管理员根据您指定的限制来添加用户。有关许可和用户限制的信息，请参见使用站点。 - 111 - 5. 将 “允许用户使用 Web 制作”保留为选中，或将其清除以在站点中( 而不是服务器范围内) 禁用内容制作。禁用 Web 制作意味着用户无法从服务器 Web 环境编辑已发布工作簿。要更新已发布到服务器的工作簿，Tableau Desktop 用户必须重新发布它。有关详细信息，请参见禁用 Web 制作在本页 346。 6. 对于 “订阅”，如果希望站点用户能够订阅视图，请保持 “允许用户订阅工作簿和视图”为选中状态。只有当您也在“配置”对话框中配置了订阅设置时，此选项才可见。还可以为订阅输入自定义 “发件人地址”。尽管您输入的地址应使用有效的电子邮件地址语法( 例如 bizdev@myco.com 或 noreply@sales) ，但是 Tableau Server 不需要它对应于实际电子邮件帐户( 然而，某些 SMTP 服务器可能需要它是实际地址) 。对于 “电子邮件页脚”，选择 “自定义页脚”并输入任何您希望显示在订阅页脚的 Tableau Server URL 上方的文本。电子邮件页脚看起来将类似于： - 112 - 7. 选择 “允许记录工作簿性能指标”以允许您的站点用户收集有关工作簿性能的指标，例如，工作簿加载速度除了为站点选中此复选框之外，若要开始记录，用户还必须向工作簿的 URL 中添加参数。有关详细信息，请参见创建性能记录在本页 404。 8. 单击 “新建站点”或 “保存”。注意：作为服务器管理员，当您向 Tableau Server 中添加第一个站点时，将显示 “服务器”菜单以及 “站点”菜单。选择 “服务器”时，“用户”页面将显示标签 “服务器用户”，因为它与服务器上的所有用户相关。选择 “站点”时，“用户”页面将显示标签 “站点用户”。作为服务器管理员，您可以将用户添加到服务器，或添加到单独的站点。有关详细信息，请参见用户在本页 160和站点在本页 107。向站点添加用户管理员可以使用以下方式将用户添加到站点： l l 添加本地用户帐户或 Active Directory 中的用户帐户，如本主题中所述。也可通过导入 Active Directory 组来添加用户。有关详细信息，请参见通过 Active Directory 创建组在本页 149。导入包含用户信息的 CSV 文件。有关详细信息，请参见导入用户在本页 181和 CSV 导入文件准则在本页 187。在单站点环境中，管理员可在“用户”页面上将用户添加到站点。在多站点环境中，您将使用 “站点用户”页面。服务器管理员必须授予站点管理员向站点中添加用户的能力。此设置可由服务器管理员启用或禁用( 请参见添加或编辑站点在本页 108中的步骤 4) 。注意：可将用户添加到站点或服务器。若要将用户添加到服务器，请参见将用户添加到服务器在本页 175。根据在首次配置 Tableau Server 时选择的身份验证方法，此选项可用于添加用户。如果使用本地身份验证，则无法添加 Active Directory 用户。如果使用 Active Directory，则无法添加本地用户。在 “用户”( 单站点) 或 “站点用户”( 多站点) 页面上，您可以看到您当前登录的站点上的用户。您只能将用户添加到当前站点( 或从中移除用户) 。如果用户属于多个站点，则您可以从当前站点中移除该用户。 - 113 - 注意：站点管理员从站点中移除某个用户( 并且该用户只属于这一个站点) 时，如果该用户未拥有任何内容，则会将其从服务器中自动删除。注意：此屏幕截图来自于多站点环境。在单站点环境中，此页面将是“用户”页面。 - 114 - 将本地用户添加到站点 1. 在站点中，单击 “用户”，单击 “添加用户”，然后单击 “本地用户”。注意：此屏幕截图来自于多站点环境。在单站点环境中，此页面将是“用户”页面。 2. 输入用户名。如果将服务器配置为进行本地身份验证，则使用电子邮件地址作为用户名是避免用户名冲突的最佳方法( 例如，使用 jsmith@myemail.com 而不是 jsmith) 。 - 115 - 同时在以下字段中输入信息： l 显示名称 — 键入用户的显示名称( 例如，John Smith) 。 l 密码 — 为用户键入密码。 l 确认密码 — 重新键入密码。 l 电子邮件 — 此字段为可选，可稍后在用户配置文件设置中添加。 3. 选择一个站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。 4. 单击 “添加用户”。多站点服务器注意事项：站点管理员仅在对现有用户所属的所有站点具有控制权的情况下才能编辑现有本地用户帐户。例如，如果用户 1 是站点 A 和 B 的成员，则站点 B 的管理员无法编辑用户 1 的全名或重置密码。 - 116 - 将 Active Directory 用户添加到站点 1. 在站点中，单击 “用户”，接着单击 “添加用户”，然后单击 “Active Directory 用户”。 1. 输入一个或多个用户名( 由分号分隔) 。如果要添加的用户所属的 Active Directory 域与运行服务器的域相同，则可以键入不带域的 AD 用户名。此时将使用服务器所在的域。 - 117 - 如果服务器所在的域和另一个域之间设置了双向信任，则可以从这两个域添加用户。首次从“非服务器域”添加用户时，请对用户名使用完全限定域名。可以使用该域的昵称添加后续用户。例如，假定“非服务器域”为 mybiz.lan，则对于该域的第一个用户，请输入 user1@mybiz.lan 或 mybiz.lan\user1。可以使用该域的呢称输入下一个用户，例如 user2@mybiz 或 mybiz\user2。注意：不要在此字段中输入用户的全名；它可能会导致在导入过程中出现错误。 2. 选择一个站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。 3. 单击 “添加用户”。删除站点服务器管理员可以删除已添加到 Tableau Server 的站点。删除站点会同时删除发布到该站点的工作簿和数据源以及用户。如果用户属于其他站点，则不会将其删除。若要永久删除用户，请转到“服务器用户”页面。注意： Default 站点无法删除。 1. 单击 “服务器”>“站点”。 2. 选择要移除的站点，并单击 “删除”。 3. 在出现的确认对话框中单击 “删除”。导入或导出站点您可以通过将现有站点导出到一个文件，然后将该文件导入新站点，来配置新 Tableau Server 站点。导出的站点称为源站点。导入到其中的站点称为目标站点。源站点可以来自 Tableau Online( 它是 Tableau Server 基于云的安装，由 Tableau 托管) ，也可以来自您管理的 Tableau Server 部署。导入站点时，源站点的所有资源( 包括工作簿、项目、数据源、用户) 都将一同导入。导入内容还包括所有权限、订阅或已创建的用户收藏夹列 - 118 - 表。在目标站点中，会保留源站点中所有特定于站点的设置( 包括站点配额、订阅和 Web 制作设置) 。导出之前导出站点之前，请注意以下事项：删除未使用的项。确保源站点只包含您想导入的内容。删除任何未使用的工作簿、项目或数据源。移除未使用的用户。确认所有用户都已获得许可并移除不再代表实际用户的任何用户。必须将从源站点导出的所有用户导入目标站点。不能在导入过程中移除用户。在目标服务器上创建用户帐户。站点导入过程会向用户分配一个目标站点。用户在目标服务器上必须已经拥有用户帐户。如果将一个站点导出到同一 Tableau Server 上的另一个站点，您将拥有所需的所有用户帐户。如果从 Tableau Online 或从另一台 Tableau 服务器导出站点，则必须先在目标服务器上创建用户帐户，然后再执行导入。检查用户身份验证。用户身份验证是一种服务器端设置，服务器上的所有站点必须使用相同设置。可以从使用不同用户身份验证方法的服务器导出或导入到这些服务器，但需要修改用于导入的映射文件。该步骤内置于导入过程中，详见验证站点映射在本页 122。由于 Tableau Online 站点使用自定义用户身份验证方法，因此从 Tableau Online 站点导出需要对用户特定的映射文件进行编辑。这可以确保干净导入，与目标服务器的配置方式无关。检查计划。Tableau Server 上的“计划”页面列出您可以用于数据提取刷新和计划的默认计划：分配给源站点上的默认计划的刷新和订阅将自动映射到目标站点上的相同计划。如果源站点具有自定义计划，它们将会导入目标站点，在编辑映射文件时，还可以选择将它们重命名。配置目标服务器以交付订阅。订阅将会导入新站点，但如果目标服务器尚未配置为交付订阅，则必须进行相应配置。有关详细信息，请参见配置通知和订阅在本页 14。创建或标识目标站点。Tableau Server 上必须已经有目标站点，才能导入站点文件。目标站点上有但源站点上没有的任何内容在导入期间都将被移除。因此，建议使用空站点。有关创建或更改站点的详细信息，请参见添加或编辑站点。 - 119 - 注意：如果目标站点不为空，则目标站点和源站点上具有相同名称的工作簿和数据源将被源站点中的工作簿、数据源和权限替代，并且可通过时间戳验证。查找站点 ID。用于导出或导入站点的命令需要使用站点 ID 作为参数。站点 ID 用于向 Tableau Server 唯一地标识站点。登录站点时，站点 ID 会显示在 URL 中的 # 后面。如果服务器未运行多个站点，则显示的 Web 浏览器 URL 将包括 #，但不包括站点或站点 ID。如果看到这一点，则您在使用 Tableau 的内置站点( 名为“默认”) 。如果服务器运行多个站点，则显示的 Web 浏览器 URL 将包括 #/site/，后跟您的站点的站点 ID。在导入到用户或计划数比源站点少的目标时的提示将源站点导入用户或计划数比源站点少的目标站点时，不支持多对一导入。请考虑以下选项： l 在导出之前从目标站点中移除额外的用户或计划( 首选选项) 。 l 在开始导入之前向目标站点中添加缺少的用户或计划。 l 在导入过程中向目标站点中添加缺少的用户或计划，并手动更新映射文件。 l 在导入过程中将用户或计划手动映射到目标站点中的不同用户和计划。如果用户名在服务器之间不同( 例如，名为 adavis 的已导出用户在目标站点上定义为 davisa) ，则此选项为必需。导出站点导出或导入过程中无需停止 Tableau Server。 1. 以管理员身份打开命令提示符，然后转到 Tableau Server 上的 bin 目录。例如： C:\Program Files\Tableau\Tableau Server\9.2\bin 2. 键入以下命令： tabadmin exportsite <site ID> --file <filename or path>. - 120 - 例如，若要将站点 ID 为 wsales 的站点导出到文件 C:\sites\exported_sites\sales_ export.zip，请键入以下命令： tabadmin exportsite wsales --file C:\sites\exported_ sites\sales_export.zip 有关可与 exportsite 命令一起使用的其他选项的示例，请参见 exportsite 在本页 539。在导出期间，Tableau Server 锁定该站点。导入站点如果尚没有用于导入的目标站点，请创建一个。请参见添加或编辑站点了解相关步骤。导入站点共分三步。首先，运行 tabadmin importsite 命令生成将导入的文件。接着，验证显示站点导入方式的文件。最后，运行 tabadmin importsite_verified 命令以完成导入。在开始之前，需要准备好导出的站点文件和目标站点的站点 ID。Tableau Server 默认站点的站点 ID 是 ""( 双引号，没有空格) 。如果您是在 Windows PowerShell 中运行命令，则用单引号 ('""') 分隔默认站点双引号。虽然无需在导入过程中停止 Tableau Server，但接收导入的站点将处于锁定状态，直到导入完成。启动站点导入过程 1. 以管理员身份打开命令提示符，然后转到 Tableau Server 上的 bin 目录。例如： C:\Program Files\Tableau\Tableau Server\9.2\bin 2. 键入以下命令： tabadmin importsite <site ID> --file <filename or path> 其中，<site ID> 是目标站点的站点 ID，<filename or path> 是导出的站点文件的完整路径。例如，若要将文件 C:\sites\exported_sites\sales_export.zip 导入站点 ID 为 esales 的站点，请键入以下命令： tabadmin importsite esales --file C:\sites\exported_ sites\sales_export.zip 有关可与 importsite 命令一起使用的其他选项的示例，请参见 importsite 在本页 541。 3. 输入命令后，要验证的映射文件将被放置到 ProgramData\Tableau\Tableau Server\data\tabsvc\temp\import_<site ID>_<datetime>\mappings 中。请记下此位置以便在下一过程中使用。 - 121 - 验证站点映射使用 importsite 命令启动站点导入后生成的映射文件将显示在导入完成后，将如何分配站点资源。Tableau Server 无法映射的文件以及需要编辑的文件将在 CSV 文件中使用问号 (???) 进行标记。运行最终的 importsite_verified 命令之前，必须更改问号，使其表示目标站点上的有效分配。注意：在更改过程中不能添加或移除用户。导入的用户的所有用户名在目标服务器上必须已经存在。验证站点的映射文件： 1. 转到在输入 importsite 命令后显示的目录： 2. 使用 Microsoft Excel( 建议) 或文本编辑器，打开映射文件夹中的每个 CSV 文件。每个文件都显示在导入到目标站点后，将如何映射或处理源站点中的项。 3. 验证映射是否正确。将任何带有问号 (???) 的条目替换为有效值。使用该表作为指南： CSV 文件名列标题是否可编辑？说明 mappingsDomainMapperForGroup- source_ s name 否源站点上的用户组名称。 source_ 否源站点上的用户身份验证 - 122 - 类型：local( 对于本地身份验证) 或域名称( 对于 Active Directory) 。 domain_ name target_ domain_ name 是* 源站点上的用户身份验证类型：local( 对于本地身份验证) 或域名称( 对于 Active Directory，例如 example.com 或 example.lan) 。 *不要编辑“所有用户”的 target_domain_name 值。将其值保留为 local，即使您的目标服务器配置为使用 Active Directory 用户身份验证。“所有用户” 组是每个 Tableau Server 上都必须存在的特殊的默认用户组。 mappingsScheduleMapper 否源站点上的自定义和默认数据提取或订阅计划的名称。 source_ 否 scheduled_ action_type 计划的类型，要么是 “数据提取”( 对于数据提取刷新) ，要么是 “订阅”( 对于源站点上的订阅交付) 。 source_ name target_ name 是 target_ 否* scheduled_ action_type 目标站点上的自定义计划的名称。您可以编辑该值。例如，如果计划在源站点上的名称是 “星期五更新”，您可以在目标站点上将其重命名为 “星期五刷新”。计划的类型，要么是 “数据提取”( 对于数据提取刷新) ，要么是 “订阅”( 对于目标站点上的订阅交付) 。 *在极少数情况下，该列中 - 123 - 可能会有问号 (???)。如果有，请将它们替换为 “数据提取”或 “订阅”，使其与您在 “source_scheduled_ action_type”中看到的条目匹配。 mappingsSiteMapper source_ 否 url_ namespace 源站点的站点 ID。 target_url_ 否 namespace 目标站点的站点 ID。 mappingsSystemUserNameMappe- source_ r name 否用户在源站点上的用户名。 source_ domain_ name 否源站点上的用户身份验证类型：local( 对于本地身份验证) ，域名称( 对于 Active Directory，例如 example.com 或 example.lan) ，或 external ( 对于 Tableau Online 站点) 。 target_ name 是在导入时将分配给目标站点的用户的用户名。确认所有列出的用户名在目标服务器系统上都存在，并将所有问号 (???) 替换为目标服务器上的有效用户名。不能通过向 CSV 文件中添加行来创建用户名。同样，也不能通过删除行来移除用户名。您可以编辑 target_name 列中的用户名，使其不同于源用户名，只要它已经 - 124 - 使用该不同名称存在于目标服务器系统上即可。例如，用户的 source_name 值可以是 jsmith@myco.com， target_name 值可以是 johnsmith@example.co m，只要目标服务器上存在用户名 johnsmith@example.co m 即可。不能将源站点上的一个用户映射到目标站点上的多个用户名。 target_ domain_ name 是目标站点上的用户身份验证类型：local( 对于本地身份验证) 或域名称( 对于 Active Directory，例如 example.com 或 example.lan) 。 4. 如果进行编辑，请保存所做更改并保留 CSV 文件的格式设置。将映射文件保留在其当前位置。完成站点导入 1. 以管理员身份打开命令提示符，然后转到 Tableau Server 上的 bin 目录。例如： C:\Program Files\Tableau\Tableau Server\9.2\bin 2. 键入以下命令： tabadmin importsite_verified <site ID> --importjobdir <PATH> 其中，<site ID> 是目标站点的站点 ID，<PATH> 是您在验证站点映射在本页 122 中使用的映射目录的上一级目录。例如： tabadmin importsite_verified esales --importjobdir C:\ProgramData\Tableau\Tableau Server\data\tabsvc\temp\import_esales_20140409185810071 有关可与 importsite_verified 命令一起使用的其他选项的示例，请参见 importsite_verified 在本页 543。 3. 打开刚刚导入的新站点，并确保一切都符合预期。 - 125 - 站点可用性站点可能会由于导入失败或者服务器管理员选择挂起站点一段时间而变为挂起或锁定状态。站点挂起后，唯一可以访问它的服务器用户是服务器管理员。只有服务器管理员才能激活站点，使其再次可用。激活或挂起站点 1. 单击 “服务器”>“站点”。 2. 选择站点，然后选择 “动作”>“激活”或 “挂起”。项目项目是相关工作簿、视图和数据源的集合。项目存在于站点内，可通过 Tableau Server 中的 “内容”页面访问。管理员可创建项目、为项目分配权限、重命名项目以及更改项目所有者。只有管理员才能创建或拥有项目。管理员和具有“项目主管”权限的用户可以锁定和“解锁”项目权限。管理员和项目主管随时可在项目中为项目本身及其工作簿和数据源设置和编辑默认权限，甚至在内容权限已锁定到项目时也不例外。有关详细信息，请参见快速开始：锁定项目权限、将内容权限锁定至项目在本页 334和设置项目以及其工作簿和数据源的默认权限在本页 330。 - 126 - 项目主管只有管理员才可以创建新项目，而可以向用户和组分配“Project Leader”权限。此权限允许用户指定项目权限并将工作簿移动到项目。它还允许用户将内容权限锁定至项目。默认项目每个站点都会自动包括由 Tableau 创建的默认项目。创建新项目时，它最初具有与默认项目相同的权限。默认项目可作为新项目的模板；它定义的默认设置和权限会应用于新项目以及这些项目内的工作簿和数据源。默认权限每个项目都包括可以为项目本身以及其工作簿和数据源设置的权限。这些权限将成为项目中所有内容的默认权限设置，并且每个项目可以有自己的默认权限集。有关详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330。 - 127 - 只有管理员和项目主管才能编辑项目及其工作簿和数据源的默认权限。站点中默认项目的默认权限设置用作与项目关联的新项目、新工作簿或新视图的模板。初始权限是对项目权限的一次性复制。 l l l l 每个新项目的初始权限是从为 Tableau Server 中的每个站点自动创建的默认项目复制而来的。工作簿的初始权限是从项目的默认工作簿权限复制而来的。视图的初始权限是从项目的默认工作簿权限复制而来的。数据源的初始权限是从项目的默认数据源权限复制而来的。内容权限锁定到项目后，默认权限设置将应用于所有工作簿( 包括视图) 和项目中的数据源，并且无法由用户( 包括内容所有者) 修改。在具有可编辑权限的项目中，工作簿、视图或数据源首先将具有默认权限，但以后可以编辑这些权限，以使其不同于项目权限以及不同于默认值。例如，某个组可能没有查看项目 X 的权限，但可能有权查看发布到项目 X 的视图。有关使用项目来控制内容权限的详细信息，请参见创建基于项目的权限在本页 344。项目内容权限( 锁定或打开) 项目的内容权限可以处于锁定( 指明为 “已锁定到项目”) 或打开状态( 指明为 “由所有者管理”) 。有关详细信息，请参见将内容权限锁定至项目在本页 334。已锁定到项目。工作簿和数据源始终使用为其项目设置的默认权限。项目中的单个工作簿和数据源的权限无法修改。由所有者管理。工作簿和数据源首先具有为其项目设置的默认权限。项目中的单个工作簿和数据源的权限可以修改。管理员和具有“项目主管”权限的用户可以锁定项目中的内容权限，以防止用户更改项目中工作簿和数据源的权限。当项目权限锁定时： l 将为项目中的所有工作簿( 包括视图) 和数据源只使用默认权限设置。 l 用户( 包括内容所有者) 无法修改项目中单独的工作簿、视图和数据源的权限。 - 128 - 如果工作簿或数据源从打开的项目移动到锁定项目，则锁定项目中的默认权限会应用于移动的内容，然后其权限将被锁定。添加项目 1. 在“内容”页面上，单击 “项目”，然后单击 “新建项目”。 2. 输入项目的名称和说明，然后单击 “新建项目”。可以在项目说明中包含设置格式和超链接。为语法单击 “显示格式设置提示”。若要编辑项目，请单击该项目将其打开，单击 “详细信息”，然后单击 “编辑说明”。将工作簿移动到项目中所有工作簿都必须位于项目中。默认情况下，工作簿将添加到 “默认”项目中。在创建自己的项目后，您可以将工作簿从一个项目移动到另一个项目中。如果您是管理员，或者拥有“发布者”站点角色或至少满足以下条件之一，就可以将工作簿移到项目中： - 129 - l 您拥有项目的“移动”权限。 l 您拥有该项目的“Project Leader”权限。将工作簿移到项目中： 1. 在“工作簿”页面中，选择一个或多个工作簿，然后选择 “动作”>“移动”。 - 130 - 2. 为工作簿选择其他项目，然后单击 “移动”。由于所有工作簿必须是项目的一部分，因此可通过将工作簿移动到 Default 项目中来删除某一项目中的工作簿。每个工作簿只能包含在单个项目中。删除项目只有管理员才可以删除项目。删除项目时，该项目包含的所有工作簿和视图也会从服务器删除。 - 131 - 1. 在“项目”页面中，选择一个项目，然后选择 “动作”>“删除”。 2. 在确认对话框中单击 “删除”。 Default 项目无法删除。设置项目权限每个项目都包括可以为项目本身以及其工作簿和数据源设置的权限。这些权限将成为项目中所有内容的默认权限设置，并且每个项目可以有自己的默认权限集。有关详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330。管理员和项目负责人随时可在项目中为项目本身及其工作簿和数据源设置和编辑默认权限，不管内容权限是已锁定到项目还是开放可供编辑。但是，当内容权限锁定到项目后，将无法编辑项目中的单独工作簿和数据源权限。管理员和具有“项目主管”权限的用户可以锁定和“解锁”项目权限。有关详细信息，请参见快速开始：锁定项目权限、将内容权限锁定至项目在本页 334。有关使用权限的详细信息，请参见管理权限在本页 305和项目在本页 126。注意：在创建新项目时，项目最初将具有与站点中的 Default 项目相同的权限，即项目及其工作簿和数据源的默认权限。 - 132 - 您可为项目特定设置的三个能力为：“查看”、“保存”和 “项目负责人”。模板说明视图允许用户或组查看项目中的工作簿和视图。保存允许用户或组将工作簿和数据源发布到服务器，以及覆盖服务器上的内容。允许时，用户可从 Tableau Desktop 重新发布工作簿或数据源，从而成为所有者并获得所有权限。随后，原始所有者对工作簿的访问将由该用户的组权限以及新所有者可能设置的任何进一步权限来确定。此权限还确定了用户或组在服务器上编辑工作簿之后可对其进行覆盖。要了解相关信息，请参见授予 Web 编辑、保存和下载权限在本页 341。项目负责人允许用户或组为项目中的所有项设置权限、锁定项目权限以及编辑默认权限。 - 133 - 设置项目权限 1. 在“项目”页面上，选择一个项目，然后选择 “动作”>“权限”。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。 3. 选择一个权限角色模板以为组或用户应用初始能力集，然后单击 “保存”。 - 134 - 项目的可用权限模板包括：模板说明查看者允许用户或组查看项目中的工作簿和视图。发布者允许用户或组将工作簿和数据源发布到服务器。项目主管允许用户或组设置一个项目中所有项的权限。无将权限规则的所有能力设置为 “未指定”。已拒绝将权限规则的所有能力设置为 “已拒绝”。数据源连接器允许用户或组连接到项目中的数据源。数据源编辑器允许用户或组连接到项目中的数据源。同样允许发布、修改、下载、删除和设置数据源的权限并为您发布的数据源安排刷新。在访问与数据源连接的某个视图时，该权限与视图相关。 4. 若要进一步自定义规则，请单击权限规则名称旁边的动作菜单 (. . )，然后单击 “编辑”。单击规则中的一个能力，将其设置为 “已允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 - 135 - 5. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 - 136 - 6. 执行相同的步骤，为更多用户或组配置其他内容权限规则。设置项目以及其工作簿和数据源的默认权限现在可以为项目本身以及其工作簿和数据源设置项目的权限。这些权限将成为项目中所有内容的默认权限设置，并且每个项目可以有自己的默认权限集。只有管理员和项目主管才能编辑项目及其工作簿和数据源的默认权限。注意：站点中的新项目开始将始终具有为默认项目设置的默认权限集。 l l l 管理员和具有“项目主管”权限的用户可以随时编辑默认权限。项目处于锁定状态时，用户( 包括内容所有者) 无法编辑单独的工作簿、视图和数据源的权限。锁定项目中的工作簿和数据源始终使用为该项目中的内容设置的默认权限。锁定项目中的视图始终使用工作簿权限。在从 Desktop 中发布工作簿和数据源时，这一点适用于工作簿和数据源。有关使用权限的附加信息，请参见管理权限在本页 305和项目在本页 126。 - 137 - 设置项目中的默认权限 1. 在站点的“内容”页面中，单击项目，然后单击项目位置页面中的 “权限”。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。对于现有用户或组，单击。.，然后单击 “编辑”。 - 138 - 3. 为项目、工作簿或数据源选择权限角色模板，然后单击 “保存”。或者，单击 “项目”、“工作簿”或 “数据源”标记以扩展权限视图。单击能力以将其设置为 “已允许”、“已拒绝”或 “未指定”。单击 “保存”。此示例演示如何设置项目默认权限。相同的常规步骤适用于工作簿和数据源。注意：若要在保存之后更改设置，请单击动作菜单 (. .)，然后单击 “编辑”。 - 139 - 4. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的用户权限。扩展“项目”、“工作簿”或“数据源”权限视图以查看单独的能力。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 - 140 - 5. 执行相同的步骤，为更多用户或组配置其他权限规则。创建基于项目的权限作为管理员，您可能需要组织工作簿的集合，并指定哪些用户可以访问这些工作簿以及可访问到什么程度。要组织工作簿，您可以创建项目，即相关工作簿的集合。然后，您可以在每个项目上设置权限，以便为项目中的所有工作簿指定相同的访问级别。对于此方案，项目的“所有用户”组的权限将设置为 “无”，这意味着权限对于“所有用户”组为 “未指定”。准备在开始创建项目及基于项目的权限的过程之前，Tableau 建议您概要描绘或记录所有项目以及您希望用户在每个项目中拥有的权限级别，然后再在 Tableau Server 中实施。这种练习将帮助您组织想要实施的各种权限，并可帮助您找出解决方案中的任何用户或权限空白。另外，请阅读 Tableau Server 帮助中的以下主题： l l 授予 Web 编辑、保存和下载权限在本页 341 管理权限在本页 305和权限相关主题步骤 1：创建项目和用户组 1. 使用您的管理员用户名和密码登录到 Tableau Server。 2. 在“项目”页面上，单击 “新建项目”。 3. 单击 “组”，然后单击 “新建组”。 - 141 - 创建与每个项目和访问级别对应的组。例如，对于只允许用户访问视图的项目，您可以使用类似于 Project1_Viewer 的名称。对于允许与视图交互的项目，可使用 Project1_Interactor。 4. 单击 “用户”，然后单击 “添加用户”。在列表中选择一个或多个用户，选择 “动作”>“组成员身份”，然后为用户选择一个组。单击 “保存”确认组成员身份。重复此步骤以向其他组中添加用户。步骤 2：在项目级别分配权限设置了项目和用户组之后，您可以开始分配权限。为每个项目重复这些步骤。另请参见设置项目权限在本页 325。 1. 在“项目”页面上，选择一个项目，然后选择 “动作”>“权限”。 2. 单击 “添加用户或组规则”，选择 “组”，然后在列表中选择组名称。若要编辑现有规则，请单击权限规则名称旁边的动作菜单 (. .)，然后单击 “编辑”。 3. 选择一个权限角色模板以为组或用户应用初始能力集。 4. 若要进一步更改规则中包括的能力，请单击规则中的一个组图，将其设置为 “已允许” 或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。为需要项目权限的每个组或用户重复步骤 3-5。 5. 将内容权限锁定到项目以便为项目中包含的所有内容分配默认权限。这将覆盖以前为项目中的工作簿和视图分配的任何权限。步骤 3：检查项目权限 l 查看生成的用户权限。单击权限规则列表中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。当您将工作簿发布到项目时，将相应反映相关权限。有关为用户授予“保存”权限的信息，请参见授予 Web 编辑、保存和下载权限在本页 341。快速开始：锁定项目权限若要防止用户更改项目中包含的内容的权限，您可以锁定该项目的权限。权限锁定到项目后，默认权限设置将应用于项目中的所有工作簿和数据源，并且无法由用户( 包括内容所有者) 修改。只有管理员和项目主管才能锁定或解锁项目权限。管理员和项目主管可在项目中为项目本身及其工作簿和数据源设置和编辑默认权限。 - 142 - 有关设置权限的信息，请参见为用户或组添加权限规则。有关设置默认权限以及将内容权限锁定到项目的详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330以及将内容权限锁定至项目在本页 334。 1 设置项目默认权限由于在权限锁定到项目时将使用项目的默认权限，因此您将需要确保这些权限已正确设置。在站点中，单击 “内容”>“项目”。打开项目，然后单击 “权限”。添加用户或组并为该内容类型选择权限角色模板，或者单击 “编辑”，然后将能力设置为 “已允许”、“已拒绝”或 “未指定”。管理员和项目主管可以随时编辑默认权限。 2 将内容权限锁定至项目在项目的权限中，单击 “由所有者管理”按钮。按钮标签指明内容权限当前已锁定到项目或由内容所有者管理。选择 “锁定到项目”，然后单击 “保存”。 - 143 - 当权限锁定到项目时，项目中的所有内容将使用默认权限。没有用户将能更改项目中单独的工作簿( 包括视图) 或数据源的权限。 3 查看锁定的权限打开项目，选择该项目中的一个工作簿或数据源，然后单击 “动作”>“权限”。当权限锁定到项目时，用户可查看项目中的工作簿或数据源权限，但无法修改这些权限。在此示例中，工作簿所有者具有工作簿的完整权限，但在工作簿权限锁定到项目后，他无法更改这些权限。 - 144 - 4将内容权限锁定至项目在站点中，单击 “内容”>“项目”。选择项目，然后单击 “动作”>“权限”。单击 “已锁定到项目”按钮。选择 “由所有者管理”，然后单击 “保存”。如果项目的内容权限由所有者管理，则项目中的单个工作簿、视图和数据源最初具有默认权限，并可以由用户修改。有关项目权限的注意事项： l l l 管理员和项目负责人可随时在项目级别为项目、其工作簿以及其数据源编辑默认权限。项目处于锁定状态时，用户( 包括内容所有者) 无法编辑单独的工作簿、视图和数据源的权限。锁定项目中的工作簿和数据源始终使用默认权限。锁定项目中的视图始终使用工作簿权限。将内容权限锁定至项目若要防止用户更改项目中工作簿和数据源的权限，您可以锁定该项目的权限。权限锁定到项目后，默认权限设置将应用于所有工作簿( 包括视图) 和项目中的数据源，并且无法由用户 ( 包括所有者) 修改。有关默认权限的详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330。只有管理员和项目主管才能将内容权限锁定至项目( 或“解锁”权限) 。注意：处于锁定状态时，管理员和项目主管仍然可为项目及其工作簿和数据源设置和编辑默认权限。 - 145 - 1. 在站点的“内容”页面中，单击项目，然后单击项目位置页面中的 “权限”。 2. 单击 “由所有者管理”按钮。按钮标签指明内容权限当前已锁定到项目或由内容所有者管理。在 “项目的内容权限”对话框中，选择 “锁定到项目”，然后单击 “保存”。当权限锁定到项目时，用户可查看项目中的工作簿或数据源权限，但无法修改这些权限。 - 146 - 3. 要解锁项目的内容权限，请再次打开项目权限。单击 “已锁定到项目”按钮。在 “项目的内容权限”对话框中，选择 “由所有者管理”，然后单击 “保存”。默认权限将重新应用于项目及其工作簿和数据源，并且其权限现在可编辑。组可以将 Tableau Server 用户组织到组中以便更轻松地管理多个用户。可以在本地服务器上创建组，或者从 Active Directory 导入组。使 Active Directory 组成员身份保持最新： l l 站点管理员可在站点中按需对所选的组进行同步。有关详细信息，请参见在站点上同步 Active Directory 组。服务器管理员可按计划或按需在服务器上对所有 Active Directory 组进行同步。有关详细信息，请参见在服务器上同步所有 Active Directory 组。 - 147 - 您也可以为项目、工作簿、视图或数据源分配组权限。有关详细信息，请参见管理权限在本页 305。默认情况下每个站点中都存在“所有用户”组。添加到服务器的每个用户都将自动成为 “所有用户”组的成员。您无法删除此组，但可以为其设置权限。创建本地组本地组是使用 Tableau Server 内部用户管理系统创建的。创建组后，可以添加和删除用户。 1. 在站点中，单击 “组”，然后单击 “新建组”。 - 148 - 2. 为组键入一个名称，然后单击 “保存”。通过 Active Directory 创建组在导入 Active Directory 组时，将在服务器上创建匹配组，并在服务器上为尚不在服务器上的组中的每个成员创建一个用户。在导入过程中将为每个用户分配一个站点角色。如果用户在没有组从属关系的站点上已存在，则用户将分配到组，并具有分配的站点角色以及站点的相同权限。注意：导入用户和组时将提升用户的站点角色，但绝不会使用户的站点角色降级。如果要导入的任何用户在 Tableau Server 中已存在，则只有当在导入过程中分配的站点角色为用户提供更多服务器访问权限时，才会应用该站点角色。有关详细信息，请参见用户的站点角色在本页 164。 1. 在站点中，单击 “组”，然后单击 “导入组”。 2. 键入要导入的 Active Directory 组的名称，然后在生成的列表中选择该组名称。 - 149 - 如果要添加的组来自于运行该服务器的同一个 Active Directory 域，您可以输入组名称。另外，如果服务器使用的域和另一个域之间设置了双向信任，则可以同时从这两个域添加组。第一次从与服务器使用的域不同的域添加组时，必须在组名称中包括完全限定域名。例如 domain.lan\group 或 group@domain.lan。任何随后的组都可使用该域的昵称来添加。若要了解有关管理域名的详细信息，请参见 tabcmd editdomain。 3. 为用户选择站点角色。 - 150 - 4. 单击 “添加组”。注意：无法更改从 Active Directory 导入的组的名称。只能在 Active Directory 中更改该组名称。在站点中同步 Active Directory 组可随时将 Active Directory 组与 Tableau Server 同步，以确保 Active Directory 中的新用户也添加到 Tableau Server 中。可同步单个组或一次同步多个组。 - 151 - 1. 在站点中，单击 “组”。在“组”页面上，选择一个或多个组。 2. 选择 “动作”>“同步”。为 Active Directory 组中的用户设置最低站点角色在 “组 - 详细信息”页中，管理员可为组用户设置要在同步过程中应用的最低站点角色。此设置不运行同步；它设置要在每次同步运行时应用于组的最低站点角色。当您同步 Active Directory 组时，添加到站点的新用户具有最低站点角色。如果用户已存在，则在最低站点角色为用户在站点中提供更多访问权限时，将会应用该站点角色。如果未设置最低站点角色，则默认情况下会以 “未许可”方式添加新用户。注意：可基于最低站点角色设置提升用户的站点角色，但绝不能降级。如果用户已具有发布能力，则该能力将始终保留。有关最低站点角色的详细信息，请参见站点角色和 Active Directory 导入及同步在本页 168。 1. 在站点中，单击 “组”。 2. 单击组名称链接，然后单击 “详细信息”选项卡。 - 152 - 3. 选择 “最低站点角色”，然后单击 “保存”。在同步过程中移除了用户时会发生什么情况？在您从 Active Directory 中移除用户，然后与 Tableau Server 上该用户所在的组同步时，该用户将： l 从您同步的 Tableau Server 组中移除。 l 无法登录 Tableau Server。由于用户仍留在服务器上，因此管理员可以在完全移除用户帐户之前审核和重新分配用户的内容。对于同时存在于服务器本地的用户，站点角色在站点中设置为 “未许可”。用户将仍属于站点角色为 “未许可”的 “所有用户”组。若要将用户从 Tableau Server 中完全移除，服务器管理员将需要从 Tableau Server 中的“服务器用户”页面中删除用户。快速开始：按计划同步所有 Active Directory 组在 Tableau Server 中导入 Active Directory 组之后，您可以通过设置计划来确保这些组在 Tableau Server 中保持同步。您也可以随时按需同步服务器上的所有 Active Directory 组。同步用户时将应用组的最低站点角色设置。注意：若要使用此功能，必须针对 Active Directory 设置您的 Tableau Server 安装。 - 153 - 1 为同步设置最低站点角色在站点的 “组”页面中，单击 “详细信息”选项卡，选择最低站点角色，然后单击 “保存”。服务器和站点管理员可为组用户设置要在 Active Directory 同步过程中应用的最低站点角色。如果未设置最低站点角色，则会以 “未许可”方式添加新用户。同步可提升用户的站点角色，但绝不会使用户的站点角色降级。 2 设置计划服务器管理员可在 “服务器 - 设置”页面的 “常规”选项卡上为所有 Active Directory 组启用同步。启用同步，选择频率设置，然后单击 “保存”。 - 154 - 服务器上的所有 Active Directory 组将依据相同计划进行同步。 3 按需运行同步( 可选 ) 在 “服务器 - 设置”页面的 “常规”选项卡上，单击 “同步所有组”以立即同步 Tableau Server 上的所有 Active Directory 组。请随时单击此按钮以确保新用户和更改反映在服务器上的所有 Active Directory 组中。单击“同步所有组”以同步服务器上计划外的所有 Active Directory 组。 - 155 - 4 查看同步任务的状态服务器和站点管理员可在“非数据提取后台任务”管理视图中查看 Active Directory 同步作业的结果。在服务器上或站点中，单击“状态”。在“分析”下，单击“非数据提取后台任务”，并筛选“Active Directory 组同步排队”和“同步 Active Directory 组”任务。 “Active Directory 组同步排队”将要运行的“同步 Active Directory 组”任务排队。在服务器上同步所有 Active Directory 组作为服务器管理员，您可以在 “服务器 - 设置”页面的 “常规”选项卡上按定期计划或按需同步所有 Active Directory 组。 - 156 - “上次同步”时间指明同步最近开始的时间。按计划同步 Active Directory 组 1. 选择 “服务器”>“设置”>“常规”。在 “Active Directory 同步”下，选择 “按定期计划同步 Active Directory 组”。 - 157 - 2. 选择同步的频率和时间。 3. 单击 “保存”。按需同步所有 Active Directory 组可随时将 Active Directory 组与 Tableau Server 同步，以确保 Active Directory 中的新用户和更改反映在 Tableau Server 上的所有 Active Directory 组中。 1. 选择 “服务器”>“设置”>“常规”。 2. 在 “Active Directory 同步”下，单击 “同步所有组”。查看同步活动您可以在 “非数据提取后台任务”管理视图中查看同步作业的结果。Active Directory 组同步排队是可对要运行的 “同步 Active Directory 组”任务进行排队并指明其数量的任务。 1. 选择 “服务器”>“状态”。 2. 单击 “非数据提取后台任务”链接。 3. 设置 “任务”筛选器以包括 “Active Directory 组同步排队”和 “同步 Active Directory 组”。通过在 “服务器 - 设置”页面中单击 “查看同步活动”链接，您可以快速导航到此管理视图。为 Active Directory 组中的用户设置最低站点角色在 “组 - 详细信息”页中，您可为组用户设置要在 Active Directory 同步过程中应用的最低站点角色。 - 158 - 此设置不运行同步；而是设置要在每次同步运行时应用于组的最低站点角色。其结果是，当您同步 Active Directory 组时，添加到站点的新用户具有最低站点角色。如果用户已存在，则在最低站点角色为用户在站点中提供更多访问权限时，会应用该站点角色。如果未设置最低站点角色，则默认情况下会以 “未许可”方式添加新用户。注意：可基于最低站点角色设置提升用户的站点角色，但绝不能降级。如果用户已具有发布能力，则该能力将始终保留。有关最低站点角色的详细信息，请参见站点角色和 Active Directory 导入及同步在本页 168。 1. 在站点中，单击 “组”。 2. 单击组名称链接，然后单击 “详细信息”选项卡。 3. 从 “最低站点角色”列表选择中选择站点角色，然后单击 “保存”。同步期间移除的用户在您从 Active Directory 中移除用户，然后同步 Tableau Server 上该用户所在的组时，将出现以下情况： l 从您同步的 Tableau Server 组中移除该用户。 l 用户无法登录到 Tableau Server。由于用户仍留在服务器上，因此管理员可以在完全移除用户帐户之前审核和重新分配用户的内容。 - 159 - 对于同时存在于服务器本地的用户，由于进行了同步，站点角色在站点中设置为 “未许可”。用户将继续属于站点角色为 “未许可”的 “所有用户”组。若要将用户从 Tableau Server 中完全移除，您( 服务器管理员) 必须从 Tableau Server 中的 “服务器用户”页面中删除用户。删除组您可以从服务器中删除任何组( 除“所有用户”组之外) 。删除组时，将移除该组中的用户，但不会从服务器删除这些用户。 1. 在站点中，单击 “组”。 2. 在“组”页面上，选择一个或多个要删除的组。 3. 选择 “动作”>“删除”。用户来宾用户来宾用户在每个站点的 Tableau Server( 仅限基于内核的许可证) 中提供，用于允许在服务器上没有帐户的用户查看嵌入式视图并与其交互。如果启用此级别，用户不登录就可以加载包含嵌入视图的网页。有关详细信息，请参见来宾用户在本页 169。 - 160 - 服务器用户和站点用户服务器管理员可向服务器中添加用户，而服务器和站点管理员( 如果允许) 可向单独的站点中添加用户。有关允许站点管理员向站点中添加用户的详细信息，请参见添加或编辑站点在本页 108中的步骤 4。在单站点环境中，服务器和站点管理员可在 “用户”页面上添加用户。在多站点环境中，服务器和站点管理员可在 “站点用户”页面上添加用户。 - 161 - 服务器管理员可在 “服务器用户”页面中添加用户。向服务器中添加用户时，您可以为用户分配站点成员身份，以及每个站点的站点角色。 - 162 - 如果添加用户而不分配站点成员身份和角色，则会为用户分配“未许可”角色，并且将不会使用服务器许可证( 仅限基于用户的许可) 。用户将存在于“服务器用户”中，但将不会是任何站点的成员，直至您将该用户添加到站点为止。注意：添加到站点的每个用户也会自动添加到服务器中。站点管理员可从其站点中移除用户，但无法从服务器中删除用户。服务器管理员可从服务器中删除用户。站点管理员从站点中移除某个用户( 并且该用户只属于这一个站点) 时，如果该用户未拥有任何内容，则会将其从服务器中自动删除。 - 163 - 用户的站点角色添加到 Tableau Server 的每个用户都必须具有关联的站点角色。站点角色由管理员分配。站点角色确定允许用户拥有的权限级别，包括用户是能够发布内容、与内容交互，还是只能查看发布到服务器的内容。管理员也是基于站点角色定义的。注意：Tableau Server 站点角色不与您从 Tableau 购买的用户许可证相对应( 如果您在使用基于用户的许可，而非基于内核的的服务器许可) 。这些许可证允许服务器上一定数量的用户。用户是服务器上可与一个或多个站点以及这些站点中的组关联的帐户。添加到 Tableau Server 或站点的任何用户都将成为“所有用户”组的成员。“所有用户”组存在于每个站点中，并且无法删除。谁能够发布内容具有以下站点角色的用户可发布到 Tableau Server： l 服务器管理员 l 站点管理员 l 发布者 l 查看者( 可发布) l 未许可( 可发布) 具有 “交互者”、“查看者”和 “未许可”站点角色的用户无法将内容发布到服务器。站点角色和权限有效用户权限由以下因素确定： l 为用户的站点角色允许的最大权限。站点角色充当所允许的权限的“上限”。 l 针对给定内容项分配给用户或组的权限。当您为用户选择站点角色时，可通过帮助来了解该站点角色的一般权限级别。 - 164 - 在为内容项设置权限时，“权限”窗口中的“用户权限”部分指明何时该站点角色不允许使用某种权限能力。权限窗口的“用户权限”区域显示每个用户的有效权限。这些是在评估了用户的站点角色和权限规则之后每个用户的实际权限。有关详细信息，请参见权限规则和生成的用户权限在本页 313。一般能力 l 服务器管理员：服务器管理员可访问服务器和所有站点上的所有服务器功能和设置。服务器管理员可创建站点，添加任何站点角色类型的用户，控制站点管理员是否能添加用户，创建其他服务器管理员，并且可以管理服务器自身。包括处理维护、设置、计划和搜索索引。服务器管理员可对服务器上任何位置的所有内容执行操作，而不管已为内容分配了什么权限。服务器管理员还可以管理服务器上的其他用户。 l 站点管理员：站点管理员可以管理组、项目、工作簿和数据连接。默认情况下，站点管理员也可以添加用户以及分配站点角色和站点成员身份。此设置可由服务器管理员启用或禁用( 请参见添加或编辑站点在本页 108中的步骤 4) 。站点管理员对特定站点上的内容具有不受限的访问权限。可将一个用户指定为多个站点上的站点管理员。 l 发布者：发布者可以登录、浏览服务器，并且与已发布的视图交互。他们还可以从 Tableau Desktop 连接到 Tableau Server 以便发布和下载工作簿和数据源。发布者可将工作簿和数据源发布( 上传) 到服务器。不允许发布者管理其他用户。 l 交互者：交互者可以登录、浏览服务器，并且与已发布的视图交互。请务必注意，可能已使用限制用户能力的权限发布特定的视图、工作簿和项目。可由工作簿作者或管理员编辑权限设置。 - 165 - 交互者可查看工作簿并与视图交互。不允许他们发布到服务器。 l l 查看者：查看者可以登录和查看服务器上的已发布视图，但无法与这些视图交互。具有此站点角色的用户只有查看、添加注释和查看注释的权限。他们不能与视图中的筛选器交互，也不能对视图中的数据进行排序。未许可：未许可用户无法登录到服务器。通过 CSV 文件导入服务器用户时，将为所有用户分配“未许可”站点角色。如果管理员在创建用户( 通过 CSV 导入站点用户、从 Active Directory 导入或在创建本地用户时) 时许可证数量不足，则将为用户分配“未许可”站点角色。尝试从站点中移除拥有内容的用户将会使该用户降级为“未许可”。用户将仍然拥有内容。 l l 查看者( 可发布) 。用户可从 Tableau Desktop 连接到 Tableau Server 以便发布和下载工作簿和数据源，但无法与服务器上的内容交互。未许可( 可发布) 。此用户无法登录到 Tableau Server，但可从 Tableau Desktop 连接到服务器以将工作簿发布到服务器。为每个站点角色允许的最大权限( 按内容类型) 对于每种内容类型，站点角色确定为某个用户允许的能力。例如，可以为站点角色为 “查看者”用户分配工作簿的权限规则中的所有能力，但在为该用户评估权限时，生成的权限能力将限制为“查看”、“导出图像”、“汇总数据”、“查看注释”、“添加注释”和“保存”。项目站点角色说明服务器管理员查看、保存和项目负责人站点管理员查看、保存和项目负责人发布者查看、保存和项目负责人交互者查看、保存和项目负责人查看者( 可发布) 查看、保存查看者查看、保存未许可( 可发布) 查看、保存未许可查看、保存来宾视图 - 166 - 工作簿站点角色说明服务器管理员所有能力站点管理员所有能力发布者所有能力交互者所有能力( 无发布能力) 查看者( 可发布) 查看、下载图像/PDF、下载摘要数据、查看注释、添加注释、下载工作簿/另存为查看者查看、下载图像/PDF、下载摘要数据、查看注释、添加注释、下载工作簿/另存为( 无发布能力) 未许可( 可发布) 查看、保存、下载工作簿/另存为未许可查看、保存、下载工作簿/另存为( 无发布能力) 来宾查看、下载图像/PDF、下载摘要数据、查看注释、筛选、下载完整数据、Web 编辑、下载工作簿/另存为视图站点角色说明服务器管理员所有能力站点管理员所有能力发布者所有能力交互者所有能力( 无发布能力) 查看者( 可发布) 查看、下载图像/PDF、下载摘要数据、查看注释、添加注释查看者查看、下载图像/PDF、下载摘要数据、查看注释、添加注释( 无发布能力) 未许可( 可发布) 视图未许可查看( 无发布能力) - 167 - 来宾查看、下载图像/PDF、下载摘要数据、查看注释、筛选、下载完整数据、Web 编辑数据源站点角色说明服务器管理员所有能力站点管理员所有能力发布者所有能力交互者所有能力( 无发布能力) 查看者( 可发布) 查看、保存查看者查看、保存( 无发布能力) 未许可( 可发布) 查看、保存、下载数据源未许可查看、保存、下载( 无发布能力) 来宾查看、下载数据源站点角色和 Active Directory 导入及同步在以单一用户或组成员的方式将 Active Directory 用户导入到站点时，您可以为用户指定站点角色。如果用户尚不是服务器上任何站点的成员，则会使用已分配的角色将该用户添加到站点。在同步 Active Directory 组时，将通过 “组 - 详细信息”页面上的 “最低站点角色”设置应用站点角色。如果用户在 Tableau Server 站点中已存在，则只有当在导入或同步过程中分配的站点角色在站点中为用户提供更多访问权限时，才会应用该站点角色。导入或同步用户和组时将提升用户的站点角色，但不会使用户的站点角色降级。如果用户已具有发布能力，则该能力将始终保留。举例来说，如果使用新站点角色 “交互者” 导入当前站点角色为 “未许可( 可发布) ”的用户，则该用户的站点角色在导入时将提升为 “发布者”。为了保证用户在导入之后一直在服务器中具有同等或更高的能力，以下矩阵显示了在导入时应用于站点角色的规则。粗体表示站点角色已提升以保留用户的发布能力。 - 168 - 注意：“导入站点角色”行标题表示为导入指定的站点角色。“当前站点角色”列标题表示当前用户站点角色。表中的各个值表示生成的站点角色。表中的粗体站点角色表示保留发布能力的站点角色提升。当前站点角色导入站点角色站点管理员发布者交互者查看者查看者( 可发布) 未许可未许可( 可发布) 站点管理员站点管理员站点管理员站点管理员站点管理员站点管理员站点管理员站点管理员发布者站点管理员发布者发布者发布者发布者发布者发布者交互者站点管理员发布者交互者交互者发布者交互者发布者查看者( 可发布) 站点管理员发布者发布者查看者 ( 可发布) 查看者 ( 可发布) 查看者 ( 可发布) 查看者 ( 可发布) 查看者站点管理员发布者交互者查看者查看者 ( 可发布) 查看者查看者( 可发布) 未许可( 可发布) 站点管理员发布者发布者查看者( 可发布) 查看者 ( 可发布) 未许可 ( 可发布) 未许可 ( 可发布) 未许可站点管理员发布者交互者查看者查看者 ( 可发布) 未许可未许可 ( 可发布) 来宾用户来宾用户在 Tableau Server 中提供，用于允许在服务器上没有帐户的未验证用户查看嵌入式视图并与其交互。如果启用此级别，用户不登录就可以加载包含嵌入式视图的网页。注意：只有基于内核的许可证才提供“来宾用户”选项。如果将 Tableau Server 视图嵌入内部网站页面，则查看该页面的每个人都将需要一个 Tableau Server 帐户( 将要求他们输入用户名和密码) ，除非您购买了基于内核的( 硬件) 许 - 169 - 可证。在这种情况下，您可以根据需要使用任意多个帐户，并且能够启用不需要登录或身份验证的来宾用户访问权限。 “来宾”是一种特殊帐户，只能用于查看视图。来宾用户无法浏览 Tableau Server 界面，并且看不到视图的服务器接口命令( 用户名、帐户设置、注释等) 。注意：为站点启用来宾用户可以将同时存在的潜在查看者数量增加到超过预期的用户列表范围。管理视图 “状态”>“到视图的流量”可帮助您对活动进行衡量。来宾用户可具有以下权限项目、工作簿和视图：查看、导出图像、汇总数据、查看注释、筛选、完整数据、Web 编辑、下载( 以保存本地副本) 数据源：查看和下载将来宾用户包括在为内容项设置了权限规则的组中时，来宾用户权限不影响该组中其他用户的权限级别。启用来宾访问权限 1. 选择 “服务器”>“设置”>“常规”( 多站点服务器) ，或单击 “设置”>“常规”( 单站点服务器) 。 2. 对于“来宾访问”，选择 “启用来宾帐户”以允许未登录到 Tableau Server 帐户的用户查看具有来宾访问权限的视图。 3. 单击 “保存”。来宾用户的独特性表现在以下几个方面： l 来宾用户表示访问服务器上的内容的所有未验证用户。 l Tableau Server 必须使用内核许可证，来宾才可用。 l 服务器管理员可跨服务器启用/禁用来宾；无法按站点对其进行控制。 l 无法对来宾用户进行编辑，并且该用户绝不能拥有内容。 l 可以使来宾用户成为站点中一个或多个组的成员。 l 只有服务器管理员才能启用或禁用来宾访问权限( 在 “服务器”>“设置”>“常规”中) 。 l 来宾用户在启用之后是“所有用户”组的成员。 l 无法删除来宾用户；必须由服务器管理员在 “服务器”>“设置”>“常规”中将其禁用。 l 如果来宾用户需要能够访问使用数据提取数据源的工作簿，请确保来宾对该数据源具有“查看”权限。不允许来宾用户连接到已发布数据源，除非发布者在发布内容时嵌入 - 170 - 了其凭据。 l 不允许来宾用户保存自定义视图。向站点添加用户管理员可以使用以下方式将用户添加到站点： l l 添加本地用户帐户或 Active Directory 中的用户帐户，如本主题中所述。也可通过导入 Active Directory 组来添加用户。有关详细信息，请参见通过 Active Directory 创建组在本页 149。导入包含用户信息的 CSV 文件。有关详细信息，请参见导入用户在本页 181和 CSV 导入文件准则在本页 187。在单站点环境中，管理员可在“用户”页面上将用户添加到站点。在多站点环境中，您将使用 “站点用户”页面。服务器管理员必须授予站点管理员向站点中添加用户的能力。此设置可由服务器管理员启用或禁用( 请参见添加或编辑站点在本页 108中的步骤 4) 。注意：可将用户添加到站点或服务器。若要将用户添加到服务器，请参见将用户添加到服务器在本页 175。根据在首次配置 Tableau Server 时选择的身份验证方法，此选项可用于添加用户。如果使用本地身份验证，则无法添加 Active Directory 用户。如果使用 Active Directory，则无法添加本地用户。在 “用户”( 单站点) 或 “站点用户”( 多站点) 页面上，您可以看到您当前登录的站点上的用户。您只能将用户添加到当前站点( 或从中移除用户) 。如果用户属于多个站点，则您可以从当前站点中移除该用户。注意：站点管理员从站点中移除某个用户( 并且该用户只属于这一个站点) 时，如果该用户未拥有任何内容，则会将其从服务器中自动删除。 - 171 - 注意：此屏幕截图来自于多站点环境。在单站点环境中，此页面将是“用户”页面。将本地用户添加到站点 1. 在站点中，单击 “用户”，单击 “添加用户”，然后单击 “本地用户”。 - 172 - 注意：此屏幕截图来自于多站点环境。在单站点环境中，此页面将是“用户”页面。 2. 输入用户名。如果将服务器配置为进行本地身份验证，则使用电子邮件地址作为用户名是避免用户名冲突的最佳方法( 例如，使用 jsmith@myemail.com 而不是 jsmith) 。同时在以下字段中输入信息： l 显示名称 — 键入用户的显示名称( 例如，John Smith) 。 l 密码 — 为用户键入密码。 l 确认密码 — 重新键入密码。 l 电子邮件 — 此字段为可选，可稍后在用户配置文件设置中添加。 3. 选择一个站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。 4. 单击 “添加用户”。多站点服务器注意事项：站点管理员仅在对现有用户所属的所有站点具有控制权的情况下才能编辑现有本地用户帐户。例如，如果用户 1 是站点 A 和 B 的成员，则站点 B 的管理员无法编辑用户 1 的全名或重置密码。 - 173 - 将 Active Directory 用户添加到站点 1. 在站点中，单击 “用户”，接着单击 “添加用户”，然后单击 “Active Directory 用户”。 1. 输入一个或多个用户名( 由分号分隔) 。如果要添加的用户所属的 Active Directory 域与运行服务器的域相同，则可以键入不带域的 AD 用户名。此时将使用服务器所在的域。 - 174 - 如果服务器所在的域和另一个域之间设置了双向信任，则可以从这两个域添加用户。首次从“非服务器域”添加用户时，请对用户名使用完全限定域名。可以使用该域的昵称添加后续用户。例如，假定“非服务器域”为 mybiz.lan，则对于该域的第一个用户，请输入 user1@mybiz.lan 或 mybiz.lan\user1。可以使用该域的呢称输入下一个用户，例如 user2@mybiz 或 mybiz\user2。注意：不要在此字段中输入用户的全名；它可能会导致在导入过程中出现错误。 2. 选择一个站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。 3. 单击 “添加用户”。将用户添加到服务器在单站点环境中，服务器管理员可在 “用户”页面上添加用户。将站点添加到 Tableau Server 后，它将成为包含 “服务器用户”页面( 每个站点中的所有服务器用户出现在此处) 和 “站点用户”页面的多站点服务器。只有服务器管理员才能访问 “服务器用户”页面。只有在 “服务器用户”页面上，才可以将用户分配给多个站点，从服务器中删除用户，并且 ( 如果服务器使用的是本地身份验证) 重置用户密码。 - 175 - 以下过程介绍如何将用户添加到服务器。您可以采用的方法有两种：一次添加一个( 如下所述) 或使用 “导入”命令成批添加，这依赖于 CSV 文件( 如导入用户在本页 181和 CSV 导入文件准则在本页 187中所述) 。将用户添加到服务器 1. 单击 “服务器”>“用户”，然后单击 “添加用户”。 2. 如果使用本地身份验证，请单击 “本地用户”。如果使用 Active Directory，请单击 “Active Directory 用户”。输入用户名。 l l 本地身份验证：如果将服务器使用本地身份验证，则使用电子邮件地址作为用户名是避免用户名冲突的最佳方法( 例如，使用 jsmith@myemail.com 而不是 jsmith) 。 Active Directory：如果要添加的用户所属的 Active Directory 域与运行服务器的 - 176 - 域相同，则可以键入不带域的 AD 用户名。此时将使用服务器域。如果服务器所在的域和另一个域之间设置了双向信任，则可以从这两个域添加用户。首次从非服务器域添加用户时，请对用户名使用完全限定域名。可以使用该域的昵称添加后续用户。例如，假定非服务器域为 mybiz.lan，则对于该域的第一个用户，请输入 user1@mybiz.lan 或 mybiz.lan\user1。可以使用该域的呢称输入下一个用户，例如 user2@mybiz 或 mybiz\user2。注意：不要在此字段中输入用户的全名；它可能会导致在导入过程中出现错误。 3. 如果服务器使用本地身份验证，请提供以下信息： l 显示名称 — 键入用户的显示名称( 例如，John Smith) 。 l 密码 — 为用户键入密码。 l 确认密码 — 重新键入密码。 l 电子邮件 — 此字段为可选，可稍后在用户配置文件设置中添加。 l 服务器管理员：指定用户是否应为服务器管理员。 l 名称( 站点成员身份) /站点角色：如果用户不是服务器管理员，您可以连同每个站点的站点角色一起将用户分配给零个或多个站点。此时不必选择站点成员身份和站点角色。如果不为新服务器用户指定站点成员身份和站点角色，则只会以“服务器用户”方式添加用户，站点角色为“未许可”。有关站点角色的详细信 - 177 - 息，请参见用户的站点角色在本页 164。 4. 单击 “添加用户”。向组添加用户简化用户管理的一种方法是将用户分配到组中。例如，可以向组分配权限，以便将权限应用到组中的所有用户。若要向组中添加用户，该组必须已存在。有关信息，请参见组在本页 147。向组中添加用户 ( “用户 ”页面) 1. 在站点中，单击 “用户”。 2. 选择要添加到组中的用户，然后选择 “动作”>“组成员身份”。 - 178 - 3. 选择组，然后单击 “保存”。向组中添加用户 ( “组 ”页面) 1. 在站点中，单击 “组”，然后单击组的名称。 2. 在组的页面中，单击 “添加用户”。 - 179 - 3. 选择要添加的用户，然后单击 “添加用户”。 - 180 - 导入用户若要自动完成向站点添加用户的过程，您可以创建一个包含用户信息的 CSV 文件，然后导入该文件。可将用户导入到站点，或导入到服务器( 如果您是服务器管理员) 。注意：本主题包含导入步骤，并且假定您已创建了该 CSV 文件。如果您尚未创建该文件，请参见 CSV 导入文件准则在本页 187，以查看文件格式要求和导入选项的列表。 - 181 - 通过 CSV 文件将用户添加到站点 1. 在站点中，单击 “用户”，然后单击 “添加用户”。 2. 单击 “从文件导入”，单击 “浏览”并导航到文件，然后单击 “导入用户”。将显示导入的结果。 - 182 - 对于单站点服务器，在导入过程中分配给用户的站点角色将随用户一起导入。如果用户在 Tableau Server 站点中已存在，则只有当在导入过程中分配的站点角色为用户提供更多服务器访问权限时，才会应用该站点角色。导入用户和组时将提升用户的站点角色，但不会使用户的站点角色降级。 3. 单击 “完成”。通过 CSV 文件将用户添加到服务器 1. 单击 “服务器”>“用户”，然后单击 “添加用户”。 2. 单击 “从文件导入”，单击 “浏览”并导航到文件，然后单击 “导入用户”。 - 183 - 将显示导入的结果。对于多站点服务器，当您在“服务器用户”页面中导入用户时，将会创建没有站点从属关系的服务器用户。由于这些用户不属于站点，因此他们不可能有站点角色。用户可能具有的唯一站点角色是“未许可”或“服务器管理员”。在为服务器用户分配站点成员身份时，您可以按站点为该用户指定站点角色。有关详细信息，请参见分配站点成员身份在本页 196。如果在“站点用户”页面中导入用户，则会为用户分配您在 CSV 中指定的适用于该站点的站点角色。 3. 单击 “完成”。多站点环境如果服务器运行多个站点，而且您是服务器管理员，则可以从两个不同的位置导入 CSV 文件。从关注现有用户帐户的角度来看，每个位置都具有不同的功能。 - 184 - l “服务器用户”页面出现在多站点环境中。只有服务器管理员才能访问此页面。除了添加新用户帐户外，如果想更新现有用户帐户，则可以从这里导入 CSV 文件。例如，如果导入的文件为每个现有用户提供了新密码，则将会重置他们的密码。 l “站点用户”页面。服务器管理员可通过 CSV 导入来添加新用户帐户，如果导入中含有现有用户，则 “密码”和 “显示名称”字段必须匹配或保留为空白。如果使用新的密码或全名，则导入会失败。单站点环境单站点服务器上的服务器和站点管理员从站点的 “用户”页面中执行 CSV 用户导入。 - 185 - 多站点导入与单站点导入用户可以属于同一个服务器上的多个站点，但该用户必须针对每个站点使用相同的凭据。当您向站点中添加用户，并且这些用户可能已经是其他站点的成员时，这十分重要。如果尝试导入已经存在的用户，并且 CSV 文件中用户的凭据与现有凭据不匹配，则该用户的导入将失败。注意：如果服务器配置为使用 Active Directory 进行身份验证，则不会出现导入过程中凭据不匹配的问题。在这种情况下，CSV 文件绝不应包含密码，因为用户密码由 Active Directory 管理。如果将用户导入到站点并且认为用户可能已存在于服务器上，您可以尝试将 CSV 文件中的 Password 列留空。在导入用户时，如果 CSV 中定义的用户已经存在于另一个站点中，则会将该用户添加到您在其中进行导入的站点。但是，如果用户尚未存在于服务器上，则会创建用户，并且 CSV 导入窗口将通知您新用户没有密码。您可以随后使用服务器环境为没有密码的任何用户分配密码。多站点对于多站点服务器，当您在“服务器用户”页面中导入用户时，将会创建没有站点从属关系的服务器用户。由于这些用户不属于站点，因此他们不可能有站点角色。用户可能具有的唯一站点角色是“未许可”或“服务器管理员”。 - 186 - 单站点对于单站点服务器，在导入过程中分配给用户的站点角色将随用户一起导入。如果所导入的用户在 Tableau Server 中已存在，则只有当在导入过程中分配的站点角色为用户提供更多服务器访问权限时，才会应用该站点角色。导入用户和组时将提升用户的站点角色，但不会使用户的站点角色降级。 CSV 导入文件准则通过创建含有用户信息的逗号分隔值 (CSV) 文件，然后导入该文件，即可自动添加用户。可以在该 CSV 文件中包含一些属性( 例如站点角色和发布能力) ，以便在导入这些属性的同时将它们应用于用户。若要导入用户，您可以使用服务器管理页面或 tabcmd 实用工具。有关详细信息，请参见导入用户在本页 181或 createsiteusers filename.csv 在本页 505。注意：如果使用 tabcmd 实用工具来导入用户，您可以在命令行上传递可为用户的站点角色指定默认值的选项。有关详细信息，请参见 createsiteusers filename.csv 在本页 505 文档。您可以将用户导入站点彧服务器。如果将用户导入站点，则站点角色将应用于用户。如果指定站点角色，但导入用户会超出许可证限制，则会以“未许可”方式导入用户。如果将用户导入服务器( 而不是导入特定站点) ，则不会将用户分配给站点，并且 CSV 文件中像发布者和交互者这样的站点角色将被视为未许可。 CSV 文件格式要求在创建用于导入用户的 CSV 文件时，请确保文件满足以下格式要求： l 文件不包括列标题。Tableau Server 假定文件中的每一行代表一个用户。 l 文件为 UTF-8 格式，并包括字节顺序标记 (BOM)。 l 诸如 BIG-5 等字符编码已转换为 UTF-8。可通过在文本编辑器中打开文件并使用 “另存为”命令来达到此目的。 CSV 文件中所需的列需要为每个用户提供以下值： l l 用户名 Password：如果将 Tableau Server 配置为使用 Active Directory 身份验证，则必须具有一个 Password 列，但该列本身应该是空的。如果服务器使用本地身份验证，则必须为新用户提供密码。其他导入文件选项 CSV 文件可按以下顺序包含以下字段： - 187 - l l l l 用户名：用户名。如果服务器配置为使用 Active Directory，则此值必须与 Active Directory 中定义的用户匹配。如果用户名在域之间不唯一，则必须包括域作为用户名的一部分( 例如，example\Adam 或 adam@example) 。这是唯一需要的字段。 Password：用户的密码。如果服务器配置为使用 Active Directory，则不使用此值。全名。全名( 显示名称) 是用于在服务器上标识用户的信息的一部分。如果用户的全名已在使用，Tableau Server 将使用 CSV 文件中的设置更新现有用户信息。如果服务器配置为使用 Active Directory，则不使用此值。许可级别( Interactor、Viewer 或 Unlicensed) 。此设置确定非管理员用户的角色。如果使用服务器管理页面来导入用户，则只有当您导入到单独的站点中时，才会设置许可级别。如果在管理服务器( 而不是特定站点) 时使用服务器管理页面来导入用户，并且用户未设置为管理员，则站点角色设置为 Unlicensed。( 您可以稍后更改站点角色。) 注意：在 Tableau Server 9.0 中，许可级别已被站点角色替代。如果使用服务器 UI 创建用户，则选择像 Site Administrator、Publisher、Interactor 和 View (can publish) 这样的站点角色。有关站点角色的信息，请参见用户的站点角色在本页 164。有关 CSV 文件中的许可级别和其他值如何转换为站点角色的详细信息，请参见本主题后面的设置和站点角色。 l l l 管理员级别( System、Site 或 None) 。此设置确定是否以管理员形式导入用户。如果使用站点管理员页面，则只有在管理服务器的同时进行导入，您才能将管理员角色设置为 System。如果在管理站点的同时使用服务器管理页面来导入用户，并且 CSV 文件中用户的管理员角色设置为 System，则 Tableau Server 将以站点管理员形式导入用户。发布者权限( yes/true/1 或 no/false/0) 。此设置确定用户是否具有发布者权限。如果使用站点管理页面，则只有在导入到单独站点时才会使用发布者设置。如果在管理服务器的同时导入用户，则不使用此值。电子邮件地址。电子邮件地址是用于在服务器上识别用户的信息的一部分。如果电子邮件地址已在使用，Tableau Server 将使用 CSV 文件中的设置更新现有用户信息。列的顺序非常重要。将第一列视为用户名，将第二列视为密码，将第三列视为全名等等，而不考虑列内容。设置和站点角色在导入过程中将使用用户的许可级别、管理员和发布者设置来设置用户的站点角色。下表显示这些设置如何转换为站点角色。 CSV 设置站点角色许可级别 =( 任意) 管理员 = System 系统( 服务器) 管理员。只有在管理服务器的同时导入用户，此设置才有效。如果将用户设置为系统管理员，则会忽略其他值。 - 188 - CSV 设置站点角色发布者 =( 任意) 许可级别 =( 任意) 管理员 = Site 发布者 =( 任意) 站点管理员。只有在管理特定站点的同时导入用户，此设置才有效。如果将用户设置为站点管理员，则会忽略其他值。许可级别 = Interactor 管理员 = None Publisher=true 发布者许可级别 = Interactor 管理员 = None 发布者 = false 交互者许可级别 = Viewer 管理员 = None Publisher=true 查看者( 可发布) 许可级别 = Viewer 管理员 = None 发布者 = false 查看者许可级别 = Unlicensed 管理员 = None Publisher=true 未许可( 可发布) 许可级别 = Unlicensed 管理员 = None 发布者 = false 未许可说明 l l 如果在管理服务器的同时导入用户，则可以创建只具有两个站点角色的用户：系统 ( 服务器) 管理员和未许可。所有其他设置特定于站点。在这种情况下，如果 CSV 文件中用户的管理员级别不是 System，则用户的站点角色设置为未许可。如果有基于用户的服务器安装，并且添加用户会超出许可证允许的用户数，则会以未许可用户形式添加用户。示例以下示例显示了一个包含若干用户的信息的 CSV 文件。 - 189 - Henry W,passw0rd,Henry,Interactor,None,yes,henryw@example.com Fred S,pa$$word,Fred,Viewer,None,no,freds@example.com Alan W,p@ssword,Alan,Interactor,Site,yes,alanw@example.com Michelle K,mypassword,Michelle,Interactor,System,yes,michellek@example.com 如果在管理站点的同时导入此文件，则会向该站点中添加四个用户。用户 Michelle 的 Administrator 模式设置为 System。但是，由于您在将用户导入站点，Tableau Server 会将用户 Michelle 设置为站点管理员，而不是系统管理员。其中三个用户允许进行发布。如果在管理服务器的同时导入此文件，则会向服务器中添加四个用户，但不会将它们添加到任何站点。CSV 文件中的站点角色( Interactor 和 Viewer) 必须与站点用户关联，因此不是管理员的用户的站点角色设置为“未许可”。查看、编辑和删除用户查看和编辑站点用户作为管理员登录到站点，然后单击 “用户”。在此页面中，您可以设置组成员身份、设置站点角色或从站点中移除用户。单击用户名以查看用户拥有的内容。 - 190 - 在用户页面中单击 “设置”以查看其帐户设置。当用户仅为站点管理员也可控制的站点的成员，并且允许站点管理员在站点设置中管理用户时，用户的 “设置”页面可用。如果 Tableau Server 运行多个站点，则 “服务器用户”列出服务器系统上的所有用户，而 “站点用户”显示当前站点的所有用户。如果将服务器配置为使用内部用户管理系统( 本地身份验证) ，则可以在添加用户之后编辑用户的 “显示名称”、“电子邮件”和 “密码”。如果要进行许多更改，您可能会发现从 CSV 文件导入更改更为方便。有关详细信息，请参见导入用户在本页 181和 CSV 导入文件准则在本页 187。 - 191 - 对于多站点服务器：只要现有用户仅为站点管理员也可控制的站点的成员，并且允许站点管理员在站点设置中管理用户，站点管理员就可以编辑该用户的帐户。例如，如果用户 Joe 是站点 A 和站点 B 的成员，并且站点管理员仅是站点 B 的管理员，则站点管理员不能编辑 Joe 的全名或重置其密码。查看和编辑服务器用户以服务器管理员身份登录到 Tableau Server。单击 “服务器”>“用户”。在此页面中，您可以设置站点成员身份或从服务器中删除用户。单击用户名以查看帐户设置。当用户仅为站点管理员也可控制的站点的成员，并且允许站点管理员在站点设置中管理用户时，用户的 “设置”页面可用。搜索用户若要搜索特定用户，请在左侧的 “搜索”框中键入完整的或部分的用户名，然后按 Enter。 - 192 - 搜索操作会检查显示名称和用户名属性。可将星号 (*) 字符用作搜索通配符。例如，搜索 John* 将会返回所有以 John 开头的用户名。从站点中移除用户只有在用户未拥有任何内容( 项目、工作簿、视图或数据源) 的情况下，您才能从站点中移除该用户。则尝试移除拥有内容的用户，则会将该用户的站点角色设置为“未许可”，但不会将其移除。注意：站点管理员从站点中移除某个用户( 并且该用户只属于这一个站点) 时，如果该用户未拥有任何内容，则会将其从服务器中自动删除。 1. 在站点中，单击 “用户”。选择要删除的一个或多个用户，然后选择 “动作”>“移除”。 2. 在确认对话框中单击 “移除”。从服务器中删除用户只有在用户未拥有任何内容( 项目、工作簿、视图或数据源) 的情况下，您才能从 Tableau - 193 - Server 中删除该用户。如果尝试删除拥有内容的用户，则会将用户站点角色设置为“未许可”，但不会删除用户。如果用户是多个站点的成员，并拥有其中一个或多个站点的内容，则会从用户未拥有内容的站点中将用户删除。用户将仍然是他们拥有内容的站点中的成员，但被降级为“未许可”站点角色。 1. 在站点中，单击 “用户”。选择要删除的一个或多个用户，然后选择 “动作”>“删除”。 2. 在确认对话框中单击 “删除”。更改单个站点的用户的密码若要更改具有单个站点成员资格的用户的密码，请以站点管理员或服务器管理员身份登录到 Tableau Server。 1. 2. 3. 4. 5. 确保在菜单中选择了正确的站点。单击 “用户”。单击用户的显示名称。单击菜单中用户显示名称下面的 “设置”。单击更改密码链接。 - 194 - 更改多个站点的用户的密码若要更改具有多个站点成员资格的用户的密码，请以服务器管理员身份登录到 Tableau Server。 1. 2. 3. 4. 单击 “服务器”。单击 “用户”。单击用户的显示名称。单击更改密码链接。更改站点角色能够添加站点用户的服务器管理员和站点管理员可随时更改用户的站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。只有服务器管理员才能更改用户的站点成员身份。有关详细信息，请参见分配站点成员身份下一页。 1. 在站点中，单击 “用户”。 2. 选择一个或多个用户，然后选择 “动作”>“站点角色”。 - 195 - 3. 选择一个站点角色，然后单击 “更改站点角色”。分配站点成员身份能够添加站点用户的服务器管理员和站点管理员可随时更改用户的站点角色。有关站点角色的详细信息，请参见用户的站点角色在本页 164。只有服务器管理员才能更改用户的站点成员身份。 1. 单击 “服务器”>“用户”。 2. 选择一个或多个用户，然后选择 “动作”>“站点成员身份”。 - 196 - 3. 选择一个或多个站点，并为每个站点选择一个角色，然后单击 “保存”。 - 197 - 管理您的内容和帐户设置使用“内容”页面可快速浏览已发布的各项以及您的订阅。使用“帐户设置”页面中可更改显示名称和密码( 仅限本地用户) 、添加或更改电子邮件地址、管理订阅设置、更改开始页面、更改您在 Tableau Server 中看到的语言和区域设置，或者清除数据连接密码的 Cookie。访问您的“帐户设置”页面 l 单击页面顶部您的名称，然后单击 “我的帐户设置”。或者，单击页面顶部您的名称，单击 “我的内容”，然后单击 “设置”。访问您的“内容”页面 l 单击页面顶部您的名称，然后单击 “我的内容”。快速访问您的内容若要访问您已发布到服务器的任何内容，请单击页面顶部您的名称，然后单击 “我的内容”。 - 198 - 更改您的显示名称如果服务器配置为使用内部用户管理系统( 本地身份验证) 而不是使用 Active Directory，您可以更改您的显示名称。选择显示名称文本并输入新显示名称，然后单击 “保存更改”。更改密码如果服务器配置为使用内部用户管理系统( 本地身份验证) 而不是使用 Active Directory，则可通过单击 “更改密码”来更改 Tableau Server 密码。单击此链接时，系统会要求您输入 “当前密码”和 “新密码”( 两次) 。键入所需信息后，请单击 “保存密码”以保存更改。 - 199 - 更改电子邮件地址如果您订阅了 Tableau Server 视图或工作簿，则用于接收订阅的电子邮件帐户将在“帐户设置”页面上列出：若要输入或更改 Tableau Server 将订阅发送到的电子邮件地址，请在 “电子邮件”文本框中输入新电子邮件地址，然后单击 “保存更改”。管理凭据和密码如果您访问的视图或工作簿具有实时数据库连接，并且需要您进行身份验证，则 Tableau 会提出为您保存密码。如果您接受，系统将在 Cookie 中存储您的凭据。 l 在 “保存的凭据”下，单击 “清除所有已保存的凭据”以从 Tableau Server 中移除 Cookie。清除已连接设备的凭据如果您从设备登录到 Tableau Server，则在首次验证该设备后，可以为该设备存储您的凭据。您可以随时清除已用于连接到 Tableau Server 的所有设备的凭据。下次从任何设备连接到 Tableau Server 时，您将需要登录。 l 在 “已连接设备”下，单击 “清除所有已连接设备”。管理订阅设置转到内容中的 “订阅”以更改您接收的任何订阅的计划。 1. 单击 “订阅”，然后选择工作簿或视图。 2. 选择 “动作”>“更改计划”。 - 200 - 3. 从可用计划列表中选择新计划，然后单击 “更改计划”。若要更改订阅的主题名称，请单击 “更改主题”。若要取消订阅视图或工作簿，请单击 “删除”。更改开始页面 Tableau Server 安装时会将 “视图”作为所有用户的默认开始页面。管理员也可以指定其他默认开始页面。当前开始页面的 URL 显示在此处。单击链接可转到该页面。若要为自己指定其他开始页面，请导航到所需的服务器页面( 例如 “工作簿”) ，单击位于页面右上角的您的名称，然后单击 “使此页面成为我的开始页面”。若要恢复使用管理员指定的开始页面，请单击您的用户名，然后单击 “我的帐户设置”。对于开始页面，单击 “重置为默认值”。 - 201 - 语言和区域设置 “语言”设置可控制 Tableau Server 在显示用户界面时所用的语言，而 “区域设置”会影响视图，例如数字的格式设置方式或所使用的货币。管理员可以为所有服务器用户配置这些设置，但您可以在这里仅为自己更改设置。如果更改这些设置，请注意仅当它们是支持的语言时才会生效。请参见语言和区域设置在本页 267了解详细信息。更改 “语言”和 “区域设置”，然后单击 “保存更改”。语言和区域设置将立即更新，并且将在您下次登录时继续用于您的服务器会话。计划刷新任务和订阅服务器管理员可配置服务器以允许最终用户订阅发布的视图，并且可为数据提取刷新任务和订阅电子邮件传递设置计划。管理员还可指定允许哪些用户设置计划。否则，非管理员用户可通过以下方式使用计划： l Tableau Desktop 发布者可在随数据提取发布数据源或工作簿时设置计划刷新任务。 l Tableau Server 用户可订阅通过电子邮件按计划传递的视图。当作者下次发布内容时，在服务器上对计划进行的更改将反映在 Tableau Desktop 的“计划” 对话框中。同样，对订阅计划所做的更改也会在后续订阅视图时反映在用户所选的服务器中。关于数据提取和计划 Tableau Desktop 作者可创建数据提取，数据提取就是原始数据源的副本或数据子集。由于提取的数据将导入到 Tableau 数据引擎中，因此使用数据提取的工作簿通常比使用实时数据库连接的工作簿速度快。数据提取还可以增加功能。作者发布包含数据提取的工作簿或数据源后，数据提取位于 Tableau Server 上。刷新数据提取Tableau Server 管理员可更改或重新分配数据提取刷新计划。当工作簿或数据源再次发布时，站点管理员在 Tableau Server 中进行的任何计划更改都会反映在 Tableau Desktop 的“计划”对话框中。您也可以使用 “立即运行”选项立即刷新数据提取。您必须在服务器上启用计划功能，然后才能创建刷新计划。 tabcmd 命令行实用工具：您可以在命令行中使用 tabcmd 命令行实用工具提供的 refreshextracts 命令或将其包含在自己的脚本中。 - 202 - 从 Tableau Desktop 中刷新数据提取 l l l 发布时：当作者发布使用数据提取的工作簿或数据源时，可以将其分配给 Tableau Server 上一个可反复使用的刷新计划。该刷新可以是完全刷新或增量刷新。增量刷新引用具有日期、日期/时间或整数数据类型的数据提取中的列( 如时间戳) 。Tableau 使用此列来标识需要添加到数据提取中的新行。有关详细信息，请参见 Tableau Desktop 帮助中的刷新数据提取和计划。用户界面：您可以使用 Tableau Desktop 的 “从源刷新”、“从文件添加数据”和 “从数据源添加数据”选项，向 Tableau Server 上传添加内容或刷新其中的数据提取。如果 Tableau Server 没有足够的凭据从原始数据源刷新数据，您可能需要执行此操作。有关上传方法的详细信息，请参见 Tableau Desktop 联机帮助中的更新 Tableau Server 上的数据提取。数据提取命令行实用工具：数据提取命令行实用工具随 Tableau Desktop 一起安装。您可以使用该工具向 Tableau Server 上的数据提取上传添加内容或刷新该数据提取。有关上传方法的详细信息，请参见 Tableau Desktop 联机帮助中的 Tableau 数据提取命令行实用工具。另请参见启用计划功能向下自动刷新任务在本页 215。启用计划功能必须在服务器上启用计划功能，然后才能计划数据提取刷新。 1. 在服务器 Web 编辑环境的顶部导航区域中，选择 “服务器”>“设置”。 2. 在 “常规”页面上的 “嵌入式凭据”下，选择以下设置： l 允许嵌入式凭据对于某些数据源类型，计划刷新任务只有在嵌入了凭据时才可行。 - 203 - l 允许计划的数据提取刷新创建或修改计划 “计划”页面显示了一个计划列表，包括计划名称、类型、作用范围、任务数、行为( 同时或顺序处理) 以及计划运行的时间。 1. 若要创建新计划，请单击 “新建计划”： 2. 若要修改现有计划，请选择该计划，然后单击 “编辑”： - 204 - 3. 为计划指定一个描述性 “名称”( 例如，“每个星期六早晨”、“月底”) 。 4. 选择计划将处理的 “任务类型” — 刷新数据提取或交付订阅。 5. 您可以选择定义一个 0 到 100 之间的 “默认优先级”。如果两个任务在队列中挂起，则具有较高优先级的任务先运行。如果队列中有两个未完成的任务，则具有最高优先级的任务首先运行。若要了解有关修改任务优先级的更多信息，请参见管理刷新任务在本页 210。 6. 选择计划中的作业是同时( 并行，默认设置) 运行还是依次( 连续) 运行。 7. 完成定义或编辑计划。您可以定义每小时、每天、每周或每月计划。 - 205 - 8. 单击 “保存”。创建计划数据提取刷新任务您可以为发布的数据源数据提取或连接到该数据提取的已发布工作簿设置计划刷新任务。 1. 登录到 Tableau Server 后，显示 “内容”>“数据源”或 “内容”>“工作簿”，具体情况视要刷新的内容类型而定。 2. 选择要刷新的数据源或工作簿的复选框，然后选择 “动作”>“数据提取刷新”。 3. 在“刷新数据提取”对话框中，选择 “计划刷新”，然后完成以下步骤： l 选择所需的计划。 l 如果可用，请指定需要完全刷新还是增量刷新。默认情况下，并且在此选项未显示的情况下，将运行完全刷新。只有在发布数据提取之前在 Tableau Desktop 中配置了增量刷新，增量刷新才可用。有关信息，请参见 Tableau Desktop 帮助中的刷新数据提取。 - 206 - l 单击 “计划刷新”按钮。注意：如果要添加新计划，您可以在 “计划”页面上执行相关操作。快速开始：按计划刷新数据提取对于连接到数据库数据提取的已发布工作簿，您可以将服务器设置为按重复性计划自动刷新数据。按定期计划刷新数据提取可通过提取所需的确切数据来改善性能，并有助于始终显示最近的数据。 1 在服务器上设置计划以管理员身份登录到服务器，并选择 “服务器”>“计划”。单击 “新建计划”以创建新计划。 - 207 - Tableau Server 默认情况下提供了若干数据提取计划。如果需要，您可以添加新计划。 2 启用计划的数据提取刷新以管理员身份登录到服务器，并选择 “服务器”>“设置”>“常规”。选择“允许嵌入式凭据”和“允许计划的数据提取刷新”，然后单击“保存”。 3 发布包含数据提取的工作簿在 Tableau Desktop 中，选择 “服务器”>“发布工作簿”。如果需要，登录到服务器。在 “将工作簿发布到 Tableau Server”对话框中，单击 “计划与身份验证”。在 “数据提取计划”下，从列表中选择计划。 - 208 - 如果数据源需要身份验证，您还需要选择身份验证类型。 4 监视计划任务作为管理员，您可以通过在 “状态”页面上查看 “数据提取后台任务”来监视计划任务。 - 209 - 后台任务优先顺序注意：本主题仅论述数据提取刷新和计划的后台任务优先顺序。计划的数据提取刷新和订阅按此顺序运行： 1. 先完成已在进行中的任何任务。 2. 任何手动 “立即运行”的任务将在下一个后台程序进程可用时启动。 3. 优先级最高( 编号最低) 的任务将接着启动，与任务在队列中等待的时间无关。例如，优先级为 20 的任务将在优先级为 50 的任务之前运行，即使第二个任务等待的时间更长。 4. 优先级相同的任务将按其被添加到队列中的顺序执行。第一个添加到队列中的任务将首先启动，第二个添加的任务将接着启动。 5. 将多个具有相同优先级的任务安排为同时运行时，它们将按创建或启用顺序启动。数据提取刷新和电子邮件订阅没有区别。以下限制也会影响计划任务的运行时间： l Tableau Server 只能运行与配置的后台程序进程数相同数量的并行任务。 l 同一数据的单独数据提取刷新不能同时运行。 l 与使用顺序执行的计划关联的任务必须一次运行一个。管理刷新任务 “任务”页面显示计划在 Tableau Server 上运行的数据提取刷新任务。管理员可更改任何的优先级或其计划、运行任务或删除任务。若要显示“任务”页面，请登录到您想要使用的站点，然后单击 “任务”。 - 210 - 更改任务的计划 1. 在“任务”页面上，选择一个或多个要修改的任务。 2. 单击 “更改计划”。从计划列表选择一个新计划：当工作簿或数据源再次发布时，管理员在 Tableau Server 中所做的更改将会反映在 Tableau Desktop 的“计划”对话框中。按需执行刷新任务 1. 在“任务”页面上，选择要运行的任务。 2. 选择 “动作”>“立即运行”。注意：如果没有为数据提取设置计划任务，您可以通过“数据连接”页面对其执行按需刷新。更改任务优先级 1. 在“任务”页面上，选择一个或多个要修改的任务。 2. 选择 “动作”>“更改优先级”。 - 211 - 3. 键入 0 到 100 之间的一个新优先级，并单击 “更改优先级”。快速开始：管理增量数据提取在发布具有增量数据提取的工作簿时，您可以将其与最多两个刷新任务关联，Tableau Server 将为您处理这些任务：数据提取的增量刷新和完全刷新。发布工作簿之后，您或 Tableau Server 管理员可以修改与该工作簿关联的任何任务。您还可以删除任务或添加更多任务。 1 发布和分配计划在 Tableau Desktop 中创建了使用数据提取的工作簿之后，转到 “服务器”>“发布工作簿”，并单击 “计划与身份验证”。接着，选择刷新计划并单击“确定”。 - 212 - 在 Tableau Desktop 中发布并选择刷新计划之后，Tableau Server 将为您处理刷新任务。 2 选择工作簿要修改工作簿的计划任务，请登录到 Tableau Server，并在 “工作簿”页面上选择该工作簿： - 213 - 3 访问刷新计划单击 “刷新计划”。选中要修改的刷新任务的复选框： 4 编辑、删除或添加更多任务选择要采取的操作 — 例如，“更改计划”— 并进行选择。您还可以删除任务、更改其优先级，或添加更多刷新任务。 - 214 - 自动刷新任务您可以将数据提取刷新任务与 Tableau Server 中的计划关联，以自动刷新数据提取。还可以使用 tabcmd 自动刷新数据提取，它是一个可下载以便与 Tableau Online 一起使用的。一个随 Tableau Server 提供且能安装在 Tableau Server 之外的计算机上的命令行实用工具。具体来说，您可以将 refreshextracts 命令与您脚本中的其他命令结合使用。例如： tabcmd login - http://mytabserver -u jsmith -p P@ssw0rd! refreshextracts --datasource salesq4 处理数据提取刷新通知如果计划的数据提取刷新失败，Tableau 将在右上角显示“通知”菜单：仅当数据提取刷新失败，并且您具有以下身份时，才会看到“通知”菜单： l 系统管理员或站点管理员 l 未能刷新的工作簿或数据源的作者 l 连接到未能刷新的数据源的工作簿的作者 - 215 - 打开“通知”菜单后，可以看到有关刷新失败的更多信息：当 “数据源”列示为 “嵌入”时，意味着该数据源定义( 包括数据源凭据或数据库名称等内容) 嵌入或驻留在原来在 Tableau Desktop 中创建的工作簿自身中。当数据源名称或工作簿名称列示为 “数据源”时( 例如数据源 : sales_data) ，意味着该数据源是 Tableau Server 数据源。数据源定义位于 Tableau Server 上。在 Tableau Desktop 上的“数据”窗格中，您可以确定数据源是位于 Tableau Server 上还是位于本地。如果数据源位于服务器上，则数据源名称旁边会显示 Tableau 图标，而不是数据库图标：解决数据提取刷新问题通过单击通知中的 “编辑连接信息”链接，输入缺少的信息，然后单击 “保存”，可以解决一些数据提取刷新问题： - 216 - 如果通过编辑数据连接无法解决问题，则需要在 Tableau Desktop 中解决它并重新发布工作簿。提示：管理员可以随时在 “数据连接”页面上编辑数据连接，可通过单击 “内容”选项卡和“数据连接”从每个站点中访问该页面。管理订阅订阅是安排通过电子邮件定期将 Tableau Server 视图或工作簿发送给订阅用户。当订户单击其电子邮件中的视图或工作簿的快照时，它即在 Tableau Server 中打开。若要查看有关每个订阅的信息，例如订户的电子邮件地址和姓名、视图名称以及交付计划，请单击 “任务”>“订阅”。要求若要使 Tableau Server 用户能够接收订阅，必须存在以下项： l l 电子邮件设置配置：作为系统管理员，您可以在安装过程中出现的“配置”对话框中的 “通知和订阅”选项卡上配置订阅的基本 SMTP 服务器设置。这是Tableau Server 用于将订阅通过电子邮件发送给服务器用户的“发件人帐户”。您也可以在安装后访问此选项卡。有关步骤，请参见重新配置服务器在本页 32和针对电子邮件订阅配置 SMTP 在本页 16。嵌入凭据或不需要凭据：从 Tableau Server 的角度来看，订阅包括工作簿、数据和计划。为了交付数据，Tableau Server 需要能够在没有最终用户参与的情况下访问数据。这可以使用具有嵌入式数据库凭据的工作簿、Tableau Server 数据源或使用不需要凭据的数据( 如发布时工作簿附带的文件) 实现。无法订阅要求提供凭据以进行实时数 - 217 - 据库连接的工作簿。 l 用户要求：如果用户可以看到 Tableau Server 上的视图或工作簿并且视图或工作簿的右上角有订阅图标 ( )，那么该用户就可以订阅该视图或工作簿。能否看到视图或工作簿由 “视图”权限控制。用户还必须具有电子邮件地址。如果 Tableau Server 尚没有订阅用户的电子邮件地址，在用户注册订阅时，它会提示用户提供一个电子邮件地址。用户可以在 “用户首选项”页面上更改其交付选项、取消订阅或者更新其电子邮件地址。 l 不使用受信任的身份验证：如果 Tableau Server 配置为使用受信任的身份验证，则将禁用订阅。受信任的身份验证与 Tableau 的本地身份验证结合可以为最终用户打造 “免登录”且经过身份验证的体验。为了创建与此相同的体验并使用订阅，请改用 Active Directory( 并启用自动登录 ) 作为用户身份验证类型。可以在安装期间选择用户身份验证类型。有关详细信息，请参见配置 Tableau Server 在本页 10。其他订阅设置只要在 “通知和订阅”选项卡上配置了订阅并且 Tableau Server 正在使用其默认设置，服务器用户就可以订阅其查看的视图和工作簿。若要阻止用户订阅或自定义其订阅体验，下面是要转向的页面： l l l “站点”页面：默认情况下为每个站点启用订阅，但您可以使用 “站点”页面逐个站点地禁用订阅或进行自定义。例如，可以为订阅输入自定义 “发件人地址”，而不是在“配置”对话框中指定的地址。还可以为用户接收的订阅电子邮件创建您自己的页脚。 “计划”页面：用户至少需要一个订阅计划以供在订阅时进行选择。默认情况下， Tableau 提供两个订阅计划。作为系统管理员，您可以创建其他计划或者删除默认计划。有关详细信息，请参见创建或修改计划在本页 204。 “订阅”页面：此页面列出服务器或站点上( 如果您是站点管理员) 的所有订阅。此页面列出服务器或站点( 如果您是站点管理员) 上的所有订阅。系统管理员可以使用此页面更改服务器用户的订阅计划或删除其订阅。有关详细信息，请参见以下主题。有关如何测试是否正确配置了订阅的步骤，请参见测试订阅配置下一页。如果订阅出现问题，请参见订阅疑难解答在本页 598。删除订阅若要删除订阅，请选择要移除的订阅，然后单击 “删除”： - 218 - 编辑订阅计划若要更改某个订阅的计划，请选择该订阅，单击 “编辑计划”并选择一个计划：测试订阅配置作为管理员，您可以通过执行以下操作来测试是否正确配置了订阅： 1. 订阅视图。 2. 在“计划”页面上，选择包含您的订阅的计划。 3. 单击 “立即运行”： - 219 - 4. 几分钟后，订阅应该就会出现在电子邮件收件箱中。订阅疑难解答 "此电子邮件中的视图快照无法正确呈现。” 如果您接收的订阅出现此错误消息，可能是由以下几种原因导致的： l l l 缺失凭据：某些视图在发布时具有嵌入的凭据。如果嵌入式凭据现已过时或视图在重新发布时未包含嵌入式凭据，则您可能会收到以上错误消息。数据库暂时瘫痪：如果视图具有实时数据库连接，且数据库在生成订阅时暂时瘫痪，则您可能会收到以上错误消息。后台进程超时：默认情况下，处理订阅的后台进程如果在 30 分钟后还未完成，就算超时。大部分情况下，30 分钟足够了。但如果后台进程在处理极大且非常复杂的仪表板，30 分钟可能就不够。您可以检查非数据提取后台任务在本页 275管理视图，看看是否出现了这种情况。若要提高超时阈值，请使用 tabadmin 选项 subscriptions.timeout。无法订阅如果您在 Tableau Server 上可以看到视图并且该视图的右上角有一个订阅图标 ( 可以订阅该视图。 )，则您需要存在以下两项，您才能订阅视图：需要正确配置 Tableau Server( 请参见管理订阅在本页 217) ，并且您订阅的视图必须已嵌入其数据源的凭据或者根本不需要凭据。后一种情况的示例连接到不需要刷新的数据提取的工作簿，或其数据位于发布时工作簿附带的文件中的工作簿。嵌入凭据的步骤在 Tableau Desktop 中执行( 有关详细信息，请参见 Tableau Desktop 帮助 ) 。没有订阅图标可以在 Tableau Server 上看到视图但无法订阅它。具有实时数据库连接的视图会出现这种情况，当您首次单击该视图时，会提示您提供数据库凭据。订阅包括视图( 或工作簿) 、数据和计划。为了交付数据，Tableau Server 需要嵌入式数据库凭据或不需要凭据的数据。至于实时数据库连接，Tableau Server 没有相关凭据，只有单个用户拥有凭据。这就是为什么您只能订阅不需要凭据或已嵌入凭据的视图的原因所在。 - 220 - 如果 Tableau Server 配置为使用受信任的身份验证，您也可能可以看到视图但无法订阅它 ( 没有订阅图标) 。有关详细信息，请参见订阅要求。接收的订阅无效或“损坏”订阅如果除了生产实例，您还配置了 Tableau Server 测试或开发实例上的订阅，请禁用非生产实例上的订阅。在所有实例上将订阅保持为启用状态会导致您用户接收到看起来有效但实际无法运作的订阅，或接收到已在视图或工作簿上取消的订阅。订阅没有到达( “发送电子邮件时出错。无法向 SMTP 主机发送命令。”) 如果订阅显示为已发送( 根据数据提取后台任务在本页 273管理视图) 但没有到达，并且您的 SMTP 服务器使用的是加密 (SSL) 会话，您可能会在 Windows 事件查看器中看到以上错误消息。订阅只支持未加密的 SMTP 连接。解决方案是使用未加密的 SMTP 服务器。升级到 8.1 后，自定义脚本不工作为了更好地管理会话，从 8.1 版开始，向视图 URL 末尾添加了一个井号 (#)。如果您的自定义订阅脚本会以 PDF 或 PNG 形式生成视图，可能需要更新脚本以允许使用井号。例如，在版本 8.1 之前，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1。若要以 PNG 格式生成视图，可以将 .png 添加到 URL 末尾。例如， http://tableauserver/views/SuperStore/sheet1.png。在版本 8.1、8.2 或 8.3 中，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1#1。若要生成 PNG，请在井号标记前面添加 .png。例如：http://tableauserver/views/SuperStore/sheet1.png#1 升级到 9.0 后，自定义脚本不工作在版本 9.0 中，服务器 URL 末尾的会话 ID 由“iid” 参数 :iid=<n> 指明。例如， http://localhost/#/views/Sales2015/SalesMarginsByAreaCode?:iid=1。此参数替换了 Tableau Server 8.x 版本用于会话 ID 的井号标记“#<n>”。如果使用以 PDF 或 PNG 形式生成视图的自定义订阅脚本，您可能需要通过移除井号标记和数字 (#<n>) 并在数字前面插入 ?:iid= 会话 ID 参数来更新脚本。从版本 9.0 开始，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1?:iid=2。若要在版本 9.0 及更高版本中生成 PNG，请在会话 ID 前面添加 .png：http://tableauserver/views/SuperStore/sheet1.png?:iid=2 订阅视图当您在 Tableau Server 上打开视图时，如果该视图的右上角有一个订阅图标 ( )，则表示您的管理员已为您的站点配置了订阅。可以单击此信封来选择用于订阅视图的选项。这意味着 - 221 - 会定期自动向您的电子邮件帐户中发送视图的快照，而您不必登录 Tableau Server。您也可以选择在一封电子邮件中接收工作簿中的每个视图，或者取消订阅不再想要接收的视图。订阅视图 1. 单击 “视图”或 “工作簿”。 2. 打开一个视图，或者打开一个工作簿，然后打开其中的视图。 3. 单击 “订阅”。 4. 如果您的 Tableau Server 帐户尚未与电子邮件地址相关联，则系统会提示您提供一个。输入您的电子邮件地址，然后单击 “下一步”。您可以更改用来接收订阅的电子邮件地址。有关详细信息，请参见更改电子邮件地址在本页 200。 5. 选择当前视图( 本视图 ) ，或者如果工作簿包含多个视图、所有视图、计划，请键入主题行。单击 “订阅”。 - 222 - 默认情况下，Tableau Server 会提供工作日早晨计划和星期一早晨计划。Tableau Server 管理员还可以创建自定义订阅计划。当您通过电子邮件收到订阅时，单击视图的快照以在 Tableau Server 中将其打开。注意：如果仪表板大小设置为 “自动”，则订阅电子邮件中包括的图像将固定为 800 x 600 像素。 - 223 - 取消订阅视图 1. 通过以下任一方式在 Tableau Server 上打开您的帐户设置： l 单击订阅电子邮件底部的链接。 l 登录到 Tableau Server，选择您的名称，然后在下拉列表上选择 “我的内容”。 2. 选中要取消订阅的视图旁边的复选框，然后选择 “动作”>“删除”。 - 224 - 3. 在出现的确认消息上单击 “删除”。您还可以在这里更改订阅。例如，选择其他计划或更改电子邮件主题行。有关详细信息，请参见管理订阅设置在本页 200。服务器维护作为系统管理员，您将需要检查服务器的状态，分析和监视服务器上的活动，管理计划的任务，或执行某些维护活动( 例如清除保存的数据连接密码) 。另外，可能需要指定几种设置以自定义使用服务器的人员的用户体验。通过“状态”页面的“常规”页面来执行其中一些任务，并通过“设置”页面执行其他任务。查看服务器进程状态您可以使用“服务器状态”页面上的“进程状态”表查看各个 Tableau 服务器上的 Tableau 进程状态：可能的状态指示器列在表的底部： - 225 - 当 Tableau Server 正常工作时，大多数进程将显示“主动”、“忙”或“被动”( 存储库) 。 l l l l l l 主动 — 进程按预期方式工作。有关可能的主动状态的详细信息，请参见下面的“文件存储”。忙 — 进程正在完成某个任务。有关详细信息，请参见下面的“文件存储和存储库”。被动 — 存储库处于被动模式未许可 — 进程未获许可。停止 — 进程已停止。此项的含义取决于进程。状态不可用 — Tableau Server 无法确定进程的状态。如果有其他信息，则状态图标下将显示一条消息：有关进程状态疑难解答的详细信息，请参见服务器进程疑难解答向下。服务器进程疑难解答当 Tableau Server 正常工作时，进程将显示“主动”、“忙”或“被动”( 存储库) 。如果有其他信息，则状态图标下将显示一条消息：可能的状态指示符包括：使用此表来帮助排查 Tableau Server 安装的问题。进程群集控制器 ( 只有在您有两个或更多节点时才显示) 状态 (图标) 消息 “节点已降级” 含义 l l 动作节点上的存储库已停止。节点无法响应群集中其 - 226 - 除非群集控制器定期停机或长时间无响应，否则不必进行任何操作。如果发生这种情况，请按顺序进行以下操作，直至问题解决为进程状态 (图标) 消息含义 l l 文件存储文件存储状态只反映加载页面时文件存储的状态。无 l 动作他位置的故障转移。如果 Tableau Server 针对高可用性配置，并且此存储库为主动存储库，则会进行故障转移，切换到第二个存储库。此节点上的存储库或文件存储没有可用状态。止：加载页面时没有数据提取在同步。 ( 有可能重复性“全捕获”作业正在运行并在同步数据提取。) 无。 - 227 - 1. 检查磁盘空间。如果磁盘空间有限，请在您需要日志文件来获得支持时保存日志文件( 使用 tabadmin ziplogs) ，然后移除不必要的文件 (tabadmin cleanup)。 2. 在 Windows 任务管理器中，停止 clustercontroller.exe 进程树并让其自动重新启动。 3. 重新启动 Tableau Server。 4. 清理协调服务 (ZooKeeper) 文件：停止群集 (tabadmin stop)，清理文件 (tabadmin cleanup --resetcoordination)，然后启动群集 (tabadmin start)。 5. 如果群集控制器仍然显示为停机，请保存日志文件 (tabadmin ziplogs) 并与支持人员联系。进程状态 (图标) 消息 “正在同步” 含义 l l “数据提取不可用” l l 动作加载页面时数据提取正在文件存储节点之间同步。安装后的初始状态( 单节点和多节点) 。应在 15 或 20 分钟内消失。无。单节点安装：现有数据提取可能可用，但发布/刷新将失败。多节点安装：数据提取同步对于此节点将失败。除非文件存储定期停机或长时间无响应，否则不必进行任何操作。 - 228 - 如果发生这种情况，请按顺序进行以下操作，直至问题解决为止： 1. 检查磁盘空间。如果磁盘空间有限，请在您需要日志文件来获得支持时保存日志文件( 使用 tabadmin ziplogs) ，然后移除不必要的文件 (tabadmin cleanup)。 2. 使用 Windows 任务管理器停止 filestore.exe 进程，并让其自动重新启动。 3. 重新启动 Tableau Server。 4. 清理协调服务 (ZooKeeper) 文件：停止群集 (tabadmin stop)，清理文件 (tabadmin cleanup --resetcoordination)，然后启进程状态 (图标) 消息含义动作动群集 (tabadmin start)。 5. 如果文件存储仍然显示为停机，请保存日志文件 (tabadmin ziplogs) 并与支持人员联系。 “正在停止使用” “准备移除” “停止使用失败” l l l l l l 文件存储处于只读模式。此节点上的任何唯一文件正在复制到其他文件存储节点。等待状态消息变为“准备移除”. 文件存储处于只读模式。准备好让用户停止群集并移除数据引擎/文件存储或移除整个节点。停止 Tableau Server (tabadmin stop)，然后运行配置实用工具以移除数据引擎和文件存储或整个节点。文件存储处于只读模式。至少一个唯一文件未能复制到其他文件存储节点。按顺序进行以下操作，直至问题解决为止： - 229 - 1. 再次运行 tabadmin decommission 命令。 2. 检查其他文件存储节点上的磁盘空间。如果其他文件存储节点没有足够的空间来存储所有数据提取，则停止使用操作将失败。 3. 检查主节点和工作服务器上的 tabadmin.log 文件以查找错误。 4. 停止 Tableau Server 进程状态 (图标) 消息含义动作 (tabadmin stop)，然后再次尝试运行 tabadmin decommission 命令。 5. 将文件存储节点重新置于读取/写入模式 (tabadmin recommission)，收集日志，然后与支持人员联系。 6. 通过支持：将此文件存储节点中的 extracts 目录复制和合并到其他文件存储节点上的同一目录。存储库 “正在设置” l l l l 无 l 被动存储库正在与主动存储库同步。存储库未准备好处理故障转移。存储库可能比主动存储库慢两分钟以上并且正在再次设置 ( 这比等待同步要快) 。进行了故障转移，这个前主动存储库正在重新加入群集。等待存储库状态消息变为“被动”。如果针对高可用性配置了安装，则进行存储库按顺序进行以下操作，直至问题解决为止： - 230 - 如果此消息未出现，或者花费很长时间： 1. 检查磁盘空间并释放空间 ( 如果可能) 。 2. 检查群集控制器日志以确定是否有错误。 3. 重新启动节点。 1. 等待几分钟，让群集控制进程状态 (图标) 消息含义 l l 动作的故障转移。进程正在使用故障转移后的更新数据库连接配置重新启动。如果其他主动存储库不可用， Tableau Server 将停机。 2. 3. 4. 5. 6. 7. 无 l l VizQL Server 按预期方式工作。节点准备好在需要时进行故障转移。器尝试重新启动。重新启动 Tableau Server (tabadmin restart)。检查磁盘空间，确保有可用空间。在需要日志文件来获得支持时收集日志 (tabadmin ziplogs)，然后清理文件 (tabadmin cleanup)。重新启动 Tableau Server。停止 Tableau Server，收集日志并清理协调服务文件 (tabadmin cleanup --resetcoordination) 启动 Tableau Server。收集日志 (tabadmin ziplogs) 并与支持人员联系。无。无无有关 VizQL Server 进程的未许可状态的信息，请参见处理未许可的 VizQL Server 进程在本页 595。 - 231 - 以 XML 形式获取进程状态若要获取服务器进程状态的计算机可读版本( 即采用 XML 格式的状态版本) ，请使用以下 URL： http://my_tableau_server/admin/systeminfo.xml 您必须登录到 Tableau Server 才能查看计算机可读的进程状态，或启用了远程访问。服务器将返回类似于如下的状态报告： <systeminfo xmlns:xsi="http://www.w3.org/2001/XMLSchemainstance"> <machines> <machine name="my_tableau_server"> <repository worker="my_tableau_server:8060" status="Active" preferred="false"/> <dataengine worker="my_tableau_server:27042" status="Active"/> <applicationserver worker="my_tableau_server:8600" status="Active"/> <apiserver worker="my_tableau_server:8000" status="Active"/ <vizqlserver worker="my_tableau_server:9100" status="Active"/> <dataserver worker="my_tableau_server:9700" status="Active"/> <backgrounder worker="my_tableau_server:8250" status="Active"/> <gateway worker="my_tableau_server:80" status="Active"/> <searchandbrowse worker="my_tableau_server:11000" status="Active"/> <cacheserver worker="my_tableau_server:6379" status="Active"/> <filestore worker="my_tableau_server:9345" status="Active" pendingTransfers="0" failedTransfers="0" syncTimestamp="2015-0227T20:30:48.564Z"/> <clustercontroller worker="my_tableau_server:12012" status="Active"/> <coordination worker="my_tableau_server:12000" status="Active"/> </machine> </machines> <service status="Active"/> </systeminfo> - 232 - XML 中的状态值 l l l l <进程> worker - 运行进程的节点的名称以及进程正在使用的端口。 status - 节点上进程的状态。可能的值包括：Active、Passive、Unlicensed、 Busy、Down、ReadOnly、ActiveSyncing、StatusNotAvailable、 StatusNotAvailableSyncing、DecommisionedReadOnly、 DecomisioningReadOnly 和 DecommissionFailedReadOnly pendingTransfers - 节点进行完全同步所需的工作簿或数据源数据提取的计数。这些表示已发布到此文件存储节点的项，以及发布到其他文件存储节点并需要复制到此节点的项。 failedTransfers - 在上次自动化作业过程中未成功传输到此文件存储节点的工作簿或数据源的计数。自动化作业通常每隔大约 15 到 30 分钟运行一次，但在传输大量数据提取或大型数据提取时可能要花费较长时间。失败的传输并不一定表明 Tableau Server 存在问题。重复性自动化作业通常将传输在上次同步过程中失败的文件。日志中列出了文件传输失败的原因。 l syncTimestamp - 上一个自动化作业运行和同步文件的时间( UTC 格式) 。远程访问状态作为 Tableau 管理员，只有您才能看到“状态”表，但您可以授予远程访问权限以使“状态”表的计算机可读版本可供非管理用户和非承载 Tableau Server 的计算机使用。您可在远程监视过程中执行此操作。授予对 Tableau Server 状态的远程访问权限： 1. 以管理员身份打开命令提示符，然后键入以下内容： cd “C:\Program Files\Tableau\Tableau Server\9.2\bin” 2. 通过键入以下命令启用远程访问权限： tabadmin set wgserver.systeminfo.allow_referrer_ips <ip address> 在上面的命令中，<ip address> 是您要为其启用 Tableau Server 状态 XML 远程访问权限的计算机的 IPv4 地址。如果要为多台计算机启动远程访问权限，请使用逗号分隔每个 IP 地址。例如： tabadmin set wgserver.systeminfo.allow_referrer_ips 10.32.139.31 - 233 - 3. 进行配置更改后，通过键入以下命令来重新启动 Tableau Server： tabadmin restart 现在，IP 地址已添加的计算机上的用户可以查看 Tableau 进程状态，方法是在浏览器或命令行中输入 URL http://<server>/admin/systeminfo.xml( 例如 curl http://jsmith/admin/systeminfo.xml) 。此功能也可作为自动远程监控过程的一部分。在 “状态 ”页面上对日志进行存档 ( 快照 ) 您可以从 Web 浏览器生成并下载 Tableau Server 日志文件的快照( 存档) ，而无需打开命令提示符。这种压缩的快照包含 Tableau Server 和任何工作服务器( 如果您具有分布式环境) 中的最多七天的日志文件数据的副本。快照过程不会更改或删除 Tableau Server 日志文件或使用 tabadmin 创建的日志存档。注意：若要指定要收集的数据量或要创建的 zip 文件的名称，请使用 tabadmin 创建服务器日志的存档。有关详细信息，请参见在命令行上对日志进行存档 (tabadmin) 在本页 586。生成服务器日志文件的快照： 1. 打开“状态”页面： l 多站点：选择 “服务器”>“状态”。 l 单站点：选择 “状态”。 2. 单击 “生成快照”以创建 Tableau Server 日志的快照。仅当没有现有快照时，“生成快照”按钮才可用。注意：不管您是否使用 tabadmin 创建日志存档，此选项都可用。 3. 选择要包括的日志的天数。默认值为 “前 7 天”，但如果您想要减小 zip 文件的大小，则可能需要选择较少的天数。举例来说，如果您刚才再现了问题并且正在收集与该问 - 234 - 题相关的日志，则可能需要选择 “今天”以创建所需的最小 zip 文件。 4. 单击 “下载快照”将日志快照下载到您的 Web 浏览器的默认下载位置。此选项在您创建快照后可用。 Google Chrome 在窗口底部向您显示下载： 5. 单击箭头，然后单击 “打开”以解压缩快照，或单击 “在文件夹中显示”以查看它的下载位置： 6. ( 可选) 单击 “删除快照”可删除日志快照。此选项在您创建快照后可用。您需要删除现有快照，然后才能创建新快照。 - 235 - 例如，您可能需要删除在要调查的事件之前创建的快照。重新生成搜索索引如果搜索返回不完整或不正确的结果，或者“搜索和浏览”进程很长一段时间没有响应，则您可能需要重建搜索索引。重要信息：重建搜索索引的推荐方式是在 Tableau Server 已停止时使用 tabadmin reindex 命令。在服务器运行时重建索引可能会导致内容( 包括站点和项目) 暂时从服务器页面中消失。搜索索引是在安装或升级 Tableau Server 过程中的关键时间点( 在您还原备份以及向新节点或现在节点中添加“搜索和浏览”进程时) 构建或重建的。内容发生变化时，后台任务会使索引保持更新。如有必要，您可以使用 tabadmin reindex 命令强制重建索引。 1. 若要重建搜索索引，请单击 “状态”。在多站点环境中，选择 “服务器”>“状态”。 2. 在页面的底部，单击 “重新生成搜索索引”。 - 236 - 注意：在重建索引时您可能无法看到所有可用服务器内容，并且较大的搜索索引可能需要花费较长时间才能完成重建。重建索引时会先从索引中移除所有内容，然后将内容重新添加到索引。如果在 Tableau Server 正在运行时这样做，登录到服务器的用户会看到内容消失，然后慢慢开始重新出现在服务器页面中。在 Tableau Server 停止时重建索引可提供更好的用户体验。清除保存的数据连接密码作为管理员，如果您启用 “允许用户保存数据源密码”设置，那么服务器用户就可以保存数据源密码以供多次访问和通过多个浏览器使用，这样在每次连接到数据源时就不会提示他们输入其凭据。您可以重置所有 Tableau Server 用户的数据源密码。这样，当用户下次访问需要进行数据库身份验证的视图时，会强制他们登录到数据源。服务器用户也可以通过用户首选项页面单独删除保存的数据连接密码。若要清除为所有服务器用户保存的数据连接密码，请执行以下操作： 1. 单击“设置”和“常规”： 2. 在“保存的凭据”下，单击 “清除所有已保存的凭据”。查看许可证服务器管理员可查看 Tableau Server 的许可证和产品密钥信息。 Tableau Server 站点角色不与您从 Tableau 购买的用户许可证相对应( 如果您在使用基于用户的许可，而非基于内核的的服务器许可) 。这些许可证允许服务器上一定数量的用户。 - 237 - 若要打开“许可证”页面，请选择 “服务器”>“设置”>“许可证”。如果有基于用户的 Tableau Server 许可证，您可以查看这些级别的分布情况。如果有基于内核的 Tableau Server 许可证，“许可证”页面将显示允许的核心数、已许可的核心数，以及正在使用的核心数( 和使用这些核心的服务器计算机) 。基于用户的许可与基于内核的许可可按两种模式授予 Tableau Server 许可：基于用户或基于内核。基于用户的许可使您能在群集中的一台计算机上或多台计算机上部署 Tableau Server。该许可证限制可在您安装的 Tableau Server 上工作的用户数。对于基于内核的许可，有两种许可证选项：Tableau 服务器 — 单计算机内核和 Tableau Server — 多计算机内核。“Tableau Server — 单计算机内核”选项使您只能将 Tableau Server 安装在一台计算机上。“Tableau Server — 多计算机内核”选项使您能够将 Tableau Server 安装在多节点群集上，只要所有计算机的内核总数不超过已获许可的内核数即可。无论是哪种情况，基于内核的许可都不会限制系统中的用户帐户数。另请参见处理未许可的服务器在本页 595。服务器设置( 常规) “服务器 - 设置”的 “常规”页面上提供了以下设置。设置说明嵌入凭据 - 允许发布者将数据源凭据嵌入在工作簿中允许发布者为发布的工作簿附加密码，从而自动对 Web 用户进行身份验证以连接至数据源。密码 - 238 - 附加至工作簿，只能在服务器上进行访问。也就是说，在 Tableau Desktop 中打开工作簿时，用户仍需要输入用户名和密码才能连接至数据源。如果禁用此设置，将保存所有现有的嵌入式密码，但不会使用这些密码进行身份验证。如果再次启用该设置，用户不必重新嵌入密码。嵌入式凭据 - 允许发布者计划数据提取刷新允许发布者为计划分配工作簿。只有在启用了 “允许发布者将数据源凭据嵌入在工作簿中” 时，此选项才可用。如果启用此设置，发布者将在 “发布”对话框中看到计划选项。保存的凭据 - 允许用户保存数据源密码允许用户在多次访问和多个浏览器中保存数据源密码。默认情况下，用户可以选择“在退出前记住我的密码”，这样，用户可以在单个浏览器会话期间保存其密码。如果选中 “保存的密码”设置，用户还可以选择 “记住我的密码”，这样，可以保存密码供多次访问和多个浏览器使用，且无论用户使用哪台计算机，都会自动通过身份验证。管理员可以随时清除所有保存的密码。另外，用户还可清除自己保存的密码。保存的凭据 - 允许用户保存数据源访问令牌允许用户使用自己的用户首选项存储访问令牌。访问令牌由支持 OAuth 连接的云端数据源提供，并且代替用户名和密码用于授予对数据的访问权。有关详细信息，请参见 OAuth 连接在本页 420。已连接设备 - 允许设备自动连接到 Tableau Server 控制移动用户是否在每次连接到 Tableau Server 时都必须登录并提供其凭据，或者用户是否能在首次成功验证其设备后无需提供凭据即可使用其设备连接到 Tableau Server。有关详细信息，请参见已连接设备的身份验证下一页。来宾访问 - 启用来宾帐户允许用户查看嵌入式视图并与其交互，而无需登录到 Tableau Server 帐户。可以向“来宾用户”帐户分配权限以控制每个视图可具有的交互性。只有拥有基于内核的服务器许可证时，此选项才可用。此选项可与 “启用自动登录”这个可在安装过程中选择的选项结合使用。默认开始页面将您转至服务器所有用户当前的默认开始页面。有关如何更改默认开始页面的详细信息，请参见为所有用户设置默认开始页面在本页 241。单 - 239 - 独用户将能够覆盖此设置( 有关详细信息，请参见管理您的内容和帐户设置在本页 198) 。语言和区域设置控制服务器用户界面所使用的语言和视图所使用的区域。单独的用户可在“帐户设置”页面上覆盖此设置。另外，会首先评估 Web 浏览器设置来确定应使用哪种语言和区域设置。有关详细信息，请参见语言和区域设置在本页 267。 Active Directory 同步 - 按定期计划同步 Active Directory 组在选择 “按定期计划同步 Active Directory 组” 选项之后，控制按指定计划对 Tableau Server 中的所有 Active Directory 组进行的同步。有关详细信息，请参见在服务器上同步所有 Active Directory 组下一页。重置为默认设置安装后更改的所有服务器设置都恢复为其原始状态。已连接设备的身份验证 Tableau Server 管理员可控制 Tableau Mobile 应用的用户何时需要登录以连接到 Tableau Server。作为管理员，您可以选择以下选项之一： l l 要求 Tableau Mobile 用户在每次连接到 Tableau Server 时登录。在用户首次登录、提供凭据并成功验证其设备后，允许用户无需登录即可从其移动设备连接到 Tableau Server。控制此行为的服务器设置是 “常规”选项卡上 “服务器 - 设置”页面中的 “允许设备自动连接到 Tableau Server”。默认情况下已打开此设置。注意： Tableau Mobile 应用中尚未提供此功能，但在最近将要发布的应用更新中预期会提供。此外，该功能不适用于从移动 Web 浏览器登录到服务器。关闭此选项以要求用户在每次从 Tableau Mobile 连接到 Tableau Server 时登录。禁用已连接设备的自动身份验证立即从 Tableau Server 断开所有设备的连接并要求用户在将来每次从 Tableau Mobile 应用连接到 Tableau Server 时登录： 1. 选择 “服务器”>“设置”>“常规”。 2. 在 “已连接设备”，清除 “允许设备自动连接到 Tableau Server”选项。 3. 单击 “保存”。 - 240 - 为所有用户设置默认开始页面默认情况下，Tableau Server 安装时将“视图”页面作为所有用户的默认开始页面。作为系统管理员，您可将此页面更改为所有用户都可访问的其他页面，例如“工作簿”页面。单独用户将能够覆盖您的设置( 有关详细信息，请参见管理您的内容和帐户设置在本页 198) 。要为所有用户设置默认开始页面，请执行以下操作： 1. 导航到要作为默认页面的网页。 2. 在页面右上角单击您的名称。 3. 选择 “将此页作为所有用户的开始页面”。在服务器上同步所有 Active Directory 组作为服务器管理员，您可以在 “服务器 - 设置”页面的 “常规”选项卡上按定期计划或按需同步所有 Active Directory 组。 - 241 - “上次同步”时间指明同步最近开始的时间。按计划同步 Active Directory 组 1. 选择 “服务器”>“设置”>“常规”。在 “Active Directory 同步”下，选择 “按定期计划同步 Active Directory 组”。 - 242 - 2. 选择同步的频率和时间。 3. 单击 “保存”。按需同步所有 Active Directory 组可随时将 Active Directory 组与 Tableau Server 同步，以确保 Active Directory 中的新用户和更改反映在 Tableau Server 上的所有 Active Directory 组中。 1. 选择 “服务器”>“设置”>“常规”。 2. 在 “Active Directory 同步”下，单击 “同步所有组”。查看同步活动您可以在 “非数据提取后台任务”管理视图中查看同步作业的结果。Active Directory 组同步排队是可对要运行的 “同步 Active Directory 组”任务进行排队并指明其数量的任务。 1. 选择 “服务器”>“状态”。 2. 单击 “非数据提取后台任务”链接。 3. 设置 “任务”筛选器以包括 “Active Directory 组同步排队”和 “同步 Active Directory 组”。通过在 “服务器 - 设置”页面中单击 “查看同步活动”链接，您可以快速导航到此管理视图。为 Active Directory 组中的用户设置最低站点角色在 “组 - 详细信息”页中，您可为组用户设置要在 Active Directory 同步过程中应用的最低站点角色。 - 243 - 此设置不运行同步；而是设置要在每次同步运行时应用于组的最低站点角色。其结果是，当您同步 Active Directory 组时，添加到站点的新用户具有最低站点角色。如果用户已存在，则在最低站点角色为用户在站点中提供更多访问权限时，会应用该站点角色。如果未设置最低站点角色，则默认情况下会以 “未许可”方式添加新用户。注意：可基于最低站点角色设置提升用户的站点角色，但绝不能降级。如果用户已具有发布能力，则该能力将始终保留。有关最低站点角色的详细信息，请参见站点角色和 Active Directory 导入及同步在本页 168。 1. 在站点中，单击 “组”。 2. 单击组名称链接，然后单击 “详细信息”选项卡。 3. 从 “最低站点角色”列表选择中选择站点角色，然后单击 “保存”。同步期间移除的用户在您从 Active Directory 中移除用户，然后同步 Tableau Server 上该用户所在的组时，将出现以下情况： l 从您同步的 Tableau Server 组中移除该用户。 l 用户无法登录到 Tableau Server。由于用户仍留在服务器上，因此管理员可以在完全移除用户帐户之前审核和重新分配用户的内容。 - 244 - 对于同时存在于服务器本地的用户，由于进行了同步，站点角色在站点中设置为 “未许可”。用户将继续属于站点角色为 “未许可”的 “所有用户”组。若要将用户从 Tableau Server 中完全移除，您( 服务器管理员) 必须从 Tableau Server 中的 “服务器用户”页面中删除用户。 Tableau Server Monitor Tableau Server Monitor 是作为 Tableau Server 的一部分安装的，可通过 Windows 系统任务栏进行访问。使用此工具，可以启动和停止服务器、启动 Tableau Server 并显示服务器状态。打开服务器此命令可在 Web 浏览器中启动 Tableau Server。这是一种访问 Web 应用程序和关联的维护工具的方便方法。启动 /停止服务器可使用这些命令启动和停止服务器。在停止服务器时，所有用户都无法使用服务器，当前正在进行的所有会话都将中断。如果服务器停止时有人正在发布工作簿，则发布过程无效。因此，工作簿中只有部分工作表发布到了服务器。停止服务器可能会对用户造成很大影响，因此在执行此操作前，请务必向用户发出警告或将维护工作安排在非工作时间。重新启动服务器此命令将重新启动服务器。在服务器重新启动时，所有用户都将无法使用服务器。在执行此操作前，请务必向用户警告将中断运行。如果对 Tableau Server 配置进行了更改，则需要重新启动服务器。显示状态此命令将打开一个包含每个进程的状态的屏幕提示。要了解更详细的状态信息，请访问维护页面。 - 245 - 管理产品密钥此命令将打开产品密钥管理器，您可在其中添加或删除产品密钥。退出此命令将关闭 Tableau Server Monitor。但不会停止 Tableau Server。通过在 Windows“开始” 菜单上选择 “所有程序”>“Tableau Server 9.2”>“Tableau Server Monitor”，可以重新打开该应用程序。数据源数据源是可重用的数据连接，包括与关联数据库、云托管数据库、电子表格等等的连接。若要与其他用户共享数据源，请在 Tableau Desktop 中连接到数据源，然后将数据源发布到 Tableau Server，或将数据源嵌入发布的工作簿。数据源可包含数据提取或与实时数据库直通连接有关的信息。数据源还可包括一个自定义层，例如计算、组或集。在希望用户从多个工作簿中连接到数据源时发布数据源。工作簿作者也可以将现有工作簿中的本地数据源替换为发布的数据源。刷新发布的数据源时，连接到该数据源的工作簿也将显示更新。如果只希望用户从单一工作簿中连接到数据源，请将数据源嵌入在工作簿中。每个发布的工作簿都至少具有一个嵌入式数据源。管理数据源最好的做法是，只有管理员才应该管理数据源。不过，管理员和数据源所有者都能针对发布的数据源执行以下管理任务： l l l l 编辑和查看权限：权限可指定哪些用户或组能够连接到、修改或下载数据源。有关信息，请参见设置数据源的权限在本页 321。安排数据刷新任务：如果数据源中包含数据提取，则可以将该数据提取分配给刷新计划。有关信息，请参见计划刷新任务和订阅在本页 202。。添加或移除关键字标记：标记可包含一个或多个单词，由逗号分隔。删除：删除数据源会影响连接到该数据源的工作簿。在删除数据源之前，请确保没有连接到该数据源的工作簿，或者编辑工作簿以使用另一个数据源。只有管理员才能执行以下任务： l l 移动：可将数据源移到另一个项目。监视安全和更新：对于作为代理连接的数据源，您可以了解用户如何向数据库进行身份验证，以及您是否在 Tableau Server 上安装了相应驱动程序。有关信息，请参见数据库驱动程序在本页 77和数据安全在本页 375。 - 246 - 关于 Tableau 数据源 Tableau Server 数据服务器是一个可用来集中管理和存储 Tableau Server 数据源的服务器组件。数据源是一种可重用的数据连接。数据可以位于 Tableau 的数据引擎中( 作为数据提取) 或位于实时关系数据库中。对于关系数据库连接，存储在数据源中的信息用于数据库直通连接。数据源还可包含在 Tableau Desktop 中的字段级别进行的自定义，例如计算、维度别名、组或集。对于管理员，使用 Tableau Server 数据源有许多优点。由于一个数据源可由多个工作簿使用，因此包括数据提取的数据源意味着可以节省服务器空间和处理时间。可以针对每个数据提取( 而不是每个工作簿) 来计划数据提取刷新，并且当下载使用 Tableau Server 数据源的工作簿时，数据提取将保留在服务器上，从而减少网络流量。最后，如果连接时需要使用数据库驱动程序，则只需在 Tableau Server 上安装一次驱动程序，而不是在所有用户的桌面上进行多次安装。若要使用数据服务器，作者只需要通过创建数据提取或使用与实时关系数据库的连接来连接到 Tableau Desktop 中的数据，并将数据源发布到 Tableau Server。发布后，这些数据源以及服务器包含工作簿作者快速连接到数据并开始制作所需的所有内容。要更改已发布的数据源，请将其下载至 Tableau Desktop，作出更改，然后发布，同时覆盖原始数据源。请注意，您添加到参数的任何新成员或您对默认排序作出的任何更改都不是数据源的部分( 而是工作簿的部分) 。如果您正在运行分布式安装的 Tableau Server 并预计数据源会被大量使用，则可通过多种方式来优化服务器部署。有关更多信息，请参见分布式环境在本页 72。注意：要使用已发布的多维( 多维数据集) 数据源，您必须将其下载到 Tableau Desktop，因此上述许多优点不适用。有关详细信息，请参见多维数据集数据源在本页 256。发布的数据源和嵌入式数据源的不同之处发布的数据源包含独立于任何工作簿的连接信息，并可由多个工作簿使用。嵌入式数据源包含连接信息，并与工作簿关联。每个工作簿都有一个或多个嵌入式数据源。如果工作簿使用发布的数据源，则会为该工作簿列出嵌入式数据源。确定数据源的类型数据源列表为您提供有关您在查看的数据源的信息： - 247 - 数据源通过列表中的一些特征区分： l 图标/名称 —“名称”旁边的数据源图标使您能了解数据源是已发布 ( 工作簿中 ( l l l l l ) 还是嵌入在 )。发布的数据源名称是链接。单击发布的数据源的名称时，将打开数据源工作簿页面，显示连接到该数据源的工作簿。嵌入式数据源名称包括与数据源关联的工作簿的名称( 在上面的“Baseball Stats - Variety”数据源中为 “Variety”) 。工作簿名称是一个链接，单击该链接将在其 “数据源”页面上打开工作簿。连接类型 — 连接类型为您提供有关数据源所进行的连接类型的信息。Tableau Server 的连接类型指明连接指向发布的数据源。Tableau 数据提取连接类型意味着数据源具有存储在 Tableau Server 中的数据提取。连接到 —“连接到”列表指出数据源所连接到对象。这可能是 Tableau Server 外部的数据库( 例如，mssql2008.test.lan) 、数据提取 (2009 tech recession.tde)，或发布的数据源 (Airline_schedule_records)。实时或上次数据提取 — 此列指出数据连接是否为实时连接，或者，如果是数据提取连接，则指出数据提取的上次更新时间。连接到发布的数据源您可以使用发布的数据源来创建新工作簿或编辑现有工作簿。可以从 Tableau Desktop 或 Tableau Server Web 创作环境中访问发布的数据源。从 Tableau Desktop 中连接到 Tableau Server 数据源 1. 在 Tableau Desktop 中的“连接到数据”页面上，单击 “Tableau Server”，然后提供服务器名称和您的凭据。 - 248 - 2. 选择要使用的数据源。数据源将在“数据”窗格的工作簿中打开。Tableau Server 数据源将显示一个 Tableau 图标，而不是数据库图标。 - 249 - 在 Web 创作环境中连接到数据源 1. 登录到 Tableau Server 后，显示 “内容”页面，并选择 “数据源”。 2. 在数据源列表中，选中要使用的数据源旁边的复选框，然后单击 “动作”和 “新建工作簿”。注意：默认情况下，数据源列表经过筛选，只显示发布的数据源。另请参见生成视图在本页 612 发布数据源 ( Tableau Desktop 帮助) 嵌入式数据源发布到 Tableau Server 的每个工作簿都至少包含一个嵌入式数据源。这些嵌入式数据源包含工作簿的连接信息，并列在“数据源”页面上： - 250 - 默认情况下，数据源列表经过筛选，只显示发布的数据源。若要查看嵌入式数据源，请更改筛选器：发布的数据源和嵌入式数据源的不同之处嵌入式数据源与发布的数据源的不同之处在于，每个嵌入式数据源都与一个工作簿相关联，并描述连接到数据源所需的属性( 例如，服务器名称、数据库名称等) 。这意味着如果三个工作簿连接到同一个数据源，则“数据源”页面上仍将列出三个嵌入式数据源。搜索嵌入式数据源 “数据源”页面左侧的“筛选器”区域可帮助您按连接类型、数据库服务器名称、端口、用户名、密码状态( 是否嵌入了数据库密码) 以及是否有数据提取来查找嵌入式数据源： - 251 - 我可以编辑哪些连接？您可以编辑实时数据库连接以及需要由 Tableau Server 刷新的数据提取的连接信息。例如，您可能有大量工作簿连接到特定数据库服务器上的数据库。如果服务器的名称发生变化，您可以一起更新所有工作簿，以便它们引用新服务器名称。另一个示例是某个工作簿使用特定用户名和密码连接到数据库的情况。您可以快速更新所有工作簿以使用一组不同的凭据。有关如何编辑数据连接的详细信息，请参见编辑数据源连接向下。编辑数据源连接在“数据源”页面上，服务器管理员和数据源所有者可管理连接到实时数据库或包括数据提取的数据源的连接信息。您可以更改数据库服务器、服务器端口、用户名以及是否在数据源中嵌入密码。 - 252 - 1. 登录到含有要修改的数据源的站点。并打开“数据源”页面。 2. 选择含有要更新的连接的一个或多个数据源，并在“动作”菜单上选择 “编辑连接”。使用左侧的搜索框或筛选器来缩小数据源列表范围。键入到 “服务器”和 “数据库用户名”字段中的值将被视为正则表达式。 3. 更新想要更改的连接选项。有关 Google 和 Salesforce.com 数据源的连接选项，请参见本主题后面的 Google 和 Salesforce.com 的身份验证选项下一页。如果数据库或数据库驱动程序不支持通过 IP 地址进行连接，则为 “服务器”输入的值必须是数据库名称。如果将字段留空，则属性将为空。 - 253 - 4. 单击 “保存”。 5. 刷新“数据连接”页( 按 F5 或 Ctrl+R) 以使更改生效。 Google 和 Salesforce.com 的身份验证选项 Google BigQuery、Google Analytics 和 Salesforce.com 提供了受保护的身份验证选项。在选择此选项时，将通过 OAuth 访问令牌创建连接。数据库凭据无需存储在 Tableau 中，并且所有用户都通过此访问令牌进行连接，包括希望使用此连接创建或编辑工作簿的 Tableau Desktop 用户。有关概述，请参见 OAuth 连接在本页 420。 Google 身份验证选项在编辑 Google BigQuery 或 Google Analytics 连接时，请在“编辑数据连接”对话框中选择以下任一选项： l 选择 “在连接中嵌入 Google BigQuery 凭据”以通过指定的帐户进行身份验证，然后从列表中选择现有帐户或选择 “立即对帐户进行身份验证...”来添加新帐户。 - 254 - 在添加新帐户时，将显示 Google 登录页。在提供数据库凭据后，Google 会提示您确认 Tableau 对数据的访问权限。单击 “Accept”后，Google 会返回用于连接到数据的访问令牌。注意：如果您创建 Google 数据源的数据提取，请选择这里的第一个选项，以便可以计划刷新任务。 l 选择 “提示用户输入 Google BigQuery 凭据”以要求用户通过自己的访问令牌进行连接或每次连接时都登录。 Salesforce.com 身份验证选项在编辑 Salesforce.com 连接时，可以在“编辑数据连接”对话框中选择以下任一选项： l 选择 “嵌入 Salesforce 用户名和密码”可使用传统身份验证方法。选择 “将 Salesforce 凭据嵌入在连接中”可使用受保护的 OAuth 连接并计划刷新任务，然后从列表中选择现有帐户或单击 “添加 Salesforce 帐户”来添加新帐户。在添加新帐户时，将显示 Salesforce.com 登录页。在提供数据库凭据后， Salesforce.com 会提示您确认 Tableau 对数据的访问权限。当您允许 Tableau 访问时，Salesforce.com 会创建用于连接到数据的访问令牌。 l 选择 “没有 Salesforce 身份验证”可要求用户每次连接时都登录到 Salesforce.com。 - 255 - 监视进度当您保存在“编辑数据连接”对话框中进行的更改时，该对话框将显示进度。如果关闭该对话框，则修改将继续在后台运行，直至完成。Tableau Server 将进行尽可能多的更改。将跳过任何错误，但不会妨碍其他更改。例如，如果您尝试更改服务器名称并向多个连接添加密码，则服务器名称和工作簿上的密码都将更改。不过，因为您无法向数据源添加密码，所以数据源的密码不会更改。有关检查这些任务的进度的信息，请参见数据提取后台任务在本页 273。多维数据集数据源多维数据集( 多维) 数据源的某些特征使其在 Tableau 中独一无二。多维数据集数据源不支持直通连接。这意味着在发布多维数据集数据源后，您不能使用该数据源从 Tableau Server 建立连接。这还意味着您不能在 Tableau Server 中使用该数据源创建工作簿。通过将多维数据集数据源发布到 Tableau Server，您可以将该数据源存储在服务器上。但是，要使用该数据源，您必须将其下载到 Tableau Desktop 并在本地使用它。要下载已发布的数据源，您需要： l l 该数据源的 “下载/另存到 Web”权限。有关更多信息，请参见管理权限在本页 305和设置数据源的权限在本页 321。运行 Tableau Desktop 的计算机上安装了正确的驱动程序并打开了相应端口。 Tableau Server 中的 Web 数据连接器 Web 数据连接器是一些网页，用于对在 Tableau 中还没有连接器的数据源提供可通过 HTTP 访问的数据连接。Web 数据连接器允许用户连接到几乎任何可通过 Web 访问的数据，并且允许为其工作簿创建数据提取。Web 数据连接器的数据源可能包括内部 Web 服务、JSON 数据、REST API 以及可通过 HTTP 或 HTTPS 提供的其他来源。用户可以创建其自己的 Web 数据连接器或使用其他人创建的连接器。本主题讨论如何将 Web 数据连接器导入( 复制) 到 Tableau Server 中，以便用户可以将连接器用于其工作簿。有关如何将 Web 数据连接器用作数据源的信息，请参见 Tableau Desktop 文档中的 Web 数据连接器。有关如何创建 Web 数据连接器的信息，请参见 Web Data Connector SDK( Web 数据连接器 SDK) 文档。 l 为什么要导入 Web 数据连接器？ l 导入 Web 数据连接器 l 导入外部文件 - 256 - l 在服务器上列出 Web 数据连接器 l 使用 Web 数据连接器刷新数据提取 l 从服务器中删除 Web 数据连接器 l 在分布式环境中导入和删除 Web 数据连接器 l 使用 Web 数据连接器执行站点导入和站点导出 l 针对群集中的故障转移管理 Web 数据连接器 l 故障排除为什么要导入 Web 数据连接器？ Web 数据连接器包含可执行代码，通常会向第三方网站提出请求。作为一种安全措施， Tableau Server 不会加载用户本地计算机或第三方站点上承载的 Web 数据连接器。因此，无法在服务器上刷新该连接器创建的任何数据提取。( 刷新数据提取需要加载 Web 数据连接器。) 如果用户想要使用 Web 数据连接器创建数据提取，并且想要在服务器上刷新这些数据提取，则可以将该连接器导入到 Tableau Server 中。这会在服务器上放置一份 Web 数据连接器副本。在导入 Web 数据连接器之前，您可以审查和测试连接器，以便了解连接器所做的操作以及它连接至哪些站点。在导入 Web 数据连接器之后，想要使用 Web 数据连接器的用户可以指向服务器上的连接器。导入 Web 数据连接器在导入 Web 数据连接器的过程中，您可以查看连接器中是否有安全和性能问题。建议执行以下步骤： 1. 获取 Web 数据连接器的 HTML 文件以及任何支持文件，例如 .css 文件或 .js 文件。 2. 审查文件中的代码和 HTML，并全面测试 Web 数据连接器。有关详细信息，请参见测试和审查 Web 数据连接器在本页 261。 3. 在服务器上运行 import_webdataconnector 在本页 544 命令，如本示例中所示： tabadmin import_webdataconnector connector1.html 注意：连接器名称( 本示例中为 connector1.html) 只能包含以下字符：azA-Z0-9()~.-_。您可以采用服务器上的本地文件的形式导入 Web 数据连接器，或者从网络共享中导入( 例如，\\myshare\connector1.html) ，如以下示例中所示： tabadmin import_webdataconnector c:\webdataconnectors\connector1.html - 257 - tabadmin import_webdataconnector \\myshare\webdataconnectors\connector2.html 如果要重新导入已经导入的 Web 数据连接器( 例如，您希望导入连接器的更新版本) ，请使用带 overwrite 选项的 import_webdataconnector 命令，如此示例中所示： tabadmin import_webdataconnector \\myshare\webdataconnectors\connector2.html --overwrite 命令完成时会显示一个 URL，如本示例中所示： ===== Importing web data connector to server... -- The web data connector with the following URL was imported to the server: http://myserver/webdataconnectors/connector1.html 4. 向想要使用已导入的 Web 数据连接器的任何用户提供该连接器的 URL。注意：如果重新导入 Web 数据连接器，服务器的缓存中仍然会有连接器的较旧版本，并且使用连接器的用户可能仍会看到较旧版本。默认情况下，缓存中的项的最长生命周期为 8 小时。若要强制重置缓存，请重新启动服务器。导入外部文件如果 Web 数据连接器 .html 文件参考外部文件，则必须确保这些文件在服务器上可用。例如，Web 数据连接器可能会引用 <link> 元素中的外部 .css 文件或 <script> 元素中的 .js 文件。如果使用 URL (http://) 来引用外部文件，那么只要外部文件在 Tableau Server 可以访问的服务器上，Tableau Server 就可以访问这些文件。如果将外部文件引用为本地文件，则可以使用 import_webdataconnector 命令将它们导入到 Tableau Server 中。例如，如果要导入的 Web 数据连接器引用 myconnectors.css 文件，则可以使用以下一系列命令导入该连接器和 .css 文件： tabadmin import_webdataconnector connector1.html tabadmin import_webdataconnector myconnectors.css 关键是使用 import_webdataconnector 命令导入的所有文件都存储在服务器上的同一目录中 — Tableau Server 不允许您将外部文件导入到子目录中。因此，必须确保在连接器 .html 文件内的 <link> 或 <script> 元素中引用的任何本地文件不包括路径，只包括文件名。 - 258 - 在服务器上列出 Web 数据连接器作为服务器管理员，您可以通过运行以下命令来查看 Web 数据连接器的列表： tabadmin list_webdataconnectors 为了在工作簿中引用 Web 数据连接器，用户需要知道该连接器的 URL。若要获取连接器 URL 的列表，请使用此命令： tabadmin list_webdataconnectors --urls 使用 Web 数据连接器刷新数据提取当用户创建使用 Web 数据连接器的工作簿时，Tableau 将依据连接器返回的数据创建数据提取。如果用户以后发布此工作簿，则在发布过程中会将此工作簿和数据提取发送给该服务器。 Tableau 可刷新 Web 数据连接器创建的数据提取，就像它能刷新任何数据提取一样。但是，您之前必须已按照前面所述的方式导入了该连接器。如果 Web 数据连接器不在服务器上， Tableau Server 将不会调用该连接器来刷新数据提取。这是一项安全措施，以便 Tableau 不会调用连接器中的代码，除非您有机会查看代码并随后导入连接器。如果 Web 数据连接器需要凭据来登录到基于 Web 的数据源，Tableau Server 也无法调用该连接器来刷新数据提取。这是因为刷新可能会按计划进行或在一些其他背景环境中进行，并且服务器无法提示输入凭据。如果执行刷新操作的后台进程失败，它将会创建一个通知和指出此问题的日志条目。( 用户将能够发现数据提取上的时间戳未发生更改。) 如果需要，可以对所有 Web 数据连接器禁用刷新，甚至可以对以前导入的数据连接器禁用刷新。若要禁用刷新，请使用 tabadmin set 命令将 webdataconnector.refresh.enabled 设置更改为 false, 如以下示例中所示： tabadmin set webdataconnector.refresh.enabled false 从服务器中删除 Web 数据连接器如果不再需要 Web 数据连接器，则应该从服务器中删除它。使用以下命令删除单个 Web 数据连接器，其中 connector_name 是要删除的连接器文件的名称： tabadmin delete_webdataconnector connector_name ( 若要查看服务器上的 Web 数据连接器的列表，请使用 tabadmin list_ webdataconnectors 命令。) 若要从服务器中删除所有 Web 数据连接器，请使用以下命令： tabadmin delete_webdataconnector --all - 259 - 注意：当您删除 Web 数据连接器时，服务器的缓存中仍然会有连接器的一个版本，用户仍然能够使用连接器。默认情况下，缓存中的项的最长生命周期为 8 小时。若要强制重置缓存，请重新启动服务器。在分布式环境中导入和删除 Web 数据连接器如果服务器被配置为群集，则会为网关进程正在运行的每台计算机导入 Web 数据连接器。这样，Web 数据连接器便可用于跨群集分布式访问。如果在分布式环境中删除连接器，则会从网关进程正在运行的所有计算机中删除该连接器。在分布式环境中，导入或删除 Web 数据连接器的进程可能只完成了部分。如果导入连接器，连接器可能会复制到网关进程正在运行的部分计算机，而未复制到所有这些计算机。在此情况下，tabadmin import_webdataconnector 命令会使用以下类似文本来报告错误： The web data connector with the following URL has been imported to some gateways on the server, but not all. 同样，如果您删除 Web 数据连接器，则可能会从某些但不是所有计算机中删除该连接器。 tabadmin delete_webdataconnector 命令会使用以下类似文本来报告错误： The web data connector was deleted from some gateways on the server, but not all. 注意：如果删除过程部分成功，用户将仍然能够访问连接器。如果导入或删除过程报告部分成功，您可以尝试以下任一解决方案： l l 再次运行导入或删除过程。如果在导入，请再次运行 tabadmin import_ webdataconnector 命令，并使用 --overwrite 选项以覆盖成功安装的连接器的任何实例。如果在删除，请再次运行 tabadmin delete_webdataconnector 命令。Tableau Server 将删除任何剩余的连接器实例。停止服务器，运行 tabadmin configure，然后重新启动服务器。配置过程将确保任何 Web 数据连接器已在网关进程正在运行的所有节点中正确分发( 导入或删除) 。由于此选项要求您停止运行服务器，所以如果停止运行服务器切实可行，或者您有某个其他原因要停止运行并重新启动服务器，则可以选择此选项。使用 Web 数据连接器执行站点导入和站点导出 Web 数据连接器是以服务器范围内资源的形式导入的；它们未与服务器上的特定站点关联。因此，如果使用 tabadmin exportsite 命令导出站点，生成的 .zip 文件不包括该站点上的工作簿可能引用的 Web 数据连接器。针对群集中的故障转移管理 Web 数据连接器如果将服务器配置为包含备份主服务器的群集，您必须确保，在需要向备份主服务器进行故障转移情况下，您导入到主服务器的 Web 数据连接器可用。如果进行故障转移后 Web 数据 - 260 - 连接器在新的主服务器上不可用，则在主服务器上运行配置进程的结果是会将连接器从运行网关进程的其他计算机中移除。为了确保 Web 数据连接器在故障转移后可用，请执行以下步骤： 1. 确保您保留导入到服务器的 Web 数据连接器的最新备份。 2. 主服务器出现故障后，在启动备份主服务器之前，将 Web 数据连接器从备份位置复制到备份主服务器上的以下文件夹： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\httpd\htdocs\webdataconnectors 如果使用 tabadmin backup 命令创建了主服务器的备份，则备份文件创建的 .tsbak 文件包含 Web 数据连接器。您可以提取 .tsbak 文件的内容，并获取 Web 数据连接器。如果将 Tableau Server 安装在其他驱动器上，请将 C: 替换为该驱动器号。 3. 覆盖备份主服务器上的 tabsvc.yml 文件。 4. 运行 tabadmin failoverprimary 命令。有关详细信息，请参见快速开始：创建备份主计算机在本页 83 如有必要，您也可以重新导入 Web 数据连接器，如本主题中前面所述。故障排除如果服务器遇到导入或删除 Web 数据连接器的问题，您可以检查 tabadmin.log 文件。确保同时在主服务器和运行网关进程的其他服务器上检查日志文件。有关日志文件的详细信息，请参见服务器日志文件位置在本页 586。如果问题是 Tableau Server 将不刷新 Web 数据连接器所创建的数据提取，则应确保创建提取数据的 Web 数据连接器已导入到服务器中。此外，请确保 webdataconnector.refresh.enabled 配置设置已设置为 true。如果在服务器上重新导入了更改的 Web 数据连接器( 覆盖现有 Web 数据连接器) ，但使用 Web 数据连接器的用户未看到更改，则用户获得的可能是较旧版本的缓存版本。默认情况下，缓存将在 8 小时后重置；缓存重置之后，将不再会使用 Web 数据连接器的较旧版本。如果要强制重置缓存，您可以重新启动服务器。如果从服务器中删除了 Web 数据连接器，但用户仍然能够使用连接器，则连接器可能仍然在服务器的缓存中。Web 数据连接器可在缓存中保持可用长达 8 个小时。若要清除缓存，请重新启动服务器。如果从分布式环境中的服务器中删除 Web 数据连接器，请确保已从运行网关进程的所有计算机中成功删除了连接器。测试和审查 Web 数据连接器 Web 数据连接器包含的 JavaScript 通常连接至另一个站点上的数据。因此，在用户使用 Web 数据连接器作为工作簿数据源之前，以及在您将它们导入到 Tableau Server 中之前，您应该先测试和审查这些 Web 数据连接器。本主题包括一些关于测试和审查 Web 数据连接器的建议。 - 261 - l 检查源 l 在隔离环境中测试 Web 数据连接器 l 监视连接器产生的流量 l 测试连接器的性能和资源使用情况检查源 Web 数据连接器中的代码在 JavaScript 中，因此您可以打开该文件( 和连接器所使用的任何外部文件) 并检查源代码。许多连接器引用外部 JavaScript 库，如第三方的 jQuery 库或 API 库。验证外部库的 URL 是否指向库的受信任位置。例如，如果连接器引用 jQuery 库，请确保该库在一个被认为标准和安全的网站上。如果更改连接器的源代码切合实际，请使用 HTTPS 协议 (https://) 引用外部库( 如果源站点支持 HTTPS) ，以帮助验证站点的真实性。尽可能确保了解代码的作用。尤其是，试着了解代码如何构建至外部站点的请求，以及请求中发送了什么信息。注意：有经验的 JavaScript 程序员经常压缩( 缩减) 他们的代码，以减少下载代码的大小。使用加密函数和变量名称的密集代码块很常见。虽然这可能导致检查代码较为困难，但这并不表示代码被故意编写得难以理解。在隔离环境中测试 Web 数据连接器如有可能，请在与您的生产环境和用户计算机隔离的环境中测试 Web 数据连接器。例如，在所运行的 Tableau Server 版本并非用于生产的测试计算机或虚拟机上导入 Web 数据连接器。监视 Web 数据连接器产生的流量测试 Web 数据连接器时，请使用 Fiddler、Charles HTTP 代理或 Wireshark 之类的工具检查连接器发出的请求和响应。确保了解连接器向哪些站点发出请求，以及连接器请求哪些内容。同样，请检查响应及其内容，以确保连接器不读取与连接器的用途不直接相关的数据或代码。测试 Web 数据连接器的性能和资源使用情况测试 Web 数据连接器时，请使用工具来监视其 CPU 和内存使用量。请记住，Web 数据连接器将在 Tableau Server( 一个许多进程已在运行的环境) 上运行。您需要确保，当连接器提取数据时，连接器不会对服务器性能产生过度影响。检查连接器是否写入到磁盘。如果连接器写入到磁盘，请检查它占用多少磁盘空间，并检查输出以确保您了解它写入的内容以及为何写入。数据源疑难解答对于使用 Tableau Server 数据源的用户，最多需要满足三个条件： - 262 - l 数据源的权限：任何连接到数据源的人员必须同时具有该数据源的 “连接”和 “查看” 权限。这同样适用于访问与数据源相连的视图的用户。任何人要发布和修改数据源，都必须获得“发布”许可并具有 “写入/另存为”和 “下载/Web 另存为”的权限。有关更多信息，请参见管理权限在本页 305和设置数据源的权限在本页 321。必须下载多维( 多维数据集) 数据源并在 Tableau Desktop 中使用它们，因此它们需要 “下载/另存到 Web”权限。有关 Tableau 中的多维数据集的详细信息，请参见多维数据集数据源在本页 256。 l l 能够通过数据库身份验证：您可通过多种方式连接到 Tableau 中的数据并控制谁可以访问哪些数据。基本上，无论哪个实体要连接数据库，都必须能够通过身份验证。该实体可以是执行数据提取刷新的 Tableau Server。该实体可以是连接到数据源随后再连接到实时数据库的 Tableau Desktop 用户。该实体还可以是要访问连接到实时数据库的视图的 Tableau Server 用户。若要了解这些选项的更多信息，请参见数据安全在本页 375。数据库驱动程序：如果在 Tableau Desktop 中创建和发布数据源的人需要安装其他数据库驱动程序，则您可能也需要在 Tableau Server 上安装这些驱动程序。如果您正在运行分布式安装的 Tableau Server，例如，数据服务器进程在工作服务器上运行，则必须在该工作服务器上和主服务器上安装任何需要的数据库驱动程序。其他进程也需要驱动程序。有关更多信息，请参见数据库驱动程序在本页 77。数据源错误消息下面是工作簿作者和其他用户使用数据源和视图时可能遇到的一些错误：访问此 Tableau Server 数据源的权限被拒绝：连接到数据源需要拥有“连接”权限。有关更多信息，请参见管理权限在本页 305和设置数据源的权限在本页 321的权限。未找到数据源：如果已从 Tableau Server 中删除数据源，或者使用视图的用户的“连接到数据”页面需要更新，则该用户可能会看到此错误。若要更新 Tableau Desktop 中的“连接到数据”页面，请单击“刷新”图标：无法连接到此 Tableau Server 数据源：如果数据源的连接信息已发生改变( 例如，由于数据库服务器名称已更改) ，则可能会出现此错误。检查该数据源的“数据连接”信息并确认其设置正确。 - 263 - 无法列出 Tableau Server 数据源：如果用户尝试访问 Tableau Server 数据源且 Tableau Server 和 Tableau Desktop 之间存在连接问题，则可能发生此错误。无法连接到多维数据集数据源：要使用已发布的多维( 多维数据集) 数据源，您必须下载该数据源并在 Tableau Desktop 中使用它。验证您是否拥有该数据源的 “下载/另存到 Web”权限。有关 Tableau 中的多维数据集的详细信息，请参见多维数据集数据源在本页 256。自定义服务器您可以自定义 Tableau Server 的外观以使其符合自己公司或组的个性化需要。例如，可以更改出现在屏幕提示和消息中的名称，并更改出现在大多数服务器页面上的徽标。您还可以自定义用户与服务器交互的方式。例如，您可以允许工作簿发布者嵌入自己的数据源凭据，以便用户在单击与实时数据源连接的已发布视图时，可以立即访问该视图，而不必首先提供自己的数据库凭据。您还可以控制服务器用户界面所使用的语言和以及视图所使用的区域设置。有关对 Tableau Server 进行自定义的更多信息，请参见以下主题：更改名称或徽标可通过更改显示的名称和/或徽标来自定义 Tableau Server 的外观。当您将光标悬停在左上方的主页徽标上时，可自定义的名称将出现在浏览器选项卡上和工具提示中。可自定义的徽标出现在左上方和登录屏幕上。某些徽标和对 Tableau Server 的引用无法更改，例如，浏览器选项卡上的徽标和版权声明中的“Tableau Server”短语。 - 264 - 更改名称默认情况下，当您将光标悬停在 Tableau 徽标上时，Tableau Server 将显示工具提示 “Tableau Server”：注意：“关于服务器”对话框中的版权信息仍将列出 Tableau( 例如，©2015, Tableau Software, Incorporated 及其许可方。保留所有权利。) 更改出现在工具提示中的名称： 1. 以管理员身份打开命令提示符，然后键入以下内容： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 键入： tabadmin customize name "new_name" 将“new_name" 替换为您希望在服务器上作为名称出现的文本。示例：tabadmin customize name "My Company" 注意：若要更改包括 Unicode 字符的名称，请确定每个 Unicode 字符的十六进制编码，并在每个十六进制值之前添加“\u”。例如，对于由两个字符组成的字符串“测试”，您将键入命令 tabadmin customize name "\u6D4B\u8BD5". 3. 通过键入以下内容来重新启动服务器以使更改生效： tabadmin restart 更改徽标您可以自定义出现在 Tableau Server 登录页面上和服务器页面左上方的徽标。名称 “Tableau”是此徽标的一部分。无法独立于徽标之外对其进行更改。注意：两个位置的背景颜色不同，因此，您的图标看起来可能会有所不同，具体情况视您正在查看的位置而定。 - 265 - 如果图像大于 160 x 160 像素( 大徽标) ，则会对其进行剪裁。使用的图像文件应为 GIF、 JPEG 或 PNG 格式。更改徽标： 1. 以管理员身份打开命令提示符，然后键入以下内容： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 键入( 对于小于 160 x 160 像素但大于等于 32 x 32 像素的图像) ： tabadmin customize logo "C:\My Pictures\logo.png" 3. 通过键入以下内容来重新启动服务器以使更改生效： tabadmin restart - 266 - 恢复默认名称或徽标通过执行以下操作，可恢复 Tableau Server 的默认外观： 1. 以管理员身份打开命令提示符，然后键入以下内容： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 通过键入以下命令来恢复默认徽标或名称： tabadmin customize <parameter> -d 在上面的行中，将 <parameter> 替换为 name 或 logo。 3. 通过键入以下内容来重新启动服务器以使更改生效： tabadmin restart 语言和区域设置 Tableau Server 已本地化为多种语言，提供语言和区域设置。“语言”设置控制用户界面 (UI) 项，例如菜单和消息。“区域设置”设置用于控制视图中的各项，例如数字格式设置和货币。管理员可在服务器端配置语言和区域设置( 请参见服务器设置( 常规) 在本页 238，各用户可配置其自己的设置( 请参见管理您的内容和帐户设置在本页 198) 。如果用户配置其自己的语言和区域设置，则其设置将覆盖服务器设置。默认设置 Tableau Server 的默认语言是在安装过程中设置的。如果宿主计算机配置为 Tableau Server 支持的语言，则该计算机使用该语言进行安装。如果该语言不受支持，则 Tableau Server 使用英语执行安装。如何确定语言和区域设置用户的 Web 浏览器也会影响用户单击视图时的语言和区域设置显示。如果服务器用户未在其“用户帐户”页面上指定 “语言”设置，并且其 Web 浏览器设置为 Tableau Server 支持的语言，则将使用该浏览器的语言，即使 Tableau Server 本身设置为其他语言也是如此。下面是一个示例：假设 Tableau Server 将系统范围的英语设置作为所有用户的 “语言”。服务器用户 Claude 未在其 Tableau Server“用户帐户”页面上指定语言。Claude 的浏览器使用德语( 德国) 作为其语言/区域设置。当 Claude 登录到 Tableau Server 时，服务器 UI 将用德语显示，当他单击视图 A 时，数字和货币使用“德国”区域设置。如果 Claude 已将其用户帐户 “语言”和 “区域设置”设置为法语 ( 法国) ，则 UI 和视图将用法语显示。他的用户帐户设置将取代其 Web 浏览器的设置，而这两种设置又优先于 Tableau Server 的系统范围设置。需要注意的另一个设置是 Tableau Desktop 中的 “区域设置”设置( “文件”>“工作簿区域设置”) 。此设置确定视图中数据的区域设置，例如列出哪种货币或如何对数字进行格式设置。 - 267 - 默认情况下，Tableau Desktop 中的 “区域设置”设置为 “自动”。不过，用户可通过选择特定区域设置覆盖该设置。在上面的示例中，如果视图 A 的作者将 “区域设置”设置为 “希腊语 (希腊)”，则视图 A 中数据的某些方面将使用“希腊语(希腊)”区域设置进行显示。 Tableau Server 按此优先顺序使用这些设置来确定语言和区域设置： 1. 工作簿区域设置( 在 Tableau Desktop 中设置) 2. Tableau Server 用户帐户语言/区域设置 3. Web 浏览器语言/区域设置 4. Tableau Server 维护页面语言/区域设置 5. 宿主计算机的语言/区域设置管理视图 “状态”页面包含一个具有适用于 Tableau Server 或站点的各种管理视图的嵌入式 Tableau 工作簿。这些视图可帮助您监视服务器或站点上不同类型的活动。导航到管理视图站点管理员可以看到适用于其站点的管理视图。多个站点的管理员可以看到适用于当前站点的视图。 - 268 - 服务器管理员可以看到适用于整个服务器的视图：或适用于单独站点的视图：到视图的流量 “到视图的流量”视图使您能够查看有多少用户流量进入了视图。可通过选择视图、工作簿和时间范围来筛选显示的信息以及信息所在的时间范围。服务器管理员可指定站点。 - 269 - 视图顶部的时间表显示在指定时间范围内( 默认值为过去 7 天) 视图的使用情况： l l 视图总计数(按天)是多少 — 此图基于设置的筛选器显示按天列出的视图总计数。将鼠标指针悬停在折线的一个点上以查看视图计数。选择点以根据所选的内容更新视图上的其他部分。视图总计数(按时间)是多少 — 此图按一天中的时间显示视图计数。筛选器和任何所选内容影响此图形。视图底部的两个条形图显示视图顶部的 “最小视图计数”筛选器所筛选出的结果。这些条形图显示最经常访问的视图以及最经常访问视图的用户。只会显示计数大于或等于最小视图计数值的那些视图和用户： l l 查看次数最多的是哪些视图 — 此图列出最经常访问的视图。与视图的其他部分类似，信息由筛选器和您所选的任何内容限制。谁最经常访问视图 — 此图显示最常访问视图的用户，由筛选器和您选择的任何内容限制。到数据源的流量 “到数据源的流量”视图使您能够查看 Tableau Server 安装上数据源的使用情况。这可帮助您确定使用量最大的数据源以及较少使用的数据源。可通过选择数据源、对该数据源执行的动作以及时间范围来筛选看到的信息。服务器管理员可指定站点。视图顶部的时间表显示在指定时间范围内( 默认值为过去 7 天) 数据源的使用情况： l 数据源总用量(按天)是多少 — 此图基于设置的筛选器显示按天列出的数据源总用量。将鼠标指针悬停在折线上以查看计数。选择点以根据所选的内容更新视图上的其他部分。视图底部的两个条形图显示视图顶部的 “最少交互”筛选器所筛选出的结果。这些条形图显示使用量最大的数据源，以及最经常使用数据源的用户。只会显示交互计数大于或等于最小交互值的那些数据源和用户： - 270 - l l 使用次数最多的是哪些数据源 — 此图列出使用次数最多的数据源。与视图的其他部分类似，信息由筛选器和您所选的任何内容限制。谁最经常使用数据源 — 此图显示最经常使用数据源的用户。此项受筛选器和您所选的任何内容影响。所有用户的动作 “所有用户的动作”视图使您能深入了解您的 Tableau Server 安装的使用情况。可按动作和时间范围来筛选视图。服务器管理员可按站点进行筛选。“用户总数”计数显示执行了动作的用户的数量。此值不受任何筛选影响。“活动用户”计数显示执行了所选动作之一的活动用户的数量。多达三个单独的时间表组显示用户在指定时间范围内( 默认值为过去 7 天) 使用 Tableau Server 的情况。如果没有为特定组选择动作，则该组不显示。可能的组包括： l l l 访问和交互 — 此图显示登录活动、视图访问和数据源使用。发布和下载 — 此图显示工作簿和数据源的发布及下载。订阅 — 此图显示针对工作簿和视图发送的订阅电子邮件计数。使用底部的图例来查看显示的动作的子集。单击一个动作以突出显示该动作的线条，或按住 Ctrl 单击多个动作以突出显示多个线条。若要清除选择并显示所有选择的动作，请单击图例中的任何动作。特定用户的动作 “特定用户的动作”视图使您能深入了解单独的用户在 Tableau Server 安装中的工作情况。可按用户名、动作和时间范围来筛选视图。多站点安装上的服务器管理员可按站点进行筛选。 - 271 - 多达三个单独的时间表组显示所选用户在指定时间范围内( 默认值为过去 7 天) 使用 Tableau Server 的情况。如果没有为特定组选择动作，或者未执行任何动作，则该组不显示。可能的组包括： l l l 访问和交互 — 此图显示登录活动、视图访问和数据源使用。发布和下载 — 此图显示工作簿和数据源的发布及下载。订阅 — 此图显示针对工作簿和视图发送的订阅电子邮件计数。视图底部的条形图显示所选用户正在使用哪些项。使用底部的图例来查看显示的动作的子集。单击一个动作以突出显示该动作的线条，或按住 Ctrl 单击多个动作以突出显示多个线条。若要清除选择并显示所有选择的动作，请单击图例中的任何动作。最近用户的动作 “最近用户的动作”视图显示最近哪些已登录用户在 Tableau Server 上处于活动状态。如果需要执行某种维护活动并且想要知道此活动将影响哪些用户，以及这些用户在 Tableau Server 上执行的操作，则此视图非常有用。视图显示当前登录到 Tableau Server 的 “活动”、“最近活动”和 “空闲”用户。对于此视图，活动用户是指在最近 5 分钟执行了动作的用户，最近活动用户是指在 30 分钟内执行了动作的用户，空闲用户是指在超过 30 分钟以前执行了动作的用户。动作显示在视图的下半部分中。 - 272 - 选择一个用户以仅查看该用户最近执行的动作。将鼠标悬停在某个动作上可查看该动作的详细信息。数据提取后台任务 “数据提取后台任务”视图显示服务器上运行的特定于数据提取的任务。 - 273 - 一个表将列出在“时间表”所指定时段中运行的数据提取。单击 “成功”或 “错误”以根据状态筛选该表。单击特定任务以更新所选任务的 “数据提取花费了多少时间”图形。“数据提取成功或失败的次数是多少”表将针对状态( 成功或失败) 更新，但成功或失败的数据提取的计数不会更改。任务的状态可以是成功或错误：图标说明错误 —服务器无法完成任务。成功 —服务器已完成任务。若要查看任务的详细信息，请将鼠标悬停在其图标上： - 274 - 非数据提取后台任务 “非数据提取后台任务”视图显示服务器运行的与刷新数据提取不相关的任务。例如，编辑的 OAuth 连接、订阅通知等。一个表将列出在指定时间范围内运行的任务。单击 “成功”或 “错误”以根据状态筛选该表。在 “此站点上任务成功或失败的次数”表中选择特定任务以更新所选任务的 “此站点上运行的后台任务”图形。任务的状态可以是成功或错误。图标说明错误 —服务器无法完成任务。成功 —服务器已完成任务。若要查看任务的详细信息，请将鼠标悬停在其图标上。加载时间统计数据 “加载时间统计数据”视图显示在服务器性能方面哪些视图开销最大。可按视图和时间范围进行筛选。服务器管理员可按站点进行筛选。也可以使用“加载时间”滑动筛选器根据以秒为单位的加载时间来限制视图。加载时间适用于服务器。根据您的客户端浏览器和网络，实际加载时间可能略有不同。 - 275 - “平均加载时间”图形根据您设置的筛选器显示视图的平均加载时间。将鼠标悬停在某个点上可查看详细信息。选择线上的一个点以针对所选内容更新视图的其余部分： “确切加载时间”视图显示所列视图的确切加载时间。垂直线显示每个视图的平均加载时间。选择一个标记可查看特定视图加载实例的详细信息：空间使用情况统计数据通过“空间使用情况统计数据”视图，可以确定哪些工作簿和数据源占用的服务器磁盘空间最多。磁盘空间使用情况按用户、项目以及工作簿或数据源的大小显示，并舍入为最接近的数字： - 276 - 使用 “最小大小”筛选器，根据数据源和工作簿的空间占用量来控制显示哪些数据源和工作簿。三个条形图为您提供有关 Tableau Server 上的空间使用情况的信息： l l l 哪些用户使用最多空间 — 此图显示其拥有的数据源和工作簿占用最多空间的用户。单击用户名以筛选该用户接下来的两个图形。单击用户的数据源条形或工作簿条形以针对该用户筛选该对象类型接下来的两个图形。单击所选用户或条形以清除选择。哪些项目使用最多空间 — 此图显示所含数据源和工作簿使用最多空间的项目。如果在“哪些用户使用最多空间”中选择了用户或对象类型，此图将显示特定于所选内容的信息。哪些工作簿和数据源使用最多空间 — 此图显示占用最多空间的工作簿和数据源。条形将根据自上次刷新以来的时间长度进行颜色编码。将光标移到任何条形上可显示使用情况详细信息： - 277 - 单击某个条形将其选定，并根据该选择更新视图的其他区域。创建自定义管理视图除了服务器“维护”页面中可用的预制管理视图外，您还可以使用 Tableau Desktop 查询和生成自己的服务器活动分析视图。为此，您可以使用以下两个内置用户之一连接到 Tableau Server 存储库中的视图并进行查询：tableau” 或 readonly”用户的访问权。 l l tableau 用户 — tableau 用户可访问特殊视图以及存储库数据库中表格的子集。我们提供了这些视图和表格，以便管理员能够创建自定义管理视图。Tableau 会尽力限制对这些表格和视图的更改，以便使用这些表格和视图构建的自定义视图不会损坏。 readonly 用户 — readonly 用户可访问大量存储库表格，因此可提供有关服务器使用情况的更多数据。管理员也可以使用这些表格创建自定义管理视图，但其中许多表格都主要是为了支持 Tableau Server 的功能，可能会在未经警告的情况下更改或移除。这意味着，当数据库结构发生变化时，依据这些表格创建的视图可能会损坏。注意：Tableau Server 8.2.5 及更高版本中提供了 readonly 用户。有关使用 readonly 用户连接到工作组数据库的示例，请参见 Tableau 知识库中的以下文章：组成员身份、服务器访问、服务器访问 (2) 和工作组使用情况您必须启用对 Tableau Server 数据库的访问，然后才能使用内置用户之一进行连接。执行此操作后，您可以使用 Tableau Desktop 以 tableau 用户或 readonly 用户身份连接到数据库并进行查询。 tabadmin set 选项 auditing.enabled 用于控制 Tableau Server 是否要将历史用户活动和其他信息收集到存储库中。该选项默认情况下处于启用状态。请注意，收集历史事件会影响 Tableau Server 备份文件 (.tsbak) 的大小。 l l 所有 hist_ 表均由 tabadmin set 选项 wgserver.audit_history_expiration_days 控制，该选项控制在存储库中保留事件历史记录多少天，默认值为 183 天。每次使用 tabadmin cleanup 在本页 533 或 tabadmin backup 在本页 532 时，都会从 - 278 - _http_requests 表中清除 7 天之前的所有数据。有关详细信息，请参见移除不需要的文件在本页 570。 l _background_tasks 表会自动清除，并保留最近 30 天的数据。 l 名称以“_”前缀开头的所有其他表包含当前数据。启用对 Tableau Server 数据库的外部访问您可以使用两个特殊内置用户通过 Tableau Desktop 连接到 Tableau Server 存储库并进行查询。“tableau” 用户可以访问多个数据库视图( 这些视图可供您用来生成自己的 Tableau Server 活动分析视图) 。“readonly” 用户可以访问其他数据库表( 您可以使用这些表为更深入的分析创建视图) 。若要访问 Tableau Server 存储库，您需要使用 tabadmin 命令行实用工具启用对数据库的外部访问。 1. 以管理员身份打开命令提示符，然后键入： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 版本 8.2.4 及更高版本：输入以下命令，为 tableau 用户启用对数据库的外部访问： l tabadmin dbpass [password] 例如，要为“tableau” 用户( 密码为“p@ssword”) 启用访问： tabadmin dbpass p@ssword 版本 8.2.5 及更高版本：输入以下命令，为 tableau 用户或 readonly 用户启用对数据库的外部访问： l tabadmin dbpass --username [tableau | readonly] [password] 例如，要为“tableau” 用户( 密码为“p@ssword”) 启用访问： tabadmin dbpass --username tableau p@ssword 或者，要为“readonly” 用户( 密码为“p@ssword”) 启用访问： tabadmin dbpass --username readonly p@ssword 注意：如果未指定用户，则 dbpass 将为以下用户启用访问tableau” 用户。 3. 重新启动 Tableau Server： tabadmin restart 启用对数据库的外部访问后，只要提供了正确的密码，Tableau 就允许任何 IP 地址访问数据库。按照连接 Tableau Server 数据库下一页中的步骤进行连接。 - 279 - 禁用对 Tableau Server 数据库的外部访问如果要禁用““tableau” 或“readonly” 的访问，请在将其启用之后再次使用 tabadmin dbpass。 l 运行命令 tabadmin dbpass --disable --username [user]，然后重新启动服务器。例如： tabadmin dbpass --disable --username readonly tabadmin restart 注意：如果未指定用户，--disable 选项将为以下用户禁用访问：“tableau”用户的访问权。连接 Tableau Server 数据库启用对 Tableau Server 数据库的外部访问后，按照以下步骤连接并查询数据库。您使用的用户名将取决于要使用的数据库视图和表格。 1. 在 Tableau Desktop 中，选择 “数据”>“连接数据”，然后选择 “PostgreSQL”作为要连接的数据库。您可能需要安装 PostgreSQL 数据库驱动程序。可从 www.tableau.com/drivers 下载驱动程序。 2. 在“PostgreSQL 连接”对话框的 “服务器”框中输入 Tableau Server 的名称或 URL。如果您拥有分布式服务器安装，并且用一台工作计算机来承载存储库，请输入该工作计算机的名称。如果使用 Apache 负载平衡器，请输入数据库服务器的实际名称或 IP 地址，而不是输入 Tableau Server 名称。应使用为 pgsql.port 设置的端口( 默认情况下为 8060) 进行连接。有关端口的更多信息，请参见 Tableau Server 端口在本页 491。注意：dbpass 命令不会在防火墙中打开任何端口。您可能需要在外部客户端和 Tableau Server 数据库之间的任何防火墙中手动打开端口。 3. 输入 workgroup 作为要连接的数据库。 4. 使用您指定的以下用户和密码之一进行连接：用户名：tableau 或 readonly 密码：您在为指定的用户启用 Tableau Server 数据库访问时指定的密码 5. 单击 “连接”。 - 280 - 6. 选择要连接的一个或多个表。 “tableau”用户可以访问所有以下划线或 hist_ 开头的表。例如，可连接到 _ background_tasks 和 _datasources。以 historical_ 开头的表指向 hist_ 表。hist_ 表包含有关特定用户的动作在本页 271视图中当前未呈现的服务器用户的信息。 “readonly” 用户能访问可用于查询有关服务器使用情况的其他信息的其他表。 7. 单击 “转到工作表”。 - 281 - 与视图交互找到感兴趣的内容时，您可以通过许多不同方式查看数据和与之交互，具体情况视允许您访问的内容而定。在视图打开的情况下，您可以选择诸如共享、创建自定义视图、导出、下载、订阅以及编辑视图等选项。您也可以与视图交互以浏览其数据。如果有 Web 编辑权限，您可以编辑现有工作簿或通过数据源创建新工作簿。内容动作当您选择项目、工作簿、视图或数据源时，“动作”菜单将提供适用于该内容的不同命令。您针对该内容的站点角色和权限将确定可用的动作( 例如设置权限、添加标记，或者删除视图和工作簿) 。在“项目”、“工作簿”、“视图”和“数据源”页面上，选择内容以执行各种动作，例如标记内容或分配权限。选择 “动作”菜单以访问可用于所选内容的命令。选择多个项时的注意事项：如果选择多个项，“动作”菜单可能会显示不适用于所选项集合中的一个或多个项的命令。当您选择多个项目并将“动作”菜单命令应用于这些项目时，Tableau Server 将尝试对所有这些项目执行动作，并将各个项目的结果( 不管动作成功与否) 通知您。如果一个页面上有多个项目，请单击省略号菜单选择项目以查看可用的“动作”命令。 - 282 - 缩略图视图列表视图全选或清除选择若要选择页面上的所有内容，请单击下拉 n 选择箭头，然后单击 “全选”。若要清除内容选择，请单击下拉箭头，然后单击 “清除”。 - 283 - 向视图添加注释您可以向在 Tableau Server 上有权访问的任何视图添加注释。还可以查看与特定视图关联的任何注释。在位于视图下面的 “注释”文本框中键入文本，并单击 “发表评论”。可通过插入超链接、粗体、斜体和下划线来向注释添加格式。下表提供了如何添加其中每种格式的示例。设置格式键入的内容超链接示例 “我的链接”:http://www.tableau.com 我的链接 - 284 - 设置格式键入的内容示例加粗 *粗体文本* 粗体文本斜体 _斜体文本_ 斜体文本下划线 +下划线文本+ 下划线文本下载工作簿可以使用视图右上角中的 “下载”按钮下载工作簿。下载的工作簿可使用某个版本的 Tableau Desktop 打开。从服务器下载工作簿与在桌面应用程序中选择 “服务器”>“打开工作簿”效果相同。只有在工作簿仍发布到服务器的情况下才能将其打开。只有当工作簿作者或管理员向您提供下载/保存权限时，此选项才可用。刷新数据如果更改了数据源，如添加了新字段或修改了数据值和字段名，则视图将在您下次加载该页面时反映这些更改。不过，您可能需要使用工具栏上的 “刷新数据”按钮来手动更新视图。刷新数据时，将会清除可能存在的任何缓存，并从数据源检索最新数据。此选项不同于暂停自动更新下一页选项，后者仍可能会根据缓存的数据加载视图。根据数据源和视图的大小，刷新数据所用的时间可能比操作缓存数据的查询所用的时间要长。 - 285 - 暂停自动更新与服务器上的视图交互时，有时必须向数据源发送查询以更新视图中的数据。如果所使用的视图具有大量数据或非常大的数据源，则自动更新可能需要很长时间。为了避免在进行一些更改时等待每项更新，可以单击工具栏上的 “暂停”以暂停自动更新。使用相同工具栏按钮恢复自动更新时，只须等待一次数据源查询。下载视图您可以将视图下载为图像或 PDF。或者，您可以将数据下载为交叉表或逗号分隔值文件 ( 数据 ) 。您还可以下载工作簿。有关如何下载工作簿的信息，请参见下载工作簿。在视图顶部工具栏上的 “下载”菜单中选择一个选项。如果要将仪表板下载为 PDF，并且仪表板包括网页对象，则不会包括该网页对象。此外，当您选择下载选项时，必须生成图像、PDF 或数据文件。当生成结束后会打开一条消息，这样您就可以继续下载文件。 - 286 - 将视图下载为 PDF 1. 打开视图并从“下载”工具栏按钮中选择 PDF。 2. 选择 “纵向”或 “横向”和 “纸张尺寸”。在 “内容”下面，选择要下载的工作簿的一部分 ( 当前仪表板、仪表板中选定的工作表或工作簿中选定的工作表) 。然后，在 “要下载的工作表”下面，选择要下载的特定工作表。按 Ctrl 并单击工作表缩略图以选择或取消选择工作表。 - 287 - 选定工作表用蓝色突出显示表示。 3. 单击 “下载”，然后在 “下载 PDF”对话框中，再次单击 “下载”。 - 288 - 保存密码有时，视图会要求您输入数据库用户名和密码。如果您可以访问该数据库，就应在相应的文本框中输入用户名和密码。如果选择 “记住我的密码”选项，则每次查看该视图时，您都会自动登录。登录信息将加密存储在服务器上，因此，即使在浏览器会话之间切换以及从多台计算机访问该视图，您也会自动登录。这在您拥有始终要访问的多个视图时非常方便。管理员可以限制是否允许用户记住数据库密码。如果您是管理员，请参阅服务器设置 ( 常规) 在本页 238以了解更多信息。清除和重置保存的密码如果您目前保存密码( 在 “服务器”>“设置”中的“常规”页面上启用了 “允许用户保存数据源密码”) ，则可以清除保存的密码。执行此操作后，下次访问该服务器时，系统就会提示您输入用户名和密码。如果您的用户名和密码发生更改，可能就需要这样做，以便可以开始使用和保存新凭据。 - 289 - 1. 单击页面顶部您的名称，然后选择 “我的帐户设置”。 2. 在 “管理凭据”中，单击 “清除所有已保存的凭据”。注意：管理员还可以使用“服务器设置 - 常规”页面上的适用于所有用户链接 “清除所有已保存的凭据”来清除服务器上所有保存的密码。保存自定义视图当您与视图交互时，可以选择将对视图所做的任何更改( 排序、筛选) 另存为自定义视图。自定义视图与原始视图相关。当更新或重新发布原始视图时，也将更新该视图的自定义版本。如果从服务器中删除原始视图，则也将删除关联的自定义视图。如果从原始视图移除筛选器并重新发布该视图，则这些筛选器在该视图的自定义版本中将不可用。如果恢复筛选器并重新发布视图，则视图的自定义版本包括恢复的筛选器。保存自定义视图 1. 打开要自定义的单独视图。 2. 筛选数据、更改排序顺序、突出显示、放大或缩小等。 - 290 - 3. 单击 “自定义视图”，然后键入自定义视图的名称。选择是希望其成为默认视图还是公共视图，然后单击 “保存”。快速开始：共享服务器视图轻松与他人共享您的 Tableau Server 视图。在工作簿或视图中单击 “共享”时会创建一些链接，您可以将这些链接嵌入在博客或网页，或者发送给朋友或同事的电子邮件中。 1 打开共享选项单击视图右上角中的 “共享”按钮。如果共享链接嵌入在网页中或者您以来宾用户身份登录，则共享链接可能位于视图下方。 2 通过电子邮件发送 Viz 复制 “链接”字段中的 URL 并将其粘贴到电子邮件。确保您与其共享的人能够访问服务器，并且具有查看视图的正确权限。 - 291 - 3 嵌入 Viz 复制 “嵌入代码”字段中的 HTML 代码并将其粘贴到您的博客或网页中。交互式视图将以内联方式显示在页面上。共享视图发布的每个视图和工作簿都可通过电子邮件进行共享或嵌入到其他网页、wiki 或 Web 应用程序中。查看共享视图的任何人都必须拥有 Tableau Server 帐户以及访问该视图的权限。通过电子邮件发送视图 1. 单击视图右上角中的 “共享”。 2. 将提供的链接复制并粘贴到电子邮件中。 - 292 - 嵌入视图通过将视图嵌入到其他网页( 如您的 wiki、博客或 Web 应用程序) 中，可以共享该视图。 1. 单击视图右上角中的 “共享”。 2. 复制提供的 HTML 代码，然后将其粘贴到要嵌入视图的页面的源代码中。注意：Tableau 生成的嵌入代码将自动指向当前页面。有关在 Tableau 中如何显示嵌入的自定义视图的信息，请参见为自定义视图嵌入代码。 - 293 - 快速开始：自定义视图如果您定期查看某些视图，并发现每次打开视图时都进行相同的更改，则可以创建“记住” 您的更改。每次打开自定义视图时，视图都将显示您想要查看的信息。您可以随后将自定义视图与具有原始视图查看权限的其他 Tableau Server 用户共享。 1 创建自定义视图打开视图并进行想要保存的更改。例如，修改筛选器、排序或缩放级别。单击视图工具栏上的 “自定义视图”，并为自定义视图指定名称。选中 “将其设为我的默认值”复选框，以将视图设为默认视图。选择 “将其公开”以使其他人可以查看视图。每次您打开视图时，它都将显示您为自定义视图保存的更改。自定义视图不会更改原始视图，但与其相关。如果原始视图更新或重新发布，您的视图也将更新。如果从服务器中删除原始视图，也将删除您的自定义视图。 2 管理自定义视图您可以编辑自定义视图的名称，当您不再需要自定义视图时可以删除自定义视图。查看其中一个自定义视图时，单击 “自定义视图”，然后单击 “管理”。 - 294 - 在“管理”对话框中，您可以重命名视图、删除视图以及查看视图是公共视图还是专有视图。当前选定的视图由粗体文本指示。 3 共享自定义视图若要共享自定义视图，请在创建视图时选择 “将其公开”选项。公共视图图标 ( ) 表示已共享视图。专用视图图标 ( ) 表示只有您才能查看视图。在服务器上浏览视图时，您可以查看和使用其他人已共享的自定义视图。 4 删除自定义视图单击 “管理”对话框上的删除图标 ( ) 以删除视图。此时将出现一条确认消息，询问您是否确实要删除自定义视图。单击 “删除”可从您的自定义视图列表中删除该视图。自定义视图如果您发现每次打开视图时都对视图进行相同的更改，则可能需要考虑将更改另存为自定义视图。例如，在特定视图中，您可能会应用特定筛选器以便只包括与您有关的数据，或者以与发布视图时不同的方式对该视图进行排序。您还可能需要保留同一视图的不同版本，例如，一个视图选择两个筛选器，另一个视图仅选择一个筛选器。您也可以与其他用户共享或向其“公布”您的自定义视图。有关更多信息，请参见以下主题：访问自定义视图若要查看可用于视图的自定义视图，在首次看到发布的视图时( 或者在嵌入式视图下面) ，单击区域中的 “自定义视图”按钮。 - 295 - 如果您创建了视图的自定义版本，则这些版本将出现在 “自定义视图”对话框中的 “我的视图”下面。“其他视图”下面列出了其他人创建的视图，包括 “原始视图”。保存自定义视图当您与视图交互时，可以选择将对视图所做的任何更改( 排序、筛选) 另存为自定义视图。自定义视图与原始视图相关。当更新或重新发布原始视图时，也将更新该视图的自定义版本。如果从服务器中删除原始视图，则也将删除关联的自定义视图。如果从原始视图移除筛选器并重新发布该视图，则这些筛选器在该视图的自定义版本中将不可用。如果恢复筛选器并重新发布视图，则视图的自定义版本包括恢复的筛选器。保存自定义视图 1. 打开要自定义的单独视图。 2. 筛选数据、更改排序顺序、突出显示、放大或缩小等。 3. 单击 “自定义视图”，然后键入自定义视图的名称。选择是希望其成为默认视图还是公共视图，然后单击 “保存”。公布自定义视图默认情况下，您的自定义视图是私有视图，只有您能够在自己的列表中看到它。如果您的站点角色为交互者或发布者，则可以向其他用户公布视图。对原始的已公布视图拥有访问权限的任何人都能够查看您的已公布自定义视图。要公布自定义视图，请在首次创建视图时单击 “将其公开”。注意：即使不公布自定义视图，您仍然可以通过复制 URL 或单击 “共享”将其共享。 - 296 - 更改自定义视图的公共或专用状态 1. 单击 “自定义视图”按钮。在 “自定义视图”对话框中，单击 “管理”。 2. 在 “管理”对话框中，单击公共视图图标 ( 公共视图图标 ( )。 ) 表示已共享视图。专用视图图标 ( ) 表示只有您才能查看视图。 3. 单击 “完成”。使视图变为私有视图您始终可以将公共视图或公布的视图设为私有视图。如果自定义视图是私有视图，那么下拉列表中将不再为其他人显示该视图，只有您能够在您的自定义视图列表中看到它。 1. 在想要停止公布的自定义视图中，单击 “自定义视图”，然后单击 “管理”。 2. 单击公共图标 ( ) 以将其更改为私有 ( )。 3. 单击 “完成”。删除自定义视图可以随时删除自己创建的自定义视图。删除自定义视图不会影响原始视图。 1. 查看想要删除的自定义视图时，单击 “自定义视图”，然后单击 “管理”。 2. 单击自定义视图名称旁边的删除图标 ( )。 3. 单击 “完成”。 - 297 - 控制对已发布内容的访问管理员可通过为项目、工作簿、视图和数据源分配权限来控制对 Tableau Server 内容的访问。他们还可以指定和更改项目、工作簿和数据源的所有者。内容所有者可控制他们发布到服务器的内容的权限。 - 298 - 管理所有权在 Tableau Server 上发布数据源或工作簿，或者创建项目时，您成为其所有者。所有权可更改。例如，如果作为原来的所有者的员工离职，则管理员可以将所有权重新分配给其他用户。在更改所有权后，原来的所有者将不具有与该项的特殊连接，并且他们能否访问该项由他们的 Tableau Server 权限决定。如果 Tableau Server 用户拥有任何项，则您将无法删除该用户。在您尝试删除用户时，他们的站点角色将设置为“未许可”。您必须先更改项的所有权，然后再删除用户。有关详细信息，请参见查看、编辑和删除用户在本页 190。如果更改包含嵌入式凭据的工作簿或数据源的所有权，嵌入式凭据将被删除。您将需要下载工作簿或数据源，为新的所有者更新嵌入式凭据，然后重新上传工作簿或数据源。您能否更改所有权或能否向您授予所有权取决于您的权限以及您与项的关系，如下表中所述。项类型谁可以更改所有权可以向谁授予所有权项目服务器管理员服务器管理员站点管理员站点管理员工作簿和数据源服务器管理员站点管理员包含项的项目的项目负责人项的所有者服务器管理员站点管理员包含该项的站点的 - 299 - 成员 (不包括来宾用户) 。更改工作簿所有者默认情况下，工作簿的发布者就是其所有者。管理员、项目主管和工作簿的当前所有者都可以更改工作簿的所有权。新所有者必须是服务器管理员或站点管理员，或者是工作簿所在的同一站点上除“来宾”外的任何用户。更改工作簿的所有者 1. 在站点的“内容”页面上，选择 “工作簿”。 2. 选择一个或多个工作簿，然后选择 “动作”>“更改所有者”。 3. 键入用户的名称或从列表中选择用户。 - 300 - 4. 单击 “更改所有者”。更改数据源所有者默认情况下，数据源的发布者就是其所有者。管理员、项目主管和当前数据源所有者都可以更改其所有者。新所有者必须是服务器或站点管理员，或者是数据源所在的同一站点上除 “来宾”外的任何用户。更改数据源的所有者 1. 在站点的“内容”页面上，选择 “数据源”。 2. 选择一个或多个数据源，然后选择 “动作”>“更改所有者”。 3. 键入用户的名称或从列表中选择用户。 - 301 - 4. 单击 “更改所有者”。更改项目所有者默认情况下，项目的创建者就是其所有者。管理员可以更改项目的所有者。新所有者必须是服务器管理员或项目站点的管理员。更改项目的所有者 1. 在站点的“内容”页面上，选择 “项目”。 2. 选择一个或多个项目，然后选择 “动作”>“更改所有者”。 - 302 - 3. 键入用户的名称或从列表中选择用户。 - 303 - 4. 单击 “更改所有者”。 - 304 - 管理权限在 Tableau Server 中，权限将分配给内容 — 项目、工作簿、视图和数据源。在为项目、工作簿、视图或数据源指定权限时，可使用规则来指定允许使用该内容的用户。可以为单独用户或一个组设置权限规则。 “权限”窗口用户可访问的视图、工作簿、项目和数据源以及可对这些不同内容类型执行的操作受以下各项影响： l l 站点角色。用户的站点角色确定用户是能发布内容、与内容交互还是只能查看内容，并确定为用户允许的不同权限级别。有关详细信息，请参见用户的站点角色在本页 164。内容权限。每个项目、工作簿、视图或数据源都可以有一组唯一的权限规则。权限规则包括用户或组、权限角色模板以及您希望用户对内容项所拥有的能力集( 例如编辑视图的能力) 。有关详细信息，请参见权限规则和生成的用户权限在本页 313。具有 “设置权限”能力的任何用户可更改当前项的权限。管理员、内容所有者以及具有 “项目负责人”能力的用户自动具有 “设置权限”能力。注意：尽管项目负责人听起来像是一个站点角色，但它是可为项目设置的权限能力。初始权限 - 305 - Tableau Server 权限设置不使用继承( 锁定项目和随选项卡式视图一起发布的工作簿除外) 。容器项( 例如项目或工作簿) 的权限设置用作新项目、新工作簿或与项目或工作簿关联的新视图的模板。初始权限是对容器项权限的一次性复制。Tableau Server采用以下方式处理初始权限： l l l l 每个新项目的初始权限是从为 Tableau Server 中的每个站点自动创建的默认项目复制而来的。工作簿的初始权限是从项目的默认工作簿权限复制而来的。视图的初始权限是从项目的默认工作簿权限复制而来的。数据源的初始权限是从其项目的默认数据源权限复制而来的。在具有锁定权限的项目中，项目中的所有工作簿和数据源将使用默认权限。有关详细信息，请参见将内容权限锁定至项目在本页 334。在具有可编辑权限( 未锁定) 的项目中，工作簿、视图或数据源首先将具有默认权限，但以后可以编辑这些权限，以使其不同于项目权限以及不同于默认值。例如，某个组可能没有查看项目 X 的权限，但可能有权查看发布到项目 X 的视图。有关默认项目和默认权限的详细信息，请参见项目在本页 126和设置项目以及其工作簿和数据源的默认权限在本页 330。有关如何在 Tableau Server 中评估权限的分层结构的详细信息，请参见如何评估权限在本页 315。权限和默认项目如果在知识和信息跨组织开放共享非常重要的环境中部署 Tableau Server，请在“默认”项目中 “所有用户”组的权限规则设置为 “发布者”权限模板。用户将能够自动发布到新项目并使用新项目中的内容。如果在数据安全和访问控制非常重要的限制性环境中部署 Tableau Server，请将“默认”项目中 “所有用户”组的权限规则设置为角色 “无”。然后，您将需要为组和用户明确添加允许他们在新项目中发布和使用内容的权限规则。有关默认项目和默认权限的详细信息，请参见项目在本页 126和设置项目以及其工作簿和数据源的默认权限在本页 330。项目内容权限( 锁定或打开) 项目的内容权限可以处于锁定( 指明为 “已锁定到项目”) 或打开状态( 指明为 “由所有者管理”) 。有关详细信息，请参见将内容权限锁定至项目在本页 334。已锁定到项目。工作簿和数据源始终使用为其项目设置的默认权限。项目中的单个工作簿和数据源的权限无法修改。由所有者管理。工作簿和数据源首先具有为其项目设置的默认权限。项目中的单个工作簿和数据源的权限可以修改。管理员和具有“项目主管”权限的用户可以锁定项目中的内容权限，以防止用户更改项目中工作簿和数据源的权限。选项卡式视图权限继承 - 306 - 选项卡式视图( 工作簿中发布到服务器的视图，启用了 “将工作表显示为选项卡”) 使用工作簿权限，而不是视图权限。在“权限”窗口中，当您查看工作簿中选项卡式视图的权限时，您将看到工作簿的权限规则，而不是视图的权限规则。若要编辑选项卡式视图权限，请打开选项卡式视图的工作簿权限( 而不是该视图) 。您对工作簿权限所做的更改将影响该工作簿中的所有选项卡式视图。如果用户选择 “将工作表显示为标签”，则从 Tableau Desktop 中发布工作簿或在 Tableau Server 上保存工作簿时，工作簿权限会覆盖单个视图上的权限。再次保存无选项卡式视图的工作簿时，默认权限会应用于工作簿和视图，但以后可以编辑视图权限。快速开始：权限可以使用权限规则来控制对站点上特定内容的访问。每个用户根据其站点角色都有一组允许的能力。每种内容类型( 项目、工作簿、视图和数据源) 都有分配给组或特定用户的权限规则。管理权限的最轻松高效的方式是为组创建权限规则。您可以随后查看为组中每个用户生成的权限。 1 向组中添加用户在站点内，单击 “组”。为应具有相同权限的用户创建组，然后向这些组中添加用户。单击一个组名称，然后单击 “添加用户”选择要包括在该组中的用户。 - 307 - 2 选择内容在站点的“内容”页面上，单击 “工作簿”、“视图”、“项目”或 “数据源”。在页面中选择一项。选择 “动作”>“权限”以查看该内容的权限规则。权限规则是一组允许或拒绝某个用户或用户组拥有的能力( 例如编辑视图的能力) 。可用的能力因所选内容的类型而异。 3 创建权限规则单击 “添加用户或组规则”，选择 “组”，输入搜索文本( 可选) ，然后从列表中选择一个名称。选择一个权限角色模板以为组应用初始能力集。单击某个能力以将其设置为 “允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 - 308 - 设置权限的能力取决于用户的站点角色以及其“设置权限”能力是否设置为“允许”。 4 查看用户权限为组保存权限规则之后，您可以查看该内容的用户( 有效) 权限。单击组名称以查看该组的用户及其有效权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 “自定义”指明用户的权限已从其站点角色或内容角色的初始设置发生更改。 - 309 - 有关生成的权限的注意事项： l l 服务器和站点管理员可通过完全权限访问所有站点内容。发布者( 内容所有者) 始终拥有其内容的完全访问权限，但是，内容所有者只能在父项目权限未锁定的情况下更改其工作簿和数据源的权限。有关详细信息，请参见将内容权限锁定至项目在本页 334。 l “已拒绝”优先于 “允许”。 l 如果未指定其他权限，则 “未指定”将导致 “已拒绝”。 l 内容的特定用户权限优先于内容的组权限。换句话说，用户权限优先于组权限。 l 用户的站点角色确定为该用户允许的最大权限。有关详细信息，请参见用户的站点角色在本页 164。有关使用权限的详细信息，请参见管理权限在本页 305和项目在本页 126。快速开始：锁定项目权限若要防止用户更改项目中包含的内容的权限，您可以锁定该项目的权限。权限锁定到项目后，默认权限设置将应用于项目中的所有工作簿和数据源，并且无法由用户( 包括内容所有者) 修改。只有管理员和项目主管才能锁定或解锁项目权限。管理员和项目主管可在项目中为项目本身及其工作簿和数据源设置和编辑默认权限。有关设置权限的信息，请参见为用户或组添加权限规则。有关设置默认权限以及将内容权限锁定到项目的详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330以及将内容权限锁定至项目在本页 334。 1 设置项目默认权限由于在权限锁定到项目时将使用项目的默认权限，因此您将需要确保这些权限已正确设置。在站点中，单击 “内容”>“项目”。打开项目，然后单击 “权限”。添加用户或组并为该内容类型选择权限角色模板，或者单击 “编辑”，然后将能力设置为 “已允许”、“已拒绝”或 “未指定”。 - 310 - 管理员和项目主管可以随时编辑默认权限。 2 将内容权限锁定至项目在项目的权限中，单击 “由所有者管理”按钮。按钮标签指明内容权限当前已锁定到项目或由内容所有者管理。选择 “锁定到项目”，然后单击 “保存”。当权限锁定到项目时，项目中的所有内容将使用默认权限。没有用户将能更改项目中单独的工作簿( 包括视图) 或数据源的权限。 3 查看锁定的权限打开项目，选择该项目中的一个工作簿或数据源，然后单击 “动作”>“权限”。当权限锁定到项目时，用户可查看项目中的工作簿或数据源权限，但无法修改这些权限。 - 311 - 在此示例中，工作簿所有者具有工作簿的完整权限，但在工作簿权限锁定到项目后，他无法更改这些权限。 4将内容权限锁定至项目在站点中，单击 “内容”>“项目”。选择项目，然后单击 “动作”>“权限”。单击 “已锁定到项目”按钮。选择 “由所有者管理”，然后单击 “保存”。如果项目的内容权限由所有者管理，则项目中的单个工作簿、视图和数据源最初具有默认权限，并可以由用户修改。 - 312 - 有关项目权限的注意事项： l l l 管理员和项目负责人可随时在项目级别为项目、其工作簿以及其数据源编辑默认权限。项目处于锁定状态时，用户( 包括内容所有者) 无法编辑单独的工作簿、视图和数据源的权限。锁定项目中的工作簿和数据源始终使用默认权限。锁定项目中的视图始终使用工作簿权限。权限规则和生成的用户权限 Tableau Server 中的权限将分配给内容 — 项目、工作簿、视图和数据源。在为项目、工作簿、视图或数据源指定权限时，您可以通过权限规则指定允许使用该内容的用户。可以为单独用户或一个组( 针对每个内容项) 设置权限规则。 “权限”窗口包含两个部分：权限规则 ( 上面的部分) 和用户权限 ( 下面的部分) 。您可以在 “权限规则”中设置权限，并在 “用户权限”中查看有效权限或生成的权限。权限规则您设置的权限规则包括用户或组、权限角色模板以及您希望用户对内容项所拥有的能力集 ( 例如编辑视图的能力) 。可用的能力因所选内容的类型而异，可设置为 “允许”、“已拒绝”或 “未指定”。有关设置和查看权限的信息，请参见快速开始：权限在本页 307、编辑权限规则在本页 337以及查看权限规则和用户权限在本页 336。 - 313 - 单击权限规则名称旁边的省略号。选择权限角色模板并编辑能力( 允许对内容执行的动作) 。 l l l 用户/组：列出规则将应用于的用户或用户组。权限：列出特定项目、工作簿、视图或数据源的可用权限角色模板。每个权限角色模板 ( 例如编辑者、交互者、查看者 ) 为规则指定一组预定义的能力。如果选择的能力与预定义模板不匹配，则权限角色模板将设置为 “自定义”。有关权限角色模板和能力的详细信息，请参见设置工作簿与视图的权限在本页 317、设置项目权限在本页 325 和设置数据源的权限在本页 321。查看/交互/编辑：可设置为 “允许”、“已拒绝”或 “未指定”的能力集的类别。( 如果没有为用户或组指定其他内容权限，“未指定”会导致 “已拒绝”。) 用户权限权限窗口的“用户权限”区域显示每个用户的有效权限。这些是在评估了用户的站点角色和权限规则之后每个用户的实际权限。若要查看组或用户的用户权限，请在权限规则列表中单击用户或组名称。组中用户的生成的权限显示在“权限”窗口的下半部分中。用户的生成的权限由以下因素确定： - 314 - l l 为用户的站点角色允许的最大权限。有关详细信息，请参见用户的站点角色在本页 164。针对给定内容项分配给用户或组的权限。举例来说，如果为用户授予工作簿的“编辑者”级别权限( 该权限允许所有能力) ，但该用户的站点角色为“查看者”，则只会为该用户允许 “查看”、“导出图像”、“汇总数据”、“查看注释”、“添加注释”和 “保存”能力。在以下示例中，已经为“Finance”( 财务) 组创建了一条权限规则。已将 “编辑者”的权限角色模板应用于组，授予了所有能力。管理员随后将 “添加注释”设置为 “已拒绝”，因此应用于组的权限集的名称已变为 “自定义”。“Finance”( 财务) 组的 “用户权限”部分显示，该组中的大多数用户拥有除 “添加注释”能力外的所有能力。一个用户拥有的能力较少，因为该用户的站点角色为“查看者”。请注意，此示例中的 “所有用户”组权限规则已设置为 “无”，因此会将 “所有用户”组的所有权限保留为 “未指定”。此方法要求管理员只为应看到内容的组或用户特定分配权限。如何评估权限 Tableau Server 中的权限将分配给内容 — 项目、工作簿、视图和数据源。在为项目、工作簿、视图或数据源指定权限时，您可以通过权限规则指定允许使用该内容的用户。 Tableau Server 上用户可访问的视图、工作簿、项目和数据源以及可对这些不同内容类型执行的操作受以下各项影响： - 315 - l l 站点角色。用户的站点角色确定用户是能发布内容、与内容交互还是只能查看内容，并确定为用户允许的不同权限级别。有关详细信息，请参见用户的站点角色在本页 164。内容权限。每个项目、工作簿、视图或数据源都可以有一组唯一的权限规则。权限规则包括用户或组、权限角色模板以及您希望用户对内容项所拥有的能力集( 例如编辑视图的能力) 。可用的能力因所选内容的类型而异，可设置为 “已允许”、“已拒绝”或 “未指定”。“已拒绝”始终优先于 “已允许”，并且，如果没有其他权限规则允许用户拥有某个能力， “未指定”将导致 “已拒绝”。注意：具有 “设置权限”能力的任何用户可更改内容项的权限。管理员、内容所有者以及具有 “项目负责人”能力的用户自动具有 “设置权限”能力。尽管“项目负责人”听起来像是一个站点角色，但它是可为项目设置的权限能力。可以为单独用户或一个组( 针对每个内容项) 设置权限规则。下图说明了如何在 Tableau Server 中评估权限规则。注意：如果工作簿配置为了以选项卡的形式显示工作表，那么所有视图都会继承工作簿权限，即使在单个视图上指定了不同权限也是如此。权限注意事项 l l 服务器和站点管理员可通过完全权限访问所有站点内容。您无法在站点级别设置权限；权限只能分配给内容。发布者( 内容所有者) 始终拥有其内容的完全访问权限，但是，内容所有者只能在父项目权限未锁定的情况下更改其工作簿和数据源的权限。有关详细信息，请参见将内容权限锁定至项目在本页 334。 l “已拒绝”优先于 “允许”。 l 如果未指定其他权限，则 “未指定”将导致 “已拒绝”。 l 内容的特定用户权限优先于内容的组权限。( 换句话说，用户权限优先于组权限。) - 316 - l 用户的站点角色确定为该用户允许的最大权限。有关详细信息，请参见用户的站点角色在本页 164。 l 权限规则模板只会对某一项应用初始权限集，它们不会持续存在。 l 工作簿权限可作为视图权限模板。当内容权限锁定到项目，并且工作簿使用选项卡式视图，则视图将继承其工作簿权限。如果权限未锁定，则可以独立编辑工作簿和视图权限。 l l 项目默认权限可作为项目中内容的模板。当内容权限锁定到项目时，工作簿和数据源将始终使用默认权限。如果权限未锁定，则可以独立编辑工作簿和数据源权限。对于每个内容项，会在“所有用户”组权限规则中自动包括每个站点用户。因此，在为该内容项创建其他组权限规则时，“所有用户”权限规则将影响为用户评估权限的方式。若要简化规则的评估方式，您可以将“所有用户”组权限规则模板设置为 “无”，并依赖于为特定组权限规则设置的能力。或者，您可以使用“所有用户”组权限规则为所有站点用户授权一组基本权限，但在某些组中拒绝特定能力。对于包含机密数据的工作簿和视图，最好将 “所有用户”组权限规则模板设置为 “无”( 所有能力随后设置为 “未指定”) 。 Tableau Server 按以下优先顺序评估权限： 1. 服务器和站点管理员：管理员可使用完全权限访问所有站点内容。 2. 用户 - 未许可、查看者许可证或来宾：如果用户为“未许可”、拥有查看者许可证( 与查看者站点角色不同) 或是来宾，则会有一些从不会允许他们执行的能力。如果由于许可原因而为用户拒绝能力，则拒绝用户。 3. 项目所有者：如果用户拥有包含工作簿的项目，则允许能力。否则， 4. 项目负责人：如果用户有“项目负责人”能力，或者处于具有“项目负责人”能力的组中，则允许用户。否则， 5. 用户 - 可授权所有者：如果用户是内容的所有者，则允许用户。否则， 6. 用户 - 拒绝能力：如果用户已被明确拒绝该内容的能力，则拒绝用户。否则， 7. 用户 - 允许能力：如果用户已被明确允许该内容的能力，则允许用户。否则， 8. 组 - 拒绝能力：如果用户属于已被明确拒绝该内容的能力的组，则拒绝用户。否则， 9. 组 - 允许能力：如果用户属于已被明确允许该内容的能力的组，则允许用户。否则，将拒绝用户访问内容。设置工作簿与视图的权限具有“设置权限”能力的管理员和用户可为工作簿或视图设置权限规则。 - 317 - 具有 “设置权限”能力的任何用户可更改工作簿或视图的权限。管理员、内容所有者以及具有 “项目负责人”能力的用户自动具有 “设置权限”能力。有关使用权限的更多详细信息，请参见管理权限在本页 305和项目在本页 126。注意：如果项目内容权限已锁定，则无法为锁定项目中的单独工作簿和视图更改权限。有关详细信息，请参见将内容权限锁定至项目在本页 334和设置项目以及其工作簿和数据源的默认权限在本页 330。可以为工作簿设置以下能力：可以为视图设置以下能力：注意：选项卡式视图( 工作簿中发布到服务器的视图，启用了 “将工作表显示为选项卡”) 使用工作簿权限，而不是视图权限。当您查看工作簿中选项卡式视图的权限时，您将在“权限”窗口中看到工作簿的权限规则，而不是视图的权限规则。若要编辑选项卡式视图权限，您将需要打开选项卡式视图的工作簿权限。以后，您对工作簿权限所做的更改将影响该工作簿中的所有选项卡式视图。再次保存无标签( 或标签隐藏) 的工作簿时，默认权限会应用于工作簿和视图，但以后可以编辑视图权限。 - 318 - 项目中具有锁定权限的工作簿中的视图也将使用工作簿权限。有关详细信息，请参见将内容权限锁定至项目在本页 334。设置有关工作簿或视图的权限 1. 在站点的“内容”页面中，单击 “工作簿”或 “视图”。选择一个工作簿或视图，然后单击 “动作”>“权限”以查看当前权限规则。注意：如果选择多个项，其中一些项为只读，则您将无法查看权限。取消选择视图，并尝试一次选择一个视图。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。 - 319 - 3. 选择一个权限角色模板以为组或用户应用初始能力集，然后单击 “保存”。能力和可用权限角色模板的列表因您是为工作簿还是视图设置权限而异。有关能力定义的详细信息，请参见权限参考在本页 339。注意：对于包含机密数据的工作簿和视图，最后将“所有用户”组权限设置为 “无”( 所有权限 “未指定”) 。工作簿和视图的可用权限角色模板为：权限模板应用对象说明查看者工作簿允许用户或组查看服务器上的工作簿或视图。视图交互者编辑器工作簿视图允许用户或组查看服务器上的工作簿或视图、编辑工作簿视图、应用筛选器、查看基础数据、导出图像和数据。其他所有权限都是从用户或组的项目权限继承而来的。工作簿将规则的所有能力设置为 “允许”。视图无工作簿将规则的所有能力设置为 “未指定”。视图已拒绝工作簿将规则的所有能力设置为 “已拒绝”。视图 4. 若要进一步自定义规则，请单击规则名称旁边的操作菜单 (. .)，然后单击 “编辑”。单击规则中的一个能力，将其设置为 “已允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 - 320 - 5. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 6. 执行相同的步骤，为更多用户或组配置其他内容权限规则。设置数据源的权限具有 “设置权限”能力的任何用户可更改数据源的权限。管理员、内容所有者以及具有 “项目负责人”能力的用户自动具有 “设置权限”能力。有关使用权限的更多详细信息，请参见管理权限在本页 305和项目在本页 126。注意：如果项目内容权限已锁定，则无法为锁定项目中的数据源更改权限。有关详细信息，请参见将内容权限锁定至项目在本页 334和设置项目以及其工作簿和数据源的默认权限在本页 330。 - 321 - 可以为项目设置以下能力：模板说明视图允许用户或组查看项目中的工作簿和视图。连接连接到数据源。访问某个与数据源连接的视图( 在项目中) 的用户必须同时具有视图的“查看”权限和数据源的“连接”权限。保存允许用户或组将数据源发布到服务器，以及覆盖服务器上的数据源连接。下载数据源从服务器下载数据源。删除删除数据源。设置权限指定数据源的权限。 - 322 - 设置数据源的权限 1. 在“数据源”页面上，选择一个或多个数据源，然后选择 “动作”>“权限”。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。 3. 选择一个权限角色模板以为组或用户应用初始能力集，然后单击 “保存”。 - 323 - 数据源的权限规则模板包括：角色说明连接者允许用户或组连接到服务器上的数据源。编辑器允许用户或组连接到服务器上的数据源。同样允许发布、修改、下载、删除和设置数据源的权限并为您发布的数据源安排刷新。无将权限规则的所有能力设置为 “未指定”。已拒绝将权限规则的所有能力设置为 “已拒绝”。注意：必须在本地使用多维数据集数据源，如 Microsoft Analysis Services 或 Oracle Essbase 连接的那些数据源。若要将已发布的数据源下载到 Tableau Desktop，您需要 “下载”权限。您必须显式授予 “下载”权限，因为数据源连接器角色不提供这些权限。有关详细信息，请参见多维数据集数据源在本页 256。 4. 若要进一步自定义规则，请单击规则名称旁边的操作菜单 (. .)，然后单击 “编辑”。单击规则中的一个能力，将其设置为 “已允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 - 324 - 5. 执行相同的步骤，为更多用户或组配置其他内容权限规则。 6. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。设置项目权限每个项目都包括可以为项目本身以及其工作簿和数据源设置的权限。这些权限将成为项目中所有内容的默认权限设置，并且每个项目可以有自己的默认权限集。有关详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330。 - 325 - 管理员和项目负责人随时可在项目中为项目本身及其工作簿和数据源设置和编辑默认权限，不管内容权限是已锁定到项目还是开放可供编辑。但是，当内容权限锁定到项目后，将无法编辑项目中的单独工作簿和数据源权限。管理员和具有“项目主管”权限的用户可以锁定和“解锁”项目权限。有关详细信息，请参见快速开始：锁定项目权限、将内容权限锁定至项目在本页 334。有关使用权限的详细信息，请参见管理权限在本页 305和项目在本页 126。注意：在创建新项目时，项目最初将具有与站点中的 Default 项目相同的权限，即项目及其工作簿和数据源的默认权限。您可为项目特定设置的三个能力为：“查看”、“保存”和 “项目负责人”。模板说明视图允许用户或组查看项目中的工作簿和视图。保存允许用户或组将工作簿和数据源发布到服务器，以及覆盖服务器上的内容。允许时，用户可从 Tableau Desktop 重新发布工作簿或数据源，从而成为所有者并获得所有权限。随后，原始所有者对工作簿的访问将由该用户的组权限以及新所有者可能设置的任何进一步权限来确定。此权限还确定了用户或组在服务器上编辑工作簿之后可对其进行覆盖。要了解相关信息，请参见授予 Web 编辑、保存和下载权限在本页 341。项目负责人允许用户或组为项目中的所有项设置权限、锁定项目权限以及编 - 326 - 辑默认权限。设置项目权限 1. 在“项目”页面上，选择一个项目，然后选择 “动作”>“权限”。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。 3. 选择一个权限角色模板以为组或用户应用初始能力集，然后单击 “保存”。 - 327 - 项目的可用权限模板包括：模板说明查看者允许用户或组查看项目中的工作簿和视图。发布者允许用户或组将工作簿和数据源发布到服务器。项目主管允许用户或组设置一个项目中所有项的权限。无将权限规则的所有能力设置为 “未指定”。已拒绝将权限规则的所有能力设置为 “已拒绝”。数据源连接器允许用户或组连接到项目中的数据源。数据源编辑器允许用户或组连接到项目中的数据源。同样允许发布、修改、下载、删除和设置数据源的权限并为您发布的数据源安排刷新。在访问与数据源连接的某个视图时，该权限与视图相关。 4. 若要进一步自定义规则，请单击权限规则名称旁边的动作菜单 (. . )，然后单击 “编辑”。单击规则中的一个能力，将其设置为 “已允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 - 328 - 5. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 - 329 - 6. 执行相同的步骤，为更多用户或组配置其他内容权限规则。设置项目以及其工作簿和数据源的默认权限现在可以为项目本身以及其工作簿和数据源设置项目的权限。这些权限将成为项目中所有内容的默认权限设置，并且每个项目可以有自己的默认权限集。只有管理员和项目主管才能编辑项目及其工作簿和数据源的默认权限。注意：站点中的新项目开始将始终具有为默认项目设置的默认权限集。 l l l 管理员和具有“项目主管”权限的用户可以随时编辑默认权限。项目处于锁定状态时，用户( 包括内容所有者) 无法编辑单独的工作簿、视图和数据源的权限。锁定项目中的工作簿和数据源始终使用为该项目中的内容设置的默认权限。锁定项目中的视图始终使用工作簿权限。在从 Desktop 中发布工作簿和数据源时，这一点适用于工作簿和数据源。有关使用权限的附加信息，请参见管理权限在本页 305和项目在本页 126。 - 330 - 设置项目中的默认权限 1. 在站点的“内容”页面中，单击项目，然后单击项目位置页面中的 “权限”。 2. 单击 “添加用户或组规则”，选择 “组”或 “用户”，然后从列表中选择组或用户名。对于现有用户或组，单击。.，然后单击 “编辑”。 - 331 - 3. 为项目、工作簿或数据源选择权限角色模板，然后单击 “保存”。或者，单击 “项目”、“工作簿”或 “数据源”标记以扩展权限视图。单击能力以将其设置为 “已允许”、“已拒绝”或 “未指定”。单击 “保存”。此示例演示如何设置项目默认权限。相同的常规步骤适用于工作簿和数据源。注意：若要在保存之后更改设置，请单击动作菜单 (. .)，然后单击 “编辑”。 - 332 - 4. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的用户权限。扩展“项目”、“工作簿”或“数据源”权限视图以查看单独的能力。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 - 333 - 5. 执行相同的步骤，为更多用户或组配置其他权限规则。将内容权限锁定至项目若要防止用户更改项目中工作簿和数据源的权限，您可以锁定该项目的权限。权限锁定到项目后，默认权限设置将应用于所有工作簿( 包括视图) 和项目中的数据源，并且无法由用户 ( 包括所有者) 修改。有关默认权限的详细信息，请参见设置项目以及其工作簿和数据源的默认权限在本页 330。只有管理员和项目主管才能将内容权限锁定至项目( 或“解锁”权限) 。注意：处于锁定状态时，管理员和项目主管仍然可为项目及其工作簿和数据源设置和编辑默认权限。 - 334 - 1. 在站点的“内容”页面中，单击项目，然后单击项目位置页面中的 “权限”。 2. 单击 “由所有者管理”按钮。按钮标签指明内容权限当前已锁定到项目或由内容所有者管理。在 “项目的内容权限”对话框中，选择 “锁定到项目”，然后单击 “保存”。当权限锁定到项目时，用户可查看项目中的工作簿或数据源权限，但无法修改这些权限。 - 335 - 3. 要解锁项目的内容权限，请再次打开项目权限。单击 “已锁定到项目”按钮。在 “项目的内容权限”对话框中，选择 “由所有者管理”，然后单击 “保存”。默认权限将重新应用于项目及其工作簿和数据源，并且其权限现在可编辑。查看权限规则和用户权限可以随时查看用户或组、视图、工作簿、项目或数据源的权限。显示的权限专用于您选中的视图、工作簿、数据源或项目。 1. 在站点的“内容”页面上，单击 “工作簿”、“视图”、“项目”或 “数据源”。若要选择页面中的某一项，请选中该项左上角的复选框。 2. 选择 “动作”>“权限”以查看当前权限规则。 - 336 - 3. 单击权限规则区域中的组或用户名以查看生成的权限。将鼠标悬停在“用户权限”中的能力框上可看到一个工具提示，其中包含有关能力是已允许还是已拒绝的详细信息。 “自定义”指明用户的权限已从其站点角色或内容角色的初始设置发生更改。编辑权限规则允许 “设置权限”的用户可更改内容的组和用户权限规则。 1. 在站点的“内容”页面中，选择一个项目、工作簿、视图或数据源，然后选择 “动作”>“权限”以查看当前权限规则。 - 337 - 视图权限规则的示例。 2. 对于要更改的权限规则，单击规则名称旁边的动作菜单 (. .)，然后单击 “编辑”。单击规则中的一个能力，将其设置为 “已允许”或 “已拒绝”，或将其保留为 “未指定”。完成后单击 “保存”。 3. 查看生成的权限。单击权限规则中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。 - 338 - 4. 执行相同的步骤，为更多用户或组配置其他内容权限规则。权限参考管理员和其他授权用户可以允许或拒绝用户获得在 Tableau Server 上执行某些动作的权限。在向 Tableau Server 发布工作簿或数据源时也可在 Tableau Desktop 中设置权限。管理员始终拥有对 Tableau Server 上所有资产的完全控制权限，而站点管理员拥有对站点上所有资产的完全控制权限。如果您向 Tableau Server 发布工作簿或数据源，您就是这项资产的所有者，并且拥有对该资产的完全控制权限，已锁定项目中的资产除外。有关详细信息，请参见将内容权限锁定至项目在本页 334。下表显示了哪些权限应用于 Tableau Server 中的哪些项，并介绍了用户可利用每项权限执行的操作。权限应用对象允许时，用户可以... 视图工作簿查看 Tableau Server 中的项。访问某个与数据源连接的视图的用户必须同时具有工作簿的“查看”权限和数据源的“连接”权限。数据源视图项目 Web 编辑工作簿视图注意：如果工作簿配置为了以选项卡的形式显示工作表，那么所有视图都会继承工作簿权限，即使在单个视图上指定了不同权限也是如此。编辑工作簿中的视图。请参见授予 Web 编辑、保存和下载权限在本页 341。当您发布 Tableau Desktop 中的工作簿时，工作簿中的工作表( 视图) 权限是从工作簿权限复制( 覆盖) 而来的。如果在保存工作簿时选择 “将工作表显示为标签”，则工作簿的权限会覆盖工作簿中所有工作表( 视图) 的权限，同时会启用标签。再次保存无标签的工作簿时，默认权限会应用于工作簿和视图，但以后可以编辑视图权限。 - 339 - 权限应用对象允许时，用户可以... 针对 “所有用户”组的特别注意事项：为了保护所有者的内容不被另一个用户覆盖( 通过从 Tableau Desktop 发布或将通过 Web 编辑的工作簿保存在 Tableau Server 上) ，每当用户发布到 “所有用户”组在其中拥有权限的项目时，“所有用户”组的 “保存”权限默认情况下将从 “允许”变为 “未指定”。您可以随后按照设置工作簿与视图的权限在本页 317中的步骤手动修改此权限，将其从 “未指定”更改为 “允许”。保存工作簿数据源视图覆盖服务器上的项。允许时，用户可从 Tableau Desktop 重新发布工作簿或数据源，从而成为所有者并获得所有权限。随后，原始所有者对工作簿的访问将由该用户的组权限以及新所有者可能设置的任何进一步权限来确定。项目此权限还确定了用户或组在服务器上编辑工作簿之后可对其进行覆盖。请参见授予 Web 编辑、保存和下载权限下一页。下载工作簿/ 另存为工作簿从服务器下载工作簿，还可以将编辑过的工作簿另存为服务器上的新工作簿。有关详细信息，请参见下载工作簿在本页 285和授予 Web 编辑、保存和下载权限下一页。下载数据源数据源从服务器下载数据源。删除工作簿删除项。数据源视图筛选器工作簿修改视图中的筛选器、仅保留筛选器并排除数据。视图添加注释工作簿视图查看注释工作簿视图下载摘要数据工作簿下载完整数据工作簿视图视图向工作簿中的视图添加注释。请参见向视图添加注释在本页 284。查看与工作簿中的视图相关的注释。请参见向视图添加注释在本页 284。查看视图中或视图内用户选定内容中的聚合数据，并将这些数据下载为文本文件。查看视图中每一行背后的原始数据( 受用户所选标记限制) ，以及将这些数据下载为文本文件。 - 340 - 权限应用对象允许时，用户可以... 下载图像 /PDF 工作簿以图像的形式下载每个视图。有关详细信息，请参见下载视图在本页 286。共享自定义工作簿移动工作簿视图视图使保存的视图自定义项可供他人查看。用户可以使用 Tableau Server 中的 “自定义视图”来创建自定义视图。有关详细信息，请参见自定义视图在本页 295。在项目之间移动工作簿。注意：只有管理员才能在项目之间移动数据源。设置权限工作簿数据源指定对项操作的权限。对于工作簿，此权限会扩展至工作簿中的视图。视图连接数据源连接到数据源。访问某个与数据源连接的视图( 在项目中) 的用户必须同时具有视图的“查看”权限和数据源的“连接”权限。注意：如果工作簿配置为了以选项卡的形式显示工作表，那么所有视图都会继承工作簿权限，即使在单个视图上指定了不同权限也是如此。项目负责人项目设置项目中所有项的权限和项目本身的权限。可以锁定项目权限和编辑默认权限。授予 Web 编辑、保存和下载权限为了使用户能够编辑、保存和下载工作簿，用户必须具有允许那些动作以及用户或组权限规则中的特定能力的站点角色。有关设置权限的信息，请参见快速开始：权限。有关锁定项目权限的信息，请参见将内容权限锁定至项目在本页 334。以下能力控制用户是否能编辑、保存和下载视图： l Web 编辑 — 确定用户是否能在 Tableau Server 中编辑工作簿视图。若要编辑现有工作簿，用户具有 “交互者”或 “发布者”站点角色，并具有为工作簿允许的 “Web 编辑”能力。注意：不允许 “交互者”保存或下载工作簿。 l 下载/另存为 - 确定用户在编辑视图时是否可以看到 “保存”和 “另存为”命令，以及是否可以保存对新工作簿所做的更改。它还确定用户是否可使用 Tableau Desktop 在服务器上打开工作簿。 - 341 - 若要保存对工作簿所做的更改或将工作簿另存为 Tableau Server 上的新工作簿，用户必须具有 “发布者”站点角色，并且必须具有为工作簿允许的保存和 “下载/另存为”能力。 l 保存 - 确定用户是否可将更改保存到服务器上的现有工作簿( 覆盖工作簿) 。若要将更改保存到工作簿，用户必须具有 “发布者”站点角色，并且必须具有为工作簿允许的 “保存”能力。注意：如果为项目拒绝 “保存”能力，则会禁止保存到整个项目，以及禁止覆盖现有工作簿。授予 Web 编辑权限 1. 将用户的站点角色设置为 “交互者”或 “发布者”。 2. 在工作簿级别组或用户的权限规则中，将 “Web 编辑”能力设置为 “已允许”。 3. 保存规则。授予“保存”和“下载/另存为”权限 1. 将用户的站点角色设置为 “发布者”。有关详细信息，请参见更改站点角色。注意：不允许 “交互者”保存或下载工作簿。 2. 在项目和工作簿级别为组或用户创建权限规则。设置以下能力：允许用户( “发布者”站点角色) 编辑并将更改保存到现有工作簿和新工作簿权限对项目对于项目中的指定工作簿 Web 编辑 - 已允许下载 /另存为 - 已允许保存已允许已允许注意：若要将默认权限应用于项目内的所有工作簿，请将内容权限锁定至项目。有关详细信息，请参见将内容权限锁定至项目在本页 334。允许用户( “发布者”用户角色) 编辑并将更改保存到新工作簿，但不能覆盖现有工作簿 - 342 - 权限对项目对于项目中的指定工作簿 Web 编辑 - 已允许下载 /另存为 - 已允许保存已允许已拒绝重要信息：在此情形下，必须对每个工作簿手动设置权限，项目权限不会锁定。如果项目权限已锁定，则权限将应用于项目中的所有工作簿。 3. 保存规则。注意：当您拒绝工作簿的 “保存”权限时，用户在 Tableau Server 中编辑工作簿时将仍然能够单击 “保存”，但会显示一条消息，告知用户他们没有覆盖工作簿的权限，并且将不会保存更改。工作簿中视图的权限用户从 Tableau Desktop 中发布工作簿时，工作簿中视图的权限是从工作簿权限继承而来的。如果用户选择 “将工作表显示为标签”，则从 Tableau Desktop 中发布工作簿或在 Tableau Server 上保存工作簿时，工作簿权限会覆盖单个视图上的权限。再次保存无标签的工作簿时，默认权限会应用于工作簿和视图，但以后可以编辑视图权限。另请参见权限参考在本页 339 快速开始：权限权限规则和用户权限设置工作簿与视图的权限在本页 317 设置项目权限在本页 325 创建基于项目的权限下一页将用户添加到服务器在本页 175 用户的站点角色在本页 164 - 343 - 创建基于项目的权限作为管理员，您可能需要组织工作簿的集合，并指定哪些用户可以访问这些工作簿以及可访问到什么程度。要组织工作簿，您可以创建项目，即相关工作簿的集合。然后，您可以在每个项目上设置权限，以便为项目中的所有工作簿指定相同的访问级别。对于此方案，项目的“所有用户”组的权限将设置为 “无”，这意味着权限对于“所有用户”组为 “未指定”。准备在开始创建项目及基于项目的权限的过程之前，Tableau 建议您概要描绘或记录所有项目以及您希望用户在每个项目中拥有的权限级别，然后再在 Tableau Server 中实施。这种练习将帮助您组织想要实施的各种权限，并可帮助您找出解决方案中的任何用户或权限空白。另外，请阅读 Tableau Server 帮助中的以下主题： l l 授予 Web 编辑、保存和下载权限在本页 341 管理权限在本页 305和权限相关主题步骤 1：创建项目和用户组 1. 使用您的管理员用户名和密码登录到 Tableau Server。 2. 在“项目”页面上，单击 “新建项目”。 3. 单击 “组”，然后单击 “新建组”。创建与每个项目和访问级别对应的组。例如，对于只允许用户访问视图的项目，您可以使用类似于 Project1_Viewer 的名称。对于允许与视图交互的项目，可使用 Project1_Interactor。 4. 单击 “用户”，然后单击 “添加用户”。在列表中选择一个或多个用户，选择 “动作”>“组成员身份”，然后为用户选择一个组。单击 “保存”确认组成员身份。重复此步骤以向其他组中添加用户。步骤 2：在项目级别分配权限设置了项目和用户组之后，您可以开始分配权限。为每个项目重复这些步骤。另请参见设置项目权限在本页 325。 1. 在“项目”页面上，选择一个项目，然后选择 “动作”>“权限”。 2. 单击 “添加用户或组规则”，选择 “组”，然后在列表中选择组名称。若要编辑现有规则，请单击权限规则名称旁边的动作菜单 (. .)，然后单击 “编辑”。 3. 选择一个权限角色模板以为组或用户应用初始能力集。 4. 若要进一步更改规则中包括的能力，请单击规则中的一个组图，将其设置为 “已允许” 或 “已拒绝”，或将其保留为 “未指定”。 - 344 - 完成后单击 “保存”。为需要项目权限的每个组或用户重复步骤 3-5。 5. 将内容权限锁定到项目以便为项目中包含的所有内容分配默认权限。这将覆盖以前为项目中的工作簿和视图分配的任何权限。步骤 3：检查项目权限 l 查看生成的用户权限。单击权限规则列表中的组名称或用户名以查看生成的权限。将光标悬停在能力框上可看到一个工具提示，包含有关能力是已允许还是已拒绝的详细信息。当您将工作簿发布到项目时，将相应反映相关权限。有关为用户授予“保存”权限的信息，请参见授予 Web 编辑、保存和下载权限在本页 341。启用 Web 制作用户在 Tableau Server 中编辑视图的能力是管理员控制的一项设置。除了启用此设置外，用户还必须在其针对给定内容项的权限中允许 “Web 编辑”能力。 1. 在 Web 浏览器中，以管理员身份登录到服务器并转到要为其启用 Web 制作的站点。在该站点中，单击 “设置”。 2. 在站点的“设置”页面中，确保选择了 “允许用户使用 Web 制作”。 3. 在工作簿或视图的权限中，确保用户或组的权限规则允许 “Web 编辑”能力。 4. 如果您的站点已在生产中，并且您希望更改立即生效，请重新启动服务器。若要确认哪些站点允许 Web 制作，服务器级管理员可以显示 “站点”页面。 - 345 - 有关 Tableau Server 中的 Web 制作和 Web 编辑的详细信息，还可以参见以下主题：禁用 Web 制作 Web 制作工作区在 Tableau Server 中编辑视图授予编辑和保存权限禁用 Web 制作如果您希望用户能够在 Tableau Server 上查看已发布工作簿但无法访问 Web 编辑环境，您可以使用站点级设置禁用制作。例如，您可能有一组挑选出的数据分析师使用 Tableau Desktop 创建和发布工作簿，以及一组销售经理处理字段而并不使用 Tableau Desktop，但需要通过 Web 浏览器访问已发布仪表板。 1. 在 Web 浏览器中，以管理员身份登录到服务器并转到要为其禁用制作的站点。 2. 选择了站点后，显示 “设置”页面。 3. 在“站点设置”页面中，清除 “允许用户使用 Web 制作”复选框。 - 346 - 如果您在创建新站点时禁用 Web 制作，则不存在缓存的会话，且设置将立即生效。否则，更改将在服务器会话缓存过期后或在用户在注销后下次登录时生效。如果用户在视图中看到一个“编辑”链接，或者如果他们为视图的编辑模式输入该 URL，则直到更改生效，用户才可能拥有制作权限。例如，在他们打开视图进行编辑时将该 URL 标记为书签。 4. 如果您的站点已在生产中，并且您希望更改立即生效，请重新启动服务器。若要确认哪些站点允许 Web 制作，服务器级管理员可以显示 “站点”页面。 - 347 - 将视图嵌入网页您可以将交互式 Tableau 视图嵌入到网页、博客、wiki 页面、Web 应用程序和 Intranet 门户中。嵌入式视图会随着基础数据的变化或工作簿在 Tableau Server 上的更新而更新。嵌入的视图遵守 Tableau Server 上使用的相同许可和权限限制。也就是说，若要查看嵌入在网页中的 Tableau 视图，访问视图的用户也必须在 Tableau Server 上具有帐户。作为替代方案，如果您有基于内核的许可证，您可以选择 “启用来宾帐户”，这样用户无需登录就能加载视图。可以按照以下方式嵌入视图： l l l 使用共享嵌入代码：每个视图顶部的共享链接提供了您可以复制和粘贴到网页中的嵌入代码。编写自己的嵌入代码：您可以增强 Tableau 提供的嵌入代码，或者生成自己的代码。无论采用哪种方式，都可以使用那些用于控制工具栏、选项卡等的参数。使用 Tableau JavaScript API：您可以在自己的 Web 应用程序代码中使用 Tableau JavaScript 对象。有关详细信息，请参见 JavaScript API 在本页 609。注意：为了让用户在单击嵌入视图时成功进行身份验证，其浏览器必须配置为允许第三方 Cookie。编写嵌入代码如果您要编写您自己的嵌入代码，则可采用以下两种方法之一： l l 使用 Tableau JavaScript：这是首选方法。只需将“共享”嵌入代码用作自己代码的起点，然后添加或编辑用于控制工具栏、选项卡等的对象参数。使用 Tableau 生成的嵌入代码作为自己代码的起点，然后添加或编辑用于控制工具栏、选项卡等的对象参数。依赖于 Tableau JavaScript 文件的默认嵌入代码也是控制多个嵌入视图的加载顺序的唯一方法。指定视图 URL：与早期版本的 Tableau 一样，当源是视图的原始 URL 时，您可以使用 Iframe 或 Image 标记来嵌入视图。使用 Iframe 或 Image 标记来嵌入视图，其中源是 “共享视图”对话框的 “电子邮件”框中的 URL。如果您无法在网站上使用 JavaScript，则可能需要这样做。可能还有一些只能指定 URL 的情况 - 例如，当使用 SharePoint 页面查看器 Web 部件嵌入视图时。在嵌入视图时，您应定义显示视图时将采用的宽度和高度。如果不这样做，客户端浏览器将随意选取宽度和高度。 Tableau JavaScript 以下代码显示当您在已发布的视图上单击 “共享”时生成的嵌入代码的示例。host_url 参数中的特殊字符是 URL 编码的，而 site_root 和 name 参数中的特殊字符被表示为 HTML - 348 - 数字字符引用。 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'></script> <div class='tableauPlaceholder' style='width:800; height:600;'> <object class='tableauViz' width='800' height='600' style='display:none;'> <param name='host_url' value='http%3A%2F%2Fmyserver%2F' /> <param name='site_root' value=/t/Sales' /> <param name='name' value='MyCoSales/SalesScoreCard/' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /></object></div> <script> 标记的源是 Tableau ServerJavaScript 文件 viz_v1.js 的 URL。JavaScript 文件负责处理向您的用户显示的视图的完整 URL 的汇编。name 和 site_root 对象参数是唯一的必需参数；所有其他参数都是可选参数。查看作为源的 URL 下面是使用 IFrame 嵌入相同视图的示例，其中源是 “共享视图”对话框的 “电子邮件”框中的 URL： <iframe src="http://myserver/t/Sales/views/MyCoSales/SalesScoreCard ?:embed=yes&:tabs=yes&:toolbar=yes" width="800" height="600"></iframe> 必须指定 embed URL 参数，并且您可以根据需要包括用于控制工具栏和恢复选项等的参数。您还可向用于控制加载视图时显示的特定数据的 URL 添加筛选器。另请参见有关示例，请参见嵌入参数列表向下和“脚本标记示例”( 在示例在本页 355部分中) 。嵌入参数列表可以使用 Iframe 标记( 此标记使用 URL 参数) 或 JavaScript 标记( 此标记使用对象参数) 来嵌入视图。下表列出了参数集以及参数集的用法。对象参数 URL 参数值 custo- :custo- no mView- mViews 说明示例隐藏 “记住我的更 <param name='customViews' value='no'/> - 349 - 对象参数 URL 参数值说明示例改”选项。 http://tabserver/views/DateTime/DateCalcs?:embed=yes&:customViews=no :embed yes URL 参数所必需。隐藏顶部导航区域，使视图更好地融入网页中。 http://tabserver/views/DateTime/DateCalcs?:embed=yes 字符串自定义视图打开时显示的内容。也可以按 URL 参数筛选。 <param name='filter' value='Team=Blue'/> - :forma- pdt f; png 以 PDF 或 .png 文件显示视图。 http://tabserver/views/Sales/Q2?:format=pdf - :highd- fal- 对于高分 pi se 辨率显示器和设备，使用标准 DPI ( 每英寸点数) 呈现视图。 http://tableauserver/views/Sales/Q2?:highdpi=false - :origi- yes nal_ view s - filter - 如果 name <param name='filter' value=':original_view=yes'/> 参数指向工作簿或工作表 URL，而且未明确指 - 350 - 对象参数 URL 参数值说明示例向自定义视图，则包括此参数会在其他自定义视图可用时将视图显示为原始视图。 host_ url - 字符串 linkt- :linkt- 字符 arget arget 串显示在 URL 中的服务器名称。 <param name='host_url' value='http://myserver.bigco.com/'> 外部超链接的目标窗口名称。 <param name="linktarget" value="_ blank"/> <param name="host_url" value="http://localhost/"> http://tabserver/views/DateTime/DateCalcs?:embed=yes&:linktarg et=_blank loadorder - 数字当嵌入多个视图时，默认加载顺序是列出视图的顺序。使用此设置可覆盖该顺序。允许使用负数。 <param name="load-order" value="2"/> name - 字符串对象参数所必需。工作簿和工作表名称，可能 <param name='name' value='MyCoSales/Sales'/> <param name='name' value="MyCoSales/Sales/jsmith@myco. com/EastCoastSales'/> - 351 - 对象参数 URL 参数值说明示例还包含自定义视图 (username@domain/ [custom view name])。如果参考 Tableau Server URL 来确认 name 的值，请不要包括 URL 末尾的会话 ID ( :iid= <n>)。 path - - :refresh 字符串仅适用于受信任的身份验证，不能与 ticket 参数一起使用。覆盖 name 参数的值并用作 URL。请参见受信任的身份验证示例。 <param name='path' value='trusted/Etdpsm_Ew6rJY9kRrALjauU/views/workbookQ4/SalesQ 4'/> 重新呈现该页面。有关详细信息，请 http://tabserver/views/DateTime/DateCalcs?:embed=yes&:refresh http://tableauserver/trusted/Etdps m_Ew6rJY9kRrALjauU/views/workbookQ4/SalesQ4 ?:embed=yes&:tabs=yes - 352 - 对象参数 URL 参数值说明示例参见刷新数据在本页 285。 :rende- tru- 如果客户 http://tabserver/views/Dater Time/DateCalcs?:render=false e; 端呈现已 fal- 启用( 默认 se; 设置) ，设 num- 置为 ber false 将会对该会话强制实现服务器端呈现。如果客户端呈现已禁用，设置为 true 将会对该会话启用客户端呈现。可以使用数字来测试复杂度阈值。请参见关于客户端呈现在本页 392。 - :rever- al- 使该项返 t l; 回到其原 fil- 始状态。 ters; sorts; axes; http://tabserver/views/DateTime/DateCalcs?:embed=yes&:revert=all - 353 - 对象参数 URL 参数值说明示例必需。站点名称。默认站点值为空 ( value='')。如果服务器是多站点的，并且您希望使用受信任的身份验证，请参见受信任的身份验证示例。 <param name='site_root' value='/#/Sales'/> yes; no 显示或隐藏选项卡。 <param name='tabs' value='yes'/> 数字仅适用于受信任的身份验证，不能与 path 对象参数一起使用。必须与 name 对象一起使用，用来构造受信任的票证兑现 URL。请参 <param name='ticket' value='Etdpsm_ Ew6rJY-9kRrALjauU'/> shelves site_ root tabs ticket - :tabs - 字符串 <param name='site_root' value=''/> http://tableauserver/trusted/Etdps m_Ew6rJY9kRrALjauU/views/workbookQ4/SalesQ4 ?:embed=yes&:tabs=yes - 354 - 对象参数 URL 参数值说明示例见受信任的身份验证示例。 toolb- :toolb- year ar s; no; top 如果未设置此参数，默认情况下显示工具栏。当选择 no 时，工具栏将从嵌入视图中排除。当选择 top 时，工具栏将置于视图之上。 <param name='toolbar' value=top'/> toolt- :toolt- yeip ip s; no 如果未设置此参数，默认情况下视图中将显示工具提示。如果设置为 no，则会从嵌入视图中排除工具提示。 <param name='tooltip' value='no'/> http://tabserver/views/DateTime/DateCalcs?:embed=yes&:toolbar= no http://tabserver/views/workbookQ4/S alesQ4?:embed=yes&:tooltip=no 示例下面是自定义或使用嵌入代码的某些方法的示例。 - 355 - 添加筛选器您可以传递筛选器值，以便视图打开时仅显示您想要的数据。例如，您可能希望在嵌入的销售业绩视图中包括 Web 应用程序其他部分中的一个超链接，该销售业绩视图仅显示特定地区。脚本标记示例 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'> </script> <object class='tableauViz' width='800' height='600' style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='Superstore/Product' /> <param name='filter' value='Region=East' /> </object> 若要传递多个筛选器，只需用逗号将每个值分隔开。例如： <param name='filter' value='Region=East,West' /> Iframe 标记示例 <iframe src="http://myserver/views/Superstore/Product?:embed=y&Region=East" width="800" height="600"></iframe> <iframe src="http://myserver/views/Superstore/Product?:embed=yes&Region=East,West" width="800px" height="600px"></iframe> 有关详细信息，请参见筛选多个字段向下。筛选多个字段您可针对所需的任意多个字段传递筛选器，包括原始视图中没有的字段。脚本标记示例 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'> </script> <object class='tableauViz' width='800' height='600' - 356 - style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='Superstore/Product' /> <param name='filter' value='Region=Central,South&Customer Segment=Consumer,Home Office' /> </object> Iframe 标记示例 <iframe src="http://myserver/views/Superstore/Product?:embed=y&Region=Central,South&Segment=Consumer,Home Office" width="800" height="600"></iframe> 下面的第一个框显示您在视图上单击 “共享”并复制 “电子邮件”框中的链接时可能获取的 URL 的示例。第二个框显示您如何能通过以下方式修改 URL 并将其添加到 Iframe：删除 showShareOptions 和 display_count 参数，为“Region”( 区域) 和“Segment”( 细分) 添加筛选器参数，并添加宽度和高度参数以创建一个嵌入链接，该链接仅显示中部和南部地区的消费者及家庭办公室产品。注意：如果筛选器值包含特殊字符( 例如逗号) ，请将该字符替换为 \( 反斜杠，%5c) 的网址编码顺序，后接特殊字符的网址编码顺序。需要使用反斜杠对特殊字符进行转义。例如，\,( 反斜杠，逗号) 的 URL 编码序列是 %5c%2c。 - 357 - 筛选日期和时间如果需要筛选“日期/时间”字段，请使用下面显示的默认 Tableau 格式将该值包括进来： yyyy-mm-dd hh:mm:ss 时间部件使用 24 小时时钟。许多数据库将所有日期值存储为“日期时间”字段，因此，您可能需要与日期一起传递时间值。脚本标记示例 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'></script> <object class='tableauViz' width='800' height='600' style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='Sales/Sales-Performance' /> <param name='filter' value='Date=2012-12-01' /> </object> 本示例将同时筛选日期字段和日期时间字段： <param name='filter' value='2012-12-01%2022:18:00' /> Iframe 标记示例 <iframe src="http://myserver/Sales/SalesPerformance?:embed=yes&Date=2008-12-01%2022:18:00" width="800" height="600"></iframe> 若要筛选多个日期，请用逗号将每个日期分隔开。筛选度量可通过包括一个或多个值来筛选度量。不支持大于、小于或范围。下面的示例在筛选后仅显示 $100 和 $200 的销售。脚本标记示例 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'> </script> <object class='tableauViz' width='800' height='600' style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='Sales/Sales-Performance' /> - 358 - <param name='filter' value='Profit=100, 200' /> </object> Iframe 标记示例 <iframe src="http://myserver/views/Sales/SalesPerformance?:embed=yes&Profit=100,200" width="800" height="600"></iframe> 控制多个视图的加载顺序您可以针对使用您的视图的人员，对多个视图的加载顺序进行控制。只能使用依赖于 Tableau JavaScript 文件的嵌入代码来访问此功能。在下面的示例中，嵌入了两个视图。首先加载第二个视图，然后加载上面的视图。如果嵌入多个视图并为它们指定相同的加载顺序值，或者不指定加载顺序参数，则这些视图将按出现在页面上的顺序加载。脚本标记示例 <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'> </script> <object class='tableauViz' width='600' height='400' style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='MyCoSales/TopPerformers' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /> <param name='filter' value='Salesperson=Top 5' /> <param name='load-order' value='0' /> </object> <script type='text/javascript' src='http://myserver/javascripts/api/viz_v1.js'> </script> <object class='tableauViz' width='600' height='400' style='display:none;'> <param name='host_url' value='http://myserver/' /> <param name='site_root' value='' /> <param name='name' value='MyCoSales/SalesScoreCard' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /> <param name='load-order' value='-1' /> </object> - 359 - 为自定义视图嵌入代码在嵌入可提供自定义视图的工作簿或工作表的视图时： l l l 如果视图的嵌入代码 URL 明确指向自定义视图，则默认情况下将显示该自定义视图。如果嵌入代码 URL 没有明确指向自定义视图，并且定义了默认的自定义视图，则默认情况下将在嵌入视图中显示默认的自定义视图。如果没有定义默认的自定义视图，则默认情况下将在嵌入视图中显示原始视图。注意：要确保默认情况下将在嵌入视图中显示原始视图，请确保名称参数的嵌入代码 URL 没有明确指向自定义视图，并且在嵌入代码中包括了以下 filter 参数：<param name='filter' value=':original_view=yes'/>。在下例中，嵌入代码将始终显示 Profit Analysis 工作簿中的 Profit Analysis 工作表的原始视图，因为 filter 参数设置为 :original_yes，而且 name 参数没有在该工作表的 URL 中指向特定的自定义视图。 <script type='text/javascript' src='http://mysite.myserver.com/javascripts/api/viz_ v1.js'></script> <div class='tableauPlaceholder' style='width: 1496px; height: 749px;'> <object class='tableauViz' width='1496' height='749' style='display:none;'> <param name='host_url' value='http://mysite.myserver.com' /> <param name='site_root' value='' /> <param name='name' value='ProfitAnalysis/ProfitAnalysis' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /> <param name='filter' value=':original_view=yes' /></object></div> 在下例中，name 参数的设置指明了名为 Furniture 的自定义视图( 在 Profit Analysis 工作簿的 Profit Analysis 工作表中) 的 URL。 <script type='text/javascript' src='http://mysite.myserver.com/javascripts/api/viz_ v1.js'></script> <div class='tableauPlaceholder' style='width: 1496px; height: 749px;'> <object class='tableauViz' width='1496' height='749' style='display:none;'> <param name='host_url' value='http://mysite.myserver.com' /> <param name='site_root' value='' /> - 360 - <param name='name' value='ProfitAnalysis/ProfitAnalysis/Furniture' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /></object></div> 在下例中，name 参数没有在工作表的 URL 中指明特定的自定义视图，而且没有指定 original_view 参数。此处的嵌入代码将显示已设置为 Profit Analysis 工作簿的 Profit Analysis 工作表中的默认视图的自定义视图。但是，如果原始视图仍然是默认视图( 没有将其他自定义视图设置为默认视图) ，则会将原始视图显示为默认视图。 <script type='text/javascript' src='http://mysite.myserver.com/javascripts/api/viz_ v1.js'></script> <div class='tableauPlaceholder' style='width: 1496px; height: 749px;'> <object class='tableauViz' width='1496' height='749' style='display:none;'> <param name='host_url' value='http://mysite.myserver.com' /> <param name='site_root' value='' /> <param name='name' value='ProfitAnalysis/ProfitAnalysis' /> <param name='tabs' value='yes' /> <param name='toolbar' value='yes' /></object></div> 将视图嵌入 SharePoint (Microsoft SSPI) 可以将 Tableau Server 视图嵌入 SharePoint 页面中。若要自动对访问嵌入式视图的 Tableau Server 用户进行身份验证，您有两个选项，这两个选项都依赖于在 Tableau Server 安装期间选择的用户身份验证方法。您可以使用 Active Directory 并 “启用自动登录”对 Tableau Server 用户进行身份验证( 也称为使用 Microsoft SSPI) ，也可以使用 “本地身份验证”- 然后还可以将 Tableau Server 配置为进行受信任的身份验证。本主题适用于第一个选项，其中 Tableau Server 和 SharePoint 都使用 Microsoft SSPI。如果 Tableau Server 使用的是 “本地身份验证”，请参见将视图嵌入 SharePoint( 本地身份验证) 在本页 366，了解相关步骤。要求许可用户：任何访问嵌入视图的人都必须是 Tableau Server 上的许可用户。 SharePoint 版本：从 Tableau Server 8.1 开始，必须使用 SharePoint 2013 才能在 SharePoint 页面中嵌入 Tableau Server 视图。SharePoint 2013 使用 Microsoft .NET Framework 版本 4.5，该版本符合 Tableau Server 的安全要求。 TableauEmbeddedView Web 部件：您必须将 TableauEmbeddedView Web 部件部署到 SharePoint 服务器，然后才能在 SharePoint 页面中嵌入 Tableau 视图。有关示例 SharePoint 代码以及如何创建 Web 部件并将其部署到 SharePoint 服务器的说明，请参见 C:\Program Files\Tableau\Tableau Server\<version>\extras\embedding\sharepoint。注意：示例 - 361 - SharePoint 代码以是示例形式提供的，因此可能需要修改才能在您的 SharePoint 部署中工作。将视图嵌入 SharePoint 可以将 Tableau Web 部件嵌入新的或现有的 SharePoint 页面中。 1. 打开要嵌入视图的页面，然后切换到编辑模式。 2. 在要嵌入视图的页面部分中，在 “插入”选项卡上单击 “Web 部件”。 3. 在“类别”下，在 “自定义”( 或 “其他”) 文件夹中选择 “TableauEmbeddedView”，然后单击右下角的 “添加”。 4. 选择“TableauEmbeddedView”Web 部件，单击下拉箭头，然后选择 “编辑 Web 部件”。 - 362 - 5. 在页面的右侧，可以指定 TableauEmbeddedView Web 部件的属性。 l 在 “Tableau Server 名称”中，输入 Tableau Server 的名称。无需在 Tableau Server 名称之前输入“http://”。 l 在 “视图路径”中，输入要嵌入的视图的路径。 l l 指定是否想显示工具栏、是否想使用受信任的身份验证、是否想使用 SSL，或者是否想将该视图作为图像而不是作为交互式视图嵌入。在 “外观”部分中，可以指定 Web 部件的 “标题”、“高度”、“宽度”、“Chrome 状态”和 “Chrome 类型”。通常应该指定固定高度( 例如，700 像素) ，并调整宽度 - 363 - 以适应该区域大小。 6. 单击 “确定”应用更改并退出编辑模式。该视图将嵌入到刚创建的 Web 部件中。您的用户不需要登录到 Tableau Server 来查看嵌入视图，而是将使用 Microsoft SSPI 自动对他们进行身份验证。将视图嵌入 Wiki 只需将视图放在一个 <iframe> 标记内，即可轻松将视图嵌入 Wiki 或其他网页中。 - 364 - 1. 导航到要嵌入视图的 Wiki 页面。 2. 编辑该页面并添加一个 <iframe>，其中源是 “共享视图”对话框的 “电子邮件”框中的 URL。例如： <iframe src="http://myserver/views/DateTime/DateCalcs?:embed=yes&:toolbar=no" width="800" height="600"></iframe> 3. 保存所做的更改。该视图将嵌入到 Wiki 页面中。如果 Tableau Server 和 Wiki 都配置为使用 Microsoft SSPI，则访问 Wiki 上的嵌入视图的用户将会自动登录，以便能够查看该视图。如果服务器和 Wiki 没有使用相同的身份验证方法，则用户需要先登录到服务器中，才能看到该视图。嵌入图像除了将视图嵌入到 <script> 或 <iframe> 标记中之外，还可以将视图作为图像嵌入。嵌入图像时，该视图不具有交互性，但在每次该页面完全重新加载时，该视图将会更新。这样，即使基础数据发生变化，图像也会显示最新数据。 1. 导航到要嵌入图像的页面。 2. 编辑该页面并添加一个 <img> 标记，其中的源是视图的 “共享视图”对话框的 “电子邮件”框中的 URL，加上 .png 文件扩展名。例如： <img src="http://tableauserver/views/Date-Time/DateCalcs.png" width="900" height="700"> - 365 - 注意：由于临时产品限制，仅当访问嵌入式图像的用户在 Tableau Server 中还有一个活动 Web 浏览器会话，并使用 Microsoft SSPI 登录到 Tableau Server 时，以上方法才有效。将视图嵌入 SharePoint( 本地身份验证 ) 可以将 Tableau Server 视图嵌入 SharePoint 页面中。如果 Tableau Server 使用“本地身份验证”验证用户身份，则在开始嵌入视图之前，需要执行一些额外步骤。本主题介绍如何完成以下步骤： l 编辑 TableauEmbeddedView.dll 文件的安全权限。 l 安装和部署 TableauEmbeddedView.wsp 文件。 l 验证 Web 部件的部署。 l 使用 Tableau Web 部件在 SharePoint 中嵌入视图。注意：如果您安装的 Tableau Server 使用 Active Directory 验证用户身份，则可以立即开始嵌入视图。有关详细信息，请参见将视图嵌入 SharePoint (Microsoft SSPI) 在本页 361。要求用户：要访问嵌入视图，用户必须是获许可的 Tableau Server 用户，并且他们在 SharePoint 上的用户名必须与其在 Tableau Server 上的用户名相同。 SharePoint 版本：从 Tableau Server 8.1 开始，必须使用 SharePoint 2013 才能在 SharePoint 页面中嵌入 Tableau Server 视图。SharePoint 2013 使用 Microsoft .NET Framework 版本 4.5，该版本符合 Tableau Server 的安全要求。编辑 TableauEmbeddedView.dll 的安全权限编辑 TableauEmbeddedView.dll 的安全权限，以便操作系统的所有用户都可以使用它。 1. 找到随 Tableau Server 安装的 TableauEmbeddedView.dll 和 TableauEmbeddedView.wsp 文件。如果 Tableau Server 安装在驱动器 C 上，则这两个文件将位于以下目录中： C:\Program Files\Tableau\Tableau Server\9.2\extras\embedding\sharepoint\ 2. 将文件复制到 SharePoint 服务器的根目录中。根目录通常位于 C:\Inetpub\wwwroot\wss\VirtualDirectories\<port>\bin，例如： C:\Inetpub\wwwroot\wss\VirtualDirectories\80\bin 3. 要编辑有关 TableauEmbeddedView.dll 的安全权限，请右键单击 “TableauEmbedded.dll”，然后选择 “属性”>“安全性”。 4. 在 “组或用户名”下，选择 “所有人”，然后单击 “编辑”。 - 366 - 5. 在 “所有人的权限”下，对 “完全控制”权限选择 “允许”。 6. 单击 “确定”。 - 367 - 安装和部署 TableauEmbeddedView.wsp TableauEmbeddedView.wsp 文件向 SharePoint 提供有关如何处理该 .dll 文件的更多信息。在前一个过程中，您将 TableauEmbeddedView.wsp 文件复制到 SharePoint 根目录。要安装和部署 .wsp 文件，请按照以下步骤操作： 1. 打开 SharePoint 2013 Management Shell，然后输入以下命令： Add-SPSolution -LiteralPath "C:\Inetpub\wwwroot\wss\VirtualDirectories\80\bin\TableauEmbe ddedView.wsp" 2. 在“SharePoint 管理中心”主页上，单击 “系统设置”。 3. 在 “场管理”部分中，单击 “管理场解决方案”。 4. 在“解决方案管理”页面上，单击要部署的解决方案。 5. 在“解决方案属性”页面上，单击 “部署解决方案”。 6. 在“部署解决方案”页面上，在 “部署时间”部分中选择以下选项之一： l 立即 l 在指定时间。使用日期和时间框指定时间。 7. 在 “部署位置”部分中，在 “特定的 Web 应用程序”列表中单击 “所有 Web 应用程序”，或者选择一个特定的 Web 应用程序，然后单击 “确定”。 8. 打开 SharePoint 网站。单击设置图标，然后选择 “网站设置”。 9. 在“网站集管理”下，单击 “网站集功能”。 10. 滚动到“TableauEmbeddedView”功能，然后单击 “激活”以激活此功能。验证 Web 部件的部署在以下过程中，您将验证是否已安装 Tableau Web 部件。 - 368 - 1. 在 Web 浏览器中打开 SharePoint 网站。可能需要几分钟网站才能出现。 2. 单击设置图标，然后选择 “网站设置”。 3. 在 “Web 设计器库”下，单击 “Web 部件”。 4. 确认 “TableauEmbeddedView.webpart”已列出。使用 Tableau Web 部件嵌入视图可以将 Tableau Web 部件嵌入新的或现有的 SharePoint 页面中。 1. 打开要嵌入视图的页面，然后切换到编辑模式。 2. 在要嵌入视图的页面部分中，在 “插入”选项卡上单击 “Web 部件”。 3. 在“类别”下，在 “自定义”( 或 “其他”) 文件夹中选择 “TableauEmbeddedView”，然后单击右下角的 “添加”。 - 369 - 4. 选择“TableauEmbeddedView”Web 部件，单击下拉箭头，然后选择 “编辑 Web 部件”。 5. 在页面的右侧，可以指定 TableauEmbeddedView Web 部件的属性。 l 在 “Tableau Server 名称”中，输入 Tableau Server 的名称。无需在 Tableau Server 名称之前输入“http://”。 l 在 “视图路径”中，输入要嵌入的视图的路径。 l 指定是否想显示工具栏、是否想使用受信任的身份验证、是否想使用 SSL，或者是否想将该视图作为图像而不是作为交互式视图嵌入。 - 370 - l 在 “外观”部分中，可以指定 Web 部件的 “标题”、“高度”、“宽度”、“Chrome 状态”和 “Chrome 类型”。通常应该指定固定高度( 例如，700 像素) ，并调整宽度以适应该区域大小。 6. 单击 “确定”应用更改并退出编辑模式。现在，该视图已嵌入页面中，访问该视图的用户将基于其 SharePoint 用户名和密码自动登录。下面是使用提供的 .dll 文件将视图嵌入 SharePoint 的示例。您还可以将视图嵌入到其他类型的 Web 应用程序中。有关更多信息，请参见 JavaScript API 在本页 609。 - 371 - 安全性 Tableau Server 中有四个主要安全组件：授权授权是指用户在经过身份验证后可在 Tableau Server 上对内容执行什么操作。授权由站点角色和权限的组合确定。注意：也可以为用户单独授予处理数据的权限。有关详细信息，请参见数据安全在本页 375。站点角色在 Tableau Server 中定义用户时，将为用户分配一个角色，比如服务器管理员、站点管理员、发布者、交互者或查看者。站点角色提供一个初始授权，指明允许用户执行的操作。例如，服务器管理员( 有时称为系统管理员) 可对服务器上任何位置的所有内容执行操作，而不管已为内容分配了什么权限。与之相比，站点管理员对特定站点上的内容具有不受限的访问权限。发布者可将内容上传到服务器，而查看者可查看( 但不能发布) 内容。有关站点角色的详细信息，请参见用户的站点角色在本页 164。用户和组为了处理服务器上的内容，用户必须在服务器上具有用户标识。他们随后可按身份验证下一页所述的方式登录。可将用户组织为组，组对于授权非常有用。您可以为组( 而不是单独的用户) 配置授权。这可能比为单独的用户配置授权更加方便，特别是在要对一批用户的授权进行成批更改的情况下。当用户在您的组织中更改角色( 例如，离开职位或改变职位) 时，它也非常方便，与针对单独的用户管理授权相比，在组中添加和移除用户通常更加容易。注意：授予单独用户的任何权限优先于用户从其所在的组中获取的任何权限。有关详细信息，请参见用户在本页 160和组在本页 147。权限服务器上的各项资源具有一些权限，这些权限确定允许谁查看资源并与之交互。权限基于资源：权限附加到项目、工作簿、视图和数据源。权限指定哪些用户或组可使用资源。用户或用户所属的组必须已被显式允许使用资源，该用户才能使用该资源。如果未向用户或用户所属的组授予 “允许”权限，则该用户无法访问资源。换句话说，权限已被隐式拒绝，并且必须显式允许用户访问资源。 - 372 - 也可以为用户或组设置 “已拒绝”权限。“已拒绝”权限始终优先于 “允许”权限。内容所有者具有使用其内容的权限。如果您将工作簿发布到服务器，则您是该工作簿的所有者，并且可以查看工作簿、与之交互、将其删除，诸如此类。如果需要，管理员可以更改内容的所有权。有关详细信息，请参见管理所有权在本页 299。站点角色和权限( 生成的权限) 站点角色确定允许用户拥有的最大权限。举例来说，假如已为用户 Dave 分配了站点角色“查看者”。此角色允许用户查看内容，但不能与之交互。在服务器上，您选择一个工作簿并授予用户 Dave 筛选工作簿和对其进行 Web 编辑，以及保存、编辑、移动和删除该工作簿的权限。用户 Dave 登录到服务器并查看工作簿。但是，他在工作簿视图上看不到任何筛选器，并且无法删除工作簿，即使他已被授予了这些工作簿权限。Tableau Server 在评估用户 Dave 的权限时将计算生成的权限，这些权限同时考虑工作簿权限和 Dave 的站点角色。在本例中，站点角色( 查看者) 将 Dave 的权限限制为只能查看工作簿。另一方面，为用户授予的权限可以比其站点角色所设置的权限少。例如，用户 Dave 可能具有站点角色“交互者”，该站点角色默认情况下使他能在处理视图时筛选值。但是，您可以针对特定工作簿拒绝用户 Dave 的权限，例如拒绝其筛选数据的权限。在这种情况下，用户 Dave 的拒绝权限优先于其“查看者”站点角色所设置的能力，并且 Tableau 不会让用户 Dave 与该工作簿中的视图交互。每个站点都有一个 “所有用户”组，添加到该站点的用户会被自动添加到 “所有用户”组。通过为 “所有用户”组设置权限，您可以为用户建立默认权限。例如，您可以编辑特定工作簿的权限，并为 “所有用户”组显式拒绝 “共享自定义”权限。在这种情况下，将不允许站点上的用户共享自定义视图，除非您添加允许用户这样做的规则。有关详细信息，请参见管理权限在本页 305。用于配置 Tableau Server 的授权一个或多个用户必须具有配置 Tableau Server 和运行 tabadmin 命令的权限。这些权限不通过 Tableau Server 管理。配置 Tableau Server 的用户必须在运行 Tableau Server 的 Windows 计算机上具有管理员权限。身份验证身份验证用于建立用户的身份。Tableau Server 有自己的用户标识和身份验证系统，使您能够确定谁能登录到 Tableau Server 以及谁能将内容发布到服务器。此系统还能为访问 Tableau Server 实例的用户实现个性化用户体验。用户通过打开浏览器并输入服务器的名称或 IP 地址登录到 Tableau Server。随后将提示用户输入其用户名和密码： - 373 - Tableau Server 中的用户标识已登录并使用 Tableau Server 中的内容的任何用户都必须在 Tableau Server 存储库中具有用户标识，并必须分配有站点角色。可使用 tabcmd 命令在本页 503 或使用 REST API 在服务器 UI 中将用户标识添加到 Tableau Server。如果服务器配置为使用本地身份验证，则在添加用户标识时，请指定用户名、密码和站点角色。在这种情况下，将独占使用 Tableau Server 存储库来验证用户的身份。如果服务器配置为使用 Active Directory 身份验证，则在 Active Directory 中管理用户名和密码。在这种情况下，当用户登录到服务器时，将使用 Active Directory 验证其用户名和密码。有关详细信息，请参见用户在本页 160。 Tableau Server 的单点登录选项 Tableau Server 支持多种类型的单点登录 (SSO)。利用 SSO，用户不必显式登录到 Tableau Server。而是会使用用户已经用于身份验证( 例如，通过登录到您的公司网络) 的凭据向 Tableau Server 验证用户的身份，并且，用户可跳过输入用户名和密码来访问 Tableau Server 的步骤。利用 SSO，在外部建立的用户标识将映射到 Tableau Server 存储库中定义的用户标识。 Tableau Server 支持以下 SSO 类型： l l l SAML。您可以针对 SSO 将 Tableau Server 配置为使用 SAML( 安全断言标记语言) 。利用 SAML，外部身份提供程序 (IdP) 验证用户的凭据，然后将一个安全断言发送到 Tableau Server，该安全断言提供有关用户标识的信息。有关详细信息，请参见 SAML 在本页 430。 Kerberos。如果在您的环境中启用了 Kerberos，并且服务器配置为使用 Active Directory 身份验证，则可以基于用户的 Windows 标识为用户提供 Tableau Server 访问权限。有关详细信息，请参见 Kerberos 在本页 457。受信任的身份验证。受信任的身份验证使您能在 Tableau Server 与一个或多个 Web 服务器之间建立受信任的关系。当 Tableau Server 收到来自受信任 Web 服务器的请求时，它会假设该 Web 服务器已处理必要的身份验证。Tableau Server 接收带有可兑 - 374 - 现令牌或票证的请求，并向用户显示考虑进用户的角色与权限的个性化视图。有关详细信息，请参见受信任的身份验证在本页 411。 REST API 的身份验证 REST API 使您能以编程方式通过 HTTP 管理和更改 Tableau Server 资源。为了向服务器发出请求，您必须以编程方式登录到服务器。服务器发送一个身份验证令牌，您随后将该令牌添加到后续的请求。有关详细信息，请参见 REST API 文档中的登录和注销( 身份验证) 。数据安全 Tableau 提供了几种方法来控制哪些用户可以查看哪些数据。对于连接到实时数据库的数据源，您还可以控制用户单击已发布的视图时是否显示提供数据库凭据的提示。一起使用以下三个选项，可取得不同的结果： l l l 数据库登录帐户：创建连接到实时数据库的数据源时，您可以选择是通过 Windows NT 还是通过数据库的内置安全机制对数据库进行身份验证。身份验证模式：发布具有实时数据库连接的数据源或工作簿时，可以选择一种 “身份验证模式”。可用的模式取决于上面的选择。用户筛选器：您可以在工作簿或数据源中设置筛选器，以基于用户的 Tableau Server 登录帐户控制其可在已发布视图中查看的数据。下表概括了上述选项的一些依赖项：数据库连接选项数据安全问题数据库登录帐户使用... 身份验证模式是否每个 Tableau Server 用户都可实现数据库安全性？用户筛选器是否是限制各用户可查看的数据的唯一方法？ Web 缓存是否在用户间共享？ Window NT 集成安全性 ( Windows 身份验证) 用户运行身份帐户否是是通过服务器运行身份帐户进行模拟是否* 否查看者凭据是否* 否否否提示用户：当查看是者单击视图时，提 - 375 - 数据库连接选项数据库登录帐户使用... 用户名和密码身份验证模式数据安全问题是否每个 Tableau Server 用户都可实现数据库安全性？用户筛选器是否是限制各用户可查看的数据的唯一方法？ Web 缓存是否在用户间共享？否是是否* 否示其提供数据库凭据。可以保存凭据。嵌入式凭据：工作簿或数据源发布者可以嵌入其数据库凭据。通过嵌入式密码是进行模拟：嵌入带 IMPERSONATE 权限的数据库凭据。 * 由于可能会产生意外结果，Tableau 建议您不要将此身份验证模式用于用户筛选器。用户筛选器、嵌入式凭据选项和模拟模式具有类似的效果 — 当用户单击视图时，不会显示提供数据库凭据的提示，用户只会看到与自己相关的数据。但是，用户筛选器是由作者在工作簿应用的，而模拟身份验证模式则依赖于管理员在数据库本身中定义的安全策略。上面介绍的一些选项要求配置步骤必须在 Tableau Server 安装期间进行，或必须在发布工作簿或数据源之前进行。有关更多信息，请参见以下主题： l 服务器设置( 常规) 在本页 238 l 启用 Kerberos 委派在本页 464 l OAuth 连接在本页 420 l 用户运行身份在本页 477 l SQL Server 模拟在本页 485 l Tableau Desktop 帮助中的用户筛选器和数据源筛选器。 - 376 - 相关主题为 Tableau Server PostgreSQL 数据库 ( 存储库 ) 重新生成密码在安装 Tableau Server 或从以前的版本升级时，安装过程将为 Tableau Server 生成一个密码，在访问存储库 PostgreSQL 数据库时在内部使用。为了安全起见，在安装过程中生成的密码对于安装是唯一的。由于密码仅供 Tableau Server 用来访问存储库，因此服务器管理员或其他用户将无法访问密码。 Tableau Server 还可生成一个 SSL 证书，该证书可用来保护与存储库和其他服务器组件的内部通信。为进程之间的内部通信使用 SSL 是可选的。有关详细信息，请参见配置内部 SSL 在本页 450。注意：如果需要访问存储库( 举例来说，以便监视活动) ，您可以使用服务器环境内置的管理视图，或创建您自己的自定义视图。有关详细信息，请参见管理视图在本页 268和创建自定义管理视图在本页 278 重新生成密码和证书如果需要生成新密码和证书以供内部使用，您可以使用 tabadmin regenerate_ internal_tokens 命令。举例来说，如果您认为您安装的 Tableau Server 已被入侵，您应运行 regenerate_internal_tokens 命令来生成新密码和 SSL 证书。注意：SSL 证书用于服务器组件和 PostgreSQL 数据库之间的内部通信，与服务器上用于服务器与连接 Tableau Server 的客户端之间的 HTTPS 通信的任何 SSL 证书无关。手动重新生成密码和 SSL 证书： 1. 在 Tableau Server 计算机上，以管理员身份打开命令提示符，并导航到 <install directory>\Program Files\Tableau\Tableau Server\9.0\bin。 2. 输入以下命令： tabadmin tabadmin tabadmin tabadmin stop regenerate_internal_tokens config start 有关详细信息，包括用于指定重新生成密码或证书的可选开关，请参见 regenerate_ internal_tokens 在本页 548。网络安全 Tableau Server 中有三个主要网络接口： - 377 - l l l 客户端到 Tableau Server：客户端可以是 Web 浏览器、Tableau Desktop 或 tabcmd 在本页 500 实用工具。 Tableau Server 到数据库：为了刷新数据提取或处理实时数据库连接，Tableau Server 需要与数据库进行通信。服务器组件通信：这仅适用于分布式部署。客户端到 Tableau Server Tableau Server 客户端可以是 Web 浏览器、Tableau Desktop 或 tabcmd 命令。Tableau Server 与其客户端之间的通信使用标准 HTTP 请求和响应。也可以针对 HTTPS 来配置 Tableau Server( 请参见配置外部 SSL 在本页 447) 。当针对 SSL 配置 Tableau Server 时，将会使用 SSL 加密客户端之间的所有内容和通信，并会将 HTTPS 协议用于请求和响应。将使用 512 位的公钥/私钥将来自浏览器和 tabcmd 的密码传送到 Tableau Server。Tableau Server 向浏览器发送一个公钥，浏览器使用此密钥对密码加密以进行传输。每个加密传输都使用一个一次性密钥，然后将其丢弃。这意味着无论是否使用 SSL，密码始终是安全的。如果启用 SSL，则除了使用 512 位公钥来加密密码之外，还会使用 SSL 加密。注意： Tableau Server 的 HTTP OPTIONS 方法是可配置的设置。OPTIONS 方法默认情况下已禁用，意味着服务器将为 HTTP OPTION 返回 HTTP 405( 不允许的方法) 响应。要启用 HTTP OPTIONS 方法，请使用以下 tabadmin 命令： tabadmin set wgserver.restrict_options_method false 单击劫持保护默认情况下，Tableau Server 已启用单击劫持保护。此可帮助防止特定类型的攻击，在这些攻击中，攻击者会将一个透明的页面覆盖在一个看起来无害的页面上，以便诱骗用户单击链接或输入信息。在启用单击劫持保护的情况下，Tableau Server 会对嵌入视图进行一些限制。有关详细信息，请参见单击劫持保护下一页。 Tableau Server 到数据库 Tableau Server 动态连接到数据库以处理结果集并刷新数据提取。每当可能时，它都会使用本机驱动程序连接到数据库，并在没有本机驱动程序时依赖于一个通用 ODBC 适配器。与数据库的所有通信都通过这些驱动程序来路由。这样，本机驱动程序安装过程将包括配置驱动程序以在非标准端口上通信或提供传输加密。这种配置类型对 Tableau 是透明的。当用户在 Tableau Server 上存储外部数据源的凭据时，这些凭据以加密形式存储在 Tableau Server 的内部数据库中。如果进程使用这些凭据来查询外部数据源，进程会从此内部数据库检索加密的凭据，然后在进程中将它们解密。 - 378 - 与存储库的通信可以将 Tableau Server 配置为对 Postgres 存储库和其他服务器组件之间的所有流量使用安全套接字层 (SSL) 进行加密通信。默认情况下，已为服务器组件和存储库之间的通信禁用了 SSL。有关详细信息，请参见配置内部 SSL 在本页 450。群集中的服务器组件通信分布式服务器安装中的 Tableau Server 组件间通信有两个方面：信任和传输。Tableau 群集中的每个服务器都使用一个严格信任模型来确保其接收来自群集中其他服务器的有效请求。群集中运行网关进程的计算机可接受第三方( 客户端) 的请求，除非它们前面有负载平衡器，在这种情况下负载平衡器将接收请求。未运行网关进程的服务器仅接受来自群集的其他受信任成员的请求。信任是通过 IP 地址、端口和协议的白名单建立的。如果任何一部分无效，请求就会被忽略。群集的所有成员都可以互相通信。当用户在 Tableau Server 上存储外部数据源的凭据时，这些凭据以加密形式存储在 Tableau Server 的内部数据库中。如果进程使用这些凭据来查询外部数据源，进程会从此内部数据库检索加密的凭据，然后在进程中将它们解密。单击劫持保护 Tableau Server 具备单击劫持攻击保护功能。单击劫持是一种针对网页的攻击，在这种攻击中，攻击者会试图在一个不相关页面上的透明层中显示攻击页面，从而诱骗用户单击或输入内容。在 Tableau Server 的上下文中，攻击者可能会试图使用单击劫持攻击来捕获用户凭据，或让授权用户在您的服务器上更改设置。有关单击劫持攻击的详细信息，请参见开放式 Web 应用程序安全项目网站上的单击劫持。注意：Tableau Server 的以前版本中提供了单击劫持保护功能，但默认情况下处于禁用状态。新安装的 Tableau Server 9.1 及更高版本将始终打开单击劫持保护功能，除非您显式地将其禁用。单击劫持保护的效果如果在 Tableau Server 中启用了单击劫持保护，从 Tableau Server 加载的页面的行为将在以下方面发生变化： l l Tableau Server 会向服务器发出的特定响应中添加 X-FrameOptions: SAMEORIGIN 标头。在大多数浏览器的最新版本中，此标头将防止内容加载到 <iframe> 元素中，从而帮助抵御单击劫持攻击。 Tableau Server 中的顶级页面无法加载到 <iframe> 元素中。其中包括登录页面。产生的一种影响是：您无法在所创建的应用程序中承载 Tableau Server 页面。 l 只能嵌入视图。 l 如果嵌入的视图需要数据源凭据，则会在 <iframe> 元素中显示一条带有链接的消 - 379 - 息，以便在用户可安全输入凭据的安全窗口中打开视图。用户在输入凭据之前应始终验证打开的窗口的地址。 l 只有当视图在查询字符串中包括 :embed=y 参数时，才能加载视图，如此示例中所示： http://<server>/views/Sales/CommissionModel?:embed=y 注意：如果启用了单击劫持保护，服务器名称后面包含井号 (#) 的视图 URL( 例如， http://<server>/#/views/Sales/CommissionModel?:embed=y) 将被阻止。禁用单击劫持保护除非单击劫持保护对用户使用 Tableau Server 的方式产生影响，否则您应始终启用单击劫持保护。如果想要禁用单击劫持保护，请使用以下 tabadmin 命令： 1. tabadmin stop 2. tabadmin set wgserver.clickjack_defense.enabled false 3. tabadmin config 4. tabadmin start OAuth 连接对于 Google BigQuery、Google Analytics 和 Salesforce.com 数据源，存储敏感数据库凭据的替代方法Tableau Server是使用 OAuth 2.0 标准创建连接。在创建 OAuth 连接时，您将同意让 Tableau 访问您的数据的许可授予数据提供程序。数据提供程序随后向 Tableau 发送访问令牌，该令牌唯一地标识来自 Tableau 的请求。有关详细信息，请参见下面的 OAuth 进程概述向下。使用 OAuth 连接可提供以下好处： l l 安全：您的数据库凭据从不会被 Tableau Server 知道或存储在其中，并且访问令牌只能由 Tableau 使用。方便：不必在多个位置嵌入您的数据源 ID 和密码，您可以对访问特定数据提供程序的所有已发布工作簿和数据源使用为该数据提供程序提供的令牌。另外，对于 Google BigQuery 数据的实时连接，每个工作簿查看者都可以拥有标识用户的唯一访问令牌，而不是共享单个用户名和密码凭据。 OAuth 进程概述下列步骤介绍 Tableau 环境中调用 OAuth 过程的一个工作流。 - 380 - 1. 您执行的操作需要访问云端数据源。例如，您打开发布到 Tableau Server 的工作簿。 2. Tableau 将您定向到托管数据提供程序的登录页面。发送给托管数据提供程序的信息将 Tableau 标识为请求站点。 3. 当您登录到托管数据源时，它会提示您确认您授权 Tableau Server 访问数据。 4. 确认后，数据源提供程序会向 Tableau Server 发送访问令牌。 5. Tableau Server 向您显示您的工作簿和数据。下列其他工作流也可以使用 OAuth 过程： l 从 Tableau Desktop 或从 Tableau Server 创建工作簿并连接到数据源。 l 从 Tableau Desktop 发布数据源。 l 从诸如 Tableau Mobile 或 Tableau Desktop 等批准的客户端登录Tableau Server。数据连接访问令牌您可以保存访问令牌与数据连接，以便能够在初始身份验证过程完成后直接访问数据。除非 Tableau Server 用户删除访问令牌或数据提供程序撤消它，否则它会一直有效。可能超出了数据源提供程序允许的访问令牌数。在这种情况下，当用户创建新令牌时，数据提供程序将使用自上次访问以来已经过去的时间长度来决定使哪个令牌失效以便为新令牌腾出空间。 - 381 - 批准的客户端身份验证的访问令牌默认情况下，在用户第一次登录时提供其凭据后，Tableau Server站点允许用户直接从批准的 Tableau 客户端访问其站点。此类型的身份验证还使用 OAuth 访问令牌安全地存储用户的凭据。有关详细信息，请参见已连接设备的身份验证在本页 240。为 Tableau Server PostgreSQL 数据库 ( 存储库 ) 重新生成密码在安装 Tableau Server 或从以前的版本升级时，安装过程将为 Tableau Server 生成一个密码，在访问存储库 PostgreSQL 数据库时在内部使用。为了安全起见，在安装过程中生成的密码对于安装是唯一的。由于密码仅供 Tableau Server 用来访问存储库，因此服务器管理员或其他用户将无法访问密码。 Tableau Server 还可生成一个 SSL 证书，该证书可用来保护与存储库和其他服务器组件的内部通信。为进程之间的内部通信使用 SSL 是可选的。有关详细信息，请参见配置内部 SSL 在本页 450。注意：如果需要访问存储库( 举例来说，以便监视活动) ，您可以使用服务器环境内置的管理视图，或创建您自己的自定义视图。有关详细信息，请参见管理视图在本页 268和创建自定义管理视图在本页 278 重新生成密码和证书如果需要生成新密码和证书以供内部使用，您可以使用 tabadmin regenerate_ internal_tokens 命令。举例来说，如果您认为您安装的 Tableau Server 已被入侵，您应运行 regenerate_internal_tokens 命令来生成新密码和 SSL 证书。注意：SSL 证书用于服务器组件和 PostgreSQL 数据库之间的内部通信，与服务器上用于服务器与连接 Tableau Server 的客户端之间的 HTTPS 通信的任何 SSL 证书无关。手动重新生成密码和 SSL 证书： 1. 在 Tableau Server 计算机上，以管理员身份打开命令提示符，并导航到 <install directory>\Program Files\Tableau\Tableau Server\9.0\bin。 2. 输入以下命令： tabadmin tabadmin tabadmin tabadmin stop regenerate_internal_tokens config start - 382 - 有关详细信息，包括用于指定重新生成密码或证书的可选开关，请参见 regenerate_ internal_tokens 在本页 548。 - 383 - 性能每个服务器环境都是唯一的，且有很多可能影响性能的变数。影响性能的变数包括： l 硬件详细信息，例如磁盘速度、内存和处理器内核数 l 部署中服务器的数量 l 网络流量 l 使用情况因素，例如工作簿复杂性、并行用户活动和数据缓存 l Tableau Server 配置设置，例如运行的每个服务器进程的数量 l 数据注意事项 — 例如数据量、数据库类型和数据库配置。 Tableau Server 具有很高的可配置性，可帮助您应对服务器环境中的这些变数，并调整服务器性能。由于这种复杂性，没有一种公式用于提高服务器性能。但有一些基本准则可以遵循。有关更多信息，请参见以下主题：一般性能准则硬件和软件使用 64 位操作系统和 64 位产品：尽管 Tableau Server 在 32 位 Microsoft 操作系统上运行良好，但为了获得最佳性能，请选择 64 位操作系统并安装 64 位版本的 Tableau Server。添加更多内核和内存：无论您是在一台计算机上还是多台计算机上运行 Tableau Server，一般规则是，CPU 核数和 RAM 越多，性能越高。请确保您满足 Tableau Server 建议的硬件和软件要求，并参见主题何时添加工作服务器和重新配置下一页以评估是否应添加其他计算机。如果您是在虚拟环境中运行 Tableau Server 的，请将您虚拟机的最佳做法用于 vCPU 分配，这与虚拟机主机上物理 CPU 的数量相关。配置安排在非高峰时段进行刷新：备份任务会拖慢其他后台任务的运行速度，直到备份完毕为止。使用数据提取后台任务在本页 273管理视图来查看您的刷新和备份任务计划。您应安排在非高峰时期进行刷新任务，以免与备份窗口重叠。查看缓存：缓存有助于 Tableau Server 快速地响应客户端请求，尤其是对于连接到实时数据库的视图。确认是否选择了“配置”对话框的 “数据连接”选项卡上的 “刷新频率低于”。考虑更改两个会话内存设置： - 384 - l l VizQL 会话超时限制：默认情况下，VizQL 会话超时限制为 30 分钟。即使 VizQL 会话空闲，它仍会占用内存和 CPU 周期。如果使用下限可以完成，则可使用 tabadmin 在本页 526 更改 vizqlserver.session.expiry.timeout 设置。 VizQL 清除会话：默认情况下，VizQL 会话保留在内存中，即使是在用户离开视图时。这将占用大量的会话内存。而您可以通过将 vizqlserver.clear_session_on_ unload 设置的值更改为 true( 默认为 false) ，在用户离开视图时结束会话。评估进程配置：Tableau Server 分为六个不同组件，称为服务器进程。虽然这些进程的默认配置旨在适用于各种情况，但也可以重新配置它们，以实现不同的性能目标。具体来说，您可以控制在哪些计算机上运行进程以及运行多少个进程。有关单节点、两节点和三节点部署的一般准则，请参见提高服务器性能下一页。何时添加工作服务器和重新配置 Tableau Server 可以随需求的变化纵向和横向扩展。下面是一些准则，有助于您确定是否是时候向系统添加更多工作服务器节点和/或重新配置服务器： l l l l l 超过 100 个同时存在的用户：如果部署是用户密集型( 超过 100 个同时存在的查看者) ，则务必运行足够的 VizQL 进程，但进程数量不能超过硬件的处理能力。另外，启用 Tableau Server 来宾用户帐户可以将同时存在的潜在查看者数量增加到超过您可能认为自己拥有的用户列表范围。管理视图可帮助您对此进行衡量。有关详细信息，请参见特定用户的动作在本页 271。有关如何配置或扩展部署的提示，请参见提高服务器性能下一页。大量使用数据提取：数据提取可能会占用大量内存和 CPU 资源。没有一种度量方法可以将站点限定为数据提取密集型。仅有一些过大的数据提取时，可能会将站点归入此类别，这与有众多小数据提取一样。对于大量使用数据提取的站点，在自己的计算机上将数据引擎进程隔离开，会获益良多。有关一般准则，请参见提高服务器性能下一页。频繁刷新数据提取：刷新数据提取是一个大量占用 CPU 的任务。通常，对于频繁刷新数据提取( 例如，一天刷新多次) 的站点，更重视处理刷新任务的后台进程会很有帮助。使用数据提取后台任务在本页 273管理视图来查看当前刷新率。有关如何扩展的详细信息，请参见提高服务器性能下一页。性能疑难解答：如果加载视图速度较慢或者服务器性能通常较低，则可能有多种原因。有关详细信息，请参见一般性能准则上一页。停机可能性：如果服务器系统被视为任务关键的服务器系统，且要求高级别的可用性，则可以配置服务器系统，使处理数据提取、存储库和网关的服务器进程有冗余。有关详细信息，请参见高可用性在本页 80。注意：若要在多个节点上安装 Tableau Server，您必须有“Tableau Server-多计算机内核”许可证。 - 385 - 提高服务器性能使用下面的主题可以获得有关如何提高数据提取密集型、用户密集型或两者的部署性能的指南：您的目标是什么？一台计算机示例：数据提取要运行的进程数两台计算机示例：数据提取配置进程的位置两台计算机示例：查看优化数据提取和工作簿三台计算机示例：数据提取和查看评估视图响应性在本页 388 您的目标是什么？为数据提取进行优化数据引擎进程用于存储数据提取和回答查询；后台进程用于刷新数据提取。由于两者均需要大量的 CPU 资源，因此提高数据提取密集型部署的性能的最佳方法是将这两个进程相互隔离，并与其他服务器进程隔离。这可能需要三台计算机。如果您没有三台计算机可供使用，则仍有其他策略可以采用。 - 386 - 为用户和查看进行优化 VizQL Server 进程用于为 Tableau Server 用户处理视图加载和呈现。如果您尝试针对大量用户和视图交互优化部署，则这是您应重点关注的进程。要运行的进程数本主题假定您具有 8 个内核和 16 GB RAM 的计算机上的 64 位操作系统上运行 64 位版本的 Tableau Server。在此配置中，每个进程两个实例应该能够满足您的需求。如果您的计算机只有 4 个内核或者仅满足 Tableau Server 的最低 RAM 要求( 即 8 GB) ，则可以限制为每个进程一个实例。尽管最低安装要求为 4 个内核和 8 GB RAM，但我们不建议使用 4 内核计算机加载单节点服务器或进行规模测试。单一的 4 核服务器通常用于小规模试用和原型设计。大型企业部署应考虑为每个节点使用 16 核服务器。后台进程单个后台进程可能会占用 100% 的单个 CPU 内核，对于某些任务有时甚至占用更多。因此，应运行的实例总数取决于计算机的可用内核以及您尝试提高的方面。下面的部署示例使用 N 表示计算机的内核总数，且每个部署示例均建议采用与后台进程有关的不同策略。如有疑问，请从所建议范围的低端开始，逐渐增加数字，来评估相应的性能。数据引擎进程和存储库进程数据引擎进程应在其自身节点上进行隔离的情况有两种，例如，如果您尝试改进数据提取密集型部署，且与数据提取刷新相比，您希望更多地侧重查询。下面的部署示例提供了具体信息。由于数据引擎存储实时数据，因此转移数据引擎是一个多阶段的过程。有关详细信息，请参见移动数据引擎进程和文件存储进程在本页 66。另一个隔离数据引擎( 和/或存储库) 的原因是最大限度地减少部署停机的可能性。除非您要配置高可用性，否则存储库通常可以保留在主 Tableau Server 上。有关详细信息，请参见高可用性在本页 80。配置进程的位置您可以使用“Tableau Server 配置”对话框配置任何计算机正运行的进程的类型和数量。如果您在重新配置过程中要添加新计算机，则必须已在这些新计算机上安装 Tableau 工作软件。有关详细信息，请参见安装和配置工作服务器节点在本页 74。如果您要在主 Tableau Server 或独立 Tableau Server 上重新配置进程，请参见重新配置进程在本页 33。优化数据提取和工作簿通过数据提取提高服务器性能是数据提取和工作簿本身的部分功能。工作簿作者可以使数据提取的数据集保持较短，利用筛选或聚合，以及隐藏未使用的字段来缩小范围，所有这些方法有助于提高服务器性能。为此，使用 Tableau Desktop 选项 “隐藏所有未使用的字段” - 387 - 和 “聚合可视维度的数据”。有关步骤，请参见创建数据提取 ( Tableau Desktop 帮助) 。有关构建性能良好的工作簿的一般提示，请在 Tableau Desktop 帮助中搜索性能。要查看工作簿发布到 Tableau Server 后的执行情况，可以创建性能记录。有关详细信息，请参见创建性能记录在本页 404。评估视图响应性用户打开视图时，视图组件会先经过检索和解释，然后再显示到用户的 Web 浏览器中。对大多数视图来说，显示呈现阶段在用户的 Web 浏览器中进行，且大多数情况下会生成最快的结果和最高级的交互响应性。在客户端 Web 浏览器中处理大多数交互可减轻带宽压力，并降低往返请求延迟。如果视图非常复杂，Tableau Server 将在服务器( 而非客户端 Web 浏览器) 中处理呈现阶段，因为这样做通常可获得最佳性能。如果您发现视图的响应情况不尽如人意，可以测试和更改导致视图由服务器呈现( 而非在客户端 Web 浏览器中呈现的阈值) 。有关详细信息，请参见关于客户端呈现在本页 392。一台计算机示例：针对高数据提取使用量优化此示例显示针对高数据提取使用量配置的 64 位、8 个以上内核、16 GB 以上的系统。此配置看起来将类似于“服务器状态”页面上的以下“进程状态”表。配置说明： l 主服务器运行 2 个 VizQL 服务器进程、2 个缓存服务器进程以及 2 个数据服务器进程。这些是安装的推荐默认值。 l 一般情况下，将为节点上的每个 VizQL 服务器进程运行一个缓存服务器进程。 l 将计算机的内核总数除以 4，计算要运行的后台进程的最少数量。若要确定最大数 - 388 - 量，请将内核总数除以 2。 l l 后台进程和数据引擎进程均大量占用 CPU，上面显示的配置可平衡它们。将数据提取刷新安排在非高峰时段执行，这样有助于 VizQL Server、应用程序服务器、数据引擎进程和后台进程不会相互争用系统资源。两台计算机示例：针对高数据提取使用量优化此示例演示适用于两台计算机 Tableau Server 部署的可能配置，该配置可处理高数据提取使用量。两台计算机均为 64 位、8 个以上内核、16 GB 以上的系统。请注意，VizQL Server、应用程序服务器、数据服务器和数据引擎进程与后台进程隔离。采用此配置时，“服务器状态”页面将如下所示：配置说明： l l l l 主服务器运行 2 个 VizQL 服务器进程、2 个缓存服务器进程以及 2 个数据服务器进程。这些是安装的推荐默认值。一般情况下，将为节点上的每个 VizQL 服务器进程运行一个缓存服务器进程。在工作服务器上隔离后台进程。若要确定要运行的后台进程的最小数量，请将计算机的内核总数除以 4。对于最大数量，请将内核总数除以 2。将后台程序进程与 VizQL Server、应用程序服务器、数据服务器和数据引擎进程隔 - 389 - 离。 l 在包含后台程序的工作服务器节点上添加缓存服务器时，可能会代表用户或作业进行缓存请求。两台计算机示例：针对查看数据提取优化此示例显示数据提取使用量低但查看较频繁的两台计算机部署。两台计算机均为 64 位、8 个以上内核、16 GB 以上的系统。此配置的“进程状态”表将如下所示：配置说明： l l l l l 主服务器运行 2 个 VizQL 服务器进程、2 个缓存服务器进程以及 2 个数据服务器进程。这些是安装的推荐默认值。一般情况下，将为节点上的每个 VizQL 服务器进程运行一个缓存服务器进程。在工作服务器上应最少运行 2 个后台进程。应运行的最大进程数量等于计算机的内核总数。在两个节点上运行数据引擎进程以在两个节点之间拆分视图请求。在不经常刷新数据提取的部署中，数据引擎进程和后台进程可位于同一节点上。如果仅在非工作期间运行数据提取刷新作业，则可以在每个节点上添加更多后台进程，以使它们的并行度最大化。 - 390 - l l 在包含后台程序的工作服务器节点上添加缓存服务器时，可能会代表用户或作业进行缓存请求。群集中的节点数由所有节点之间的内核和可用主内存的总数确定。三台计算机示例：针对使用和查看数据提取以及同时存在的用户数量较高优化如果数据提取刷新量和使用量均较高，且同时存在的用户数量较高，则三台计算机配置是为获得最佳性能建议的最少计算机数量。在此示例中，所有计算机均假定为 64 位、16 核、16 GB 以上的系统。此配置的“进程状态”表将如下所示：配置说明： l 在未运行后台进程的节点上运行 2 个 VizQL 服务器进程、2 个缓存服务器进程以及 2 个数据服务器进程。这些是安装的推荐默认值。 l 一般情况下，将为每个 VizQL 服务器进程运行一个缓存服务器进程。 l 对于此配置，推荐为每个节点使用 16 个内核。 l 后台进程位于自己的计算机上，这样它们的工作不会与其他进程的工作发生竞争。由于计算机专用于后台进程，并且后台进程可能会占用 100% 的 CPU 资源，因此所建议范围的低端等于内核总数。根据刷新的数据大小，对于某些部署来说，运行后台进程的数量可能最多是内核的两倍，并且仍会获得并行加速。 - 391 - l l l l 在主服务器和未运行后台进程的工作服务器上运行数据引擎进程以在两个节点之间拆分视图请求。应用程序服务器进程和数据服务器进程的用户负载通常可以分别由 1 个进程处理，但会设置为 2 以提供冗余。在大多数情况下，只要主 Tableau Server 和数据引擎存在充足的 CPU 周期，它们就不会是系统总吞吐量的瓶颈。若要增加查看容量，请添加专用于 VizQL Server 进程的节点。若要为刷新数据提取增加容量，请添加专用于后台进程的节点。在包含后台程序的工作服务器节点上添加缓存服务器时，可能会代表用户或作业进行缓存请求。关于客户端呈现视图的标记和数据是经过检索、解释和呈现才显示在客户端 Web 浏览器中的。Tableau Server 可在客户端 Web 浏览器中或服务器上执行此过程。由于在服务器上处理呈现和所有交互会导致网络数据转移量和往返延时增多，因此客户端呈现为默认模式。有了客户端呈现，大多数视图互动速度更快，因为它们会直接在客户端中进行解释和呈现。但如果服务器的计算能力更强，那么某些视图在服务器上的呈现就更为高效。如果某个视图十分复杂以至于创建图像所用数据占用的带宽远远高于图像文件占用的带宽，那么服务器端呈现就十分重要了。另外，由于通常情况下平板电脑的性能要比个人电脑低得多，因此平板电脑只能处理较为简单的视图。在某些情况下，同样的视图在个人电脑 Web 浏览器上打开时是通过客户端呈现的，而在平板电脑 Web 浏览器上打开时是通过服务器呈现的。将 Tableau Server 配置成使用阈值计算向下触发在服务器上( 而非 Web 浏览器中) 进行的视图呈现。作为管理员，您可以在个人电脑和平板电脑上对此设置进行测试和微调。有关更多信息，请参见以下主题。要求 l l 受支持的浏览器：Internet Explorer 9.0 版或更高版本、Firefox、Chrome 和 Safari 都支持客户端呈现。所有这些 Web 浏览器都包含客户端呈现需要使用的 HTML 5 <canvas> 元素。多边形和页面历史记录功能：如果视图使用了多边形或页面历史记录功能，那么即使已另外启用了客户端呈现，系统也会执行服务器端呈现。阈值计算启用客户端呈现后，Tableau Server 会使用算法来确定视图的复杂程度。如果复杂度值超过了 100( 对于个人电脑浏览器) 或者 20( 对于平板电脑浏览器) ，则视图会在服务器上而非 Web 浏览器中呈现。以下是计算方法： view complexity = (# of marks) + 3(# of headers) + 3(# of annotations) + 3(# of reference lines) + 6(# of unique custom shapes) - 392 - 例如，如果您的视图有 2,000 个标记、150 个标题( 有时您可以通过叠加视图中的行列数量来确定该值) 、1 个注释和 1 条参考线，将使用以下等式： 2,000 + 3(150) + 3(1) + 3(1) = 2,456 现在，将当前获得的阈值除以 100，然后乘以 5,000( 将阈值除以 100 是标准化算法，而所乘的 5,000 是 Tableau 的比例因数) 。假设当前阈值为 100，则等式如下： 100/100 * 5,000 = 5,000 比较得到的两个和。考虑到 5,000 表示复杂度为 100，2,456 应表示大约一半的复杂度 (49)。因此，要在个人电脑浏览器上为此特定视图执行服务器端呈现，您需要将该阈值设置为 48。请务必记住，类似筛选的交互会更改视图的复杂度，而视图复杂度一旦更改，会话就会切换呈现模式。注意： "唯一自定义形状”表示不同的图像。您有 2000 个具有唯一自定义形状的标记，计算的该部分将为 6 * 1。对于各自具有不同自定义形状的 500 个标记，计算的该部分将为 6 * 500。有关测试和配置客户端呈现的详细信息，请参见以下主题：使用网址参数进行测试将 Tableau Server 配置为在默认情况下执行客户端呈现( 如果符合相关要求) 。要在会话基础上测试服务器端呈现，请在视图网址末尾键入 ?:render=false。例如： http://localhost/views/Supplies/MyView?:render=false 如果 Tableau Server 上的客户端呈现已停用，请输入 ?:render=true 来为会话启用客户端呈现： http://localhost/views/Supplies/MyView?:render=true 您也可以在单个视图上测试特定的复杂度阈值，以查看能否针对您的服务器和网络状况调整服务器范围的阈值。例如，您可能会发现在到达低复杂度( 例如 80) 或高复杂度( 例如 120) 的临界点时，用户交互得到的响应会更强。要测试阈值，您可以保留服务器的默认配置 ( 在已启用客户端呈现的情况下) 并在视图网址末尾输入测试阈值数字。例如： http://localhost/views/Supplies/MyView?:render=80 使用 tabadmin 设置选项进行配置您可以使用 tabadmin 选项 vizqlserver.browser.render 来停用或启用客户端呈现，而 vizqlserver.browser.render_threshold 和 vizqlserver.browser.render_threshold_mobile 则用来更改客户端呈现的阈值。有关详细信息，请参见 tabadmin set 选项在本页 556。 - 393 - Tableau Server 进程有一些您可以更改其默认配置来获得不同结果的 Tableau Server 进程。主题提高服务器性能在本页 386和高可用性在本页 80介绍了您可以采用的某些方法。每个进程的高级别状态显示在服务器的“状态”页面上，与某些进程( 例如后台进程) 相关的更详细信息位于管理视图在本页 268 主题中。注意：下面列出的某些进程无法进行配置：在基本安装过程中，将在每个节点上安装群集控制器和协调服务。它们需要位于每个服务器节点上。文件存储是在安装数据引擎时安装的，无法单独安装。每个数据引擎进程的实例将始终也存在文件存储进程的实例。从结构上说，64 位版本的 Tableau Server 使用本机 64 位进程；32 位版本的 Tableau Server 使用 32 位进程。但数据引擎例外。如果 32 位版本的 Tableau Server 安装在 64 位操作系统上，则会使用 64 位版本的数据引擎进程。有关这些进程生成的日志文件的信息，请参见服务器日志文件位置在本页 586。进程文件名用途是否为多线程？ API Server wgserver.exe 处理 REST API 调用应用程序服务器 vizportal.exe 处理是 Web 应用程 - 394 - 是性能特征除非您为关键业务进程使用 REST API，否则此服务可关闭，而不会对 Tableau Server 的总体运行状况产生影响。在不经常使用进程文件名用途是否为多线程？序，支持浏览和搜索后台程序 backgrounder.exe - 395 - 执行服否务器任务( 包括数据提取刷新) 、 “立即运行”任务以及通过 tabcmd 启动的任务性能特征的操作 ( 例如，发布包含数据提取的工作簿，或者生成视图的静态图像) 中仅占用显而易见的资源。可通过基于浏览器的交互和 tabcmd 创建该进程的负载。可在群集内的任何或所有计算机上运行多个进程以扩展容量的单线程进程。后进程文件名用途是否为多线程？性能特征台程序通常不会占用很多进程内存，但后台程序可能会根据面向它的工作负载的性质占用 CPU 资源、I/O 资源或网络资源。例如，执行大量数据提取刷新时，可能会使用网络带宽来检索数据。数据检索或复杂的 tabcmd 任务可能会占用 CPU 资源。 - 396 - 进程缓存服务器文件名 redis-server.exe - 397 - 用途是否为多线程？查询缓否存性能特征在服务器群集中分布和共享的查询缓存。这种内存中的缓存在许多方案中可加快用户体验。 VizQL Server、后台程序和数据服务器( 以及较小范围的 API 服务器和应用程序服务器) 代表用户或作业向缓存服务器发出缓存请求。缓存为单一线程方式，因此如进程文件名群集控制器 clustercontroller.exe 协调服务 zookeeper.exe 数据引擎 tdeserver64.exe tdeserver.exe( 32 位) - 398 - 用途负责监视各个组件、检测故障以及在需要时执行故障转移在分布式安装中，负责确保在故障转移过程中有做出决策的法定人数。存储数据提取和回答查询是否为多线程？不适用性能特征果您需要更好的性能，您应运行其他缓存服务器实例。包括在每个节点上的基本安装中。不适用包括在每个节点上的基本安装中。是数据引擎的工进程文件名用途是否为多线程？性能特征作负载由来自 VizQL Server、应用程序服务器、API 服务器、数据服务器和后台程序服务器进程的请求生成。数据引擎服务也会从大多数其他服务器进程中进行请求。该进程是将数据提取加载到内存并针对数据提取执行查询的组件。 - 399 - 进程文件名用途是否为多线程？性能特征基于所加载的数据提取的大小。在 64 位操作系统上，默认使用 64 位二进制文件，即使安装的是 32 位 Tableau Server，也是如此。数据引擎是多线程的进程，可以一次处理多个请求。在高负载的情况下，该进程可能会占用 CPU 资源、I/O 资源和网络资 - 400 - 进程数据服务器文件名 dataserver.exe - 401 - 用途是否为多线程？管理与是 Tableau Server 数据源的连接性能特征由于该进程是一个代理，因此它通常仅受限制于网络，但在有很多同时存在的用户会话时，可能会受限制于 CPU。该进程的负载是以下内容产生的：基于浏览器的交互，基于 Tableau Desktop 的交互，以及针对 Tableau Server 数据源的数据提取刷进程文件名用途是否为多线程？文件存储 filestore.exe 自动在不适数据引用擎节点之间复制数据提取。存储库 postgres.exe Tableau 不适 Server 用数据库，用于存储工作簿和用户元数据 - 402 - 性能特征新作业。随数据引擎一起安装 ( 无法单独安装) 。如果安装了一个或多个数据引擎进程，则文件存储进程将始终存在。通常仅占用很少的资源。执行诸如用户查看所有工作簿或更改权限等操作时，在极少情况下，对于超大型部署 ( 存在数千位用户) ，该进程文件名用途是否为多线程？搜索和浏览 searchserver.exe 在服务是器上处理内容元数据的快速搜索、筛选、检索和显示 VizQL Server vizqlserver.exe 加载和是呈现视图，计算和执行查询 - 403 - 性能特征进程可能会成为瓶颈。有关详细信息，请参见 Tableau Server 存储库在本页 50。进程首先与内存绑定，然后与 IO 绑定。使用的内存量随服务器上的内容量( 站点 /项目/工作簿/数据源/视图/用户的数量) 缩放。在从 Web 浏览器加载视图和交互使用的进程文件名用途是否为多线程？性能特征过程中，占用明显的资源。可能受限制于 CPU、 I/O 或网络。进程负载只能由浏览器的交互创建。进程内存可能不足。创建性能记录利用 Tableau 中的性能记录功能，您可以在与工作簿交互时记录关键事件的相关性能信息，然后可在 Tableau 自动创建的性能工作簿中查看性能指标。然后可在 Tableau 自动创建的性能工作簿中查看性能指标。对于 Tableau Desktop 和 Tableau Server，用于创建和查看性能记录的步骤会略有不同。过，在 Tableau Desktop 和 Tableau Server 中，所生成的性能工作簿的格式是相同的。使用性能工作簿可分析和解决已知会影响性能的各种事件的相关性能问题，这些事件包括： l 查询执行 l 地理编码 l 连接到数据源 l 布局计算 l 数据提取生成 l 混合数据 l 服务器混合( 仅限 Tableau Server) - 404 - Tableau 支持人员在帮助您诊断性能问题时可能会请求您创建性能工作簿。：为站点启用性能记录默认情况下，不会为站点启用性能记录。服务器管理员可逐站点启用性能记录。 1. 导航到要为其启用性能记录的站点。 2. 单击 “设置”： 3. 在“工作簿性能指标”下，选择 “允许记录工作簿性能指标”。 4. 单击 “保存”。为视图启动性能记录 1. 打开要为其记录性能的视图。当您打开视图时，Tableau Server 会在 URL 后面附加“:iid=<n>”( 在 URL 之后) 。这是会话 ID。例如： http://10.32.139.22/#/views/Coffee_ Sales2013/USSalesMarginsByAreaCode?:iid=1 2. 在视图 URL 结尾紧靠会话 ID 前面键入 :record_performance=yes&。例如： http://10.32.139.22/#/views/Coffee_ Sales2013/USSalesMarginsByAreaCode?:record_ performance=yes&:iid=1 3. 加载视图。 - 405 - 性能记录已启动的可视确认是视图工具栏上的 “显示性能记录”选项：：查看性能记录 1. 单击 “显示性能记录”以打开性能工作簿。这是性能数据的最新快照。当您继续使用视图时，可以继续创建其他快照，性能数据是累计的。 2. 移动到其他页面或从 URL 中移除 :record_performance=yes 可停止记录。解释性能记录性能记录工作簿是 Tableau 仪表板，其中包含三个视图：“时间表”、“事件”和 “查询”。有关如何在 Tableau Server 中创建性能记录的信息，请参见创建性能记录在本页 404。时间表性能记录仪表板的最上方视图从左向右显示记录期间发生的事件( 按时间先后顺序排列) 。底部的轴显示自 Tableau 启动以来所经过的时间( 以秒为单位) 。在“时间表”视图中，“工作簿”、“仪表板”和 “工作表”列标识事件的上下文。“事件”列标识事件的性质，最后一列显示每个事件的持续时间以及按时间先后顺序与其他所记录事件的比较情况： - 406 - 事件性能记录工作簿中的中间视图显示按持续时间排序( 从最长到最短) 的事件。持续时间较长的事件可在您希望加快使用工作簿的速度时帮助您确定最先查看的位置。不同的颜色指示不同类型的事件。可记录的事件范围如下： l 正在计算布局。如果布局所花的时间过长，请考虑简化工作簿。 l 正在连接到数据源。连接可能会因网络或数据库服务器问题而较慢。 l 正在执行查询。如果查询所花的时间过长，请参考数据库服务器的文档。 l 正在生成数据提取。若要加快数据提取生成的速度，请考虑仅从原始数据源导入部分数据。例如，可以筛选特定的数据字段，或者创建基于指定行数或数据百分比的示例。 l 地理编码。若要加快地理编码性能，请尽量使用较少的数据或筛选出数据。 l 混合数据。若要加快数据混合，请尽量使用较少的数据或筛选出数据。 l 服务器呈现。通过在其他计算机上运行其他 VizQL Server 进程，可以加快服务器呈现。查询如果在性能记录仪表板的 “时间表”或 “事件”部分中单击 “正在执行查询”事件，则将在“查询”部分中显示该查询的文本。例如： - 407 - 有时，查询会被截断，您需要访问 Tableau 日志才能找到完整查询。大多数数据库服务器会向您提供有关如何通过添加索引或其他方法来优化查询的建议。有关详细信息，请参见数据库服务器文档。有时为了效率起见，Tableau 会根据数据智能地将多个查询合并为一个查询。在这种情况下，您可能会看到空工作表的 “正在执行查询”事件，而为指定工作表执行的查询数为零。 - 408 - 代理服务器 Tableau Server 可以配置为使用代理服务器。在此类环境中，代理服务器充当 Tableau Server 与对 Tableau Server 上的资源发出请求的客户端之间的媒介。可通过多种方式来配置代理服务器 — 例如，配置为正向代理或反向代理。这些主题假定您已配置代理服务器，现在需要向 Tableau Server 来标识该代理服务器。代理支持注意事项在使用 Tableau Server 时，请注意有关代理环境支持的以下信息： l l l Tableau Server 不支持使用代理进行上下文切换。如果您将使用 Kerberos 身份验证，则必须先将 Tableau Server 配置为使用代理，再将 Tableau Server 配置为使用 Kerberos。有关详细信息，请参见配置 Kerberos 在本页 461。如果 Tableau Server 使用 SSPI( 使用 Active Directory 并启用自动登录 ) 对 Tableau Server 用户进行身份证，则不支持 Apache 反向代理服务器。如果 Tableau Server 仅使用 Active Directory( 不 “启用自动登录”) 、“本地身份验证”或 “SAML”对服务器用户进行身份验证，则支持 Apache 反向代理服务器。详细信息使用以下主题可了解更多信息：准备配置代理环境若要将 Tableau Server 配置为使用代理服务器，您需要有关代理服务器的以下信息： l l l l IP 地址：代理服务器的 IP 地址。该 IP 地址必须采用 IPv4 格式，例如 123.45.67.890，并且必须是静态 IP。 FQDN：代理服务器的完全限定域名。例如，bigbox.example.com。FQDN 不应包括超出域名范围的信息，例如，bigbox.example.com/tableau。Tableau Server 不支持上下文切换。非 FQDN：代理服务器的任意非完全限定域名。在以上示例中，代理服务器的非完全限定域名为 bigbox。别名：代理服务器的任何别名。别名是使用 CNAME( 典型名称记录) 指定的。例如， CNAME 为 bigbox.example.com、别名为 ftp.example.com 和 www.example.com 的代理服务器。 - 409 - 配置 Tableau 以使用代理服务器在收集准备配置代理环境上一页中描述的信息后，您可通过执行以下步骤来配置 Tableau Server 以使用代理。有关以下设置的信息，请参见 tabadmin set 选项在本页 556。 1. 停止服务器。 2. 仍然在 Tableau Server bin 目录中，输入以下命令，其中 name 是用于通过代理服务器访问 Tableau Server 的 URL： tabadmin set gateway.public.host "name" 例如，如果通过在浏览器地址栏中输入 tableau.example.com 来访问 Tableau Server，请输入以下命令： tabadmin set gateway.public.host "tableau.example.com" 3. 默认情况下，Tableau 假定代理服务器在端口 80 上侦听外部通信。若要指定其他端口，请输入以下命令，其中 port_number 是端口： tabadmin set gateway.public.port "port_number" 4. 现在，请输入以下命令，其中 server_ip_address 是代理服务器的 IPv4 地址： tabadmin set gateway.trusted "server_ip_address" server 的值可以是逗号分隔的列表，例如： tabadmin set gateway.trusted "123.45.67.890, 123.45.67.880, 123.45.67.870" 5. 在下一个命令中，您将为代理服务器提供任何备用名称，例如它的完全限定域名、任何非完全限定域名和任何别名。这些是用户可能在浏览器中键入的名称。用逗号分隔每个名称： tabadmin set gateway.trusted_hosts "name1, name2, name3" 例如： tabadmin set gateway.trusted_hosts "proxy1.example.com, proxy1, ftp.example.com, www.example.com" 6. 键入以下命令以提交配置更改： tabadmin config 7. 启动服务器以使更改生效。 - 410 - 受信任的身份验证将 Tableau Server 视图嵌入到网页中时，访问该页面的所有用户都必须是 Tableau Server 上的许可用户。用户访问该页面时，将会看到先登录到 Tableau Server 中才能查看视图的提示。如果您已经有一种在该网页上或 Web 应用程序中对用户进行身份验证的方法，就可以通过设置受信任的身份验证来避免此提示，并避免您的用户必须登录两次。受信任的身份验证意味着您已在 Tableau Server 与一个或多个 Web 服务器之间建立受信任的关系。当 Tableau Server 接收来自这些受信任 Web 服务器的请求时，它会假设您的 Web 服务器已处理必需的身份验证。如果您的 Web 服务器使用 SSPI( 安全支持提供程序接口) ，则无需设置受信任的身份验证。您可以嵌入视图，这样，只要您的用户是 Tableau Server 许可用户且是您Active Directory 的成员，就可以安全地访问这些视图。不不支持同时使用 “启用自动登录”( 在安装过程中配置的选项，该选项使用 Microsoft SSPI) 和受信任的身份验证。如果您没有将 SSPI 与 Active Directory 结合使用并且希望您的用户能够安全地访问 Tableau Server 视图而不提示其输入凭据，则可以设置受信任的身份验证。用户的浏览器必须配置为允许第三方 Cookie，这样他们在点击嵌入视图时就能进行身份验证了。受信任的身份验证的工作原理下图说明了受信任的身份验证在客户端的 Web 浏览器、您的 Web 服务器和 Tableau Server 之间是如何工作的。 - 411 - 用户访问网页：当用户访问具有嵌入式 Tableau Server 视图的网页时，该网页会向您的 Web 服务器发送一个 GET 请求，要求提供该网页的 HTML。 Web 服务器将 URL 传递给浏览器：Web 服务器使用该视图的 URL 或其对象标记( 如果是嵌入式视图) 构造该视图的 URL，并将其插到该网页的 HTML 中。包括票证( 例如 http://tabserver/trusted/<ticket>/views/requested viewname) 。Web 服务器将该网页的所有 HTML 传递回客户端的 Web 浏览器。 Web 服务器 POST 到 Tableau Server：Web 服务器向受信任的 Tableau Server( 例如 http://tabaserver/t rusted，而非 http://tabserver) 发送了 POST 请求。该 POST 请求必须有一个 username 参数。 username 值必须是 Tableau Server 许可用户的用户名。如果服务器在运行多个站点，且视图在 Default 站点之外的其他站点上，则 POST 请求还必须包含 target_site 参数。浏览器从 Tableau Server 请求视图：客户端 Web 浏览器使用 GET 请求向 Tableau Server 发送请求，该 GET 请求包含带有票证的 URL。 Tableau Server 创建票证：Tableau Server 检查发送 POST 请求的 Web 服务器的 IP 地址或主机名( 上图中的 192.168.1.XXX) 。如果该服务器已设置为受信任主机，则 Tableau Server 将创建一个票证，形式为包含 24 个字符的唯一字符串 ( URL 安全、Base64 编码) 。Tableau Server 使用该票证来响应 POST 请求。如果存在错误并且无法创建票证，则 Tableau Server 将使用值“-1”进行响应。 Tableau Server 兑换票证：Tableau Server 检查是否 Web 浏览器请求了含有票证的 URL，并兑换该票证。Tableau Server票证必须在发出后三分钟内兑换。票证必须在发出后三分钟内兑换。兑换票证后，Tableau Server 将用户登录，从 URL 中删除该票证，并发送回该嵌入式视图的最终 URL。 - 412 - 向 Tableau Server 添加受信任的 IP 地址或主机名称设置受信任的身份验证的第一步是将 Tableau Server 配置为识别并信任来自一个或多个 Web 服务器的请求： 1. 以管理员身份打开命令提示符，导航到 Tableau Server 的 bin 目录( 例如 C:\Program Files\Tableau\Tableau Server\9.2\bin) 。 2. 键入以下命令以停止 Tableau Server： tabadmin stop 3. 然后键入以下命令： tabadmin set wgserver.trusted_hosts "<trusted IP addresses or host names>" 在上面的命令中，<trusted IP addresses> 应是您的 Web 服务器的 IPv4 地址或主机名称的逗号分隔列表。例如： tabadmin set wgserver.trusted_hosts "192.168.1.101, 192.168.1.102, 192.168.1.103" 或 tabadmin set wgserver.trusted_hosts "webserv1, webserv2, webserv3" 注意：该逗号分隔列表应位于引号内，每个逗号后跟一个空格。指定的 Web 服务器必须使用静态 IP 地址，即使在此处使用主机名称也一样( 了解详情 ) 。 4. 如果请求受信任票证的计算机( 上面的步骤 2 中配置的计算机之一) 和 Tableau Server 之间有一个或多个代理服务器，则还需要将这些代理服务器添加为受信任网关。有关步骤，请参见配置 Tableau 以使用代理服务器在本页 410。 5. 键入以下命令以保存对所有服务器配置文件所做的更改： tabadmin config 6. 最后，键入以下命令以重新启动服务器： tabadmin start 接下来，您需要配置 Web 服务器以便从 Tableau Server 接收票证。 - 413 - 从 Tableau Server 获取票证在向 Tableau Server 添加受信任的 IP 地址之后，您就可以将 Web 服务器配置为通过 POST 请求从 Tableau Server 获取票证( 图中的步骤 3) 。POST 请求必须发送至 http://<server name>/trusted 而非 http://tabserv。例如 http://tabserv/trusted。注意：如果启用 SSL，则必须使用 https 而不是 http。例如：https://tabserver/trusted。有关可用来以 Java、Ruby 和 PHP 创建 POST 请求的代码示例，请参见以下内容： C:\Program Files\Tableau\Tableau Server\9.2\extras\embedding 下面是可在向 Tableau Server 发送的 POST 请求中使用的数据： l l l username=<username>( 必需) ：Tableau Server 许可用户的用户名。如果使用的是本地身份验证，则用户名可以是简单字符串( 例如，username=jsmith) 。如果将 Active Directory 用于多个域，则用户名中必须包含域名( 例如， username=MyCo\jsmith) 。 target_site=<site id>( 如果视图不在默认站点上，则为必需) ：如果 Tableau Server 运行多个站点，并且视图位于默认站点之外的其他站点上( 例如，target_ site=Sales) ，则指定包含该视图的站点。用于 <site id> 的值应为创建该站点时提供的站点 ID。此值区分大小写。如果站点 ID 为 SAles，则 target_ site=SAles。 client_ip=<IP address>( 可选) ：用于指定 Web 浏览器要访问该视图的计算机的 IP 地址( 例如，client_ip=123.45.67.891) 。该地址不是发出 Tableau Server 的 POST 请求的 Web 服务器 IP 地址。如果您决定使用此参数，请参见可选：配置客户端 IP 匹配在本页 416以了解更多信息。 Tableau Server 对 POST 请求的响应将是一个包含 24 个字符的唯一字符串( 即票证) 。如果 Tableau Server 无法处理该请求，则返回 -1。有关如何更正此问题的提示，请参见从 Tableau Server 返回了票证值 -1 在本页 417。同样，为了让用户在单击嵌入视图时成功进行身份验证，其服务器必须配置为允许第三方 Cookie。接下来，您需要添加一段代码以允许 Web 服务器为该视图构造 URL，此 URL 应包含该视图的位置以及票证。显示视图及票证在创建 POST 请求之后，您需要编写一段代码，以便向 Web 服务器提供来自 Tableau Server 的视图位置和票证。服务器将使用此信息来显示视图。如何指定取决于视图是否为嵌入式视图以及 Tableau Server 是否运行多个站点。 - 414 - Tableau Server 视图示例下面是如何指定用户仅通过 Tableau Server 访问的视图的示例( 该视图不是嵌入式视图) 。 http://tabserver/trusted/<ticket>/views/<workbook>/<view> 如果 Tableau Server 正在运行多个站点，并且该视图位于 Default 站点之外的其他站点上，则需要向该路径添加 t/<site ID>。例如： http://tabserver/trusted/<ticket>/t/Sales/views/<workbook>/<view> 使用在 Tableau Server URL 中看到的相同大小写形式。嵌入式视图示例下面是如何指定嵌入式视图的示例。您可采用两种方法来编写嵌入代码，下面便提供了这两种方法。无论您采取哪种方法，您都必须提供一些唯一信息以便进行受信任的身份验证。脚本标记示例此示例使用了 ticket 对象参数： <script type="text/javascript" src="http://myserver/javascripts/api/viz_v1.js"></script> <object class="tableauViz" width="800" height="600" style="display:none;"> <param name="name" value="MyCoSales/SalesScoreCard" /> <param name="ticket" value="Etdpsm_Ew6rJY-9kRrALjauU" /> </object> 对于多站点 Tableau Server，以上示例为以下内容( 视图是在 Sales 站点上发布的) ： <script type="text/javascript" src="http://myserver/javascripts/api/viz_v1.js"></script> <object class="tableauViz" width="800" height="600" style="display:none;"> <param name="site_root" value="/t/Sales" /> <param name="name" value="MyCoSales/SalesScoreCard" /> <param name="ticket" value="Etdpsm_Ew6rJY-9kRrALjauU" /> </object> 您可使用 path 参数来显式声明该视图的完整路径，而不使用 ticket。使用 path 时，也不需要 name 参数，此参数在 Tableau JavaScript 嵌入代码中通常是必需参数。 <script type="text/javascript" src="http://myserver/javascripts/api/viz_v1.js"></script> <object class="tableauViz" width="900" height="700" - 415 - style="display:none;"> <param name="path" value="trusted/Etdpsm_Ew6rJY9kRrALjauU/views/MyCoSales/SalesScoreCard" /> </object> 下面是同一示例，但这次针对的是多站点服务器。请注意，此处使用的是 /t/<site ID>： <script type="text/javascript" src="http://myserver/javascripts/api/viz_v1.js"></script> <object class="tableauViz" width="900" height="700" style="display:none;"> <param name="path" value="trusted/Etdpsm_Ew6rJY9kRrALjauU/t/Sales/views/MyCoSales/SalesScoreCard" /> </object> Iframe 标记示例 <iframe src="http://tabserver/trusted/Etdpsm_Ew6rJY9kRrALjauU/views/workbookQ4/SalesQ4?:embed=yes" width="800" height="600"></iframe> 可选：配置客户端 IP 匹配默认情况下，Tableau Server 在创建或兑换票证时不考虑客户端 Web 浏览器的 IP 地址。若要对此进行更改，需要执行以下两个操作：在获取票证的 POST 请求中，使用 client_ip 参数指定一个 IP 地址，然后执行下面的步骤以配置 Tableau Server，以便强制客户端 IP 地址匹配。 1. 打开命令窗口，并将目录更改为 Tableau Server 的 bin 目录中的位置。默认位置为 C:\Program Files\Tableau\Tableau Server\9.2\bin 2. 以管理员身份打开命令提示符，然后键入以下命令： tabadmin set wgserver.extended_trusted_ip_checking true 3. 然后键入以下命令： tabadmin configure 4. 最后，通过键入以下内容重新启动服务器： tabadmin restart 受信任的身份验证疑难解答下面是配置受信任的身份验证时可能会遇到的一些常见问题和错误。受信任的身份验证信息写入 ProgramData\Tableau\Tableau - 416 - Server\data\tabsvc\logs\vizqlserver\vizql-*.log。若要将日志记录级别从 info 提高到 debug，请使用 tabadmin 设置 vizqlserver.trustedticket.log_level。有关测试受信任的身份验证的提示，请参见 Tableau 知识库。从 Tableau Server 返回了票证值 -1 Tableau Server 在不能将票证作为受信任的身份验证过程的一部分发出时会返回票证值“1”。此消息的确切原因将写入到以下文件夹中的文件 production*.log 中： ProgramData\Tableau\Tableau Server\data\tabsvc\logs\wgserver 以及以下文件夹中的 vizql*.log： ProgramData\Tableau\Tableau Server\data\tabsvc\logs\vizqlserver 以下是需确认的一些内容： l 所有 Web 服务器主机名称或 IP 地址都已添加到受信任主机发送 POST 请求的计算机的 IP 地址或主机名称必须位于 Tableau Server 上的受信任主机列表中。若要了解如何向此列表添加 IP 地址或主机名称，请参见向 Tableau Server 添加受信任的 IP 地址或主机名称在本页 413。 l wgserver.trusted_hosts 值的格式正确使用 wgserver.trusted_hosts 设置提供的受信任主机列表必须是逗号分隔的列表，每个逗号后有一个空格。例如，该列表应与下面类似：192.168.1.101, 192.168.1.102, 192.168.1.103, 或 bigbox1.example.lan, bixbox2.example.lan, bigbox3.example.lan。 l IP 地址是 IPv4 如果使用 IP 地址指定受信任主机，它们必须采用 Internet 协议版本 4 (IPv4) 格式。 IPv4 地址如下所示：123.456.7.890。不支持使用 IPv6 地址( 例如 fe12::3c4a:5eab:6789:01c%34) 输入受信任主机。 l POST 请求中的用户名是有效的 Tableau Server 用户在 POST 请求中发送的用户名必须是具有 Viewer 或 Interactor 许可级别的 Tableau Server 许可用户。通过以管理员身份登录到 Tableau Server 中并单击页面左侧的“许可”链接，可查看用户及其许可级别的列表。 l POST 请求中的用户名包含域如果将 Tableau Server 配置为使用本地身份验证，则在 POST 中发送的用户名可以是简单字符串。但是，如果将服务器配置为使用 Active Directory，则必须在用户名中包含域名( 域\用户名) 。例如，username 参数可能是：username=dev\jsmith l 内容类型已指定如果您要设计一个 ASP.NET 或 C# 应用程序，则需要在您的 HTTP 请求中声明内容类型。例如，http.setRequestHeader("Content-Type","application/x- - 417 - www-form-urlencoded;charset=UTF-8")。如果您没有指定内容类型且 Tableau Server 返回 -1，则日志文件包含错误："用户名和/或 client_ip 丢失”。 HTTP 401 – 未授权如果收到“401 - 未授权”错误，则可能是因为您已将 Tableau Server 配置为将 Active Directory 与 SSPI 结合使用( 请参见启用自动登录 ) 。如果您的 Web 服务器使用 SSPI，则无需设置受信任的身份验证。您可以嵌入视图，这样，只要您的用户是 Tableau Server 许可用户并且是您的 Active Directory 的成员，他们就可以访问这些视图。不支持同时使用 “启用自动登录”和受信任的身份验证。 HTTP 404 – 未找到文件如果您的程序代码引用不存在的 Tableau Server URL，就可能会收到此错误。例如，您的 Web 服务器可能会构造一个网页尝试检索时找不到的无效 URL。无效用户 ( SharePoint 或 C#) 如果您将 Tableau Server 配置为使用受信任的身份验证，则可能会遇到此错误。 SharePoint .dll 的示例代码引用以下 GET 请求： SPContext.Current.Web.CurrentUser.Name 上面的请求将返回当前 Windows Active Directory 用户的显示名称。如果要使用登录 ID，则需要将代码更改为： SPContext.Current.Web.CurrentUser.LoginName 进行更改后，请重新编译 SharePoint .dll。尝试从错误的 IP 地址检索票证如果您将 Tableau Server 配置为使用受信任的身份验证，则可能会遇到此错误。默认情况下，兑换票证时不会考虑客户端 Web 浏览器 IP 地址。如果将 Tableau Server 配置为强制客户端 IP 地址匹配，请确保在 POST 中发送给 Tableau Server 的客户端 Web 浏览器 IP 地址与浏览器尝试检索嵌入式视图时的 IP 地址相同。例如，在受信任的身份验证图中，如果步骤 3 中的 POST 请求发送参数 client_ip=74.125.19.147，则步骤 5 中的 GET 请求必须来自同一 IP 地址。若要了解如何配置 Tableau Server 以强制客户端 IP 地址匹配，请参见可选：配置客户端 IP 匹配在本页 416。 - 418 - Cookie 限制错误用户登录到 Tableau Server 时，会话 Cookie 会存储到他们的本地浏览器中。Tableau Server 利用存储的 Cookie 来保留通过身份验证且可访问服务器的已登录用户。由于 Cookie 设置的域或子域与浏览器地址栏中的域或子域相同，因此该 Cookie 被认定为第一方 Cookie。如果用户浏览器配置为阻止第一方 Cookie，则它们将无法登录到 Tableau Server。如果用户通过嵌入式视图或在配置了受信任的身份验证的环境中登录到 Tableau Server，则会发生同样的情况：系统会存储此 Cookie。但在这种情况下，浏览器会将此 Cookie 当做第三方 Cookie 来处理。这是由于 Cookie 设置的域与浏览器地址栏中显示的域不同。如果用户 Web 浏览器设置为阻止第三方 Cookie，则此 Cookie 将无法通过 Tableau Server 所需的身份验证。要避免出现这种情况，Web 浏览器必须配置为允许第三方 Cookie。与服务器通信时出错 (403) 如果 Tableau Server 配置为使用受信任的身份验证，在浏览器中打开新视图并尝试导航回之前打开的视图时，可能会收到此错误消息。Tableau Server 通过 tabadmin set 选项 vizqlserver.protect_sessions( 默认情况下设置为 true) 防止未经授权地重用 VizQL 会话。由于 Tableau Server 配置为使用受信任的身份验证，因此您可能不需要同时启用 vizqlserver.protect_sessions。若要禁用它，请使用 set 在本页 550 将其更改为 false。 - 419 - OAuth 连接对于 Google BigQuery、Google Analytics 和 Salesforce.com 数据源，存储敏感数据库凭据的替代方法Tableau Server是使用 OAuth 2.0 标准创建连接。在创建 OAuth 连接时，您将同意让 Tableau 访问您的数据的许可授予数据提供程序。数据提供程序随后向 Tableau 发送访问令牌，该令牌唯一地标识来自 Tableau 的请求。有关详细信息，请参见下面的 OAuth 进程概述向下。使用 OAuth 连接可提供以下好处： l l 安全：您的数据库凭据从不会被 Tableau Server 知道或存储在其中，并且访问令牌只能由 Tableau 使用。方便：不必在多个位置嵌入您的数据源 ID 和密码，您可以对访问特定数据提供程序的所有已发布工作簿和数据源使用为该数据提供程序提供的令牌。另外，对于 Google BigQuery 数据的实时连接，每个工作簿查看者都可以拥有标识用户的唯一访问令牌，而不是共享单个用户名和密码凭据。 OAuth 进程概述下列步骤介绍 Tableau 环境中调用 OAuth 过程的一个工作流。 1. 您执行的操作需要访问云端数据源。例如，您打开发布到 Tableau Server 的工作簿。 2. Tableau 将您定向到托管数据提供程序的登录页面。发送给托管数据提供程序的信息将 Tableau 标识为请求站点。 3. 当您登录到托管数据源时，它会提示您确认您授权 Tableau Server 访问数据。 4. 确认后，数据源提供程序会向 Tableau Server 发送访问令牌。 - 420 - 5. Tableau Server 向您显示您的工作簿和数据。下列其他工作流也可以使用 OAuth 过程： l 从 Tableau Desktop 或从 Tableau Server 创建工作簿并连接到数据源。 l 从 Tableau Desktop 发布数据源。 l 从诸如 Tableau Mobile 或 Tableau Desktop 等批准的客户端登录Tableau Server。数据连接访问令牌您可以保存访问令牌与数据连接，以便能够在初始身份验证过程完成后直接访问数据。除非 Tableau Server 用户删除访问令牌或数据提供程序撤消它，否则它会一直有效。可能超出了数据源提供程序允许的访问令牌数。在这种情况下，当用户创建新令牌时，数据提供程序将使用自上次访问以来已经过去的时间长度来决定使哪个令牌失效以便为新令牌腾出空间。批准的客户端身份验证的访问令牌默认情况下，在用户第一次登录时提供其凭据后，Tableau Server站点允许用户直接从批准的 Tableau 客户端访问其站点。此类型的身份验证还使用 OAuth 访问令牌安全地存储用户的凭据。有关详细信息，请参见已连接设备的身份验证在本页 240。 - 421 - 配置服务器以支持 OAuth OAuth 不使用单个用户名和密码，而是使用有限用途的访问令牌。您需要先配置服务器以便发送令牌的数据提供程序可以将 Tableau Server 识别为受信任目标，然后您才能获得在 Tableau 中创建 OAuth 连接所需的访问令牌。下面一节介绍如何准备设置 OAuth，而不考虑数据提供程序。它下面列出的主题包含针对特定数据提供程序配置服务器的步骤。为配置 OAuth 支持做准备开始数据提供程序特定的配置步骤之前，请先满足以下先决条件： l 获取将承载连接到此数据源的视图的每个 Tableau Server 节点的完全限定域名。例如： https://sales.your_domain.com 如果使用 Salesforce.com，将需要提供 https 地址。 l 确保至少为一个数据提供程序帐户启用 API 访问。对于 Google BigQuery 和 Google Analytics，您需要访问 Google Cloud Platform 上的开发人员控制台。对于 Salesforce.com，您需要访问 Force.com 平台。 l 确保您有数据源的最新驱动程序。对于 Google BigQuery，使用 32 位版本。您可以从 Tableau 网站上的驱动程序和激活页下载更新的驱动程序。配置数据提供程序的设置完成 OAuth 准备步骤后，可以对数据提供程序配置适当的设置。 l l 为 Google 设置 OAuth 向下为 Salesforce.com 设置 OAuth 在本页 425 为 Google 设置 OAuth 本主题介绍如何设置 Google BigQuery 和 Google Analytics 数据源以使用 OAuth。为每个 Tableau Server 实例完成这些步骤。注意：在完成这些步骤之前，确保您已完成为配置 OAuth 支持做准备向上中介绍的步骤。通过执行以下两个过程设置 OAuth： - 422 - l l 从 Google 获得必需信息并启用 API 访问。使用您获得的信息配置服务器。获取客户端 ID 并启用 Google API 注意：这些步骤反映编写本文时 Google Cloud Platform 控制台中的设置。有关详细信息，请参见 Google 开发人员控制台帮助中的对 Web 服务器应用程序使用 OAuth 2.0。 1. 登录到 Google Cloud Platform，然后单击 “Go to my console”。 2. 选择 “Projects”，然后在“Project”页上，单击 “Create Project”。 3. 在出现的新项目表单中，完成以下操作： l l 为项目提供一个有意义的名称，以反映您将对其使用此项目的 Tableau Server 实例。确定您是否要更改项目 ID。注意：在创建项目后，您将无法更改项目 ID。有关信息，请单击问号图 - 423 - 标。 4. 打开新项目，然后导航到 “APIs & auth”>“Credentials”。 5. 单击 “Create a New Client ID”，然后在“Create Client ID”页中，完成以下操作： l l l 选择 “Web Application”。对于“Authorized JavaScript Origins”，键入您的 Tableau Server 的本地计算机名称。对于“Authorized Redirect URI”，将现有文本替换为您服务器的 Internet 地址，并将以下文本添加到它的末尾：auth/add_oauth_token。例如： https://your_server_url.com/auth/add_oauth_token 6. 单击 “Create Client ID”。 7. 复制 Google 返回的以下值，并将其粘贴到您可以从 Tableau Server 计算机访问的位置： l 客户端 ID l 客户端密码 l 重定向 URI 8. 在 Google 开发人员控制台中，打开您的新项目，选择 “APIs & auth”>“APIs”，然后针对 “BigQuery API”或 “Analytics API”将状态设置为 “On”。 - 424 - 为 Tableau Server 配置 Google OAuth 使用您通过完成获取客户端 ID 并启用 Google API 在本页 423 中的步骤获得的信息，您可以配置您的 Tableau Server： 1. 在 Tableau Server 计算机上，以管理员身份打开命令提示符，并转到 Tableau Server bin 目录。 cd C:\Program Files\Tableau\Tableau Server\<version>\bin 2. 键入以下命令停止服务器： tabadmin stop 3. 键入以下命令使用您从 Google 获得的客户端 ID 和客户端密钥以及您的服务器 URI 配置服务器。在每个命令后按 Enter。 tabadmin set oauth.google.client_id <your_client_ID> tabadmin set oauth.google.client_secret <your_client_secret> tabadmin set oauth.google.redirect_uri <your_server_URI> 4. 键入以下命令完成配置并重新启动服务器： tabadmin config tabadmin start 管理访问令牌针对 OAuth 配置服务器之后，您可以允许用户在其配置文件设置中管理其自己的访问令牌，或者您可以集中管理这些令牌。有关详细信息，请参见允许已保存访问令牌在本页 428。为 Salesforce.com 设置 OAuth 本主题介绍如何设置 Salesforce.com 数据源以使用 OAuth。为每个 Tableau Server 实例完成这些步骤。注意：在完成这些步骤之前，确保您已完成为配置 OAuth 支持做准备在本页 422 中介绍的步骤。通过执行以下两个过程设置 OAuth： l l 在 Salesforce 中创建连接的应用使用您获得的信息配置服务器。 - 425 - 创建连接的 Salesforce 应用 1. 登录您的 Salesforce.com 开发人员帐户，单击右上方您的用户名，然后选择 “设置”。 2. 在左侧导航列中的“应用设置”下，选择 “创建”>“应用”。 3. 在“已连接应用”部分，单击 “新建”。 4. 填写 “基本信息”，然后在 API 部分选择 “启用 OAuth 设置”。 5. 在出现的新 OAuth 设置中，对于 “回调 URL”，键入您的服务器的完全限定域名( 使用 https 协议) ，并将以下文本追加到 URL：auth/add_oauth_token。例如： https://www.your_server.com/auth/add_oauth_token 6. 将下列项目从可用 OAuth 范围移到所选 OAuth 范围： l 访问和管理您的数据 (api) l 访问您的基本信息 (id) l 随时代表您执行请求 (refresh_token) - 426 - 7. 单击 “保存”。在保存应用后，Salesforce 会在 API 部分中填充以下将用于配置 Tableau Server 的 ID： l l l 使用者密钥使用者密码回调 URL 将 Tableau Server 配置为使用 Salesforce.com OAuth 1. 在 Tableau Server 计算机上，以管理员身份打开命令提示符，并转到 Tableau Server bin 目录： cd C:\Program Files\Tableau\Tableau Server\<version>\bin 2. 键入以下命令停止服务器： tabadmin stop 3. 键入以下命令使用您从 Salesforce 获得的使用者 ID 和密钥以及回调 URL 配置服务器。在每个命令后按 Enter： tabadmin set oauth.salesforce.client_id <your_consumer_ID> tabadmin set oauth.salesforce.client_secret <your_consumer_ secret> tabadmin set oauth.salesforce.redirect_uri <your_callback_ URL_> 4. ( 可选) 要更改默认登录服务器，请键入以下命令： tabadmin set oauth.salesforce.server_base_url <URL> 默认情况下，这设置为 https://login.salesforce.com。 5. 键入以下命令完成配置并重新启动服务器： tabadmin config tabadmin start - 427 - 管理访问令牌针对 OAuth 配置服务器之后，您可以允许用户在其配置文件设置中管理其自己的访问令牌，或者您可以集中管理这些令牌。有关详细信息，请参见允许已保存访问令牌向下。允许已保存访问令牌针对 OAuth 配置 Tableau Server 之后，您可以决定是允许用户管理其自己的 OAuth 凭据，还是要集中管理这些凭据。如果想要用户自行管理，您需要从服务器中启用用户配置文件设置。注意：如果尚未将服务器配置为启用 OAuth 数据连接，请参见下面列出的相关主题。 1. 以服务器管理员身份登录到 Tableau Server。 2. 选择 “服务器”>“设置”。 3. 单击 “常规”，然后选择以下各项： l 允许用户保存数据源密码 ( 允许用户随数据源一起保存其单独的凭据) 。 l 允许用户保存数据源的 OAuth 访问令牌 4. 单击 “保存”。选中这些复选框之后，用户将在其配置文件设置中看到 “管理凭据”部分，用户可在该部分中为 OAuth 数据连接添加访问令牌。 - 428 - 集中管理凭据或者，服务器管理员也可以集中管理 OAuth 凭据。举例来说，如果多个用户依据同一数据工作，或者您有数据提供商的专用用户帐户，则这样做的效果很好。若要集中管理凭据，请执行以下操作： l 清除前面过程中描述的复选框。 l 在发布数据源时编辑连接信息。在编辑连接时，请嵌入使用 OAuth 访问令牌( 而不是个人用户名和密码) 的凭据。如果不启用用于保存密码和访问令牌的设置，则用户的配置文件设置中将不包括“管理凭据” 部分。另请参见为 Google 设置 OAuth 在本页 422 为 Salesforce.com 设置 OAuth 在本页 425 - 429 - SAML SAML( 安全断言标记语言) 是一种 XML 标准，它允许安全的 Web 域交换用户身份验证和授权数据。您可以将 Tableau Server 配置为使用外部身份提供程序 (IdP) 通过 SAML 2.0 对 Tableau Server 用户进行身份验证。所有用户身份验证都在 Tableau 外部进行，无论您是使用 Active Directory 还是 Tableau Server 中的本地身份验证来管理 Tableau Server 上的用户帐户。这使您能够在组织中的所有应用程序之间为用户提供单点登录体验。 Tableau Server 中的 SAML 支持是针对用户身份验证的。它并不处理与 Tableau Server 内容 ( 例如工作簿) 有关的权限和授权。注意：IdP 提供的身份验证是一次性限时令牌。有关 SAML 的详细信息，请参见下面的链接: 快速开始：使用 SAML 的单点登录通过 Tableau 的 SAML 支持，您可以使用外部身份提供程序 (IdP) 来验证 Tableau Server 用户身份。所有用户身份验证都在 Tableau 外部进行，无论您是使用 Active Directory 还是 Tableau Server 中的本地身份验证来管理用户帐户。这使您能够在组织中的所有应用程序之间提供单点登录体验。若要将 Tableau Server 配置为使用 SAML，您需要以下内容： l l l l 证书文件：PEM 编码的 x509 证书，扩展名为 .crt。证书密钥文件：未受密码保护的 RSA 或 DSA 密钥文件，文件扩展名为 .key。 IdP 帐户：例如 PingFederate、SiteMinder 和 OpenAM。匹配的用户名：Tableau Server 用户名与 IdP 中存储的用户名必须匹配。在运行安装程序之前，确保您打算用于 Tableau Server 管理员帐户的用户名在 IdP 中已存在。 1 指定服务器和证书运行服务器安装程序。在配置实用工具中配置了常规设置后，单击 “SAML”选项卡并选择 “使用 SAML 进行单点登录”： - 430 - 在 “Tableau Server 返回 URL”文本框中，输入 Tableau Server 面向客户的 URL。为 “SAML 实体 ID”输入这个相同值。在 C:\Program Files\Tableau\Tableau Server 下创建 SAML 文件夹，并在该处复制 .crt 和 .key 文件。在接下来的两个字段中输入该位置。 2 从 Tableau 中导出元数据将 “SAML IdP 元数据文件”文本框保留为空，单击 “导出元数据文件”按钮。使用所选的 .xml 文件名。在下一个对话框中，保存 XML 文件。在下一步中，您将需要向 IdP 提供此文件。 3 从 IdP 中导出元数据在 IdP 的网站上，添加您的 Tableau Server 作为 IdP 进行身份验证的连接类型。在此过程中，您将导入在步骤 2 中创建的 Tableau 元数据 .xml 文件，并确认您的 IdP 设置使用 username 作为要验证的属性元素。 - 431 - 接着，导出 IdP 的元数据 .xml 文件，并将其复制到 Tableau Server 上的以下文件夹： C:\Program Files\Tableau\Tableau Server\SAML 4 测试 SAML 登录在 Tableau 配置实用工具中 “SAML”选项卡上的 “SAML IdP 元数据文件”文本框中，输入 IdP 文件的位置。单击“确定”。完成安装程序，同时在提示时创建一个管理员帐户。要测试所做的更改，请启动一个新的 Web 浏览器会话以连接到 Tableau Server。您应该会注意到登录提示来自 IdP 而不是 Tableau： SAML 身份验证的工作原理 SAML( 安全断言标记语言) 是一种开放标准，用于在服务提供程序和身份提供程序 (IdP) 之间交换身份验证信息。使用第三方 IdP 来验证用户身份，并将身份信息以数字签名的 XML 文档的形式传递给服务提供程序。Tableau Server 是一种服务提供程序。IdP 的示例包括 PingOne 和 OneLogin。在使用受信任的 IdP 进行 SAML 连接时，可以提供单点登录 (SSO) 体验，也即用户可以通过一组凭据来访问其 Web 应用程序( 包括 Tableau Server) 。在此环境中，只有 IdP 能够访问用户的凭据。 Tableau 支持由服务提供程序启动的身份验证。这意味着您的用户必须从 Tableau Server 的登录页面而不是 IdP 登录页面来访问它。以下图像显示了单点登录身份验证序列。 - 432 - 1 2 3 4 5 用户导航到 Tableau Server 登录页面或已发布的工作簿，然后输入用户名。 Tableau Server 启动身份验证过程并将请求重定向到已注册的 IdP。 IdP 请求用户的密码，并在确认提交的用户名与 IdP 断言中存储的用户名相同后验证用户的身份。 IdP 向 Tableau Server 返回 SAML 成功响应。 Tableau Server 显示用户在步骤 1 中请求的页面。 SAML 要求若要将 Tableau Server 配置为使用 SAML，您需要以下内容： l l l 证书文件：PEM 编码的 x509 证书，文件扩展名为 .crt。此文件由 Tableau Server 而不是 IdP 使用。如果您拥有 SSL 证书，则可以将同一个证书与 SAML 一起使用。有关详细信息，请参见本主题后面的关于证书文件。证书密钥文件：未受密码保护的 RSA 或 DSA 私钥文件，文件扩展名为 .key。此文件由 Tableau Server( 而不是 IdP) 使用。证书密钥文件中必须嵌入密码。如果有 SSL 证书密钥文件，也可以将其用于 SAML。有关详细信息，请参见本主题后面的关于证书文件。支持 SAML 2.0 的 IdP 帐户：您需要一个外部身份提供程序帐户。一些示例是 - 433 - PingFederate、SiteMinder 和 Open AM。IdP 必须支持 SAML 2.0。 l 支持导入/导出 XML 元数据的 IdP 提供程序：您的身份提供程序必须支持导入和导出 XML 元数据文件。手动生成的文件似乎可工作，但 Tableau Software 技术支持无法协助进行手动 IdP 元数据文件生成或疑难解答。有关 SAML 与 Tableau Server 的兼容性的其他注意事项请注意有关将 SAML 与 Tableau Server 结合使用的以下事项： l l l l l l l l l SP 启动：Tableau Server 只支持在服务提供程序 (SP) 处开始的 SAML 身份验证。无 Active Directory 自动登录：如果您使用 SAML 且 Tableau Server 还配置为使用 Active Directory 来进行用户管理，请不要同时选择 “启用自动登录”。无 Kerberos：Tableau Server 不支持同时使用 SAML 和 Kerberos。 Tableau Server 中适用于 tabcmd 用户的用户标识：若要将 tabcmd 用于服务器，用户必须使用某个用户在服务器上定义的凭据登录到服务器；您不能使用 tabcmd 通过 SAML 登录。首次安装和配置服务器时将创建初始系统管理员用户，您可以通过在服务器上创建用户或从 Active Directory 导入用户来添加更多用户。有关详细信息，请参见将用户添加到服务器在本页 175。使用基于表单的身份验证的 IdP 提供程序：Tableau Desktop 需要基于表单的身份验证。如果您的 IdP 不支持基于表单的身份验证，您可以使用 wgserver.authentication.desktop_nosaml 命令为 Tableau Desktop 禁用 SAML。有关详细信息，请参见 tabadmin set 选项在本页 556。分布式安装：配置为使用 SAML 的群集必须在运行应用程序服务器进程的每台 Tableau Server 上都有相同的 SAML 证书、SAML 密钥和 SAML IdP 元数据文件。有关详细信息，请参见将服务器群集配置为使用 SAML。登录 URL：若要登录，必须为 IdP 配置将 POST 请求发送至 http (s)://<tableauserver>/wg/saml/SSO/index.html 的 SAML 登录。注销 URL：若要在使用 SAML 进行身份验证后注销，必须为 IdP 配置一个将 POST 请求发送至 http (s)://<tableauserver>/wg/saml/SingleLogout/index.html 的 SAML 注销端点。注销后重定向 URL：默认情况下，当您注销 Tableau Server 时，登录屏幕将出现。您可以使用 tabadmin set wgserver.saml.logout.redirect_url 命令来指定要在注销后显示的备选页面。 l 若要指定绝对 URL，请使用以 http:// 或 https:// 开头的完全限定的 URL ( 例如 tabadmin set wgserver.saml.redirect_url http://corpserver.bigco.com) 。 l 若要指定相对于 Tableau Server 主机的 URL，请使用以 /( 斜杠) 开头的页面( 例如 tabadmin set wgserver.saml.redirect_url /ourlogoutpage.html) 。 - 434 - l 若要指定相对于 Tableau Server SingleLogout APIend 点的 URL，请仅使用页面名称( 例如 tabadmin set wgserver.saml.redirect_url ourlogoutpage.html) 。 XML 数据要求可以使用 Tableau Server 和 IdP 生成的元数据 XML 文档来配置 SAML。在身份验证过程中， IdP 和 Tableau Server 使用 XML 交换身份验证信息。为了确保用于 SAML 配置和 SAML 身份验证的 XML 正确工作，请查看以下要求。如果 XML 未满足这些要求，您可能会在配置 SAML 时或在身份验证过程中遇到错误。 l HTTP POST：对于 SAML 通信，Tableau Server 只接受 HTTP POST 请求。不支持 HTTP 重定向。由 Tableau Server 导出的 SAML 元数据 XML 文档应包含以下元素，以及设置为 HTTP-POST 的 Binding 属性。 l 您应该验证的第一个元素指定身份验证成功后 IdP 重定向到的 URL： <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http(s)://YOUR-SERVER/wg/saml/SSO/indesx.html index="0" isDefault="true"/> l 您应该验证的第二个元素指定 IdP 将用于注销端点的 URL： <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http (s)://<tableauserver>/wg/saml/SingleLogout/index.html/> 此外，IdP 创建的元数据 XML 文档应包含以下 SingleSignOnService 元素，以及设置为 HTTP-POST 的 Binding 属性。 <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http(s)://<tableauserver>/wg/saml/SSO/index.html/> l 名为 username 的属性：您必须配置身份提供程序以便返回采用如下格式在 <saml:AttributeStatement> 元素中包括 username 值的断言。确保以 xs:string 形式键入属性。( 不要以 xs:any 形式键入属性。) <saml:Assertion assertion-element-attributes> <saml:Issuer>issuer-information</saml:Issuer> <Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> - 435 - ... </Signature> <saml:Subject> ... </saml:Subject> <saml:Conditions condition-attributes > ... </saml:Conditions> <saml:AuthnStatement authn-statement-attributes > ... </saml:AuthnStatement> <saml:AttributeStatement> <saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrnameformat:basic"> <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string"> user-name </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> </saml:Assertion> 若要更改 username 值传入其中的 SAML 属性，请使用 tabadmin set 命令将 wgserver.saml.idpattribute.username 值设置为其他属性名称。如果使用全局 ID，则必须更改此属性。属性名称区分大小写。 l 匹配的用户名：Tableau Server 用户名与 IdP 中存储的用户名必须匹配。例如，如果史珍妮的用户名在 PingFederate 中存储为 jsmith，那么它在 Tableau Server 中也必须存储为 jsmith。如果在 Tableau Server 安装过程中配置 SAML，则安装过程将会创建 Tableau Server 管理员帐户。在运行安装程序之前，请确保您打算使用的帐户存在于 IdP 中。如果将 Active Directory 身份验证与 Tableau Server 配合使用，并且有多个 Active Directory 域( 用于属于多个域或 Tableau Server 安装包括多个域) ，则 IdP 必须发送用户的域和用户名，并且这些域和用户名必须在 Tableau Server 中与用户完全匹配( 可采用 domain/username 或 username@domain 的形式发送这些域和用户名) 。关于证书文件如果将 PEM 编码的 x509 证书文件用于 SSL，则可以将同一个文件用于 SAML。将其用于 SSL 时，此证书文件用于加密流量。将其用于 SAML 时，此证书用于进行身份验证。 - 436 - 如果证书/密钥需要链文件，Tableau Server 不支持 SAML 的证书和证书密钥文件。如果您的 SSL 证书和证书密钥文件需要链文件，您需要生成新的证书和密钥文件以用于 SAML。配置 SAML 可以将 Tableau Server 配置为使用外部身份提供程序 (IdP) 通过 SAML 对 Tableau Server 用户进行身份验证。所有用户身份验证都在 Tableau 中完成，无论您是使用 Active Directory 还是 Tableau Server 中的本地身份验证来管理 Tableau Server 上的用户。这使您能够在组织中的所有应用程序之间提供单点登录体验。在将 Tableau Server 配置为使用 SAML 之前，确保满足 SAML 要求在本页 433。配置 SAML 将 Tableau Server 配置为使用 SAML： 1. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SAML 的文件夹中。例如： C:\Program Files\Tableau\Tableau Server\SAML 您应使用此位置，因为运行 Tableau Server 的用户帐户具有访问此文件夹的必要权限。 2. 如果您在 Tableau Server 安装过程中配置 SAML，请转到配置实用工具中的“SAML”选项卡。如果在安装 Tableau Server 之后配置 SAML，请打开 Tableau Server 配置实用工具 ( “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”) ，然后单击 “SAML”选项卡。 3. 在“SAML”选项卡上，选择 “使用 SAML 进行单点登录”并提供以下各项的位置： Tableau Server 返回 URL － Tableau Server 用户将访问的 URL，例如 http://tableau_server。不建议使用 http://localhost。不支持使用结尾有斜杠的 URL( 例如，http://tableau_server/) 。 SAML 实体 ID - 实体 ID 可向 IdP 唯一地标识您的 Tableau Server 安装。如果您愿意，可以在此处再次输入 Tableau Server URL，但它不必非得是您的 Tableau Server URL。 SAML 证书文件 - PEM 编码的 x509 证书，文件扩展名为 .crt。此文件由 Tableau Server 而不是 IdP 使用。 SAML 证书密钥文件 - 不受密码保护的 RSA 或 DSA 私钥文件，文件扩展名为 .key。此文件由 Tableau Server 而不是 IdP 使用。 4. 暂时将 “SAML IdP 元数据文件”文本框保留为空，然后单击 “导出元数据文件”。 - 437 - 5. 将会打开一个对话框，允许您将 Tableau Server 的 SAML 设置保存为 XML 文件。此时，不包括来自 IdP 的元数据。使用所选名称保存 XML 文件。 6. 在您的 IdP 网站上或在其应用程序中： l l 添加 Tableau Server 作为服务提供程序。有关如何执行此操作的信息，请参阅 IdP 的文档。在将 Tableau Server 配置为服务提供程序的过程中，您将导入在步骤 5 中保存的文件。确认您的 IdP 使用 “用户名”作为要验证的属性元素。 7. 仍然是在 IdP 中，导出您的 IdP 的元数据 XML 文件。最好验证一下您从 IdP 获得的元数据 XML 是否包括绑定设置为 HTTP-POST 的 SingleSignOnService 元素，如以下示例中所示： <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/> 8. 将 IdP 的元数据 XML 文件复制到安装了 Tableau Server 的计算机上的以下文件夹： C:\Program Files\Tableau\Tableau Server\SAML 9. 在“Tableau Server 配置”对话框的“SAML”选项卡上，在 “SAML IdP 元数据文件”文本框中输入文件位置： - 438 - 10. 单击“确定”。Tableau Server 现在已配置为使用 SAML 身份验证。将 Server 群集配置为使用 SAML 在配置 Tableau Server 群集以使用 SAML 时，您需要将相同的 SAML 证书、SAML 密钥和 SAML IdP 元数据文件放在运行 Tableau 应用程序服务器进程( 也称为 vizportal.exe) 的每台计算机上。将 Tableau Server 群集配置为使用 SAML： 1. 按照上面过程中所述配置主 Tableau Server。 2. 将您用于此主服务器的相同 SAML 证书、SAML 密钥和 SAML IdP 元数据文件放置在运行应用程序服务器进程的每台 Tableau 工作计算机上。对工作计算机使用您用于主服务器的相同文件夹位置。您无需对工作计算机执行任何其他配置。例如，假设有一个包括一台主 Tableau Server 和两台工作服务器的群集。应用程序服务器进程在主服务器以及工作服务器 2 和工作服务器 3 上运行。在这种情况下，您将主 Tableau Server 配置为使用 SAML，然后将相同的 SAML 证书、SAML 密钥和 SAML IdP 元数据文件复制到工作服务器 2 和工作服务器 3 计算机。在工作服务器计算机上，将 SAML 文件放在 C:\Program Files\Tableau\Tableau Server\SAML 文件夹中，就像它们位于主计算机上一样。测试配置打开一个新的 Web 浏览器实例并在 URL 窗口中键入 Tableau Server 名称，来测试您的 SAML 配置： - 439 - 您应该会注意到出现的登录提示来自 IdP 而不是 Tableau Server：配置 SAP HANA SSO 可以将 Tableau Server 配置为使用 SAML 委派来为 SAP HANA 提供单点登录 (SSO)。HANA SSO 不依赖于 Tableau Server 的 SAML 身份验证。注意：您无需使用 Tableau Server 的 SAML 登录来使用 HANA SSO。您可以使用所选的任何方法登录到 Tableau Server。通过 SAP HANA 的 SSO，Tableau Server 充当身份提供程序 (IdP)，并且此配置允许您为进行 SAP HANA 连接的用户提供单点登录体验。在配置过程中，您需要获取 Tableau Server 的 SAML 证书和密钥文件( 应该是公钥证书和私钥) 。您还需要在 HANA 中安装签名的证书。您可以自己生成证书和密钥，也可以从证书颁发机构获取。有关生成证书/私钥以及配置 SAP HANA 的详细信息，请参见 Tableau 知识库。注意：Tableau Server 上必须安装 SAP HANA 驱动程序版本 1.00.9 或更高版本才能为 SAP HANA 使用 SSO。驱动程序无法对 SAML 断言进行加密，因此您可能需要为 SAML 连接启用加密。有关详细信息，请参见 Tableau 知识库。 - 440 - 针对 SAP HANA 配置 SSO 将 Tableau Server 配置为针对 SAP HANA 使用 SSO： 1. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SAML 的文件夹中。例如： C:\Program Files\Tableau\Tableau Server\SAML 您应使用此位置，因为运行 Tableau Server 的用户帐户具有访问此文件夹的必要权限。 2. 安装 Tableau Server 之后，运行配置实用工具( “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”) ，然后单击 “SAP HANA”选项卡。 3. 选择 “使用 SAML 为 SAP HANA 启用单点登录”并提供以下各项的位置： SAML 证书文件 - PEM 编码的 x509 证书，文件扩展名为 .crt 或 .cert。此文件由 Tableau Server 使用，并且还必须安装在 HANA 上。 SAML 私钥文件 - 不受密码保护的 DER 编码的私钥文件，文件扩展名为 .der。此文件仅由 Tableau Server 使用。 4. 选择用户名的格式。 5. 选择用户名的大小写。这将确定将在名称转发到 SAP HANA 身份提供程序 (IdP) 时的名称大小写。 - 441 - SAML 疑难解答使用以下主题排查 SAML 问题。 SAML 和启用自动登录如果您使用 SAML 且 Tableau Server 还配置为使用 Active Directory，请不要同时选择 “启用自动登录”。“启用自动登录”和 SAML 不能同时在同一服务器安装上使用。配置 SAML 时出现 HTTP 状态 500 错误在某些情况下，启用 SAML 并在浏览器中导航到 Tableau Server URL 之后，您可能会收到 HTTP 状态 500 错误并看到以下错误： org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser 为了帮助解决此错误，请确保以下各项： l 在“SAML”选项卡中指定的 SSO 配置文件的 IdP URL 正确无误。 l 在 IdP 中创建服务提供程序时提供的 SSO 配置文件的 IdP URL 正确无误。 l IdP 配置为使用 SP 发起的身份验证。( 不支持 IdP 发起的身份验证。) l IdP 配置为使用 HTTP-POST 请求。( 不支持重定向和 SOAP。) 如果任何这些设置不正确，请进行适当的更新，然后再次执行 SAML 配置步骤，从通过 Tableau Server 生成和导出 XML 元数据文档开始。如果这些设置正确无误，但您仍然看到错误，请检查 Tableau Server 和 IdP 生成的元数据 XML，如 SAML 要求在本页 433中所述。从命令行登录即使 Tableau Server 配置为使用 SAML，但如果您使用命令行工具 tabcmd 在本页 500 或 Tableau 数据提取命令行实用工具 ( 随 Tableau Desktop 提供) 登录 Tableau Server，也不会使用 SAML。登录失败登录可能会失败，并出现以下消息： Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server. - 442 - 此错误通常意味着 Tableau Server 中存储的用户名与 IdP 提供的用户名之间存在不匹配。若要修复此错误，请确保这些用户名匹配。例如，如果史珍妮的用户名在 IdP 中存储为 jsmith，那么它在 Tableau Server 中也必须存储为 jsmith。 SAML 错误日志 SAML 身份验证在 Tableau Server 外部进行，因此，排查身份验证问题可能很困难。但是， Tableau Server 会记录登录尝试。可以创建日志文件的快照，并使用它们来排查问题。有关详细信息，请参见对日志文件进行存档在本页 583。注意：在 Tableau Server 9.0 及更高版本中，若要记录 SAML 相关事件， wgserver.log.level 和 vizportal.log.level 均必须设置为 debug。有关详细信息，请参见更改日志记录级别在本页 593。在未解压的日志文件快照内的以下文件中，检查 SAML 错误： \wgserver\wgserver-<n>.log \vizportal\vizportal-<n>.log \wgserver\production.<nnnn>_<yyyy_mm_dd_hh_mm_ss>.log 在 Tableau Server 9.0 及更高版本中，应用程序进程 (vizportal.exe) 处理身份验证，因此 SAML 响应由该进程记录。SAML 安装程序进程将信息记录在 API 服务器进程 (wgserver.exe) 的日志中。末尾斜杠在“SAML”选项卡上，确认 “Tableau Server 返回 URL”的末尾没有斜杠( 正确：http://tableau_server；错误：http://tableau_server/) ： - 443 - 确认连接确认您配置的 Tableau Server 具有可路由的 IP 地址，或者在防火墙上具有允许直接与服务器双向通信的 NAT。若要测试连接，可以在 Tableau Server 上运行 telnet，并尝试与 SAML IdP 进行连接。例如：C:\telnet 12.360.325.10 80 以上测试应连接到 IdP 上的 HTTP 端口 (80)，而且您应收到 HTTP 标头。 - 444 - SSL SSL( 安全套接字层) 是一种标准安全技术，用于在 Web 服务器和客户端之间建立加密的链接。若要使用 SSL，您需要在 Tableau Server 上安装 SSL 证书。 Tableau Server 也支持以相互( 双向) SSL 作为加密和身份验证方法。可以将 Tableau Server 配置为按以下方法使用 SSL： l l l 将 SSL 用于外部 HTTP 流量。在客户端( Tableau Desktop、Web 浏览器和 tabcmd.exe) 与 Tableau Server 之间使用相互( 双向) SSL。将 SSL 用于内部服务器组件与存储库之间的所有 HTTP 流量。如果使用相互 SSL，则每个客户端还需要一个证书。注意：Tableau Server 只使用 SSL 进行用户身份验证。Tableau Server 不使用 SSL 来处理 Tableau Server 上承载的内容( 例如工作簿) 的权限和授权。有关更多信息，请参见以下主题：快速开始：相互 ( 双向 ) SSL 身份验证若要在所有设备中提供安全的 Tableau 自动登录体验，请使用相互 SSL。利用相互 SSL，当具有有效证书的客户端( Tableau Desktop、Web 浏览器或 tabcmd.exe) 连接到 Tableau Server 时，Tableau Server 会确认是否存在有效的客户端证书，并使用它在证书中找到的用户名使用户自动登录。如果客户端没有有效的 SSL 证书，则 Tableau Server 会拒绝连接。若要将 Tableau Server 配置为使用相互 SSL，您需要以下内容： l l l l 证书文件：PEM 编码的 x509 证书文件，扩展名为 .crt。证书密钥文件：未受密码保护的 RSA 或 DSA 密钥文件，文件扩展名为 .key。证书 CA 文件：PEM 编码的 x509 证书文件，扩展名为 .crt。客户端设备上的客户端证书：Tableau Server 查询客户端是否有它信任的 SSL 证书，然后才允许连接到 Tableau Server。证书文件应位于 C:\Program Files\Tableau\Tableau Server\SSL 文件夹中。 1 将 SSL 用于服务器通信若要将 Tableau Server 配置为使用 SSL 在 Tableau Server 和 Web 客户端之间进行外部通信，请在安装 Tableau Server 后运行 Tableau Server 配置实用工具。单击 “SSL”选项卡，然后选择 “将 SSL 用于服务器通信”。 - 445 - 为 “SSL 证书文件”和 “SSL 证书密钥文件”指定值。 2 使用相互 SSL 若要添加服务器与每个客户端之间的相互身份验证，并允许体验自动登录，请选择 “使用相互 SSL 和具有客户端证书的自动登录”。指定 SSL CA 证书文件。SSL CA 证书文件标识证书颁发机构( 例如 Verisign) 的证书。有关如何配置多个证书颁发机构的信息，请参见配置外部 SSL 下一页。单击 “确定”关闭 Tableau Server 配置实用工具，然后启动 Tableau Server。 - 446 - 其他相互 SSL 选项后备身份验证如果 Tableau Server 配置为使用相互 SSL，则会自动进行身份验证，并且客户端必须具有有效的证书。如果需要后备选项，请使用 tabadmin set ssl.client_certificate_ login.fallback_to_password true 命令将 Tableau Server 配置为允许进行用户名/ 密码身份验证。如果将此选项设置为 “真”，则在 SSL 证书身份验证失败的情况下，允许 Tableau Server 使用用户名和密码进行后备身份验证。用户名映射当 Tableau Server 配置为使用相互 SSL 时，服务器将从客户端证书中获取用户名，以便客户端可自动登录。Tableau Server 使用的名称取决于如何配置 Tableau Server 来进行用户身份验证： l l 本地身份验证 — Tableau Server使用证书中的 UPN( 用户主体名称) 。 Active Directory (AD) — Tableau Server使用 LDAP( 轻量级目录访问协议) 来获取用户名。可通过使用 tabadmin set ssl.client_certificate_login.mapping_ strategy 命令覆盖任一这些默认值，将 Tableau Server 设置为使用 CN( 通用名称) 。证书吊销列表 (CRL) 如果怀疑私钥已泄露，或者，如果证书颁发机构 (CA) 没有正确颁发证书，则您可能需要指定 CRL。若要指定 CRL，请使用 tabadmin set ssl.revocation.file 命令。有关更多信息，请参见 tabadmin set 命令。。配置外部 SSL 可以将 Tableau Server 配置为对所有外部 HTTP 流量使用安全套接字层 (SSL) 加密的通信。设置 SSL 可确保对 Tableau Server 的访问是安全的，并且在 Web 浏览器与服务器之间或 Tableau Desktop 与服务器之间传递的敏感信息将受到保护。下面的主题介绍了针对 SSL 配置服务器的步骤；不过，您必须先从受信任的颁发机构获取证书，然后将证书文件导入到 Tableau Server 中。如果您运行的是 Tableau Server 群集并且希望使用 SSL，请参见下面的为群集配置 SSL 在本页 449 以获取建议。 1. 从受信任的颁发机构( 例如 Verisign、Thawte、Comodo、GoDaddy) 获取 Apache SSL 证书。您也可以使用您的公司颁发的内部证书。还支持允许您将 SSL 用于同一个域中多个主机名的通配符证书。某些浏览器还需要其他配置才能接受来自特定提供者的证书。请参见由您的证书颁发机构提供的文档。 2. 将证书文件放在与 Tableau Server 9.2 文件夹同级的名为 SSL 的文件夹中。例如： - 447 - C:\Program Files\Tableau\Tableau Server\SSL 此位置为运行 Tableau Server 的帐户提供这些文件的必要权限。注意：您可能需要创建此文件夹。 3. 通过在“开始”菜单上选择 “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”打开 Tableau Server 配置实用工具。 4. 在“配置 Tableau Server”对话框中，选择 “SSL”选项卡。 5. 选择 “将 SSL 用于服务器通信”并提供以下每个证书文件的位置： l SSL 证书文件 — 必须是有效的 PEM 编码 x509 证书，扩展名为 .crt。 SSL 证书密钥文件 — 必须是不受密码保护的有效 RSA 或 DSA 密钥( 包含嵌入式密码) ，文件扩展名为 .key。 SSL 证书链文件( 可选) — 某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件，连接构成服务器证书的证书链的所有证书。文件中的所有证书必须为 x509 PEM 编码，文件扩展名必须为 .crt( 而不是 .pem) 。 6. ( 可选) 如果要使用 SSL 进行服务器通信，并且想要使用服务器和客户端上的证书来配置 Tableau Server 与客户端之间的 SSL 通信： l l 选择 “使用相互 SSL 和具有客户端证书的自动登录”。在 “SSL CA 证书文件”中，浏览到证书文件的位置。SSL CA 证书文件必须是有效的 PEM 编码 x509 证书，扩展名为 .crt。注意：如果您有多个受信任的证书颁发机构 (CA)，则可以将每个 CA 证书的整个内容( 包括“BEGIN CERTIFICATE”和“END CERTIFICATE”行) 复制和粘贴到新文件中，然后将文件另存为 CAs.crt。在 “SSL CA 证书文件” 中，浏览到此新文件的位置。 7. 单击 “确定”。更改将在下次重新启动服务器时生效。针对 SSL 配置服务器后，该服务器会将请求接受到非 SSL 端口( 默认为端口 80) 并自动重定向至 SSL 端口 443。注意：Tableau Server 仅支持端口 443 作为安全端口。它不能在有其他应用程序正在使用端口 443 的计算机上运行。 SSL 错误记录在以下位置的安装目录中。使用此日志可解决验证和加密问题： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log - 448 - 为群集配置 SSL 您可将 Tableau Server 群集配置为使用 SSL。如果主 Tableau Server 计算机是唯一一个运行网关进程的节点( 默认情况下如此) ，则您只需要在此节点上配置 SSL。有关步骤，请参见上述过程。 SSL 和多个网关一个高度可用的 Tableau Server 群集可包括多个网关，它们前面有负载平衡器( 了解详情 ) 。如果您要将此类型的群集配置为使用 SSL，则有两种选择： l l 为 SSL 配置负载平衡器。从客户端 Web 浏览器到负载平衡器的流量会经过加密。从负载平衡器到 Tableau Server 网关进程的流量不会经过加密。不需要在 Tableau Server 中进行 SSL 配置，这全都由负载平衡器处理。将 Tableau Server 配置为使用 SSL：从客户端 Web 浏览器到负载平衡器以及从负载平衡器到 Tableau Server 网关进程的流量都会经过加密。有关详细信息，请参见以下过程。将服务器群集配置为使用 SSL 当您将 Tableau Server 群集配置为使用 SSL 时，您将 SSL 证书和密钥文件放在运行网关进程的每台计算机上。将 Tableau Server 群集配置为使用 SSL： 1. 将负载平衡器配置为使用 SSL 传递。请查阅负载平衡器的文档以获取帮助。 2. 确保为负载平衡器的主机名颁发了所使用的 SSL 证书。 3. 按照上面过程中所述配置主 Tableau Server 节点。 4. 将用于主服务器的同一 SSL 证书和密钥文件放在运行网关进程的每台 Tableau Server 工作服务器节点上。对工作计算机使用您用于主服务器的相同文件夹位置。如果要使用相互 SSL，请将用于主服务器的 SSL CA 证书文件放在运行网关进程的每个工作服务器节点上。使用您用于主服务器的相同文件夹位置。您无需对工作计算机执行任何其他配置。 - 449 - 例如，假设您具有一个包括主 Tableau Server 节点和三个工作服务器节点的群集，并且网关进程运行在主服务器、工作服务器 2 和工作服务器 3 上。在此情况下，您将主 Tableau Server 配置为使用 SSL，然后将同一 SSL 证书和密钥文件复制到工作服务器 2 和工作服务器 3。因为这些文件位于主服务器上的 C:\Program Files\Tableau\Tableau Server\SSL 文件夹中，所以它们位于工作服务器 2 和工作服务器 3 上的同一位置。您可将 Tableau Server 群集配置为使用 SSL。如果主 Tableau Server 计算机是唯一一个运行网关进程的节点( 默认情况下如此) ，则您只需要在此节点上配置 SSL。有关步骤，请参见上述过程。配置内部 SSL 可以将 Tableau Server 配置为对 Postgres 存储库和其他服务器组件之间的所有流量使用安全套接字层 (SSL) 进行加密通信。默认情况下，已为服务器组件和存储库之间的通信禁用了 SSL。 1. 通过选择 “开始”>“所有程序”>“Tableau Server 9.2”>“配置 Tableau Server”打开 Tableau Server 配置实用工具。 2. 在“Tableau Server 配置”对话框中，单击 “SSL”选项卡。 3. 选择以下选项之一： l 所有连接都需要选择此选项之后，Tableau Server 将为存储库数据库和其他服务器组件之间的通信使用 SSL。此外，与 Tableau Server 的直接连接( 使用“tableau” 或“readonly” 用户) 必须使用 SSL。 l 对于直接用户连接为可选此选项将 Tableau Server 配置为在存储库和其他服务器组件之间使用 SSL，并且支持( 但不需要) 为以下用户的直接连接使用 SSL：“tableau” 或“readonly”用户。 l 对于所有连接均关闭 ( 默认值) 此选项为内部通信和直接连接禁用 SSL。 4. 单击 “确定”。有关下载用于直接连接的公共证书的详细信息，请参见配置用于直接连接的 SSL 向下。配置用于直接连接的 SSL 当 Tableau Server 配置为在内部使用 SSL 时，对于直接连接到 Tableau Server 存储库数据库的客户端计算机而言，SSL 连接是可选或者必需的。直接连接包括使用以下用户进行的连接：“tableau”用户或“readonly”用户的访问权。 - 450 - 若要为直接连接使用 SSL，请生成 SSL 证书文件并将其复制到将从中进行直接连接的计算机。 1. 使用 regenerate_internal_tokens 在本页 548 命令来生成 SSL 证书文件。 2. 通过查看主 Tableau Server 节点上的 workgroup.yml 文件查找 SSL 证书文件。 workgroup.yml 文件位于 Tableau Server 主节点上的 \ProgramData\Tableau\Tableau Server\data\tabsvc\config 文件夹中。 SSL 证书和密钥文件列在该文件中。例如： pgsql.ssl.cert.file: C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql/server.crt pgsql.ssl.key.file: C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql/server.key 3. 将证书文件复制到将进行直接连接的计算机，并使用操作系统制造商提供的文档将它们导入到该计算机的证书存储中。注意：不要复制密钥文件。此文件只应位于服务器上。相互 SSL 身份验证的工作原理相互( 或双向) SSL 身份验证将加密数据流、服务器和客户端相互身份验证以及自动登录便利性相结合。若要将相互 SSL 与 Tableau Server 配合使用，需要 Tableau Server 的 SSL 证书，以及将连接到 Tableau Server 的每个客户端上的证书。您还需要将 Tableau Server 配置为使用相互 SSL。Tableau Server 和客户端会相互验证对方是否具有有效证书，并且 Tableau Server 会根据 Tableau Server 在客户端证书中找到的用户名使客户自动登录。下图显示了随相互 SSL 一起发生的事件序列。 - 451 - 用户导航到 Tableau Server。 1 Tableau Server将其 SSL 证书发送给客户端计算机。 2 客户端计算机验证 Tableau Server 证书。 3 客户端计算机将其证书发送给 Tableau Server。 4 Tableau Server 验证客户端证书。 5 Tableau Server 使用证书中的用户名使用户登录。 6 在相互身份验证过程中将客户端证书映射到用户使用相互( 双向) SSL 身份验证时，客户端会在身份验证过程中将其证书提供给 Tableau Server。Tableau Server 然后将客户端证书中的用户信息映射到已知的用户标识。Tableau Server 可以使用不同的策略执行客户端映射，具体取决于组织中的客户端证书的内容。本主题论述有关如何将客户端证书映射到用户身份的选项，并介绍服务器如何在必要时执行映射。请注意，为了使您了解映射的执行方式以及您是否需要更改 Tableau Server 的默认映射，您必须了解组织中客户端证书的构建方式。 l 映射选项 l 更改证书映射 l 多域组织中的不明确用户名映射选项 Tableau Server可以使用以下方法之一将客户端证书映射到用户标识： l 使用 Active Directory。如果在设置过程中已将 Tableau Server 配置为使用 Active Directory 进行用户身份验证，则在 Tableau Server 收到客户端证书时，Tableau Server 会将证书传送至 Active Directory，从而将证书映射至 Active Directory 标识。将忽略证书中的任何显式用户名信息。注意：此方法要求对 Active Directory 中的用户帐户发布客户端证书。 l 使用用户主体名称 (UPN)。在创建的客户端证书中，其用户名也可能位于证书的用 - 452 - 户主体名称 (UPN) 字段中。Tableau Server 可读取 UPN 值，并将其映射到 Active Directory 中的用户或本地用户。 l 使用公用名称 (CN)。在创建的客户端证书中，其用户名也可能位于证书的公用名称 (CN) 字段中。Tableau Server 可读取 CN 值，并将其映射到 Active Directory 中的用户或本地用户。如果服务器配置为使用 Active Directory 身份验证，并且您要使用 UPN 或 CN 映射，则用户名应该采用以下其中一种格式：username、domain\username 或 username@domain。例如，此名称必须为 asmith、example.org\asmith 或 asmith@example.org。如果服务器使用本地身份验证，则不会预先确定 UPN 或 CN 字段中名称的格式，但字段中的名称必须与服务器上的用户名匹配。更改证书映射 Tableau Server 将客户端证书映射到用户标识所使用的方法通过 ssl.client_ certificate_login.mapping_strategy 设置来指定。此设置可能的值为 ldap( 适用于 Active Directory) 、upn( 适用于 UPN 映射) 或 cn( 适用于 CN 映射) 。首次安装和配置 Tableau Server 时，服务器将为映射指定默认设置。默认情况下，如果 Tableau Server 配置为使用 Active Directory，则服务器也使用 Active Directory 将证书映射到用户身份( ssl.client_certificate_login.mapping_strategy 设置为 ldap) 。如果服务器配置为使用本地身份验证，则默认情况下服务器将从证书的 UPN 字段中获取用户名值( ssl.client_certificate_login.mapping_strategy 设置为 upn) 。如果服务器配置中 Tableau Server 将用户名映射到标识的默认行为不正确，请运行 tabadmin set 命令以更改 ssl.client_certificate_login.mapping_strategy 的值。例如，以下命令序列显示如何设置映射以使用 CN 值： tabadmin tabadmin tabadmin tabadmin stop set ssl.client_certificate_login.mapping_strategy cn configure start 多域组织中的不明确用户名在某些情况下，证书的 UPN 或 CN 字段中的用户名可能不明确。这可能会导致在将用户名映射到服务器上的用户身份时出现意外结果。如果满足以下所有条件，则可能会发生这种情况： l 您的组织支持多个 Active Directory 域。 l 服务器配置为使用 Active Directory 身份验证。 l 服务器配置为使用 UPN 或 CN 映射。 l 一些用户具有相同的用户名，但具有不同的域( 例如，asmith@example.org 和 asmith@example.com) 。 - 453 - l 证书的 UPN 或 CN 字段中的用户名未将域包括为用户名的一部分 — 例如，证书只包括 asmith。如果 Tableau Server 获取没有域的用户名，则服务器会使用默认域将用户名映射到身份。这可能会导致用户名映射不正确。重要信息：用户名映射不正确可能会导致为一名用户授予另一名用户的身份和权限。为了避免此问题，您应确保客户端证书包括完整用户名( 包含域) 。若要解决此问题，系统管理员应使用 asmith@example.org 或 example.org\asmith 格式确保用户证书中的用户名是具有域名的完全限定的用户名。相互 SSL 身份验证疑难解答本主题描述可能的相互( 双向) SSL 身份验证问题及其原因、用户可能会看到的消息，以及该问题可能的缓解方法。 l 客户端缺少证书 l 客户端不支持相互 SSL 身份验证 l 客户端证书未发布到 Active Directory l 用户意外地看到一个显示错误消息的登录对话框 l UPN 或 CN 字段中的用户名缺失或无效 l 用户使用意外的用户名( LDAP 映射) 登录 l 用户以错误的用户身份( UPN 或 CN 映射) 登录有关相互 SSL 身份验证和 LDAP、UPN 和 CN 用户映射的详细信息，请参见以下主题： l 快速开始：相互( 双向) SSL 身份验证在本页 445 l 在相互身份验证过程中将客户端证书映射到用户在本页 452 找不到有效的客户端证书。请与 Tableau Server 管理员联系。客户端缺少证书。如果客户端没有客户端证书，则该用户会在身份验证期间看到此消息： We couldn't find a valid client certificate. Contact your Tableau Server administrator. 若要解决此问题，用户应该与系统管理员联系，以生成客户端计算机证书。用户名或密码无效客户端不支持相互 SSL 身份验证。 - 454 - 早于版本 9.1 的 Tableau Desktop 版本不支持相互 SSL 身份验证。如果使用较早的 Tableau Desktop 版本连接到配置为使用相互 SSL 身份验证的 Tableau Server，则可能会出现以下情况： l l 如果 Tableau Server 配置为使用后备身份验证，则客户端会显示一个登录对话框，用户可以输入用户名和密码。如果服务器未配置为使用后备身份验证，则用户会看到以下消息并且无法连接到服务器： Invalid user name or password 有关后备身份验证的详细信息，请参见快速开始：相互( 双向) SSL 身份验证在本页 445。在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系，或使用您的 Tableau Server 帐户登录。客户端证书未发布到 Active Directory。如果 Tableau Server 配置为使用 Active Directory 进行身份验证，并且用户映射设置为 LDAP，则 Tableau Server 会将客户端证书发送给 Active Directory 进行身份验证。但是，如果客户端证书未发布到 Active Directory，则身份验证将会失败，并且用户会看到以下消息：在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系，或使用您的 Tableau Server 帐户登录。若要解决此问题，系统管理员必须确保客户端证书已发布到 Active Directory。或者，服务器应配置为使用不同的用户映射( UPN 或 CN) ，并且系统管理员应确保客户端证书包含 UPN 或 CN 字段中的用户名。用户意外地看到一个显示错误消息的登录对话框如果 Tableau Server 配置为使用相互 SSL 身份验证，且证书可在用户的计算机上使用，则用户应该看不到登录对话框，因为 Tableau Server 使用该证书对用户进行身份验证。但是，如果服务器不能识别该证书中的用户名，则用户将看到一个登录对话框，其中包含一条指明为何未使用证书的错误消息。如果满足以下所有条件，则可能会发生这种情况： l l 启用了后备身份验证。如果服务器使用 UPN 或 CN 映射，则无法识别证书的 UPN 或 CN 字段中的用户名。如果服务器使用的是 LDAP 映射，则不会将证书映射到 Active Directory 中的用户。若要解决此问题，系统管理员应执行以下操作，具体取决于在 Tableau Server 上配置用户映射的方式： l l LDAP 映射：确保证书已链接至用户、证书可在用户的计算机上使用，并且用户已配置为 Tableau Server 用户。 UPN 或 CN 映射：确保证书可在用户的计算机上使用、用户名在证书的 UPN 或 CN 字段中，并且用户名与 Tableau Server 上的用户名( 包括域) 匹配。 - 455 - 在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系。证书未包含有效的 Tableau Server 用户名。 UPN 或 CN 字段中的用户名缺失或无效如果 Tableau Server 配置为使用 UPN 或 CN 映射，则服务器会从证书的 UPN 或 CN 字段中读取用户名，然后在 Active Directory 中或在 Tableau Server 上的本地存储库中查找该用户名。( 服务器读取的特定字段取决于服务器被配置为是使用 UPN 映射还是使用 CN 映射。) 如果应该包含用户名的字段中没有任何内容，则用户会看到以下消息：在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系。如果客户端证书包含用户名，但是 Active Directory 和 Tableau Server 无法识别该用户名，则用户将看到以下消息： Certificate does not contain a valid Tableau Server user name. 如果满足以下所有条件，则可能会发生这种情况： l Tableau Server 配置为使用 UPN 或 CN 映射。 l 未启用后备身份验证。 l 客户端证书 UPN 或 CN 字段中没有用户名，或者 UPN 或 CN 字段中的用户名与 Active Directory 中或 Tableau Server 上的用户名不匹配。若要解决此问题，系统管理员应该确保用户的证书 UPN 或 CN 字段中具有正确的用户名。用户使用意外的用户名( LDAP 映射) 登录如果服务器配置为使用 Active Directory 身份验证和 LDAP 映射，则此证书会链接至 Active Directory 中的用户。如果此证书的 UPN 或 CN 字段中包含用户名，则会忽略该用户名。如果打算使用 UPN 或 CN 字段中的用户名让用户登录，则服务器应配置为使用 UPN 或 CN 映射。用户以错误的用户身份( UPN 或 CN 映射) 登录在某些情况下，客户端证书的 UPN 或 CN 字段中的用户名可能不明确。因此，用户会用不正确的标识登录。有关此问题发生的条件的详细信息，请参见在相互身份验证过程中将客户端证书映射到用户在本页 452主题中的多域组织中的不明确用户名。 - 456 - Kerberos Kerberos 是一种三向的身份验证协议，它依赖于使用名为“密钥分发中心”(KDC) 的受信任第三方网络服务来验证计算机的身份，以及通过交换 “票证 ”在计算机之间提供安全的连接。这些票证在计算机或服务之间提供相互身份验证，并验证某计算机或服务是否有权访问另一计算机或服务。 Tableau Server 支持 Active Directory Kerberos 环境中的 Kerberos 身份验证( Tableau Server 用户的身份验证由 Kerberos 处理) 。注意：Tableau Server 中的 Kerberos 支持是针对用户身份验证的。它并不处理与 Tableau Server 内容( 例如工作簿) 有关的内部权限和授权。快速开始：使用 Kerberos 的单点登录 Tableau Server 现在支持基于 Kerberos 的单点登录 (SSO)。在启用 Kerberos 的环境中具有 Active Directory (AD) 帐户的用户现在能够使用 SSO 从 Tableau Desktop 和 Web 浏览器中连接到 Tableau Server。此外，Tableau Server 可以使用 Kerberos 对连接到已启用 Kerberos 的 Microsoft SQL 和 MSAS 数据源的用户进行身份验证。在将 Tableau Server 配置为使用 Kerberos 时，您可以使用服务器托管的凭据进行 Impala LDAP 身份验证，从而与 Cloudera Impala 数据库建立 SSO 连接。 1 配置 Tableau Server 安装 Tableau Server 之后，运行 Tableau Server 配置实用工具。在 “Kerberos”选项卡上，选择 “为单点登录启用 Kerberos”。 - 457 - 2 生成配置脚本单击 “导出 Kerberos 配置脚本”以生成一个批处理文件，它将针对 Tableau Server 在 AD 中配置 Kerberos。保存文件，然后将其发送给 AD 域管理员来运行。 3 运行配置脚本域管理员需要通过在域中任一台计算机上的命令提示符下键入脚本名称来运行此脚本。在域管理员运行此配置脚本时，此脚本会使用用户运行身份帐户为 Tableau Server 注册服务主体名称 (SPN)，并生成与您的环境对应的 .keytab 文件。( .keytab 文件在从中运行此脚本的文件夹的 \keytabs 文件夹下创建。让域管理员将 .keytab 文件的副本发送给您。 - 458 - 4 复制 .keytab 文件在 Tableau Server 配置实用工具的 “Kerberos”选项卡上，在步骤 3 的文本框中输入 .keytab 文件的路径。此实用工具将该文件复制到所安装的 Tableau Server 中的每个网关节点。单击 “测试配置”以验证是否正确设置了配置。如果 SPN 设置正确，则测试应显示“正常”。除非已完成了下面 “在 AD 中配置 Kerberos 委派”中的步骤，否则为委派配置的服务数将为 0( 零) 。在 AD 中配置 Kerberos 委派要将 Kerberos 身份验证与 SQL Server 或 MSAS 数据源一起使用，或者要与 Cloudera Impala 建立 SSO 连接，您需要在 AD 中配置 Kerberos 委派。如果将仅使用 Kerberos SSO 连接到 Tableau Server，则无需完成这些步骤。在 AD 中配置 Kerberos 委派： l l 启用用户运行身份以充当操作系统。有关详细信息，请参见启用用户运行身份以充当操作系统在本页 465。在 AD 中启用 Kerberos 委派。此步骤由您将与 Tableau 一起使用的受支持的连接类型决定。 l SQL Server - 请参见 Tableau 知识库中的为 SQL Server 启用 Kerberos 委派。 l MSAS - 请参见 Tableau 知识库中的为 MSAS 启用 Kerberos 委派。 l Impala - 请参见 Tableau 知识库中的为 Cloudera Impala 启用委派。 ableau Server 中的 Kerberos 身份验证当在 Active Directory (AD) 环境中将 Tableau Server 配置为使用 Kerberos 时，AD 域控制器还充当 Kerberos 密钥分发中心 (KDC)，并向域中的其他节点颁发票证授予票证。由 KDC 验证身份的用户在连接到 Tableau Server 时不必接受进一步的身份验证。下面是身份验证工作流的图示。 - 459 - T- 用户登录到其 Active Directory 域。 Kerberos KDC 验证用户的身份并将“票证授予票证”(TGT) 发送到用户的计算机。用户在 Tableau Desktop 或 Web 浏览器中连接到 Tableau Server。 Tableau Server 验证用户身份。 Kerberos 要求若要将 Kerberos 身份验证与 Tableau Server 一起使用，您需要以下各项： l l l Windows Server：Tableau Server 必须安装在 Windows 的服务器版本上。非服务器版本( 包括 Windows 7 和 Windows 8) 并不支持对于生成 keytab 文件为必需的 ktpass 命令。 Active Directory： l Tableau Server 必须使用 Active Directory (AD) 进行身份验证。 l 域必须是 AD 2003 或更高版本的域。用户运行身份帐户： l 用户运行身份帐户( Tableau Server 服务帐户) 必须是 AD 域帐户。包括 NTAUTHORITY\NetworkService 在内的本地帐户将无效。 l 用户运行身份帐户必须与将委派的数据库服务位于同一个域中。 l 约束委派：必须授予用户运行身份帐户对目标数据库服务主体名称 (SPN) 的访问权。 l 数据源身份验证：如果打算使用 Kerberos 来向 Microsoft SQL Server 或 MSAS 数据库进行身份验证，或将其用于单一登录 (SSO) 到 Cloudera Impala 的委派， - 460 - l l l l 则需要允许用户运行身份帐户以操作系统方式执行。有关详细信息，请参见启用用户运行身份以充当操作系统在本页 465。单点登录 (SSO)：在用户登录到其计算机时，必须通过 Active Directory 授予其 Kerberos 票证授予票证 (TGT)。这对于加入域的 Windows 计算机和使用 AD 作为网络帐户服务器的 Mac 计算机是标准行为。有关使用 Mac 计算机和 Active Directory 的详细信息，请参见 Apple 知识库的将 Mac 加入到网络帐户服务器。外部负载平衡器/代理服务器：如果打算在具有外部负载平衡器 (ELB) 或代理服务器的环境中将 Tableau Server 与 Kerberos 一起使用，必须先对它们进行设置，再使用 Tableau Server 配置实用工具配置 Kerberos。有关详细信息，请参见添加负载平衡器在本页 99和配置 Tableau 以使用代理服务器在本页 410。智能卡支持：如果用户使用智能卡登录到其工作站，而且此登录导致通过 Active Directory 向用户授予 Kerberos TGT，则智能卡受支持。 iOS 浏览器支持：如果安装了指定用户 Kerberos 身份的配置文件，则 iOS 用户可以将 Kerberos 身份验证与 Mobile Safari 一起使用。请参见 Tableau 知识库中的针对 Kerberos 支持配置 iOS 设备。有关 Kerberos SSO 的浏览器支持的详细信息，请参见 Tableau 知识库中的针对 Tableau Server 的 Kerberos SSO 浏览器支持。外部负载平衡器： l 如果您使用外部负载平衡器或反向代理，请在针对 Kerberos 配置 Tableau Server 之前完成外部负载平衡器或反向代理的配置。注意：如果在针对 Kerberos 配置 Tableau Server 之后对其进行配置，则 Tableau Server 配置实用工具生成的配置脚本可能会使用错误的主机名称。有关详细信息，请参见添加负载平衡器在本页 99和配置 Tableau 以使用代理服务器在本页 410。使用 Kerberos 身份验证进行数据源的委派访问： l 数据源： l 必须为 Kerberos 身份验证配置受支持的数据源( SQL Server、 MSAS 和 Cloudera Impala) 。 l 数据源必须与 Tableau Server 位于同一个域( 用户可以位于不同的域) 。在以下配置中，支持通过 Kerberos 连接到 Tableau Server： l Tableau Server 需要约束委派，专门授予用户运行身份帐户对目标数据库 SPN 的委派权。不支持非约束委派。配置 Kerberos 可以将 Tableau Server 配置为使用 Kerberos。这使您能够在组织中的所有应用程序之间提供单点登录体验。在针对 Kerberos 配置 Tableau Server 之前，请确保满足 Kerberos 要求 - 461 - 上一页。 1. 以管理员身份打开命令提示符，并将目录切换到 Tableau Server 的 bin 目录的位置。默认位置为 C:\Program Files\Tableau\Tableau Server\9.0\bin。 2. 键入以下命令以停止 Tableau Server： tabadmin stop 3. 打开 Tableau Server 配置实用工具( “开始”>“所有程序”>“Tableau Server”9.2>“配置 Tableau Server”) ，然后单击 “Kerberos”选项卡。 4. 选择 “为单点登录启用 Kerberos”。 5. 单击 “导出 Kerberos 配置脚本”。生成的脚本可配置 Active Directory 域以将 Kerberos 用于 Tableau Server。有关详细信息，请参见 Kerberos 配置脚本下一页。注意：验证脚本的 setspn 行中的主机名称。如果您使用外部负载平衡器或反向代理，则主机名称应与您在针对该负载平衡器或代理配置 Tableau Server 时使用的名称匹配。如果尚未将 Tableau Server 配置为使用代理或外部负载平衡器，请这样做，然后重新导出 Kerberos 配置脚本，以确保它具有正确的主机名称。请参见添加负载平衡器在本页 99和配置 Tableau 以使用代理服务器在本页 410。 6. 让 Active Directory 域管理员运行此配置脚本，以创建服务主体名称 (SPN) 和 .keytab 文件。域管理员应执行以下操作： l l 查看脚本以验证其是否包含正确的值。通过键入脚本名称( 而不是在 Windows 资源管理器中双击脚本) ，在域中任何计算机上的命令提示符处运行脚本。脚本会在其运行位置下的 \keytabs 文件夹中创建 kerberos.keytab 文件。 7. 将脚本创建的 .keytab 文件的副本保存到 Tableau Server 计算机。在步骤 3 中，输入 .keytab 文件的路径，或者单击浏览按钮导航到该文件。当您在配置实用工具中单击 “确定”时，keytab 文件将复制到所安装的 Tableau Server 中的所有网关节点。 - 462 - 注意：请勿重命名 .keytab 文件。此脚本会创建一个名为 kerberos.keytab 的文件，您必须使用此名称来保存该文件。 8. ( 可选) 单击 “测试配置”以确认您的环境已正确配置为将 Kerberos 用于 Tableau Server。如果没有为 Kerberos 委派配置任何数据源，则会为 “为委派配置的服务数量”显示 0。 9. 单击 “确定”保存 Kerberos 配置。 10. 启动 Tableau Server。确认 SSO 配置在 Tableau Server 重新启动后，在另一台计算机上的 Web 浏览器中，通过在 URL 窗口内键入 Tableau Server 名称来测试 Kerberos 配置： Tableau Server 应会自动验证您的身份。 Kerberos 配置脚本在 Tableau Server 配置实用工具中单击 “导出 Kerberos 配置脚本”时，将生成 KerberosConfig.bat 脚本。此脚本在 Active Directory (AD) 中注册 Tableau Server 的服务主体名称 (SPN)，并生成一个 Kerberos .keytab 文件。 - 463 - SPN - 此脚本使用 setspn 实用工具为 Tableau Server 注册 SPN( 注册时使用的是用户运行身份帐户) 。这些 SPN 用于生成 .keytab 文件和验证通过 Web 浏览器连接到 Tableau Server 的用户的身份。 .keytab - 此脚本使用 ktpass 实用工具生成 kerberos.keytab 文件，该文件位于从中运行此脚本的文件夹的 \keytabs 文件夹中。.keytab 文件包含 Tableau Server 的共享密钥。注意：setspn 和 ktpass 实用工具可能会生成警告或错误。如果这两个实用工具能运行完毕，则您可以忽略这些错误和警告。启用 Kerberos 委派利用 Kerberos 委派，Tableau Server 能够使用工作簿或视图查看者的 Kerberos 凭据代表该查看者执行查询。在以下情况下，这种方法很有用： l 您需要知道谁正在访问数据( 查看者的名称将出现在数据源的访问日志中) 。 l 数据源具有行级别安全性，即不同的用户可以访问不同的行。 Tableau Server 需要约束委派，并需要专门授予用户运行身份帐户对目标数据库服务主体名称 (SPN) 的委派权。默认情况下，在 Active Directory 中不启用委派。配置 Kerberos 委派： 1. 在 Tableau Server 中的所有节点上，将用户运行身份配置为以操作系统方式执行。有关详细信息，请参见启用用户运行身份以充当操作系统下一页。 2. 在 Active Directory 中： l 为您将使用的数据源配置 SPN。 l 为数据源的 SPN 启用 Kerberos 委派 3. 为数据连接启用委派： l l l SQL Server — 请参见 Tableau 知识库中的为 SQL Server 启用 Kerberos 委派。 MSAS — 请参见 Tableau 知识库中的为 MSAS 启用 Kerberos 委派。 Cloudera Impala — 在这种情况下，必须在 Tableau Server 上启用 Kerberos，但连接不使用 Kerberos。请参见 Tableau 知识库中的为 Cloudera Impala 启用委派。 - 464 - 启用用户运行身份以充当操作系统要将 Kerberos 委派与 Tableau Server 一起使用，您必须将用户运行身份帐户配置为在每个 Tableau Server 节点上充当操作系统。 1. 在运行 Tableau Server 的计算机上，选择 “开始”>“控制面板”>“管理工具”>“本地安全策略”。 2. 在“本地安全设置”窗口中，展开 “本地策略”，单击 “用户权限分配”，然后右键单击 “以操作系统方式执行”并选择 “属性”。 3. 在“以操作系统方式执行 - 属性”窗口中，单击 “添加用户或组”。 4. 键入 Tableau Server 用户运行身份帐户的 <domain>\<username>( 例如：MYCOMPANY\tableau_server) ，然后单击 “检查名称”。 5. 当帐户解析正确时，会带有下划线。单击 “确定”。 6. 单击 “确定”关闭“本地安全策略”窗口。 - 465 - Kerberos 疑难解答本主题中的故障排除建议分为与服务器上的单一登录 (SSO) 相关的问题以及委派数据源的问题。单点登录 Tableau Server Kerberos 身份验证失败 ( 无法自动连接到 Tableau Server) 如果为 SSO 使用 Kerberos，并且当用户使用 Web 浏览器或 Tableau Desktop 连接时提示用户登录到 Tableau Server，请尝试从客户端计算机中执行以下步骤：在客户端计算机上排除故障 l l l l l 帐户权限 — 尝试使用用户的名称和密码登录到 Tableau Server。如果用户无法使用其用户名和密码登录到 Tableau Server，则表示用户无权访问 Tableau Server，并且 Kerberos 身份验证将失败。其他帐户 — 尝试使用其他用户帐户通过 SSO 连接到 Tableau Server。如果所有用户均受影响，则问题可能在 Kerberos 配置中。计算机位置 — 在从本地主机连接时，Kerberos 将不工作。客户端必须从 Tableau Server 计算机以外的计算机进行连接。 URL 地址 — 在使用 IP 地址连接时无法使用 Kerberos SSO。此外，用于访问 Tableau Server 的服务器名称必须与 Kerberos 配置中使用的名称匹配( 请参见下面的密钥表条目 ) 。 TGT( 票证授予票证) — 确认客户端计算机具有来自 Active Directory 域的 TGT。 Kerberos 需要 TGT 才能登录。若要确认客户端计算机具有 TGT： - 466 - l 在 Windows 计算机上的命令提示符下键入 klist tgt 或在 Mac 计算机上的终端提示符下键入 klist 输出应显示正尝试接受 Tableau Server 身份验证的用户/域的 TGT。在以下情况下，客户端计算机可能没有 TGT： l l l 客户端计算机使用 VPN 连接客户端计算机没有加入到域( 例如，它是在工作时使用的非工作用计算机) l 用户使用本地( 非域) 帐户登录到计算机 l 计算机是没有将 Active Directory 用作网络帐户服务器的 Mac 计算机浏览器 — 检查用户用于访问服务器的浏览器 l Internet Explorer (IE) 和 Chrome 立即可在 Windows 上运行 l Safari 立即可在 Mac 上运行 l Firefox 需要额外的配置有关 Kerberos 单一登录 (SSO) 的浏览器支持的详细信息，请参见 Tableau 知识库中的针对 Tableau Server 的 Kerberos SSO 浏览器支持。服务器上的疑难解答如果无法通过客户端计算机解决问题，则下面的步骤是在运行 Tableau Server 的计算机上排除故障。管理员可以使用请求 ID 在 Tableau Server 上的 Apache 日志中查找登录尝试。 l l 日志文件 — 查看 Apache error.log 中的错误( 含有失败登录尝试的确切日期/时间) 。 l 在 ziplog 存档中，这些日志位于 \httpd 文件夹下。 l 在 Tableau Server 上，这些日志位于 \data\tabsvc\logs\httpd\ 文件夹中。键表条目 — 如果 error.log 条目显示“No key table entry matching HTTP/<servername>.<domain>.<org>@”( 没有与 HTTP/<服务器名称>.<域>.<org> 匹配的键表条目) ，例如： [Fri Oct 24 10:58:46.087683 2014] [:error] [pid 2104:tid 4776] [client 10.10.1.62:56789] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, No key table entry found matching HTTP/servername.domain.com@) 此错误是由以下任意项之间的不匹配造成的： - 467 - l Tableau Server URL - 客户端计算机用于访问服务器的 URL。这是您键入 Tableau Desktop 或浏览器地址栏的名称。它可以是短名称 (http://servername)，也可以是完全限定域名 (http://servername.domain.com) l 服务器 IP 地址的 DNS 反向查找它使用 IP 地址查找 DNS 名称。在命令提示符处，键入： ping servername 利用在 ping 服务器之后返回的 IP 地址执行 DNS 反向查找，键入： nslookup <ip address> Tableau Server 计算机名称需要在以下各项中匹配： l .keytab 文件 l 服务器的服务主体名称 (SPN) 测试配置与 tabconfig.log 使用 Tableau Server 配置实用工具中的“测试配置”按钮： - 468 - 如果为 Kerberos 正确设置了 SPN，则 “正确配置 SPN”显示“正常”。如果为委派配置了任何服务，则将显示已配置的服务数量。值为 0( 零) 并非表示出现问题 ( 除非您使用委派和 Kerberos 验证 SQL Server 或 MSAS 用户的身份) 。查看 tabconfig.log 以了解任何问题或错误。例如： 2014-10-17 10:58:16.545 -0700 ERROR root: No SPN entries found 如果测试未显示成功结果，请再次运行配置脚本。数据源 SSO 委派的数据源访问失败检查 vizqlserver 日志文件中是否有“workgroup-auth-mode”： l 在 ziplog 存档中，这些日志位于 \vizqlserver\Logs 文件夹中 l 在 Tableau Server 上，这些日志位于 \data\tabsvc\vizqlserver\Logs 文件夹中在日志文件中查找“workgroup-auth-mode”。它应显示“kerberos-impersonate”而不是“as-is”。 - 469 - OpenID Connect 您可以将 Tableau Server 配置为支持为单点登录 (SSO) 使用 OpenID Connect。OpenID Connect 是一种标准身份验证协议，它使用户能够登录到诸如 Google 等身份提供程序 (IdP)。用户成功登录到其 IdP 后，将会自动登录到 Tableau Server。配置 OpenID Connect 的过程包含若干步骤。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l 针对 OpenID Connect 配置身份提供程序 (IdP) 下一页 l 针对 OpenID Connect 配置 Tableau Server 在本页 472 l 使用 OpenID Connect 登录到 Tableau Server 在本页 474 l 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 使用 OpenID Connect 的要求若要将 OpenID Connect 与 Tableau Server 一起使用，您必须拥有以下各项。 IdP 帐户您必须对支持该协议的 IdP( 例如 Google) 具有访问权限。您还必须拥有 IdP 的帐户。本地身份验证若要在 Tableau Server 上使用 OpenID Connect，必须将服务器配置为使用本地身份验证。不支持 Active Directory 身份验证。用户名及电子邮件地址在 Tableau Server 中，可登录的每个用户必须在 Tableau Server 中有现成的身份，也就是说，您必须已为将登录的每个人创建了用户。默认情况下，用户在 Tableau Server 中的用户名必须与 IdP 中的用户名匹配。这通常是电子邮件地址 — 举例来说，如果您使用 Google 作为 IdP，则 Tableau Server 中的用户名必须是用户的 Gmail 地址 (alice@gmail.com)。以这种方式使用完整的电子邮件地址可帮助保证用户名在 Tableau Server 中的唯一性，即使两个用户具有相同的电子邮件但位于不同的电子邮件主机上也是如此。注意：在 Tableau Server 中创建用户身份时，您将指定用户名、密码，并根据需要指定电子邮件地址。对于使用 OpenID Connect，用户名是必须与用户在 IdP 中的名称匹配的值。( Tableau Server 用户身份中的可选电子邮件地址不用于 OpenID 身份验证。) - 470 - 忽略域名当电子邮件地址与 Tableau Server 中的 IdP 用户名匹配时，您可以配置 Tableau 以忽略电子邮件地址的域部分。在此情形下，IdP 中的用户名可能为 alice@example.com，但此用户将与 Tableau Server 中名为 alice 的用户匹配。如果已经在 Tableau Server 中定义了其名称与除域之外的 IdP 用户名匹配的用户，则忽略域名可能很有用。若要配置 Tableau Server 以忽略 IdP 用户名中的域名，请使用以下 tabadmin 命令序列： tabadmin stop tabadmin set vizportal.openid.ignore_domain true tabadmin configure tabadmin start 注意：在更改 vizportal.openid.ignore_domain 设置以忽略用户名的域时， Tableau Server 中的所有用户名必须具有域名。针对 OpenID Connect 配置身份提供程序 (IdP) 本主题提供有关配置身份提供程序 (IdP) 以将 OpenID Connect 与 Tableau Server 一起使用的信息。这是由多个步骤组成的过程中的一步。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l OpenID Connect 上一页 l 针对 OpenID Connect 配置身份提供程序 (IdP)( 此部分) l 针对 OpenID Connect 配置 Tableau Server 下一页 l 使用 OpenID Connect 登录到 Tableau Server 在本页 474 l 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 配置 IdP 您必须具有 IdP 帐户以及包含 IdP 的项目或应用程序的帐户，然后才能将 OpenID Connect 与 Tableau Server 一起使用。在配置 Tableau Server 时，您将需要能够提供以下信息： l l l 提供程序客户端 ID。这是 IdP 分配给您的应用程序的标识符。提供程序客户端密码。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密码，应妥善保管。提供程序配置 URL。这是 Tableau Server 应向其发送身份验证请求的提供程序站点的 URL。以下过程概述了您针对提供程序所遵循的步骤。作为示例，该过程论述使用 Google 作为提供程序。但是，每个提供程序都有稍有不同的流程，因此步骤的细节( 及步骤顺序) 可能因提供程序而异。 - 471 - 1. 在提供程序的开发人员站点处注册并登录。例如，对于 Google，您可以转到位于此 URL 处的开发人员控制台：https://console.developers.google.com 2. 创建一个新项目、应用程序或依赖方帐户。 3. 在开发人员仪表板中，执行用于获取 OAuth 2.0 客户端 ID 和客户端密码的步骤。记录这些值以便稍后使用。注意：将客户端密码保存在安全的地方。 4. 在开发人员站点上，查找 IdP 用于 OpenID Connect 发现的端点的 URL。例如，Google 使用 URL https://accounts.google.com/.well-known/openid-configuration。记录此 URL 以便稍后使用。 IdP 配置需要执行额外的步骤，只有在配置了 Tableau Server 之后才能完成此步骤，如针对 OpenID Connect 配置 Tableau Server 向下中所述。针对 OpenID Connect 配置 Tableau Server 本主题描述如何将 Tableau Server 配置为使用 OpenID Connect 进行单点登录 (SSO)。这是由多个步骤组成的过程中的一步。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l OpenID Connect 在本页 470 l 针对 OpenID Connect 配置身份提供程序 (IdP) 上一页 l 针对 OpenID Connect 配置 Tableau Server( 此部分) l 使用 OpenID Connect 登录到 Tableau Server 在本页 474 l 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 注意：在执行此处介绍的步骤之前，您必须配置 OpenID 身份提供程序 (IdP)，如针对 OpenID Connect 配置身份提供程序 (IdP) 上一页中所述。重要注意事项在针对 OpenID Connect 配置 Tableau Server 之前，请确保阅读这些注意事项。 l l 只有在服务器配置为使用本地身份验证时，您才能将 OpenID Connect 与 Tableau Server 一起使用。如果服务器配置为使用 Active Directory 身份验证，则 OpenID Connect 不可用。有关详细信息，请参见配置一般服务器选项在本页 11。我们建议您将 Tableau Server 配置为使用 SSL 进行外部通信。这可帮助在身份验证信息交换期间保持 Tableau Server 和 IdP 之间的通信的安全。有关详细信息，请参见配置外部 SSL 在本页 447。 - 472 - 如果您在 Tableau Server 的初始配置过程中( 配置实用工具第一次运行时) 配置 OpenID Connect，则没有用于设置 SSL 的选项。在这种情况下，我们建议您完成安装，然后返回到配置来设置 SSL，之后再配置 OpenID。注意：如果要为 Tableau Server 使用外部 SSL，在配置 OpenID Connect 之前执行该操作通常更方便。如果在已配置了 OpenID 之后配置 SSL，则需要返回到 IdP 并更新您之前进行的配置。例如，您需要将 Tableau Server 外部 URL 的协议从 http:// 更改为 https://。配置服务器若要针对 OpenID Connect 配置 Tableau Server，请执行以下步骤： 1. 以管理员身份登录到运行 Tableau Server 的计算机。 2. 如果服务器正在运行，请将其停止( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“停止 Tableau Server”) 。提示：也可以通过使用 tabadmin stop 命令来停止服务器。 3. 运行 Tableau Server 配置工具( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“配置 Tableau Server”) 。 4. 单击 “OpenID”选项卡。 5. 选择 “使用 OpenID Connect 进行单点登录”选项。 6. 使用之前记录的值填写 “提供程序客户端 ID”和 “提供程序客户端密码”框。 7. 在 “提供程序配置 URL”框中，输入 IdP 用于 OpenID Connect 发现的 URL。 8. 在 “Tableau Server 外部 URL”框中，输入服务器的 URL。这通常是您的服务器的公共名称，例如 http://example.tableau.com。一开始配置 OpenID 时，“提供程序配置 URL”框包含基于服务器名称 (gateway.public.host) 和网关端口( gateway.public.port，如果有) 构建的默认值。此外，如果为服务器启用了 SSL，则协议默认情况下设置为 https://。注意：如果默认值不是可用于从外部源访问您的服务器的 URL，请确保更新外部 URL。 - 473 - 9. 复制标签为 “使用以下 Tableau Server 重定向 URL 配置 OpenID 提供程序”的框中的 URL。您将在下一个过程中使用此值来完成 IdP 的配置。 10. 启动服务器( 在 Windows 上，单击“开始”>“所有程序”>“Tableau Server”>“启动 Tableau Server”) 。提示：也可以通过使用 tabadmin start 命令来启动服务器。向 IdP 配置中添加重定向 URL 配置 Tableau Server 之后，您将使用服务器的重定向 URL 完成 IdP 配置。 1. 返回到您设置项目或应用程序的 IdP 门户。 2. 编辑项目配置并查找重定向 URL。 3. 输入您在前面的过程中复制的重定向 URL。使用 OpenID Connect 登录到 Tableau Server 本主题提供有关使用 OpenID Connect 登录到 Tableau Server 的信息。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l OpenID Connect 在本页 470 l 针对 OpenID Connect 配置身份提供程序 (IdP) 在本页 471 l 针对 OpenID Connect 配置 Tableau Server 在本页 472 l 使用 OpenID Connect 登录到 Tableau Server( 此部分) l 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 - 474 - 使用 OpenID Connect 登录将 Tableau Server 配置为使用 OpenID Connect 后，访问服务器并且尚未登录的用户将被重定向到 IdP 站点，将会提示他们在该站点中登录。用户输入他们拥有的 IdP 凭据。在许多情况下，还会要求用户授权 IdP 与 Tableau Server 共享信息，如以下示例中所示：当用户使用 OpenID Connect 登录时，IdP 将发送唯一用户标识符( 在 OpenID 中称为 sub 值) 作为重定向到 Tableau Server 的信息的一部分。此 sub 值与用户的 Tableau 用户身份关联。将命令行工具限制为只能由服务器管理员登录用于操作 Tableau Server 的命令行工具( tabcmd、tabadmin 和 tableau.com) 不支持使用 OpenID Connect 登录。为服务器启用了 OpenID Connect 时，这些工具仍然需要使用 Tableau Server 用户名和密码登录。即使用户通常使用 OpenID Connect 进行身份验证，每个用户也有 Tableau Server 用户名和密码。这意味着用户可以使用像 tabcmd 这样的命令行工具。作为一项安全措施，您可以确保只有服务器管理员才能使用命令行工具。为此，请使用 tabadmin set 将 wgserver.authentication.restricted 设置为 true。此设置为 true 时，只有服务器管理员才能使用用户名和密码登录到 Tableau Server：所有其他用户必须使用像 OpenID Connect 这样的单点登录 (SSO) 选项才能登录到服务器。效果是，不是管理员的用户随后也无法使用命令行工具。若要进行此更改，请执行以下操作： - 475 - 1. 停止服务器。 2. 运行以下 tabadmin 命令序列： tabadmin set wgserver.authentication.restricted true tabadmin configure 3. 启动服务器。针对 OpenID Connect 更改 Tableau Server 中的 IdP 本主题提供有关在配置了 Tableau Server 以使用 OpenID Connect 的情况下更改身份提供程序 (IdP) 的信息。以下主题提供有关配置以及将 OpenID Connect 与 Tableau Server 一起使用的信息。 l OpenID Connect 在本页 470 l 针对 OpenID Connect 配置身份提供程序 (IdP) 在本页 471 l 针对 OpenID Connect 配置 Tableau Server 在本页 472 l 使用 OpenID Connect 登录到 Tableau Server 在本页 474 l 针对 OpenID Connect 更改 Tableau Server 中的 IdP( 此部分) 更改提供程序您可能决定更改 Tableau Server 已配置使用的 IdP。为此，请遵循您用于配置第一个 IdP 的过程：建立帐户，获取客户 ID 和密码，使用该信息配置 Tableau Server，并向 IdP 提供 Tableau Server 的重定向 URL。有关详细信息，请参见针对 OpenID Connect 配置 Tableau Server 在本页 472。但是，您还需要执行一个额外的步骤：您必须清除已与 Tableau Server 用户关联的任何用户标识符( sub 值) 。新的 IdP 的每个用户将具有不同的 sub 值，您必须清除现有值，以便 Tableau Server 能够在用户使用新 IdP 登录时存储新的 sub 值。若要为用户清除 sub 值，请使用 tabadmin reset_openid_sub 命令。您可以为单独的用户重置( 即清除) sub 值，如下例中所示： tabadmin reset_openid_sub Alice 也可以使用此命令为所有用户清除 sub 值： tabadmin reset_openid_sub all - 476 - 用户运行身份您可以使用专用的 Active Directory (AD) 用户帐户来运行 Tableau Server 服务，此帐户称为 “用户运行身份”帐户。某些管理员会选择当 Tableau Server 上的已发布工作簿连接到实时数据源时执行此操作。服务器的默认网络服务帐户 (NT AUTHORITY\NetworkService) 不具有用于连接到其他计算机上的数据源的正确权限。而正确配置的 AD 帐户有这种权限。对于需要 Windows (NT) 身份验证的数据源，AD 帐户也可以自动处理身份验证过程( 它首先尝试使用 Kerberos 进行身份验证，如果失败则接着使用 NTLM，这样在工作簿连接到实时数据源时，用户就不会收到提供凭据的提示) 。最后，相比与某个人关联的 AD 帐户，专用于特定资源的用户运行身份 AD 帐户在管理上通常更不容易出现问题。若要将 Tableau Server 配置为使用用户运行身份帐户，请按以下步骤操作。如果您运行的是 Tableau Server 的分布式安装，那么这些步骤应该在工作服务器和主服务器上执行。另外请注意，所需的运行身份用户帐户设置在本页 479 中的步骤可能因站点而异。若要将 Kerberos 委派与 Tableau Server 一起使用，您必须将用户运行身份帐户配置为在每个 Tableau Server 节点上充当操作系统。有关详细信息，请参见启用用户运行身份以充当操作系统在本页 465。注意：如果您使用现有的用户运行身份帐户来安装 Tableau Server，则在安装之前，请确认 Windows Secondary Login 服务具有正确的“登录”和“启动”值。有关详细信息，请参见验证 Tableau Service 设置向下。标识帐户第一步是标识或创建用于运行 Tableau Server 服务的 Active Directory 帐户。该帐户将是 Tableau Server 的用户运行身份帐户，应具有以下内容： l l l 通过至少读取访问连接到数据源的权限。允许 Tableau Server 通过数据源实现 NT 身份验证过程的凭据。执行 NT 身份验证的 Microsoft 数据源包括 Microsoft SQL Server 和 Microsoft Analytical Services (MSAS)，但不包括 Access 或 Excel。向 Active Directory 域控制器查询用户和组的权限。在运行 Tableau Server 的本地计算机上创建的用户帐户可能没有这些权限。验证 Tableau Service 设置确认为 Tableau Service 分配了正确的“登录”和“启动”值：如果您运行的是 Tableau Server 的分布式安装，请在工作服务器及主服务器上执行这些步骤。 1. 以管理员身份登录到运行 Tableau Server 的计算机。 2. 在 Tableau Server 计算机上，选择 “开始”>“控制面板”>“管理工具”>“计算机管 - 477 - 理”>“服务和应用程序”>“服务”。 3. 打开“服务和应用程序”，然后单击 “服务”。确认以下服务具有正确设置：服务名称登录值启动值 FLEXnet Licensing Service 本地系统手动 Secondary Logon 本地系统自动 Tableau Server Application Manager (tabsvc) <domain>\<username> 这是用户运行身份帐户。请参见下面。自动 Tableau Server License Manager (tablicsrv) 本地系统自动注意：不要更改 “Tableau Server Application Manager 属性”对话框的 “恢复”选项卡上的默认设置；将故障恢复的设置保留为 “不进行操作”。如果更改这些设置， Tableau Server 将在通过 tabadmin 命令或 “停止 Tableau Server” 命令停止后重新启动。更改 “登录 ”值将 Tableau Server (tabsvc) 的 “登录”值更改为用户运行身份帐户： 1. 选择 “开始”>“所有程序”>“Tableau Server”>“停止 Tableau Server”。 2. 选择 “开始”>“所有程序”>“Tableau Server”>“配置 Tableau Server”。 3. 在“常规”选项卡上，输入 Tableau Server 用户运行身份帐户的域、用户名和密码。 4. 单击 “确定”，然后选择 “开始”>“所有程序”>“Tableau Server”>“启动 Tableau Server”。准备本地安全策略如果用户运行身份帐户不是 Tableau Server 计算机( 如果运行的是分布式安装，则为主服务器和工作服务器) 上的管理员，则必须准备该计算机的本地安全策略，以便 Tableau Server 用户运行身份帐户可作为服务登录到该计算机并进行配置更改。请执行以下操作： 1. 选择 “开始”>“控制面板”>“管理工具”>“本地安全策略”。 2. 在“本地安全设置”窗口中，打开“本地策略”，突出显示“用户权限分配”，然后右键单击 “作为服务登录”并选择 “属性”。 - 478 - 3. 在“作为服务登录属性”窗口中，单击 “添加用户或组”。 4. 键入 Tableau Server 用户运行身份帐户的 <domain>\<username>( 例如： MYCO\tableau_server) ，然后单击 “检查名称”。 5. 当帐户解析正确时，会带有下划线。单击 “确定”。 6. 重复这些步骤以便将运行身份帐户添加到 “允许本地登录”策略中。 7. 重复这些步骤以便从 “拒绝本地登录”策略中移除运行身份帐户。 8. 单击 “确定”关闭“本地安全设置”窗口。所需的运行身份用户帐户设置用户运行身份帐户需要允许其读取、执行和( 有时) 修改文件的权限。注意：不要隐藏 Tableau Server 安装程序创建的文件。根据作为起点使用的帐户，用户运行身份帐户可能已拥有正确的权限。无论何时更改服务器运行身份帐户时，都应确认该帐户满足以下要求。如果您运行的是分布式安装，这同时适用于主服务器和工作服务器节点。 - 479 - 授予读取和执行权限用于运行 Tableau Server 服务的帐户需要读取和执行 Tableau Server 安装路径中的文件的权限。举例来说，如果 Tableau 安装在 D 驱动器上，则该账户需要 D:\Program Files\Tableau 和 D:\ProgramData\Tableau( 包括所有文件夹以及所有子文件夹中的文件) 的权限。无论何时更改服务器的用户运行身份帐户，都应确认或配置以下内容： 1. 在承载 Tableau Server 的计算机( 和 Tableau Worker 计算机，如果是分布式安装) 上，使用 Windows 资源管理器右键单击安装了 Tableau 的驱动器( 例如 “本地磁盘 (C:)”) ，然后选择 “属性”。 2. 在“本地磁盘属性”窗口中，选择 “安全”选项卡。 3. 单击 “编辑”，然后单击 “添加”。 4. 在“选择用户、计算机、服务帐户或组”对话框中，键入 Tableau Server 用户运行身份帐户的 <domain>\<username>。不要使用组帐户。 5. 单击 “检查名称”对该帐户进行解析，然后单击 “确定”确认。 6. 当 Tableau Server 用户运行身份帐户突出显示时，确认其具有 “读取和执行”权限。选择 “读取和执行”会自动选择 “列出文件夹内容”和 “读取”。 7. 单击 “确定”退出。授予修改权限此帐户还需要执行类似创建日志文件这种操作的能力。确认帐户有权限读取和执行 Tableau Server 安装路径以及 Tableau 存储其数据的关联位置中的文件。通过执行以下操作确认或配置权限： 1. 导航到以下文件夹： <installation drive>:\Program Files\Tableau <installation drive>:\ProgramData\Tableau\ ProgramData 默认情况下处于隐藏状态，因此如果不使其可见，您可能看不到该目录。驱动器可能会根据 Tableau Server 的安装位置而有所不同。如果在 64 位操作系统上运行 32 位 Tableau Server，您将需要转到 <installation drive>:\Program Files (x86)\Tableau，而不是 <installation drive>:\Program Files\Tableau。 2. 右键单击文件夹，选择 “属性”，然后单击 “安全”选项卡： - 480 - l 单击 “编辑”，然后单击 “添加”。 l 键入 Tableau Server 用户运行身份帐户的 <domain>\<username>。 l 单击 “检查名称”对该帐户进行解析，然后单击 “确定”确认。 l 当 Tableau Server 用户运行身份帐户突出显示时，确认其具有 “修改”权限。选择 “修改”会自动授予除 “完全控制”和 “特殊权限”以外的所有权限： 3. 对于上面步骤 1 中的每个文件夹，在 Tableau 属性的“安全”选项卡上，单击 “高级”： - 481 - 4. 在“Tableau 高级安全设置”窗口中，单击 “更改权限”。 5. 在“Tableau 高级安全设置”对话框中，突出显示用户运行身份帐户，并选中 “使用可从此对象继承的权限替换所有子对象权限”复选框： - 482 - 6. 单击 “确定”将更改应用于所有子文件夹和文件，这可能需要几分钟。应用这些更改时，通常会从 Windows 收到多个错误消息。不需要取消该过程；相反，请单击 “继续”。 7. 单击 “确定”确认更改，然后单击“Tableau 属性”对话框中的 “确定”。修改注册表设置以下步骤为可选步骤，大多数环境中都不用执行此步骤。如果注册表安全措施极其严格，则向 Tableau Server 用户运行身份帐户授予对下面列出的注册表分支的读写权限。注册表项根据您安装的是 32 位还是 64 位版本的 Tableau Server 而异，如果安装的是 32 位 Tableau Server，还根据您是在 32 位还是 64 位操作系统上安装而异。64 位 Tableau Server 只能安装在 64 位操作系统上。 64 位 Tableau Server 安装 l HKEY_CURRENT_USER\Software\Tableau l HKEY_LOCAL_MACHINE\Software\Tableau 32 位 Tableau Server 安装 l HKEY_CURRENT_USER\Software\Tableau l 32 位操作系统：HKEY_LOCAL_MACHINE\Software\Tableau l 64 位操作系统：HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tableau 和 - 483 - 确认域双向信任确认在满足以下任何条件的情况下域之间存在双向信任： l 承载 Tableau Server 和数据源的计算机位于单独的域中。 l Tableau Server 用户位于与 Tableau Server 或数据源分离的域中。配置数据源连接设置若要在用户正在访问的工作簿连接到经过 NT 身份验证的实时数据源时自动对这些用户进行身份验证，请在选中 “使用 Windows NT 集成安全性”选项的情况下配置 Tableau 数据连接： Windows NT 集成安全性用户名和密码使用服务器的用户运行身份帐户进行身份验证每个 Tableau Server 用户都会看到要求提供数据库凭据的提示 - 484 - SQL Server 模拟 Tableau Server 的上下文中的模拟意味着允许一个用户帐户代表另一个用户帐户进行操作。您可以对 Tableau 和 Microsoft SQL Server 进行配置以执行数据库用户模拟，这样 Tableau Server 所用的 SQL Server 数据库帐户代表同时也是 Tableau 用户的 SQL Server 数据库用户进行查询。此功能的主要优点是，它允许管理员在一个位置，即在管理员数据库中实现和控制其数据安全策略。当 Tableau 用户通过 SQL Server 数据库实时连接访问某一视图时，该视图仅显示该用户的数据库权限允许其查看的内容。另外一个优点是，在打开视图时，用户不必响应数据库登录提示。另外，工作簿发布者也不必依赖于用户特定筛选器来限制视图中显示的内容。有关使用此功能所需的更多信息，请参见以下主题。模拟要求下面是使用此功能需要满足的要求： l l l l l 仅限于 SQL Server 实时连接：模拟只能用于具有 SQL Server 数据库( 2005 或更高版本) 实时连接的视图。单个数据库帐户：将访问视图的每个人都必须在视图所连接的 SQL Server 数据库中具有明确的单个帐户。不能对 Active Directory (AD) 组的成员进行模拟。例如，如果 Jane Smith 是 AD 组“销售”的成员，并且她的数据库管理员将该“销售”AD 组添加到 SQL Server 数据库，则不能对 Jane 进行模拟。匹配凭据和身份验证类型：每个 Tableau 用户帐户的凭据及其 Tableau 用户身份验证类型都必须与其在 SQL Server 数据库中的凭据和身份验证类型匹配。换言之，如果 Jane Smith 的 Tableau Server 用户帐户的用户名为 MyCo\jsmith 且 Tableau Server 要使用 Active Directory 进行身份验证，则她在 SQL Server 数据库中的用户名必须也是 MyCo\jsmith，并且 SQL Server 必须使用 Windows 集成身份验证。 SQL Server 先决条件：在 SQL Server 中，应具有一个数据安全表( 一个强制实施数据安全性的视图) ，并且应要求数据库用户使用该视图。 SQL IMPERSONATE 帐户：您需要一个对上述数据库用户具有 IMPERSONATE 权限的 SQL Server 数据库帐户。该帐户是具有管理员角色的帐户，或者是对于每个用户帐户都已被授予 IMPERSONATE 权限的帐户( 请参见有关 EXECUTE AS 的 MSDN 文章 ) 。此 SQL Server 帐户必须也是 Tableau 端的两个帐户之一： l l Tableau Server 用户运行身份帐户( 请参见通过用户运行身份帐户进行模拟下一页 ) 。工作簿发布者帐户( 请参见使用嵌入式 SQL 凭据进行模拟在本页 488) 。 - 485 - 模拟的工作原理下图说明了数据库用户模拟的工作原理：在上图中，Jane Smith (MyCo\jsmith) 是一名西海岸地区销售代表，Henry Wilson (MyCo\hwilson) 是东部地区销售代表。在 SQL Server 数据库中，Jane 的帐户 MyCo\jsmith 的帐户权限仅允许她访问西海岸地区的数据。Henry 的帐户 MyCo\hwilson 只能访问东海岸地区的数据。已创建了一个显示全国数据的视图。该视图具有 SQL Server 数据库实时连接。这两个用户都登录到 Tableau Server 中并单击该视图。Tableau Server 使用一个对于每个用户的数据库帐户都具有 IMPERSONATE 权限的数据库帐户连接到 SQL Server。此帐户代表每个用户的数据库帐户进行操作。当该视图显示时，它受每个用户的各数据库权限的限制：Jane 只能查看西海岸地区的销售数据，Henry 只能查看东海岸地区的销售数据。通过用户运行身份帐户进行模拟建议通过用户运行身份帐户进行模拟。用户运行身份帐户是一个 Active Directory (AD) 帐户，Tableau Server 服务可使用此帐户在承载 Tableau Server 的计算机上运行( 请参见用户运行身份在本页 477) 。该帐户必须拥有 SQL Server 中数据库用户帐户的 IMPERSONATE 权限。从数据安全性角度看，通过使用 Tableau Server 运行身份帐户进行模拟，管理员可进行最灵活的控制。设置用户运行身份帐户模拟： 1. 在设置过程中配置 Tableau Server 时，在 “服务器用户运行身份”下输入拥有用户帐户的 IMPERSONATE 权限的用户运行身份 AD 帐户。在 “用户身份验证”下，选择 “使用 Active Directory”： - 486 - 2. 单击 “确定”完成配置。 3. 在 Tableau Desktop 中创建一个工作簿。在创建数据连接时，对工作簿到 SQL Server 数据库的实时连接选择 “使用 Windows NT 集成安全性”： 4. 在 Tableau Desktop 中，将该工作簿发布到 Tableau Server( “服务器”>“发布工作簿”) 。 5. 在“发布”对话框中，单击“身份验证”，然后在“身份验证”对话框中，从下拉列表中选择 “通过服务器运行身份帐户进行模拟”： - 487 - 6. 单击 “确定”。 7. 通过以用户身份登录到 Tableau Server 来测试该连接。单击视图时，不应看到要求输入数据库凭据的提示，只应看到该用户有权查看的数据。使用嵌入式 SQL 凭据进行模拟通过让视图发布者将其 SQL Server 帐户凭据嵌入到视图中，也可以执行模拟。Tableau Server 可在任何类型的帐户下运行，但它使用发布者提供的凭据连接到数据库。如果处理模拟的帐户不能是 Active Directory (AD) 帐户，而您希望为工作簿发布者提供具有 SQL Server 上较高权限级别的帐户，这种方式可能适合您的站点。注意：若要使用这种方法，必须在 Tableau Server 中的服务器“设置”页面上启用嵌入式凭据： - 488 - 使用工作簿发布者的 SQL 帐户进行模拟： 1. 在 Tableau Desktop 中创建一个工作簿。在创建数据连接时，请为工作簿的 SQL Server 数据库实时连接选择“使用特定用户名和密码”： 2. 将该工作簿发布到 Tableau Server( “服务器”>“发布工作簿”) 。 3. 在“发布”对话框中，单击“身份验证”，然后在“身份验证”对话框中，从下拉列表中选择 “通过嵌入式密码进行模拟”： - 489 - 4. 单击 “确定”。 5. 通过以用户身份登录到 Tableau Server 来测试该连接。单击视图时，不应看到要求输入数据库凭据的提示，只应看到该用户有权查看的数据。 - 490 - Tableau Server 端口下表列出了默认情况下 Tableau Server 使用的端口以及哪些端口必须可用于绑定。如果 Windows 防火墙已启用，Tableau Server 将打开它在进程之间进行内部通信所需的端口。 ( 某些情况下您可能需要另外执行动作。如果要建立与 Tableau Server 数据库的外部连接，您可能需要手动打开端口。如果有包含运行 Windows 7 的工作服务器的分布式安装，请参见 Tableau 知识库。) 动态端口重新映射在默认启用动态端口重新映射时，Tableau Server 首先会尝试绑定到默认端口，或者绑定到已定义的用户配置端口。如果这些端口不可用，Tableau Server 会尝试将过程重新映射到其他端口( 从端口 8000 开始) 。不会重新映射网关端口和 ssl 端口。在下次重新启动时， Tableau Server 会恢复为使用默认的或已配置的端口。在禁用动态端口重新映射时，Tableau Server 不会尝试重新映射过程，而且，如果检测到冲突，Tableau Server 将不会启动。注意：端口冲突可能会影响确定 JMX 端口的方式。有关详细信息，请参见启用 JMX 端口在本页 497。可以使用 tabadmin set service.port_remapping.enabled 命令禁用动态端口重新映射。有关详细信息，请参见 tabadmin set 选项在本页 556。 ALL安装类型高分可全布用部式性参数端口 TCP/UDP 使用者... 80 TCP 网关 X gateway.public.port、 workerX.gateway.port 443 TCP SSL。针对 SSL 配置 Tableau Server 后，应用程序服务器会将请求重定向到此端口。 X -- 2233 UDP 用于在 Tableau Server X 进程之间通信的服务器资源管理器 UDP 端口。服务器资源管理器 - 491 - resource_manager_port ALL安装类型端口高分可全布用部式性参数 TCP/UDP 使用者... 监视 Tableau Server 进程的内存和 CPU 使用情况 ( backgrounder.exe、 dataserver.exe、 tabprotosrv.exe、 tdeserver.exe、 vizportal.exe、 vizqlserver.exe 和 wgserver.exe) 。 3729 TCP Tableau Server 安装程序 3730– 3731 TCP 分布式和高可用环境中的 Tableau 工作服务器( 主 Tableau Server 不在这些端口上侦听) 。 5000 UDP 用于在分布式环境中自动发现工作服务器的 Server 工作服务器管理器进程 (tabadmwrk.exe)。 6379 TCP 缓存服务器进程 (redis- X server.exe)。基本端口 6379。使用 6379 之后的连续端口，最多可达进程数目。 workerX.cacheserver.port 8000– 8059 TCP API 服务器进程 (wgserver.exe)。基本端口 8000。使用 8000 之后的连续端口，最多可达进程数目。 Tableau Server 在每个 wgserver.port -- X X X -- X X - 492 - 注意：由于历史原因，API 服务器进程的端口设置的名称有时包括 wgserver。 ALL安装类型端口高分可全布用部式性参数 TCP/UDP 使用者... 具有一个或多个应用程序服务器进程的节点上安装一个 API 服务器进程。 8060 TCP PostgreSQL 数据库 8061 TCP Firebird。用于地理编码 X 和自定义地理编码。 firebird.port 8062 TCP PostgreSQL 数据库 X pgsqlX.port 8080 TCP Solr、Tomcat HTTP 和存储库进程 X solr.port、tomcat.http.port、 repository.port X pgsql.port 必须将这些参数设置为相同值。 8085 TCP Tomcat HTTP X tomcat.server.port 8250 TCP 后台任务 X workerX.backgrounder.port 8350 TCP 后台任务 X 8600 TCP 应用程序服务器进程 (vizportal.exe) X 8700 TCP 应用程序服务器进程 (vizportal.exe) X 8755 TCP Tableau 管理进程 X 9100– 9199 TCP VizQL Server 进程( 基 X 本端口 9100) 。还将使用 9100 之后的连续端口，最多可达进程数目。默认情况下， Tableau Server 安装时带有两个 VizQL Server 进程( 端口 9100 和 9101) 。 9200、 TCP 9400 VizQL Server 进程 X - 493 - workerX.vizportal.port tabadminservice.port vizqlserver.port ALL安装类型高分可全布用部式性参数端口 TCP/UDP 使用者... 9345 TCP 文件存储服务 X X filestore.port 9346 TCP 文件存储状态服务 X X filestore.status.port 9700– 9899 TCP 数据服务器进程( 基本端口 9700) 。还将使用 9700 之后的连续端口，最多可达进程数目。默认情况下， Tableau Server 安装时带有两个数据服务器进程( 端口 9700 和 9701) 。 X 9800、 TCP 10000 数据服务器进程 X 11000 TCP 搜索服务器 X X workerX.searchserver.port 11100 TCP 搜索服务器 X X worker X.searchserver.startup.port 12000 TCP 协调控制器 (ZooKeeper) 客户端端口 12012 TCP 群集控制器进程 13000 TCP 协调控制器 (ZooKeeper) 负责人端口 X zookeeper.config.leaderPort 14000 TCP 协调控制器 (ZooKeeper) 负责人选举端口 X zookeeper.config.leaderElectPort 27000– TCP 27009 TCP dataserver.port workerX.zookeeper.port X X X cluster.status.port 工作服务器和主服务器在分布式和高可用环境中交流许可信息。 X X -- 会动态选择一个附加 X X -- - 494 - ALL安装类型端口高分可全布用部式性参数 TCP/UDP 使用者... 端口，供工作服务器和主服务器在分布式和高可用环境中交流许可信息。而您可以指定固定端口( 建议使用 27010) 。有关详细信息，请参见 Tableau 知识库。主服务器位于 DMZ 中的安装必须遵循这些指导。 27042 TCP 数据引擎进程。 X Tableau Server 安装时带有一个数据引擎进程。每个节点最多可以有两个数据引擎进程。 dataengine.port 修改默认端口 Tableau Server 进程配置为使用安装了服务器的计算机上的特定端口。有关详细信息，请参见 Tableau Server 端口在本页 491。通常，您无需对服务器进程的端口分配进行更改。不过，如果运行 Tableau Server 的计算机同时在运行使用端口的其他软件( 不推荐这样做) ，则 Tableau Server 进程的端口分配可能会与其他软件使用的端口冲突。在这种情况下，您可以为 Tableau Server 进程分配不同的端口。若要修改 Tableau Server 进程使用的端口，可使用命令行管理工具 (tabadmin 在本页 526)。例如，应用程序服务器进程 (vizportal.exe) 的默认端口为 8000。可以使用 tabadmin 参数 workerX.vizportal.port 将其更改为其他端口。请按照以下步骤来更改 Tableau Server 端口配置。如果启用服务器的 JMX 端口，请参见启用 JMX 端口在本页 497 1. 以管理员身份打开命令提示符，然后键入以下内容： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" - 495 - 2. 通过键入以下命令之一来修改端口值： tabadmin set <workerX>.<parameter> <new port value> tabadmin set <parameter> <new port value> 其中： l <workerX> 指明您要为群集中的哪台计算机更改进程端口。占位符 X 指工作服务器编码 — worker0 为主服务器( 或者，如果未运行分布式服务器，则为唯一的服务器) ，worker1 是第一个工作服务器，worker2 是第二个工作服务器，依此类推。如果运行分布式服务器，并且要在群集中的所有计算机上编辑某个进程的默认端口，您需要( 从主服务器上的命令提示符中) 为群集中的每台计算机运行命令一次。 l <parameter> 是要其设置端口的服务器进程，例如 wgserver.port。 l <new port value> 是您希望服务器进程使用的新端口号。下面的示例针对应用程序服务器进程 (vizportal) 将主服务器或备用服务器上的端口设置为 8020： tabadmin set worker0.vizportal.port 8020 下面的示例针对 VizQL 服务器进程，将三计算机群集( 一个主服务器和两个工作服务器) 的端口设置为 9200。 tabadmin set worker0.vizqlserver.port 9200 tabadmin set worker1.vizqlserver.port 9200 tabadmin set worker2.vizqlserver.port 9200 可以使用以下参数来修改相应端口 — 有关可以设置的 tabadmin 参数的完整列表，请参见 Tableau Server 端口在本页 491。要更改的端口参数多个工作服务器？ 80 gateway.public.port 否 80 gateway.port 是 6379 cacheserver.port 是 8000 wgserver.port 是 8060 pgsql.port 是 8600 vizportal.port 是 - 496 - 要更改的端口参数多个工作服务器？ 9100 vizqlserver.port 是 9345 filestore.port 是 9700 dataserver.port 是 11000 searchserver.port 是注意：您不应更改此表中未列出的进程的端口分配。更改其他端口可能会导致 Tableau Server 停止工作。 3. 进行必要的端口配置更改后，通过键入以下内容来重新启动 Tableau Server： tabadmin restart 在服务器重新启动时，所有用户都将无法使用服务器。请确保在执行此操作前向用户发出中断警告，或计划在非营业时间内进行维护。启用 JMX 端口为帮助您解决 Tableau Server 的问题，Tableau 支持人员可能会要求您启用服务器的 JMX 端口。这些端口对于通常使用像 JConsole 这样的工具进行监视和故障排除的情况会非常有用。若要在 Tableau Server 上启用 JMX 端口，请执行以下操作： 1. 停止服务器。 2. 输入以下命令： tabadmin set service.jmx_enabled true 3. 输入配置命令： tabadmin configure 4. 启动服务器。 JMX 端口列表下面是 JMX 端口的列表，默认情况下这些端口全部被禁用。启用这些端口时，它们用于所有类型的安装：单服务器、分布式和高可用： - 497 - 端口由此服务器进程使用... 参数 8300 - 8359 应用程序服务器 JMX。由应用程序服务器端口 + 300 来确定。 -- 8550 后台监视器 JMX。由后台端口 8250 + 300 确定。 -- 9095 服务监视器 JMX。 svcmonitor.jmx.port 9400 - 9499 VizQL 服务器 JMX。由 VizQL 服务器端口 + 300 来确定。 -- 10000 - 10299 数据服务器 JMX。由数据服务器端口 + 300 来确定。 -- 如何确定 JMX 端口默认情况下，用于应用程序服务器 (8300 - 8359)、后台程序 (8550)、VizQL Server (9400 9599) 和数据服务器 (10000 - 10299) 的 JMX 端口可使用公式“基本端口 + 300”来分配。( 有关默认基本端口的列表，请参见 Tableau Server 端口在本页 491。) 此外，如果一个进程有多个实例，则每个实例都将有一个 JMX 端口。例如，如果将 Tableau Server 配置为运行应用程序服务器进程的四个实例，则将使用端口 8000( 默认的基本端口) 、8001、8002 和 8003。然后，应用程序服务器 JMX 端口 8300( 基本端口 + 300) 、8301、8302 和 8303 将绑定至各自的进程实例。如果启用了动态端口重新映射( 默认值) 并且检测到端口冲突，则 JMX 端口不使用“基本端口 + 300”公式来确定。相反，会为基本端口和 JMX 端口分配从端口 8000 开始的可用端口。不会为 JMX 端口使用偏移；将为其分配下一个可用端口，就像基本端口一样。如果您必须要有修正的 JMX 端口，则可以禁用端口重新映射或更改基本端口，以便不会出现端口冲突。即使 Tableau Server 不直接使用这些端口，但如果 JMX 端口由其他应用程序使用，Tableau Server 进程也不会运行。此外，不能使用 tabadmin 直接编辑 JMX 端口。可以更改 JMX 端口，方法是更改其进程的基本端口。换言之，如果端口 10000 不能用于数据服务器 JMX 进程，则可使用 tabadmin( 如修改默认端口在本页 495中所述) 将数据服务器基本端口从 9700 更改为 9800。这会将数据服务器 JMX 端口移至 11000。为了降低安全风险，最好将防火墙配置为阻止到达 JMX 端口的外部流量。恢复端口默认值可通过以下步骤恢复端口的默认值： 1. 以管理员身份打开命令提示符，然后键入以下内容： cd “C:\Program Files\Tableau\Tableau Server\9.2\bin” - 498 - 2. 通过键入以下内容恢复默认端口值： tabadmin set <workerX>.<parameter> --default 如果 Tableau Server 正在一台计算机上运行，则 <workerX> 为 worker0。如果您正在运行群集，则 worker0 是主服务器，worker1 是第一个工作服务器，worker2 是第二个工作服务器，依此类推。下面是一个示例： tabadmin set worker0.wgserver.port --default 3. 通过键入以下命令来重新启动 Tableau Server： tabadmin restart - 499 - tabcmd tabcmd 实用工具是随 Tableau Server 安装的两个命令行工具之一( 另一个是 tabadmin 在本页 526) 。通过 tabcmd 提供的命令可以帮助您自动执行常见任务，例如成批发布工作簿以及管理用户和组。tabcmd 实用工具安装在 Tableau Server bin 文件夹 (C:\Program Files\Tableau Server\9.2\bin) 中，但您也可以在其他计算机上安装和运行 tabcmd。有关详细信息，请参见以下主题。安装 tabcmd 默认情况下，tabcmd 命令行实用工具随 Tableau Server 一起安装到服务器的 bin 文件夹( 例如 C:\Program Files\Tableau\Tableau Server\9.2\bin) 。您可以从那里运行它。为了管理起来更灵活，也可以将它安装在其他计算机上。如果将 tabcmd 命令行实用工具安装在没有运行 Tableau Server 的计算机上，并且将 Tableau Server 升级到新的主要版本( 例如从版本 9.1 升级到版本 9.2) ，则 Tableau 会建议您也升级独立安装的 tabcmd，以避免版本之间的任何可能的不兼容性。将 tabcmd 安装到其他计算机上： 1. 导航到 Tableau Server 上的 extras 文件夹： C:\Program Files\Tableau\Tableau Server\9.2\extras\TabcmdInstaller.exe 2. 将 TabcmdInstaller.exe 复制到要安装它的计算机。 3. 双击 TabcmdInstaller.exe 运行它。 4. 按照提示安装 tabcmd。由于 tabcmd 是一个命令行工具，并且由于 Windows 操作系统的某些限制，Tableau 建议您将 tabcmd 安装到 C:\ 驱动器根目录里名为 tabcmd 的文件夹中 (C:\tabcmd)。运行 tabcmd 安装程序不会自动将 tabcmd 添加到 Windows PATH 变量中，您需要使用它的完整路径明确调用 tabcmd，或者将其目录添加到 PATH 变量中。如何使用 tabcmd 使用 tabcmd 的基本步骤如下： 1. 以管理员身份打开命令提示符。 2. 切换到 Tableau Server bin 文件夹。例如：cd C:\Program Files\Tableau\Tableau Server\9.2\bin - 500 - 或者可以在命令中包括位置。 3. 运行 tabcmd 命令。在使用 tabcmd 时，您必须建立经过身份验证的服务器会话。会话会识别 Tableau Server 和运行该会话的 Tableau Server 用户。您可以先启动会话，然后指定命令，或者在启动会话的同时执行命令。如果您要使用 tabcmd 执行多项任务，则必须依次( 连续) 执行每个命令，而非并行运行。命令( 例如 login) 和选项( 例如 -s、-u 等) 不区分大小写，但您提供的值( 例如 p@ssw0rd 或 User@Example.com) 区分大小写。示例下面的命令演示了如何对名为 tabserver.myco.com 的 Tableau Server 启动会话： tabcmd login -s http://tabserver.myco.com -u admin -p p@ssw0rd! 下一个示例演示用于删除名为 Sales_Workbook 的工作簿的命令： tabcmd delete "Sales_Workbook" 下面介绍了如何用一条命令完成上述所有操作，请注意此处不需要 login： tabcmd delete "Sales_Workbook" -s http://tabserver.myco.com -u admin -p p@ssw0rd! 一个 Tableau Server 可以运行多个站点。当工作簿运行在多站点服务器的 Default 站点上时，不需要指定 Default，上述命令已足够。但是，如果命令应用于 Default 之外的站点，则需要指定该站点的站点 ID( 请参见 login 在本页 518) 。下面是用于 West Coast Sales 站点上的一个工作簿的命令( 站点 ID wsales) ： tabcmd delete "Sales_Workbook" -s http://tabserver.myco.com -t wsales -u admin -p p@ssw0rd! 选项 -s、-t、-u 和 -p 是 tabcmd 的全局变量，可与任何命令一起使用。有关详细信息，请参见 tabcmd 命令在本页 503。状态消息和日志当命令成功执行时，tabcmd 将返回零状态代码。对于非零状态代码，将向 stderr 打印完整错误消息。此外，还可向 stdout 打印信息性消息或进度消息。会将一个名为 tabcmd.log 并包括调试、进度和错误消息的完整日志写入 C:\Users\<username>\AppData\Local\Tableau。 - 501 - tabcmd 全局选项下表说明了所有命令通用的选项。若要开始一个会话，至少需要使用一次 --server、-user 和 --password 选项。将存储一个身份验证令牌，以便可以不用包括这些选项就能运行后续命令。此令牌在使用它的最后一个命令之后五分钟内保持有效。选项选项( 长) ( 短) 参数说明 -h --help 显示命令帮助。 -c --usecertificate 使用客户端证书登录。启用相互 SSL 时需要。有关详细信息，请参见配置外部 SSL 在本页 447。 -s --server Tableau 至少需要使用一次才能开始会话。 Server URL -u --user Tableau Server 用户名至少需要使用一次才能开始会话。 -p --password Tableau Server 密码至少需要使用一次才能开始会话。也可以使用 -P 选项。 --password- filename.txt 允许将密码存储在给定文件中而不是 file 命令行中以增加安全性。 -t --site Tableau Server 站点 ID 指示命令将应用于由站点 ID 指定的站点。如果不指定站点，将假定为默认站点。仅适用于具有多个站点的服务器。 -x --proxy Host:Port 使用指定的 HTTP 代理。 --no-prompt 指定后，该命令将不提示输入密码。如果未提供有效密码，则该命令将失败。 --no-proxy 指定后，将不使用 HTTP 代理。 --nocertcheck 在指定时，tabcmd( 客户端) 不会验证服务器的 SSL 证书。 --[no-] cookie 指定后，登录时将保存会话 ID，这样后续命令就无需登录。若要不保存会话 ID，请使用 no- 前缀。默认情况下，将保存会话。 - 502 - 选项选项( 长) ( 短) --timeout 参数说明秒等待指定秒数以使服务器完成命令处理。默认情况下，该进程将在 30 秒后超时。 tabcmd 命令下面是可用于 tabcmd 命令行工具的命令： addusers( 至组) creategroup createproject createsite createsiteusers createusers delete workbook-name/datasource-name deletegroup deleteproject deletesite deletesiteusers deleteusers editdomain editsite export get url listdomains listsites login logout publish refreshextracts removeusers - 503 - runschedule set syncgroup version addusers group-name 将用户添加到指定的组。示例 tabcmd addusers "Development" --users "users.csv" 选项( 短) 选项( 长) 参数说明 --users filename.csv 将给定文件中的用户添加到指定组中。该文件应是每行一个用户名的简单列表。用户应已在 Tableau Server 上创建。另请参见 CSV 导入文件准则在本页 187。当设置为 complete 时，此选项要求所有行都必须有效，更改才能成功。如果未指定，则使用 --complete。 --[no-]complete creategroup group-name 创建一个组。创建组后，可使用 addusers( 对于本地组) 和 syncgroup( 对于 Active Directory 组) 命令来添加用户。示例 tabcmd creategroup "Development" createproject project-name 创建一个项目。示例 tabcmd createproject -n "Quarterly_Reports" -d "Workbooks showing quarterly sales reports." - 504 - 选项( 短) 选项( 长) 参数说明 -n --name 名称指定要创建的项目的名称。 -d -description 说明为项目指定说明。 createsite site-name 创建一个站点。示例创建名为“West Coast Sales”的站点。系统会自动创建站点 ID WestCoastSales，该站点没有存储配额限制，且站点管理员可以添加和移除用户： tabcmd createsite "West Coast Sales" 使用 wsales 的站点 ID 创建名为 West Coast Sales 的站点： tabcmd createsite "West Coast Sales" -r "wcoast" 阻止站点管理员向站点添加用户： tabcmd createsite "West Coast Sales" --no-site-mode 设置存储配额( 以 MB 为单位) ： tabcmd createsite "West Coast Sales" --storage-quota 100 选项( 短) 选项( 长) 参数说明 -r --url 站点 ID 在网址中使用以指定站点。不同于站点名称。 --userquota 用户数添加到该站点的用户的最大数量。允许或拒绝站点管理员向站点添加用户或从中移除用户。 --[no-] site-mode --storagequota MB 数站点上可存储的工作簿、数据提取和数据源的数量，以 MB 为单位。 createsiteusers filename.csv 根据逗号分隔值 (CSV) 文件中提供的信息将用户添加到站点。如果尚未在服务器上创建用户，该命令会在将用户添加到站点之前创建该用户。 - 505 - CSV 文件必须包含一个或多个用户名，还可( 为每个用户) 包括一个密码、全名、角色、管理员级别、发布者( 是/否) ，以及电子邮件地址。有关 CSV 文件的格式的信息，请参见 CSV 导入文件准则在本页 187。作为在 CSV 文件中包括角色、管理员级别和发布者权限的替代方法，您可以使用 --role 选项将角色信息传递到命令。如果服务器配置为使用本地身份验证，则使用 CSV 文件中的信息创建用户。如果服务器配置为使用 Active Directory 身份验证，则将用户信息从 Active Directory 导入到服务器。在这种情况下，将忽略 CSV 文件中的任何密码和友好名称信息。在这种情况下，如果在 CSV 文件中指定了用户但 Active Directory 中没有对应的用户，则不会将用户添加到 Tableau Server。对于 Active Directory 用户，用户名在域之间不唯一，您必须包括域作为用户名的一部分( 例如，example\Adam 或 adam@example)。默认情况下，用户将添加到您登录到的站点。若要将用户添加到其他站点，请包括全局 -site 选项并指定该站点。( 您必须具有在指定的站点上创建用户的权限。) 如果服务器包含多个站点，则无法通过使用 createsiteusers 命令将 ServerAdministator 角色分配给用户。( 请改用 createusers。) 如果为 role 选项指定 ServerAdministrator 角色，则命令将返回错误。如果 CSV 文件包括 System 作为管理员的值，则会忽略该值并为用户分配 Unlicensed 角色。不过，如果服务器只包含一个站点( 默认站点) ，则您可以分配 ServerAdministator 角色或为管理员值指定 system；在这种情况下，createsiteusers 命令所起的作用就像 createusers 命令一样。默认情况下，此命令使用同步操作创建用户( 它将等待所有操作完成才会继续) 。您可以使用 --no-wait 选项来指定异步操作。示例 tabcmd createsiteusers "users.csv" --role "Interactor" 选项 ( 短) 选项( 长) 参数说明 --admintype Site 或 None ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有管理员设置的任何用户分配或移除站点管理员权限。对于新用户，默认值为 None；对于现有用户，默认值不变。如果服务器包含多个站点，将无法使用 createsiteusers 创建系统管理员或将系统管理员降级。 ( 请改用 createusers。) 要求所有行都必须有效，更改才能成功。这是默认设置。 --complete - 506 - 选项 ( 短) 选项( 长) 参数说明 --license Interactor、Viewer 或 Unlicensed ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有许可级别设置的任何用户指定许可级别。对于新用户，默认值为 Unlicensed，对于现有用户，默认值不变。注意：许可级别在 Tableau Server 的早期版本中使用，但从 Tableau Server 9.0 开始已被站点角色替换。 -r --nocomplete 指定即使在并非所有行都包含有效信息的情况下命令也应在服务器上进行更改。将跳过包含无效信息的行。 --nopublisher ( 已弃用。请改用 --role 选项。) 不允许在 CSV 文件中还没有发布者设置的任何用户具有发布权限。这是新用户的默认值。 --nowait 不等待异步作业完成。 -publisher ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有发布者设置的任何用户分配发布权限。对于新用户，默认值为无发布权限( 相当于 --nopublish) ，对于现有用户，默认值不变。 --role ServerAdministrator、 SiteAdministrator、 Publisher、 Interactor、 ViewerWithPublish、 Viewer、 UnlicensedWithPublish - 507 - 为还没有在 CSV 文件中指定角色的任何用户指定站点角色。对于新用户，默认值为 Unlicensed，对于现有用户，默认值不变。如果有基于用户的服务器安装，并且在命令创建新用户的情况选项 ( 短) 选项( 长) 参数说明或 Unlicensed 下您已达到用户许可证数的限制，则会在未许可用户的形式添加该用户。注意：如果服务器有多个站点，您将无法分配 ServerAdministrato r 角色。在这种情况下，请使用 createuser 命令。注意：如果指定 role 选项，则不能同时包括 license、publisher、 no-publisher 或 administrator 选项。不显示命令的进度消息。 --silentprogress createusers filename.csv 基于逗号分隔值 CSV 文件中提供的信息在 Tableau Server 中创建用户。 CSV 文件必须包含一个或多个用户名，还可( 为每个用户) 包括一个密码、全名、角色、管理员级别、发布者( 是/否) ，以及电子邮件地址。有关 CSV 文件的格式的信息，请参见 CSV 导入文件准则在本页 187。作为在 CSV 文件中包括角色、管理员级别和发布者权限的替代方法，您可以使用 --role 选项将角色信息传递到命令。如果服务器只有一个站点( 默认站点) ，则会创建用户并将其添加到站点。如果服务器有多个站点，则会创建用户，但不会将其添加到任何站点。若要将用户添加到站点，请使用 createsiteusers。如果服务器配置为使用本地身份验证，则使用 CSV 文件中的信息创建用户。如果服务器配置为使用 Active Directory 身份验证，则将用户信息从 Active Directory 导入到服务器。在这种情况下，将忽略 CSV 文件中的任何密码和友好名称信息。在这种情况下，如果在 CSV 文件中指定了用户但 Active Directory 中没有对应的用户，则不会将用户添加到 Tableau Server。对于 Active Directory 用户，用户名在域之间不唯一，您必须包括域作为用户名的一部分( 例如，example\Adam 或 adam@example)。如果有基于用户的服务器安装，并且在命令创建新用户的情况下您已达到用户许可证数的限制，则会在未许可用户的形式添加该用户。 - 508 - 示例 tabcmd createusers "users.csv" --role "ServerAdministrator" tabcmd createusers "users.csv" 选项( 短) 选项( 长) --admintype 参数说明 Site 或 None ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有管理员设置的任何用户分配或移除站点管理员权限。对于新用户，默认值为 None；对于现有用户，默认值不变。要求所有行都必须有效，更改才能成功。这是默认设置。 --complete --license Interactor、Viewer 或 Unlicensed ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有许可级别设置的任何用户指定许可级别。对于新用户，默认值为 Unlicensed，对于现有用户，默认值不变。注意：许可级别在 Tableau Server 的早期版本中使用，但从 Tableau Server 9.0 开始已被站点角色替换。 --nocomplete 指定即使在并非所有行都包含有效信息的情况下命令也应在服务器上进行更改。将跳过包含无效信息的行。 --nopublisher ( 已弃用。请改用 --role 选项。) 不允许在 CSV 文件中还没有发布者设置的任何用户具有发布权限。这是新用户的默认值。 --nowait 不等待异步作业完成。 -publisher ( 已弃用。请改用 --role 选项。) 为在 CSV 文件中还没有发 - 509 - 选项( 短) 选项( 长) 参数说明布者设置的任何用户分配发布权限。对于新用户，默认值为无发布权限( 相当于 --nopublish) ，对于现有用户，默认值不变。 -r --role ServerAdministrator、 SiteAdministrator、 Publisher、 Interactor、 ViewerWithPublish、 Viewer、 UnlicensedWithPublish 或 Unlicensed 为还没有在 CSV 文件中指定角色的任何用户指定角色。对于新用户，默认值为 Unlicensed，对于现有用户，默认值不变。在多站点服务器上，该命令不会将用户分配到站点。因此，该命令将分配的唯一角色是 ServerAdministrator 和 Unlicensed。在这种情况下，如果指定其他角色( 比如 Publisher 或 Viewer) ，则该命令会分配 Unlicensed 角色。在单站点服务器上，将使用您指定的角色创建用户并将其添加到默认站点。如果有基于用户的服务器安装，并且在命令创建新用户的情况下您已达到用户许可证数的限制，则会在未许可用户的形式添加该用户。注意：如果指定 role 选项，则不能同时包括 license、 publisher、nopublisher 或 administrator 选项。不显示命令的进度消息。 --silentprogress - 510 - delete workbook-name 或 datasource-name 从服务器中删除指定工作簿或数据源。此命令按原样使用服务器上的工作簿或数据源的名称，而不是发布时的文件名。示例 tabcmd delete "Sales_Analysis" 选项( 短) 选项( 长) 参数说明 -r --project 项目名称包含您要删除的工作簿或数据源的项目的名称。如果未指定，则使用“Default”项目。 --workbook 工作簿名称要删除的工作簿的名称。 -datasource 数据源名称要删除的数据源的名称。 deletegroup group-name 从服务器中删除指定的组。示例 tabcmd deletegroup "Development" deleteproject project-name 从服务器中删除指定的项目。示例 tabcmd deleteproject "Designs" deletesite site-name 从服务器中删除指定的站点。示例 tabcmd deletesite "Development" deletesiteusers filename.csv 从您登录到的站点中移除用户。要移除的用户在一个文件中指定，该文件包含每行一个用户名的简单列表。( 除用户名之外不需要其他信息。) - 511 - 默认情况下，如果服务器只有一个站点，或者用户只属于一个站点，则还会从服务器中移除用户。在 Tableau Server Enterprise 安装上，如果服务器包含多个站点，则会从站点中移除分配了 “服务器管理员”角色的用户，但不会从服务器中移除这些用户。如果用户拥有内容，则用户的角色将变为 “未许可”，但不会从服务器或站点中移除用户。内容仍然由该用户拥有。若要完全移除用户，您必须更改内容的所有者，然后再次尝试移除用户。如果用户是从 Active Directory 导入的，则会从站点中移除用户，并可能会从服务器中将其移除。但是，不会将用户从 Active Directory 中删除。示例 tabcmd deletesiteusers "users.csv" deleteusers filename.csv 删除指定逗号分隔值 (CSV) 文件中列出的用户。 CSV 文件应包含每行一个用户名的简单列表。示例 tabcmd deleteusers "users.csv" 选项( 短) 选项( 长) 参数说明当设置为 --complete 时，此选项要求所有行都必须有效，更改才能成功。如果未指定，则使用 --complete。 --[no-] complete editdomain 更改服务器上 Active Directory 域的昵称或完整域名。您可以修改服务器正在使用的任何域的昵称。通常，除了您用来登录的域外，您可以修改任何域的完整域名。但是，如果您当前用来登录的用户名同时存在于当前域以及新域中，则可以修改当前域的完整域名。若要查看域的列表，请使用 listdomains。示例 tabcmd editdomain --id 2 --nickname "new-nickname" tabcmd editdomain --id 3 --name "new-name" 选项( 长) 参数说明 --id 域 ID 要更改的域的 ID。若要获取域 ID 的列表，请使用 - 512 - 选项( 长) 参数说明 listdomains。 --name 域名域的新名称。 --nickname 域昵称域的新昵称。 editsite site-name 更改站点名称或其 Web 文件夹名称。还可使用此命令允许或拒绝站点管理员添加和移除用户的能力。如果站点管理员拥有用户管理权限，则您可指定他们可向一个站点添加的用户数量。示例 tabcmd editsite wc_sales --site-name "West Coast Sales" tabcmd editsite wc_sales --site-id "wsales" tabcmd editsite wsales --status ACTIVE tabcmd editsite wsales --user-quota 50 选项( 长) 参数说明 --site-name 要将站点更改到显示的站点名称。的名称 --site-id 站点变更后的站在网址中使用以特别标识站点。点 ID --user-quota 用户数可成为该站点成员的用户的最大数量。 --[no-]sitemode 允许或阻止站点管理员向站点添加用户。 --status ACTIVE 或 SUSPENDED 激活或挂起站点。 --storagequota MB 数站点上可存储的工作簿、数据提取和数据源的数量，以 MB 为单位。 export 从 Tableau Server 导出视图或工作簿，并将其保存到文件。此命令还可导出恰好适用于视图的数据。使用此命令时，请注意以下问题： - 513 - l l l 权限：若要导出，您必须拥有 “导出图像”权限。默认情况下，此权限对所有角色都为 “允许”或“继承”，但可针对每个工作簿或视图设置权限。导出数据：若要导出恰好适用于视图的数据，请使用 --csv 选项。这会将视图中使用的摘要数据导出为 .csv 文件。指定要导出的视图、工作簿或数据：可使用工作簿或视图的 URL 中显示的 "workbook/view" 字符串而不使用其“友好名称”进行指定，并且不要包括 URL 末尾的 :iid=<n> 会话 ID。例如，要从 Finance 工作簿导出 Tableau 示例视图 Investment Growth，您将使用字符串 Finance/InvestmentGrowth，而不是 Finance/Investment Growth 或 Finance/InvestmentGrowth?:iid=1。如果服务器运行多个站点，并且视图或工作簿不再默认站点上，请使用 -t <site_ id>。若要导出工作簿，仍需在所使用的字符串中包括有效视图。对于上面的示例，若要导出 Finance 工作簿，可使用字符串 Finance/InvestmentGrowth。最后，若要导出工作簿，必须已在“Tableau Desktop 发布”对话框中选中 “将工作表显示为标签”的情况下发布该工作簿。 l l 已保存文件的格式：格式选项取决于所导出的内容。只能使用 --fullpdf 参数将工作簿导出为 PDF。可将视图导出为 PDF (--pdf) 或 PNG (--png)。已保存文件的名称和位置 ( 可选) ：如果您不提供名称，则将从视图或工作簿名称得到名称。如果您不提供位置，则会将该文件保存到当前工作目录。否则，您可以指定完整路径或当前工作目录的相对路径。注意：您必须包括文件扩展名，例如 .csv 或 .pdf。命令不会自动向您提供的文件名中添加扩展名。 l PDF 导出中不包含仪表板网页对象：仪表板可以包含网页对象。如果要将包含网页对象的仪表板导出到 PDF，则 PDF 中将不包括该网页对象。清除缓存以使用实时数据您可以选择添加 URL 参数 ?:refresh=yes 强制刷新数据查询而不是从缓存中获取结果。如果将 tabcmd 与您自己的脚本结合使用，并且大量使用 refresh URL 参数，则可能会对性能造成负面影响。建议您仅当需要实时数据时才使用 refresh，例如，在单个仪表板上而不是整个工作簿上。示例视图 tabcmd export "Q1Sales/Sales_Report" --csv -f "Weekly-Report.csv" tabcmd export -t Sales "Sales/Sales_Analysis" --pdf -f "C:\Tableau_Workbooks\Weekly-Reports.pdf" tabcmd export "Finance/InvestmentGrowth" --png - 514 - tabcmd export "Finance/InvestmentGrowth?:refresh=yes" --png 工作簿 tabcmd export "Q1Sales/Sales_Report" --fullpdf tabcmd export #/Sales "Sales/Sales_Analysis" --fullpdf --pagesize tabloid -f "C:\Tableau_Workbooks\Weekly-Reports.pdf" 选项( 短) 选项( 长) 参数说明 -f --filename 用于已保存文件使用给定文件名保存文的名称和扩展名件。 --csv 仅视图。以 CSV 格式导出视图的数据( 摘要数据) 。 --pdf 仅视图。导出为 PDF。 --png 仅视图。导出为 PNG 格式的图像。 --fullpdf 仅工作簿。导出为 PDF。必须已在 “将工作表显示为标签”已启用的情况下发布该工作簿。 --pagelayout landscape, portrait 设置所导出的 PDF 的页面方向。如果不指定，则将使用其 Tableau Desktop 设置。 --pagesize unspecified, 设置所导出的 PDF 的 letter, 大小。默认值为 legal, note letter。 folio, tabloid, ledger, statement, executive, a3, a4, a5, b4, b5, quarto --width 像素数 - 515 - 设置宽度。默认值为 800 像素。选项( 短) 选项( 长) 参数说明 --height 像素数设置高度。默认值是 600 像素。 get url 从指定 URL 表示的 Tableau Server 中获取资源。结果以文件形式返回。使用此命令时，请注意以下问题： l l 权限：若要获取文件，您必须拥有 “下载/另存到 Web”权限。虽然可针对每个工作簿或视图设置权限，但默认情况下，所有角色均会获得或继承此权限。文件扩展名：URL 必须包含文件扩展名，例如 “/views/Finance/InvestmentGrowth.csv"。扩展名 (.csv) 确定返回的内容。可采用 PDF、PNG、CSV( 仅限汇总数据) 或 XML( 仅限信息) 格式返回视图。Tableau 工作簿作为 TWB 返回( 如果它连接到已发布的数据源或使用实时连接) 或者作为 TWBX 返回( 如果它连接到数据提取) 。若要确定正确的扩展名，可使用 Web 浏览器导航到 Tableau Server 上的项，然后向 URL 末尾添加文件扩展名。键入有关 GET 请求的 URL 时，不要包括出现在文件名末尾的会话 ID (:iid=<n>)。例如，使用 "/views/Finance/InvestmentGrowth.pdf" 而非 "/views/Finance/InvestmentGrowth?:iid=3.pdf"。注意：如果要将视图下载到 PDF 或 PNG 文件，并且包括的 --filename 参数中包含 .pdf 或 .png 扩展名，则不必在 URL 中包括 .pdf 或 .png 扩展名。 l l 已保存文件的名称和位置 ( 可选) ：用于 --filename 的名称应包含该文件扩展名。如果您不提供名称和文件扩展名，则这两个名称都将从 URL 字符串得到。如果您不提供位置，则会将该文件保存到当前工作目录。否则，您可以指定完整路径或当前工作目录的相对路径。 PNG 大小 ( 可选) ：如果保存的文件是 PNG，您可以在 URL 中指定该大小( 以像素为单位) 。清除缓存以使用实时数据您可以选择添加 URL 参数 ?:refresh=yes 强制刷新数据查询而不是从缓存中获取结果。如果将 tabcmd 与您自己的脚本结合使用，则大量使用 refresh 参数可能会对性能造成负面影响。建议您仅当需要实时数据时才使用 refresh，例如，在单个仪表板上而不是整个工作簿上。示例视图 - 516 - tabcmd get "/views/Sales_Analysis/Sales_Report.png" --filename "Weekly-Report.png" tabcmd get "/views/Finance/InvestmentGrowth.pdf" -f "Q1Growth.pdf" tabcmd get "/views/Finance/InvestmentGrowth" -f "Q1Growth.pdf" tabcmd get "/views/Finance/InvestmentGrowth.csv" tabcmd get "/views/Finance/InvestmentGrowth.png?:size=640,480" -f growth.png tabcmd get "/views/Finance/InvestmentGrowth.png?:refresh=yes" -f growth.png 工作簿 tabcmd get "/workbooks/Sales_Analysis.twb" -f "C:\Tableau_ Workbooks\Weekly-Reports.twb" tabcmd get "/workbooks/Sales.xml" 其他 tabcmd get "/users.xml" --filename "UserList.xml" 选项( 短) 选项( 长) 参数说明 -f --filename 用于另存文件的使用给定文件名保存文件。名称 listdomains 显示服务器正在使用的 Active Domain 域的列表，以及其昵称和 ID。如果服务器配置为使用本地身份验证，则该命令仅返回域名 local。示例 tabcmd listdomains listsites 返回已登录用户所属站点的列表。示例 - 517 - tabcmd listsites -u adam -pw P@ssword! login 使 Tableau Server 用户登录。可使用 --server、--site、--username、--password 全局选项来创建会话。注意：使用 tabcmd login 命令时，将无法使用 SAML 站点登录 (SSO)，即使服务器配置为使用 SAML。若要登录，您必须传递在服务器上创建的用户的用户名和密码。您将具有您在登录时使用的 Tableau Server 用户的权限。有关详细信息，请参见用户的站点角色在本页 164和管理权限在本页 305。如果要使用创建会话时使用的相同信息进行登录，只需指定 --password 选项。将使用存储在 Cookie 中的服务器和用户名。如果服务器使用 80( 默认值) 之外的端口，您需要指定该端口。仅当服务器运行多个站点，并且您登录的站点不是默认站点时，才需要使用 --site (-t) 选项。如果未提供密码，则会提示您输入密码。如果指定 --no-prompt 选项但未提供密码，则该命令将失败。登录后，该会话将继续进行，直到其在服务器上过期或 logout 命令运行。示例使您登录到本地计算机上运行的 Tableau Server： tabcmd login -s http://localhost -u jsmith -p p@ssw0rd! 使您登录到 sales-server 上的 Sales 站点： tabcmd login -s http://sales-server -t Sales -u administrator -p p@ssw0rd! tabcmd login -s http://sales-server:8000 -t Sales -u administrator -p p@ssw0rd! 使用 SSL 将您登录到 sales-server 上的“Sales”( 销售额) 站点，但不验证服务器的 SSL 证书： tabcmd login --no-certcheck -s https://sales-server -t Sales -u administrator -p p@ssw0rd! 为 localhost 建立正向代理和端口： tabcmd login --proxy myfwdproxyserver:8888 -s http://localhost -u jsmith -p p@ssW0rd! 使您使用 SSL 登录到反向代理： - 518 - tabcmd login -s https://myreverseproxy -u jsmith -p p@ssW0rd! 选项( 短) 选项( 长) 参数说明 -s 服务器 URL 如果您从本地 Tableau Server 计算机运行该命令，则可以使用 http://localhost。否则，指定计算机的 URL，例如 http://bigbox.myco.com 或 http://bigbox。 --server 对于 Tableau Online，请指定 URLhttps://online.tableau.com。 -t --site 站点 ID 当服务器具有多个站点，并且您登录的站点不是默认站点时，请使用此选项。在 URL 中使用站点 ID 以唯一地标识站点。例如，名为 West Coast Sales 的站点的 ID 可能为 west-coast-sales。 -u --username 用户名登录用户的用户名。对于 Tableau Online，用户名是用户的电子邮件地址。 -p --password password --username 所指定的用户的密码。如果未提供密码，则会提示您输入密码。 -x -passwordfile filename.txt 允许将密码存储在给定文件中而不是命令行中以增加安全性。 --proxy Host:Port 用于指定 tabcmd 请求的 HTTP 代理服务器和端口。 --noprompt 不提示输入密码。如果未指定密码，则 login 命令将失败。 --no-proxy 请勿使用 HTTP 代理服务器。 --cookie 登录时保存会话 ID。后续命令将不需要登录名。此值是命令的默认值。 --nocookie 成功登录后不保存会话 ID 信息。后续命令将需要登录名。 --timeout SECONDS 秒数处理 login 命令前服务器应等待的秒数。默认值：30 秒。 logout 退出服务器。 - 519 - 示例 tabcmd logout .twbpublish filename(x)\filename.tds(x)\filename.tde 将指定的工作簿 (.twb(x))、数据源 (.tds(x)) 或数据提取 (.tde) 发布到 Tableau Server。如果发布工作簿，则默认情况下无需数据库用户名或密码即可发布工作簿中的所有工作表。将从在其中发布文件的项目中复制最初分配给工作簿或数据源的权限。可在发布了文件后更改已发布资源的权限。如果工作簿中包含用户筛选器，则必须指定一个缩略图选项。示例 tabcmd publish "analysis.twbx" -n "Sales_Analysis" --db-username "jsmith" --db-password "p@ssw0rd" tabcmd publish "analysis_sfdc.tde" -n "Sales Analysis" --oauth-username "username" --save-oauth 如果文件与 tabcmd 并不位于同一目录，请包含文件的完整路径。示例 tabcmd publish "C:\Tableau Workbooks\analysis.twbx" -n "Sales_ Analysis" --db-username "jsmith" --db-password "p@ssw0rd" tabcmd publish "C:\Tableau Workbooks\analysis_sfdc.tde" -n "Sales Analysis" --oauth-username "username" --save-oauth 选项( 短) 选项( 长) 参数说明 -n --name 服务器上工如果省略，则工作簿、数据源或数据提取将作簿或数据以文件名来命名。源的名称 -o --overwrite -r --project 如果服务器上已存在该工作簿、数据源或数据提取，则将其覆盖。项目名称将工作簿、数据源或数据提取发布到指定项目。如果未指定，则发布到“Default”项目。 --dbusername 使用此选项可将数据库用户名与工作簿、数据源或数据提取一起发布。 --dbpassword 使用此选项可将数据库密码与工作簿、数据源或数据提取一起发布。 - 520 - 选项( 短) 选项( 长) --save-dbpassword --oauthusername 参数说明将提供的数据库密码存储在服务器上。用户帐户的如果用户对 --name 中指定的云端数据源已电子邮件地经有保存的访问令牌，则通过预先配置的址 OAuth 连接来连接该用户。访问令牌在用户首选项中管理。对于数据源的现有 OAuth 连接，应使用该选项而不是 --db-username 和 --dbpassword。 –-saveoauth 将 --oauth-username 指定的凭据保存为已发布工作簿或数据源的嵌入式凭据。随后，当发布者或服务器管理员登录服务器并编辑该工作簿或数据源的连接时，连接设置将显示此 OAuth 凭据已嵌入到内容中。如果要安排在发布后刷新数据提取，则必须对 --oauth-username 使用该选项。这与对传统的数据库连接使用 --save-dbpassword 类似。 -thumbnailusername 如果工作簿中包含用户筛选器，则将基于指定用户可看到的内容生成缩略图。设置 -thumbnail-group 选项后，无法指定此选项。 -thumbnailgroup 如果工作簿中包含用户筛选器，则将基于指定组可看到的内容生成缩略图。设置 -thumbnail-username 选项后，无法指定此选项。 --tabbed 发布带有选项卡式视图的工作簿时，每个工作表都成为一个选项卡，查看者可以使用这些选项卡在工作簿中导航。请注意，此设置将替代任何工作表级安全设置。 --append 将数据提取文件附加到现有的数据源中。 --replace 使用数据提取文件替换现有的数据源。 --disableuploader 禁用增量文件上传器。 --restart 重新启动文件上传过程。 - 521 - refreshextracts workbook-name 或 datasource-name 对属于指定工作簿或数据源的数据提取执行完全或增量刷新。此命令使用服务器上显示的工作簿或数据源的名称，而不使用发布时的文件名。仅允许管理员或者工作簿或数据源的所有者执行此操作。示例 tabcmd refreshextracts --datasource sales_ds tabcmd refreshextracts --workbook "My Workbook" tabcmd refreshextracts --url SalesAnalysis 选项( 短) 选项( 长) 参数说明 -incremental 运行增量刷新操作。 -synchronous 将完全刷新操作添加至后台程序进程所使用的队列，以在后台程序进程可用时立即运行。如果后台程序进程可用，则立即运行此操作。刷新操作会出现在“后台任务”报告中。在同步刷新期间，tabcmd 在刷新操作进行时保持实时连接到服务器，并且每秒钟进行一次轮询，直到后台作业完成为止。 --workbook 工作簿名称包含要刷新的数据提取的工作簿的名称。如果工作簿名称中含有空格，请将名称放入引号内。 -datasource 数据源名称包含要刷新的数据提取的数据源的名称。 --project 项目名称与 --workbook 或 --datasource 结合使用可确定 Default 以外的项目中的工作簿或数据源。如果未指定，则使用“Default”项目。 --url 工作簿的 URL 名称显示在 URL 中的工作簿的名称。发布为“Sales Analysis”工作簿的 URL 名称为 “SalesAnalysis”。 removeusers group-name 从指定的组中移除用户。示例 tabcmd removeusers "Development" --users "users.csv" - 522 - 选项( 短) 选项( 长) 参数说明 --users filename.csv 从指定的组删除给定文件中的用户。该文件应是每行一个用户名的简单列表。要求所有行都必须有效，更改才能成功。如果未指定，则使用 --complete。 --[no-] complete runschedule schedule-name 运行指定的计划。此命令按原样使用服务器上的计划名称。对于 Tableau Online，命令可使用站点管理员权限在单一站点的范围内运行。示例 tabcmd runschedule "5AM Sales Refresh" set setting 在服务器上启用指定设置。服务器的“维护”页面上提供了有关各项设置的详细信息。在设置名称前使用感叹号可禁用该设置。可启用或禁用以下设置： l allow_scheduling l embedded_credentials l remember_passwords_forever 示例 tabcmd set embedded_credentials syncgroup group-name 将 Tableau Server 组与 Active Directory 组同步。如果 Tableau Server 组尚未存在，则会创建该组并将其与指定的 Active Directory 组同步。示例 tabcmd syncgroup "Development" 注意：如果同步您是其成员的组，则使用此命令所做的更改不会应用于您的用户。举例来说，如果您使用此命令移除您是其成员的组中用户的管理员权限，则在命令完成时您仍然是管理员。 - 523 - 选项( 短) 选项( 长) 参数说明 -System、Site 或 None administrator ( 已弃用。请改用 -role 选项。) 为组中的用户分配或移除管理员权限。None 选项用于移除组中所有用户的管理员权限( 除您之外，如果您是所同步的组的成员) 。如果不包括此选项，则不会为运行命令之后添加到组的用户分配管理员权限。 --complete 要求所有行都必须有效，更改才能成功。这是默认设置。 --license Interactor、Viewer 或 Unlicensed ( 已弃用。请改用 -role 选项。) 为组的用户指定许可级别。注意：许可级别在 Tableau Server 的早期版本中使用，但从 Tableau Server 9.0 开始已被站点角色替换。 -r --no-complete 指定即使在并非所有行都包含有效信息的情况下命令也应在服务器上进行更改。将跳过包含无效信息的行。 --nopublisher ( 已弃用。请改用 -role 选项。) 不允许组中的用户拥有发布权限。 --publisher ( 已弃用。请改用 -role 选项。) 为组中的用户分配发布权限。 --role ServerAdministrator、为组中的用户指定角色。 SiteAdministrator、默认值为 Unlicensed。 - 524 - 选项( 短) 选项( 长) 参数说明 Publisher、 Interactor、 ViewerWithPublish、 Viewer、 UnlicensedWithPublish 或 Unlicensed 注意：如果指定 role 选项，则不能同时包括 license、 publisher、nopublisher 或 administrator 选项。不显示命令的进度消息。 --silentprogress version 显示 tabcmd 实用工具的当前安装的版本信息。示例 tabcmd version - 525 - tabadmin 您可以使用 tabadmin 命令行工具执行某些管理任务以及更改 Tableau Server 配置设置。默认情况下，它随 Tableau Server 一起安装，而不能安装在其他计算机上。有关详细信息，请参见以下主题。如何使用 tabadmin tabadmin 允许您从命令行对 Tableau Server 执行管理任务。默认情况下，它随 Tableau Server 一起安装，而不能安装在其他计算机上。使用 tabadmin 的第一步是以管理员身份打开命令提示符。接下来，通过输入以下命令导航到 Tableau Server 的 bin 目录： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 现在即可输入 tabadmin 命令。通过命令行更改 Tableau Server 的配置在输入更改服务器配置的命令( 例如 tabadmin set 命令) 时，必须按顺序执行一系列命令： 1. 在发出命令之前停止服务器。 2. 输入相应的命令以更改配置。 3. 运行 tabadmin config 以便将更改推送到服务器的所有配置文件。 4. 重新启动 Tableau Server。 - 526 - 示例使用 tabadmin set 命令更改服务器的配置： tabadmin stop tabadmin set [option-name value] tabadmin config tabadmin start 显示命令行帮助使用 tabadmin 内置的帮助来快速获得命令的描述。若要显示所有 tabadmin 命令的帮助，请输入： tabadmin help commands 若要查看特定命令的帮助，请输入 tabadmin help <command>。例如： tabadmin help set tabadmin 命令下面是可用于 tabadmin 命令行工具的命令： activate 在本页 529 administrator 在本页 529 assetkeys 在本页 530 autostart 在本页 531 backup 在本页 532 cleanup 在本页 533 configure 在本页 535 customize 在本页 535 dbpass 在本页 536 decommission 在本页 537 delete_webdataconnector 在本页 538 exportsite 在本页 539 failoverprimary 在本页 540 - 527 - failoverrepository 在本页 540 get_openid_redirect_url 在本页 541 importsite 在本页 541 importsite_verified 在本页 543 import_webdataconnector 在本页 544 licenses 在本页 545 list_webdataconnectors 在本页 545 manage_global_credentials 在本页 546 passwd 在本页 547 recommission 在本页 547 regenerate_internal_tokens 在本页 548 reindex 在本页 548 reset_openid_sub 在本页 549 restart 在本页 549 restore 在本页 550 set 在本页 550 sitestate 在本页 551 start 在本页 552 status 在本页 553 stop 在本页 553 validate 在本页 554 warmup 在本页 555 ziplogs 在本页 555 - 528 - activate 联机或脱机激活或返回 Tableau Server 许可证。示例脱机激活许可证： tabadmin activate --tlf <file.tlf> 脱机返回许可证： tabadmin activate --tlr <file.tlr> 联机激活许可证： tabadmin activate --activate <license> 联机返回许可证： tabadmin activate --return <license> 选项 ( 短) 选项( 长) 参数说明 --tlf FILE 适用于脱机激活。如果在安装过程中脱机，系统将会提示您保存一个 .tlq 文件，随后可将其提交给 Tableau。Tableau 会向您发回一个 .tlf 文件。可使用此 .tlf 文件激活 Tableau Server。 --tlr FILE 适用于脱机停用。用作参数的文件是 Tableau 提供给您的 .tlr 文件。 -activate 激活指定的许可证。 --return 返回指定的许可证。另请参见脱机激活 Tableau 在本页 9 administrator 向指定用户授予或移除指定用户的系统管理员能力。此命令不适用于站点管理员。 - 529 - 示例移除用户 hwilson 的系统管理员能力： tabadmin administrator hwilson false 向用户 jsmith 授予系统管理员能力： tabadmin administrator jsmith true assetkeys 创建一个新密钥来加密 Tableau 存储库中存储的敏感信息( 例如外部数据库的凭据) ， Tableau 存储库是 Tableau Server 内部使用的一种 PostgreSQL 数据库。使用此命令创建的密钥可包含您指定的密钥，也可以包含随机生成的密钥。如果您指定密钥的密码，则最好使该密码的长度至少为八个字符。还应考虑到字符集。强密码应至少包含以下三个字符集中的字符： l 小写字母 a-z l 大写字母 A-Z l 数字 0-9 l 非字母字符新密钥将以加密形式存储在以下密钥文件中：asset_keys.yml (ProgramData\Tableau\Tableau Server\data\tabsvc\config)。如果密钥文件丢失或损坏，则可以使用 assetkeys --validate 命令重新创建它。如果您使用 assetkeys 命令并随后创建和还原备份文件 (.tsbak)，则您将需要在还原备份文件后运行 tabadmin assetkeys --validate 命令。按照设计，备份文件不包含自定义加密密钥 — 即使某些数据可能使用这些加密密钥进行加密也如此。这样可保护加密的值以防备份文件落入他人之手。在备份还原之后运行 tabadmin assetkeys --validate 时，系统会提示您输入该密钥的密码。示例让 Tableau Server 为您生成密钥和密码： tabadmin assetkeys --auto_create 使用您指定的密码生成密钥。将会提示您输入密码，在您键入时不会显示密码： tabadmin assetkeys --create 使用文件内容作为密码： - 530 - tabadmin assetkeys --create_from_file C:\test\key\password.txt 确认位于 ProgramData\Tableau\Tableau Server\data\tabsvc\config 中的密钥文件 asset_ keys.yml 有效并且与 Tableau 存储库中的元数据一致： tabadmin assetkeys --validate 重新创建现在已损坏或不在 ProgramData\Tableau\Tableau Server\data\tabsvc\config 中的密钥文件 asset_keys.yml： tabadmin assetkeys --validate 将会提示您输入密码。选项( 短) 选项( 长) --auto_ create 参数说明 [length] 生成随机密码以生成密钥。使用可选参数指定密码的长度。应记录密码并将其保存在安全的位置，因为如果 assetkeys.yml 丢失或损坏，-validate 需要用到该密码。 --create PASSPHRASE 创建您选择的、要用作密钥的密码。密码应至少包含 10 个字符，并且不应基于字典中可以找到的单词。 -create_ from_ file -validate FILE 使用您提供的文件内容作为密码来生成密钥。确认 Tableau Server 内部使用的所有资产密钥都是最新的。如果 asset_keys.yml 文件丢失( 例如，由于文件损坏) ，则可以使用 --validate 选项重新创建它。要成功地重新创建密钥文件，您必须提供用于生成当前正在使用的任何密钥的密码。另请参见安全性在本页 372 autostart 指定 Tableau Server 是否在系统启动时启动。默认情况下，Tableau Server 将在安装了它的计算机启动时启动。如果 autostart 设置为 off, 则需要使用 tabadmin start 或“开始”菜 - 531 - 单启动 Tableau Server。示例显示 Tableau Server 的自动启动状态： tabadmin autostart 在操作系统启动时启动 Tableau Server： tabadmin autostart on 在操作系统启动时不启动 Tableau Server： tabadmin autostart off backup 创建 Tableau Server 管理的数据的备份。此数据包括 Tableau 自己的 PostgreSQL 数据库，其中存储工作簿和用户元数据、数据提取 (.tde) 文件以及配置数据。如果使用 import_ webdataconnector 在本页 544 命令导入了 Web 数据连接器，则备份进程也将保存连接器的副本。创建备份文件之前，不需要停止 Tableau Server。默认情况下，备份文件放在您运行 tabadmin backup 命令的目录中。若要将备份文件放在特定位置中，您可以随备份文件名一起包括完整路径。您也可以使用 --userdir 选项将备份文件放入一个已知位置。注意：除非名称已经包含扩展名，否则该命令将向您指定的文件名中添加 .tsbak 扩展名。示例在当前目录中创建一个名为 tabserv.tsbak 的备份文件： tabadmin backup tabserv.tsbak 在 C:\backups\tableau 文件夹中创建一个名为 tabserv.tsbak 的备份文件： tabadmin backup C:\backups\tableau\tabserv.tsbak 将当前日期附加到备份文件名并将备份过程中创建的临时文件放置在 C:\mytemp\tableau 中。将在您从中运行命令的目录中创建备份文件 tabserv.tsbak： tabadmin backup tabserv.tsbak -d -t C:\mytemp\tableau - 532 - 选项( 短) 选项( 长) 参数说明 -d --date 将当前日期附加到备份文件名。 -u -userdir 将备份文件放置在 ProgramData\Tableau\Tableau Server 文件夹中。 -t -tempdir PATH 指定在备份过程中创建的临时文件的位置。另请参见备份 Tableau 数据在本页 568 cleanup 减少 Tableau Server 占用的磁盘空间。运行 tabadmin cleanup 可移除日志文件、临时文件和 Tableau Server 的 PostgreSQL 数据库中的所选行。如果 Tableau Server 安装在群集中的多台计算机上，该命令还可重置协调服务器保留用来在节点之间同步和管理故障转移的信息。 cleanup 命令的效果取决于服务器是正在运行还是已停止。有关详细信息，请参见移除不需要的文件在本页 570。示例移除日志文件、临时文件和 PostreSQL 数据库中的 HTTP 请求条目： tabadmin cleanup 移除日志文件和临时文件( 原样保留数据库中的 HTTP 请求条目) ： tabadmin cleanup --restart 选项( 短) 选项( 长) -r --restart 参数说明停止 Tableau Server，运行 cleanup 命令，然后重新启动服务器。 - 533 - 选项( 短) 选项( 长) 参数说明除了执行正常清理外，还会移除当 Tableau Server 在群集中的多台计算机上运行时 Tableau Server 协调服务 (zookeeper) 所保留的日志文件、事务日志和快照。请注意，使用此选项会完全重置协调服务，这意味着将会移除协调服务保留的所有状态。此选项的功能也相当于 tabadmin configure 命令。有关何时重置协调服务的准则，请参见服务器进程疑难解答在本页 226。 --reset-coordination 另请参见移除不需要的文件在本页 570 - 534 - configure 通过强制更新 ProgramData\Tableau\Tableau Server\data\tabsvc\<area> 中的所有文件来更新 Tableau Server 的配置。此更新包括刷新主服务配置文件 workgroup.yml (ProgramData\Tableau\Tableau Server\data\tabsvc\config)。进行配置更改后，最好运行 tabadmin configure( 或 tabadmin config) 以确保影响服务器配置的所有文件都已完全更新。如果在分布式环境中运行 Tableau Server，并且您已使用 import_webdataconnector 在本页 544 命令导入了 Web 数据连接器或已使用 delete_webdataconnector 在本页 538 命令将其删除，则 configure 命令可确保在运行网关进程的所有节点中正确分发 ( 已导入或删除的) 任何 Web 数据连接器。示例 tabadmin configure tabadmin config 另请参见重新配置服务器在本页 32 set 在本页 550 tabadmin set 选项在本页 556 customize 自定义 Tableau Server 使用的名称和徽标。请注意，即使使用此命令，每个服务器页面底部的版权信息也将列出 Tableau 的版权信息。示例将工具提示中使用的产品名称从“Tableau Server”更改为“My Company Server”: tabadmin customize name "My Company Server" 将默认徽标更改为您自己的徽标( 小于 160 x 160 像素且大于等于 32 x 32 像素) ： tabadmin customize logo "C:\My Pictures\example.png" 将产品名称重置为默认值： tabadmin customize name -d - 535 - 选项( 短) 选项( 长) 参数说明 -d -default name | logo 将名称或徽标重置为其默认值。 name NAME 将名称设置为参数中的值。 logo FILE 将徽标设置为路径中引用的图像。另请参见更改名称或徽标在本页 264 dbpass 允许从外部访问 Tableau 的 PostgreSQL 数据库( 存储库) 。使用 dbpass 命令允许访问数据库后，将可以连接到该数据库和使用 Tableau Desktop 查询它，以创建您自己的管理视图。 tabadmin dbpass [--disable] [--username <username>] [password] 注意：--username 选项从 Tableau Server 8.2.5 开始起有效。在早期版本中，dbpass 只会启用“tableau”用户，并且您无法指定该用户。8.2.5 添加另一个用户( 名为 “readonly”并能够指定要为其启用访问权限的用户。示例允许 tableau 用户访问并将密码设置为 p@ssword： tabadmin dbpass p@ssword 允许 readonly 用户访问并将密码设置为 p@ssword： tabadmin dbpass --username readonly p@ssword 禁止默认 (tableau) 用户从外部访问： tabadmin dbpass --disable 或 tabadmin dbpass --disable --username tableau 禁止 readonly 用户从外部访问： tabadmin dbpass --disable --username readonly - 536 - 选项( 长) 参数说明 -disable 禁止默认远程用户 (tableau) 从外部访问 Tableau 的 PostgreSQL 数据库，或者，从 8.2.5 开始，如果指定了用户名，则禁止该用户从远程访问。 -tableau 或 username readonly 更改指定用户的密码；或者，如果与 --disable 选项一起使用，则禁止指定用户进行访问。用户选项是 tableau 和 readonly。此选项在 Tableau Server 8.2.5 或更高版本中有效。用户提供的密码允许默认远程用户 (tableau) 远程访问 Tableau 的 PostgreSQL 数据库，或者，从 8.2.5 开始，如果指定了用户名，则允许该用户使用给定的密码进行访问。另请参见创建自定义管理视图在本页 278 启用对 Tableau Server 数据库的外部访问在本页 279 decommission 准备 Tableau Server 文件存储节点以从分布式安装中移除。此命令将指定节点置于只读模式以使新内容无法添加到文件存储，并确保节点上的所有内容也存在于另一个文件存储节点上。此命令可在 Tableau Server 运行的同时运行。注意：在重新启动 Tableau Server 之前移除停止使用的文件存储节点。重新启动会自动重新激活任何停止使用的文件存储节点。 tabadmin decommission <node1 node2 ...> 示例停止使用 worker2： tabadmin decommission worker2 按 IP 地址停止使用两个节点： tabadmin decommission 10.32.139.30 10.32.139.22 - 537 - 选项( 长) 参数说明 <节点 1 节点 2 节点 3...> 要停止使用的文件存储节点( 服务器) 的列表。用空格分隔多个节点。另请参见分布式环境在本页 72 维护分布式环境在本页 80 delete_webdataconnector 从服务器中移除指定 Web 数据连接器，或移除所有 Web 数据连接器。如果 Web 数据连接器安装在群集上，此命令将会从群集的所有计算机中移除指定连接器或所有连接器。注意：如果服务器在分布式环境中运行并且删除过程部分成功，用户将仍然能够访问连接器。有关详细信息，请参见 Tableau Server 中的 Web 数据连接器在本页 256。示例 tabadmin delete_webdataconnector connector1.html tabadmin delete_webdataconnector --all 选项( 短) 选项( 长) --all 参数说明从 Tableau Server 中移除所有 Web 数据连接器。使用此选项时，不要指定连接器名称。如果服务器配置为群集，该命令将从安装了连接器的所有节点中移除所有连接器。另请参见 import_webdataconnector 在本页 544 list_webdataconnectors 在本页 545 Tableau Server 中的 Web 数据连接器在本页 256 - 538 - exportsite 导出 Tableau Server 站点，包括其用户、工作簿、项目、数据提取和数据连接，并将其放在一个文件扩展名为 .zip 的文件中。然后，可以通过 importsite 在本页 541 和 importsite_verified 在本页 543 命令使用导出的站点文件来调配新站点。使用 exportsite 命令之前，不需要停止 Tableau Server。Tableau Server 将在导出过程中锁定正在导出的站点。注意：当您导入之前导出的站点时，导入的每个用户和计划都必须与现有用户和计划匹配。有关如何管理导出和导入过程来匹配用户和计划的建议，请参见在导入到用户或计划数比源站点少的目标时的提示。示例 tabadmin exportsite <site ID> --file <PATH> 或 tabadmin exportsite <site ID> --file <FILE> 将站点 ID 为 finance 的站点导出到名为 finance_export.zip 的文件，并将其放入 Program Files\Tableau\Tableau Server\9.2\bin 目录中： tabadmin exportsite finance --file finance_export 导出默认站点。默认站点的站点 ID 是 ""( 双引号，没有空格) 。 tabadmin exportsite "" --file finance_export 如果您使用 Windows PowerShell 运行该命令，请将默认站点的双引号括在单引号 ('""') 中。例如：tabadmin exportsite '""' --file finance_export 将默认站点导出到名为 finance_export.zip 的文件，并将其放入 C:\temp\exported sites 而不是 Tableau Server bin 目录中。由于路径包含空格，因此要用引号引起来： tabadmin exportsite "" --file "C:\temp\exported sites\finance_ export" 导出站点 ID 为 finance 的站点，将导出的站点文件命名为 financesite.zip，将该文件放入 C:\sites\exported，然后将临时运行时文件写入 C:\temp_files： tabadmin exportsite finance --file C:\sites\exported\financesite --tempdir C:\temp_files 选项 ( 短) 选项( 长) 参数说明 --file FILE 或要创建的导出站点文件的名称或名称和位置( 路径) 。如果不指定路径，将使用 Tableau Server 的 bin 目录 - 539 - 选项 ( 短) 选项( 长) 参数说明 PATH (Program Files\Tableau\Tableau Server\9.2\bin)。导出过程中创建的临时文件的存放位置。如果对 Tableau Server 安装目录没有写访问权限，请使用该选项。该选项不会确定导出站点文件的创建位置。 -tempdir 另请参见导入或导出站点在本页 118 failoverprimary 将安装的另一个主 Tableau Server 标识为备份主服务器，或者如果主服务器失败，则将备份主服务器标识为新主服务器，将之前的主服务器标识为新备份主服务器。示例 tabadmin failoverprimary --primary <computer name(s) or IPv4 address(es)> 选项( 短) 选项( 长) 参数说明 -primary 计算机名称充当群集主服务器的 Tableau Server 计算或 IPv4 地址机。另请参见了解高可用性在本页 85 配置故障转移和多个网关在本页 92 使用备份主计算机在本页 101 failoverrepository 将安装的另一个 PostGRES 存储库标识为主动存储库。运行 failoverrepository 命令时，Tableau Server 必须正在运行。 - 540 - tabadmin failoverrepository --target <computer name or IPv4 address> | --preferred 示例 tabadmin failoverrepository --target worker_server2 注意：此命令是永久性的。故障转移存储库将一直是主动存储库，直至您再次发出命令为止。如果配置了首选主动存储库，请使用 --preferred 选项切换回该存储库。选项( 短) 选项( 长) 参数 --target 计算机名称要进行故障转移切换到的 Tableau 或 IPv4 地址 Server 存储库节点。 -preferred 说明进行故障转移，切换到指定为首选主动存储库的存储库节点。另请参见了解高可用性在本页 85 配置故障转移和多个网关在本页 92 使用备份主计算机在本页 101 get_openid_redirect_url 如果 Tableau Server 配置为使用 OpenID Connect 进行身份验证，请获取用于在成功登录后将用户从身份提供程序 (IdP) 重定向到 Tableau Server 的 URL。示例 tabadmin get_openid_redirect_url 另请参见 OpenID Connect 在本页 470 针对 OpenID Connect 配置 Tableau Server 在本页 472 importsite 将站点导入 Tableau Server。importsite 命令是用于将站点导入 Tableau Server 的两个命令中的第一个。要运行此命令，您需要以下项： - 541 - l l 导出的站点文件。Tableau Server管理员使用 exportsite 在本页 539 命令创建此文件。如果您在 Tableau Online 上有一个站点并且想要将其导入您自己的本地 Tableau Server 安装，请向 Tableau 客户支持索要导出的站点文件。目标站点的站点 ID。目标站点是要向其中导入的 Tableau Server 站点。在运行 importsite 命令时，目标站点必须已经存在；不能在运行该命令的过程中创建它。 Tableau Server 默认站点的站点 ID 是 ""( 双引号，没有空格) 。您导入的站点的内容将会替换( 而不是修改) 目标站点的内容。例如，如果目标站点有一个名为 MyDashboard.twbx 的工作簿，而您导入的站点没有该工作簿，则导入过程将会移除目标站点上的 MyDashboard.twbx。当您运行 importsite 命令时，该命令将创建一个临时目录，其中包含逗号分隔值 (CSV) 格式的映射文件，用于定义在导入站点后将如何映射导出的站点资产( 用户、工作簿、项目、数据提取和数据源) 。您务必要对这些详细信息进行验证。使用文本编辑器或 Microsoft Excel 打开映射文件并进行任何更改。所有含 ???( 问号) 的条目都表示无法处理的映射，必须进行编辑。验证映射后，使用 importsite_verified 下一页命令完成导入过程。注意：当您导入之前导出的站点时，导入的每个用户和计划都必须与现有用户和计划匹配。有关如何管理导出和导入过程来匹配用户和计划的建议，请参见在导入到用户或计划数比源站点少的目标时的提示。示例 tabadmin importsite <site ID> --file <PATH> 或 tabadmin importsite <site ID> --file <FILE> 将位于 C:\tableau\exported 中的文件 sales_site.zip 导入到站点 ID 为 wsales 的站点： tabadmin importsite wsales --file C:\tableau\exported\sales_ site.zip 将位于 C:\Program Files\Tableau\Tableau Server\9.2\bin 中的文件 sales_site.zip 导入 Default 站点。默认站点的站点 ID 是 "" ( 双引号，没有空格) 。 tabadmin importsite "" --file sales_site.zip 要验证的映射文件位于 ProgramData\Tableau\Tableau Server\data\tabsvc\temp\import_<site ID>_<datetime>\mappings 中。要指定不同的目录，请使用 --tempdir 选项。将要验证的文件放在 C:\temp\site_to_import 中：跳过验证步骤( 不建议这么做) ： tabadmin importsite wsales --file "C:\tableau\exported\sales_ site.zip" -no-verify - 542 - 选项 ( 短) 选项( 长) 参数说明 --file PATH 要导入的导出站点文件的名称和位置。如果不指定路径，将使用 Tableau Server 的 bin 目录 (Program Files\Tableau\Tableau Server\9.2\bin)。跳过验证步骤并将导出的站点文件直接导入它在 Tableau Server 安装中的新位置。如果选择此选项，则无需使用 importsite_verified 命令。 --noverify 注意：不建议导入站点而不验证映射。 -tempdir PATH 将在其中验证站点文件具有正确的映射的目录。如果不指定该选项，文件将被放在 ProgramData\Tableau\Tableau Server\data\tabsvc\temp 下的一个目录中。另请参见导入或导出站点在本页 118 importsite_verified 为 Tableau Server 上的站点执行导入过程的第二部分。必须先使用 importsite 在本页 541，然后才能使用 importsite_verified。 importsite_verified 命令从包含已验证的 CSV 文件的目录读取，并基于站点资产在 CSV 文件中的映射方式将新站点导入 Tableau Server。接收导入文件的站点( 目标站点) 必须已经存在于 Tableau Server 上。在导入过程中，Tableau Server 锁定接收导入的站点。示例 tabadmin importsite_verified <target site ID> --importjobdir <PATH> 将文件从目录 C:\temp\site_to_import 导入到站点 ID 为 esale 的站点：选项( 短) 选项( 长) 参数 -PATH importjobdir 说明包含您已验证其映射的 CSV 文件的目录。 - 543 - 另请参见导入或导出站点在本页 118 import_webdataconnector 在服务器上安装 Web 数据连接器。然后，创建工作簿的用户可以将 Web 数据连接器作为数据源进行参考。重要信息：在导入 Web 数据连接器之前，请确保连接器中的 JavaScript 代码不会实现不应出现在您的服务器上的任何功能。 import_webdataconnector 命令完成导入连接器的操作后，该命令将显示连接器的服务器 URL。如果用户想要将 Web 数据连接器作为数据源进行参考，则他们需要知道此 URL。( 您也可以使用 list_webdataconnectors 下一页命令在您的服务器上查看连接器的 URL。) 如果 Web 数据连接器包括外部文件( 例如 .css 文件或 .js 文件) 参考，则必须确保可通过 Web 或作为本地文件从服务器中提供该外部文件。如果连接器参考本地文件，则本地文件必须与连接器的 .html 文件在同一文件夹中，导入的 Web 连接器不支持子目录的相对路径。 ( 请确保连接器中的 <link> 或 <script> 元素将此文件作为连接器文件的同等文件正确进行参考。) 如果外部文件是本地文件，则必须使用 import_webdataconnector 命令单独导入此外部文件。如果服务器包括群集中的多台计算机，则会为网关进程正在运行的每台计算机导入 Web 数据连接器。示例 tabadmin import_webdataconnector connector1.html tabadmin import_webdataconnector c:\webdataconnectors\connector1.html --overwrite tabadmin import_webdataconnector \\myshare\webdataconnectors\connector2.html --overwrite tabadmin import_webdataconnector connector1.css 注意：连接器名称只能包含以下字符：a-zA-Z0-9()~.-_。 - 544 - 选项( 短) 选项( 长) 参数说明在服务器上覆盖与要导入的文件同名的任何现有文件。 -overwrite 另请参见 delete_webdataconnector 在本页 538 list_webdataconnectors 向下 Tableau Server 中的 Web 数据连接器在本页 256 licenses 显示 Tableau Server 的许可证信息。示例 tabadmin licenses tabadmin licenses -p 选项( 短) 选项( 长) -p --processor_cores 参数说明显示当前计算机的物理内核数。 list_webdataconnectors 显示服务器上安装的 Wb 数据连接器的名称或 URL。示例列出 Web 数据连接器的名称。 tabadmin list_webdataconnectors 列出 Web 数据连接器的 URL。 tabadmin list_webdataconnectors --urls - 545 - 选项( 短) 选项( 长) 参数说明指定命令应列出 URL，而不是名称。 --urls 另请参见 import_webdataconnector 在本页 544 delete_webdataconnector 在本页 538 Tableau Server 中的 Web 数据连接器在本页 256 manage_global_credentials 在 Tableau Server 上管理委派数据访问的凭据。使用此命令为代理用户指定用于访问不支持 Kerberos 单点登录的数据源的凭据。示例 tabadmin manage_global_credentials --add --server <server> --user <username> --password <password> 为名为 my-server 的服务器添加凭据。 tabadmin manage_global_credentials --add --server my-server -user jsmith --password p@ssword 选项( 短) 选项( 长) 参数说明 --add 为指定服务器添加凭据。 --remove 移除凭据 --show 显示当前凭据 -s --server 服务器针对其管理凭据的服务器 -u -username 用户用于连接到服务器的用户名 -p -password password 用于连接到服务器的密码 -o -override 覆盖现有凭据 - 546 - 另请参见 Tableau 知识库中的为 Cloudera Impala 启用委派。 passwd 重设 Tableau Server 帐户的密码。键入此命令后，系统会提示您输入用户的新密码。仅当 Tableau Server 的用户身份验证设置为“本地身份验证”时，才能使用此命令。当身份验证设置为 Active Directory 时，密码将由 Active Directory 而不是 Tableau Server 处理。示例 tabadmin passwd <username> 重置服务器用户 jsmith 的密码： tabadmin passwd jsmith 另请参见配置一般服务器选项在本页 11 recommission 将只读模式下已停止使用的文件存储节点恢复为主动读/写状态。使用空格分隔多个节点。示例 tabadmin recommission <computer name(s) or IPv4 address(es)> 按 IP 地址重新使用文件存储节点： tabadmin recommission 10.32.139.29 另请参见分布式环境在本页 72 维护分布式环境在本页 80 - 547 - regenerate_internal_tokens 创建 Tableau Server 内部使用的新安全令牌。这些令牌包括 Tableau Server 用于访问存储库的密码，以及用于验证 Tableau Server 组件与存储库之间的内部 SSL 连接的证书。运行此命令会停止 Tableau Server，因此，您将需要在运行此命令后重新启动 Tableau Server。示例 tabadmin regenerate_internal_tokens --passwords tabadmin regenerate_internal_tokens --certs 选项( 短) 选项( 长) 参数说明 --certs 无为内部 SSL 连接重新生成密钥对。 -无 passwords 为 Postgres 数据库重新生成密码。无为内部 SSL 连接重新生成密钥对，并为 Postgres 数据库重新生成密码。注意：只有在配置了内部 SSL 时，才会重新生成密钥对。无 --restart 无在重新生成令牌后重新启动 Tableau Server。另请参见为 Tableau Server PostgreSQL 数据库( 存储库) 重新生成密码在本页 382 安全性在本页 372 reindex 为 Tableau Server 重建搜索索引。在很少的情况下，如果服务器上的搜索返回的结果不完整或不正确，或者“搜索和浏览”进程长时间停止工作，您可能需要重建索引。如果用户由于在输入其凭据后站点未列出而无法登录到服务器，您可以使用此命令。注意：重建搜索索引的推荐方式是在 Tableau Server 已停止时运行此命令。在服务器运行时重建索引可能会导致内容( 包括站点和项目) 暂时消失。示例 tabadmin reindex - 548 - 重建服务器索引另请参见重新生成搜索索引在本页 236 reset_openid_sub 清除将 Tableau Server 中的用户身份绑定到特定 OpenID Connect 身份提供程序 (IdP) 的用户标识符( sub 值) 。如果 Tableau Server 配置为使用 OpenID Connect 进行身份验证，则用户使用 IdP 首次登录到 Tableau Server 时，Tableau 会将 IdP 发送的 sub 值随用户信息一起存储在 Tableau Server 中。sub 通过 IdP 为该用户提供唯一标识符。如果为 OpenID Connect 更改 IdP，您必须移除用户的 sub 值。这样，当用户使用新的 IdP 登录时，Tableau 将可存储新的 sub 值。示例 tabadmin reset_openid_sub Alice 此命令为名为 Alice 的用户清除 sub 值。 tabadmin reset_openid_sub all 此命令为服务器上的所有用户清除 sub 值。另请参见 OpenID Connect 在本页 470 针对 OpenID Connect 更改 Tableau Server 中的 IdP 在本页 476 restart 停止然后启动所有 Tableau Server 进程。示例 tabadmin restart - 549 - restore 将 Tableau Server 备份文件 (.tsbak) 还原到 Tableau Server 安装。还原 .tsbak 文件时，备份文件中的内容将覆盖 Tableau PostgreSQL 数据库、数据提取以及配置文件的内容。如果在使用 import_webdataconnector 在本页 544 命令导入 Web 数据连接器之后建立了备份，则还原进程也将还原连接器。使用 --no-config 选项可还原除服务器配置以外的所有内容。示例还原位于 C:\mybackups 中名为 tabserv.tsbak 的文件，然后重新启动服务器： tabadmin restore C:\mybackups\tabserv.tsbak --restart 还原位于 Tableau Server bin 目录中名为 tabserv.tsbak 的文件，然后重新启动服务器： tabadmin restore tabserv.tsbak --restart 还原位于 C:\mybackups 中名为 tabserv.tsbak 的文件，保留除服务器配置以外的所有内容，但不重新启动服务器： tabadmin restore --no-config C:\mybackups\tabserv.tsbak 选项( 短) 选项( 长) 参数说明 --noconfig 还原 Tableau Server 备份文件，包括数据但不包括服务器配置。 -parallelpgrestore 以并行作业形式运行 PostgreSQL 存储库的还原过程。 -restart 在还原过程完成后重新启动服务。另请参见还原备份内容在本页 569 还原备份内容中的数据提取在本页 570 set 允许您更改 Tableau Server 配置选项的值。如果您设置的参数以连字符开头，请将参数值用双引号和单引号引起来。 - 550 - 示例 tabadmin set [option-name value] 将后台程序查询限制设置为 2.5 小时( 9000 秒) ： tabadmin set backgrounder.querylimit 9000 将 wgserver 虚拟内存参数设置为 -Xmx512m： tabadmin set wgserver.vmopts "'-Xmx512m'" 将 wgserver 虚拟内存参数设置为介于 -Xmx512m 到 -Xss2048k 之间： tabadmin set wgserver.vmopts "'-Xmx512m -Xss2048k'" 选项( 短) 选项( 长) -d -default 参数说明将参数重置为其默认值。另请参见 tabadmin set 选项在本页 556 sitestate 激活( 解锁) 或挂起站点。您可以使用此命令来激活由于站点导入失败而被锁定的站点。暂停站点后，唯一可以访问它的 Tableau Server 用户就是系统管理员。注意：要指定默认站点，请使用“" 作为站点 ID。示例 tabadmin sitestate <site ID> --status <active|suspended> 激活其站点 ID 为 wsales 的站点： tabadmin sitestate wsales --status active 激活默认站点。默认站点的站点 ID 是 "" ( 双引号，没有空格) 。 tabadmin sitestate "" --status active - 551 - 选项( 短) 选项( 长) 参数 --status active 说明指定是激活还是挂起指定站点。或 suspended start 启动所有 Tableau Server 进程。使用 tabadmin start： 1. 以管理员身份打开命令提示符： 2. 键入以下命令： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 3. 键入以下命令启动服务器： tabadmin start 示例 tabadmin start tabadmin start --wait 1200 - 552 - 选项( 短) 选项( 长) 参数说明 --wait 秒数 Tableau Server 准备好接受客户端请求之前等待的秒数。默认值为 600 秒。 status 告知您 Tableau Server 是否正在运行，如果您使用 --verbose 选项，则为您提供有关单独服务器进程状态的详细信息，包括进程是否正在运行以及该进程的 ID。tabadmin status 命令通过连接到 Windows 服务 tabsvc.exe 来获取其信息，后者又将查询 tabspawn 可执行文件来获取每个进程。因此，有时它显示的服务器进程信息与维护页上的“状态”表中的信息有所不同，因为“状态”表是直接查询进程。示例 tabadmin status tabadmin status --verbose 选项( 短) 选项( 长) -v -verbose 参数说明返回所有 Tableau Server 进程、它们的进程 ID 和状态的列表。另请参见服务器设置( 常规) 在本页 238 Tableau Server 进程在本页 573 stop 停止所有 Tableau Server 进程。使用 tabadmin stop： - 553 - 1. 以管理员身份打开命令提示符： 2. 键入以下命令： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 3. 键入以下命令停止服务器： tabadmin stop validate 确认您的 Tableau Server 环境是否满足运行 32 位版本 Tableau Server 的最低要求。使用 -x 选项运行将可验证 64 位要求。如果您当前运行的是 32 位版本的 Tableau Server，在升级之前运行此命令可帮助您确认当前硬件( 内核数) 、磁盘空间和 RAM 是否足以运行 64 位版本。示例 tabadmin validate 选项( 短) 选项( 长) 参数说明 -x --x64 针对 64 位 Tableau Server 要求验证当前计算机内核、内存和可用磁盘空间。 -skiptempIPv6 跳过验证临时 IPv6 地址是否已禁用的过程。 - 554 - warmup 使每个 VizQL 服务器进程加载 vizql DLL 文件，从而提高服务器用户首次加载视图时的加载速度。管理员可以运行此命令，或者为其编写脚本使其在 Tableau Server 重新启动后运行。示例 tabadmin warmup ziplogs 创建包含 Tableau Server 日志文件的存档 (.zip)，不移除日志文件本身。如果运行的是 Tableau Server 群集，工作服务器的日志文件将包含在创建的存档中。示例在 Tableau Server bin 目录中创建一个名为 logs.zip 的存档： tabadmin ziplogs 在 Tableau Server bin 目录中创建一个名为 mylogs.zip 的存档： tabadmin ziplogs mylogs.zip 在 Tableau Server bin 目录中创建一个名为 mylogs.zip 的存档，其中包含从 2014 年 1 月 31 日到现在的日志，但不包括更早的日志： tabadmin ziplogs -d 01/31/2014 mylogs.zip 选项( 短) 选项( 长) 参数说明 -n --withnetstatinfo 在 .zip 文件中包含有关服务器环境的信息。 -p --withpostgresqldata 包括 Tableau Server 的 PostgreSQL 数据库中的数据。如果 Tableau Server 已停止，请复制 pgsql\data 文件夹。如果 Tableau Server 正在运行，请获取二进制转储文件形式的数据。 -l --with- 将包含的日志文件限制为最新文件以帮助减 - 555 - 选项( 短) 选项( 长) 参数说明 latest-dump 少文件大小。默认情况下，会包含 10 个最新文件。 -f --force 覆盖同名的现有日志文件。 -d -[mm/dd/yyyy] .zip 文件中将包含从此日期开始直到现在的 minimumdate 日志文件，但不包含更早日期的日志。如果不指定，则最多包含七天的数据。 -a --all 在 .zip 文件中包括所有日志文件。Tableau Server 的 PostgreSQL 数据库中的数据仍然排除在外。另请参见使用日志文件在本页 572 在命令行上对日志进行存档 (tabadmin) 在本页 586 tabadmin set 选项使用下表可了解您可以使用 set 在本页 550 命令配置的 Tableau Server 选项的更多信息。有关完整的端口列表，请参见 Tableau Server 端口在本页 491。选项默认值说明 api.server.enabled true 允许访问 REST API 在本页 610。默认情况下，此功能已启用。 auditing.enabled true 允许访问 PostgreSQL( Tableau Server 自己的数据库) 历史审计表。有关详细信息，请参见创建自定义管理视图在本页 278。 backgrounder.extra_ timeout_in_seconds 1800 取消后台任务之前超出 backgrounder.querylimit 中的设置的秒数。此设置可确保任务停止后不妨碍后续作业。此设置适用于 backgrounder.timeout_tasks 中列出的进程。若要禁用后台程序超时，请将 backgrounder.extra_timeout_in_ seconds 的值设置为“" ( 空字符串) 。 backgrounder.querylimit 7200 完成一次数据提取刷新任务允许的最长时间，以秒为单位( 7200 秒 = 2 小时) 。 backgrounder.reset_ schedules_on_startup true 控制何时运行已计划在服务器停止时运行的 - 556 - 选项默认值说明后台任务。当设置为 true( 默认值) 时，任务在其下个预定时间运行。当设置为 false 时，计划在服务器停止时运行的所有任务会在服务器启动时同时运行，包括还原 Tableau Server 备份文件 (.tsbak) 的任务。 backgrounder.timeout_tasks refresh_ 运行时间比 backgrounder.querylimit extracts, 和 backgrounder.extra_timeout_in_ incremen- seconds 中的组合值长时可取消的任务的列 t_ 表。此任务列表用逗号分隔。默认列表表示此 extracts, 设置的所有可能的值。 subscription_ notify, single_ subscription_ notify clustercontroller.zk_ session_timeout_ms 300000 群集控制器在确定需要故障转移之前将等待协调服务的时间长度( 以毫秒为单位) 。 dataengine.port 27042 数据引擎在其中运行的端口。 dataserver.port 9700 数据服务器在其中运行的端口。 gateway.public.host 计算机名称服务器的名称 (URL)，用于对 Tableau Server 进行外部访问。如果将 Tableau Server 配置为使用代理服务器或外部负载平衡器，则它是在浏览器地址栏中输入的用于访问 Tableau Server 的名称。例如，如果通过输入 tableau.example.com 来访问 Tableau Server，则 gateway.public.host 的名称是 tableau.example.com。 gateway.public.port 80( 如果是 SSL，则为 443) 仅适用于代理服务器环境。代理服务器所侦听的外部端口。 gateway.timeout 1800 网关在请求失败前等待特定事件的最长时间，以秒为单位( 1800 秒 = 30 分钟) 。 gateway.trusted 代理服务器计算机的 IP 地址仅适用于代理服务器环境。代理服务器的 IP 地址或主机名。 - 557 - 选项默认值说明 gateway.trusted_hosts 代理服务器的备用名称仅适用于代理服务器环境。代理服务器的任何备用主机名。 install.firewall.allowedprogra- true ms.manage 控制 Tableau Server 是否能修改防火墙规则。设置为 true( 默认值) 时，Tableau Server 可更改防火墙规则。如果已修改了防火墙规则并且不希望这些规则发生更改，请将此选项更改为 false。 java.heap.size Tomcat 堆( 存储库和 solr) 的大小。除非 Tableau 建议这么做，否则通常无需更改该值。 128m monitoring.dataengine.conn- 30000 ection_timeout 群集控制器在确定发生连接超时之前将等待数据引擎的时间长度( 以毫秒为单位) 。默认值为 30,000 毫秒( 30 秒) 。 native_api.connection.limit.< 连接类> 设置指定数据源( 连接类) 的并行查询限制。此选项优先于数据源的全局限制。有关特定连接类字符串的信息，请参见 Tableau 知识库。 native_ api.connection.limit.globallimit 16 并行查询的全局限制。默认值为 16( Amazon Redshift 除外，其默认值为 2) 。有关在 Tableau Server 中配置并行查询的信息，请参见 Tableau 知识库。 pgsql.port 8060 PostgreSQL 所侦听的端口。 rsync.timeout 600 完成文件同步所允许的最长时间( 以秒为单位) ( 600 秒 = 10 分钟) 。文件同步在配置高可用性或移动数据引擎和存储库的过程中发生。 server.log.level info 写入 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\vizqlserver\Logs\*.txt 的日志的日志记录级别。要获取更多信息，请设置为 debug。设置为 debug 时，日志记录设置为 pre-8.2 verbosity。使用调试设置可能会显著影响性能，因此您应该仅当 Tableau 支持部门指示时才使用它。有关更多信息，请参见更改日志记录级别在本页 593。 service.jmx_enabled false 设置为 true 则可将 JMX 端口用于可选的监视和故障排除。有关详细信息，请参见启用 - 558 - 选项默认值说明 JMX 端口在本页 497。 service.max_procs 进程数最大服务器进程数。 service.port_ remapping.enabled true 确定在默认的或配置的端口不可用时 Tableau Server 是否尝试动态地重新映射端口。设置为 false 会禁用动态端口重新映射。有关详细信息，请参见 Tableau Server 端口在本页 491。 session.ipsticky false 使客户端会话仅对用于登录的 IP 地址有效。如果发出请求的 IP 地址和与会话令牌关联的 IP 地址不同，则将会话令牌视为无效。在某些情况下( 例如，当具有已知静态 IP 地址的计算机访问 Tableau Server 时) ，此设置可提高安全性。注意：请仔细考虑此设置是否能为您的服务器安全带来帮助。此设置要求客户端具有唯一 IP 地址以及在会话持续时间内保持相同的 IP 地址。例如，处于代理后面的不同用户看起来可能具有相同的 IP 地址( 即代理的 IP 地址) ；在这种情况下，一个用户可能能够访问另一个用户的会话。在另一种情况下，用户可能具有动态 IP 地址，并且其地址可能会在会话过程中发生变化。如果是这样，用户必须要再次登录。 solr.rebuild_index_timeout 3600 当升级 Tableau Server 或还原 .tsbak 文件时，后台任务重新生成搜索索引。此设置控制该任务的超时设置( 3600 秒 = 60 分钟) 。 ssl.client_certificate_ login.fallback_to_password false 指定在 SSL 身份验证失败的情况下 Tableau Server 是否应该使用用户名和密码进行身份验证。有效的选项为 false( 默认值) 和 true。默认情况下，配置为使用相互 SSL 后，如果 SSL 身份验证失败，则 Tableau Server 不允许进行连接。将此选项设置为 true，以允许在 SSL 身份验证失败的情况下使用用户名和密 - 559 - 选项默认值说明码身份验证。 ssl.client_certificate_ login.mapping_strategy UPN 或 LDAP 指定要用于从证书中检索用户名的方法。选项为 LDAP、UPN 或 CN。默认值取决于如何配置 Tableau Server 来进行用户身份验证： l l 如果将 Tableau Server 身份验证配置为使用本地身份验证，则默认值为 UPN( 用户主体名称) 。如果将 Tableau Server 身份验证配置为使用 Active Directory (AD)，则默认值为 LDAP( 轻型目录访问协议) 。 CN( 公用名称) 是管理员可为任一身份验证类型设置的选项。指定 SSL CA 证书吊销列表 (CRL) 文件的文件路径。 ssl.revocation.file 例如 tabadmin set ssl.revocation.file "c:\Program Files\Tableau\Tableau Server\SSL\ca-bundle-client.crl subscriptions.enabled false 控制是否可在系统范围内配置订阅。请参见管理订阅在本页 217。 subscriptions.timeout 1800 一个表示秒数的值，此时间过后，处理订阅的后台进程将会超时。 tomcat.https.port 8443 Tomcat 的 SSL 端口( 未使用) 。 tomcat.server.port 8085 tomcat 侦听关机消息的端口。 vizportal.adsync.update_ system_user false 指定在 Tableau Server 中同步 Active Directory 组时用户的电子邮件地址和显示名称是否更改( 即使在 Active Directory 中更改) 。为了确保用户电子邮件地址和显示名称在同步过程中更新，请将 vizportal.adsync.update_ system_user 设置为 true，然后重新启动服务器。 vizportal.log.level info vizportal Java 组件的日志记录级别。日志写入 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\vizporta- - 560 - 选项默认值说明 l\*.log。要获取更多信息，请设置为 debug。使用调试设置可能会显著影响性能，因此您应该仅当 Tableau 支持部门指示时才使用此设置。有关更多信息，请参见更改日志记录级别在本页 593。 vizqlserver.allow_insecure_ scripts false 允许通过 Tableau Desktop 将工作簿发布到服务器，以及从服务器中打开工作簿，即使该工作簿包含可能不安全的 SQL 或 R 表达式( 例如，可能允许 SQL 注入的 SQL 表达式) 。如果此设置为 false( 默认值) ，则发布工作簿或从服务器中打开工作簿会导致出现错误消息，并且工作将被阻止。只有在想要使用包含已检测为可能不安全的 SQL 或 R 表达式的工作簿，并且只有在工作簿来自安全来源并且您已验证其不包含不安全的表达式时，您才应将此值设置为 true。 vizqlserver.browser.render true 低于由 vizqlserver.browser.render_ threshold 或 vizqlserver.browser.render_ threshold_mobile 设置的阈值的视图由客户端 Web 浏览器( 而非服务器) 呈现。有关详细信息，请参见关于客户端呈现在本页 392。 vizqlserver.browser.render_ 100 threshold 默认值 (100) 表示 PC 上显示的视图的高复杂度。复杂度因素包括标记数、标题数、参考线数和注释数。高于此复杂度的视图由服务器呈现，而不是在 PC 的 Web 浏览器中呈现。 vizqlserver.browser.render_ 20 threshold_mobile 默认值 (20) 表示平板电脑上显示的视图的高复杂度。复杂度因素包括标记数、标题数、参考线数和注释数。高于此复杂度的视图由服务器呈现，而不是在平板电脑的 Web 浏览器中呈现。 vizqlserver.clear_session_ on_unload 确定当用户离开视图或关闭其浏览器时是否将 VizQL 会话保留在内存中。默认值 (false) 会将会话保留在内存中。若在要离开视图或关闭浏览器时关闭 VizQL 会话，请将此项设置为 true。有关详细信息，请参见一般性能准则 false - 561 - 选项默认值说明在本页 384。 vizqlserver.geosearch_ cache_size 5 设置可同时加载到服务器内存中的不同地理搜索区域设置/语言数据集的最大数量。如果服务器收到针对不在内存中的的区域设置/语言数据集的地理搜索请求，则会将该集加载到内存中。如果加载数据集会超出指定限额，则会从内存中清除最近使用的区域设置/语言数据集，以便可加载请求的区域设置/语言数据集。最小值为 1。每个缓存在内存中占用大约 60 MB，因此，如果您将此项设置为 10，内存使用量将为 600 MB (60 * 10)。 vizqlserver.log.level info vizqlserver Java 组件的日志记录级别。日志写入 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\vizqlserver\*.log。要获取更多信息，请设置为 debug。使用调试设置可能会显著影响性能，因此您应该仅当 Tableau 支持部门指示时才使用它。有关更多信息，请参见更改日志记录级别在本页 593。 vizqlserver.port 9100 VizQL 服务器的基本端口。 vizqlserver.protect_sessions true 当设置为 true( 默认值) 时，可防止 VizQL 会话在原始用户退出后被重用。 vizqlserver.querylimit 更新视图允许的最长时间，以秒为单位。 1800 指定 Rserve 主机。此设置和下面三个设置支持工作簿中的 R 功能。R 是用于统计计算和图形的开源软件编程语言和软件环境。在 Tableau Desktop 中，可使用四个函数将 R 表达式传递给 Rserve 服务器并获取结果。如果上载使用任意这些函数的工作簿，则应通过配置此选项和下面三个选项为 Tableau Server 配置 Rserve 连接。否则，使用 R 功能的任何工作表都将不可用。有关更多详细信息，请参见 Tableau Desktop 帮助中的 R 连接。 vizqlserver.rserve.host vizqlserver.rserve.port vizqlserver.rserve.username 6311 指定 Rserve 端口。此设置支持工作簿中的 R 功能。指定 Rserve 用户名。此设置支持工作簿中的 - 562 - 选项默认值说明 R 功能。并非所有 Rserve 主机都需要用户名和密码。 vizqlserver.rserve.password 指定 Rserve 密码。此设置支持工作簿中的 R 功能。并非所有 Rserve 主机都需要用户名和密码。 vizqlserver.session.expiry.m- 5 inimum 当 VizQL 进程开始出现内存不足的情况时，允许丢弃 VizQL 会话前的空闲时间分钟数。 vizqlserver.session.expiry.ti- 30 meout 丢弃 VizQL 会话前的空闲时间分钟数。 vizqlserver.showdownload true 控制视图中“下载”按钮的显示。 vizqlserver.showshare true 控制视图中“共享”按钮的显示。 vizqlserver.trustedticket.log_ info level 受信任的身份验证的日志记录级别。日志写入 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\vizqlserver\vizql-*.log。要获取更多信息，请设置为 debug。使用调试设置可能会显著影响性能，因此您应该仅当 Tableau 支持部门指示时才使用它。有关更多信息，请参见更改日志记录级别在本页 593。 vizqlserver.trustedticket.tok- 24 en_length 确定每个受信任票证中的字符数量。默认设置 ( 24 个字符) 提供 144 位随机性。该值可设置为 9 和 255( 包括 9 和 255) 之间的任意整数。 vizqlserver.trustedticket.use_deprecated_9digit_token 设置为 true 时，票证的长度是 9 位数( 在版本 8.0 和更低版本中) ，并忽略 vizqlserver.trustedticket.token_ length 设置。 false 在对视图和仪表板使用 URL 操作时将这些协议添加到白名单中。http、https、gopher、 news、ftp 和 mailto 默认列在白名单中。 vizqlserver.url_scheme_ whitelist webdataconnector.enabled true 如果此设置为 true，您可以使用 tabadmin 命令在服务器上管理 Web 数据连接器，并且在备份和还原服务器时将包括 Web 数据连接器。如果设置为 false，则在备份和还原过程中不会包括服务器上的 Web 数据连接器。有关详细信息，请参见 Tableau Server 中的 - 563 - 选项默认值说明 Web 数据连接器在本页 256。 webdataconnector.refresh.e- true nabled 如果此设置为 true，服务器将支持为基于 Web 数据连接器的数据源执行刷新。有关详细信息，请参见 Tableau Server 中的 Web 数据连接器在本页 256。 wgserver.audit_history_ expiration_days 183 历史事件记录从 PostgreSQL 数据库( Tableau Server 数据库) 删除后的天数。有关详细信息，请参见创建自定义管理视图在本页 278。 false 控制 Tableau Desktop 是否使用 SAML 进行身份验证。如果您的 IdP 不使用基于表单的身份验证，请使用此选项。有效的选项为 true 和 false。默认情况下不设置此选项，因此行为相当于将其设置为 false。将此选项设置为 true 可为 Tableau Desktop 禁用 SAML 身份验证。 wgserver.authentication.desktop_nosaml wgserver.authentication.ap- false p_nosaml false 控制用户是否能使用 Tableau Server 用户名和密码登录到 Tableau Server。在用户通常使用单点登录 (SSO) 登录到服务器，例如通过使用 SAML、OpenID Connect 或 Kerberos 登录的情况下，此设置非常有用。在这些情况下，用户也有 Tableau Server 用户名和密码。如果 wgserver.authentication.restricted 设置为 true，则只有系统管理员才能使用用户名和密码登录到 Tableau Server；所有其他用户必须使用 SSO 登录到服务器。将 wgserver.authentication.restricted 设置为 true 还具有限制用户对命令行工具( 如 tabcmd 和 tabconfig) 的访问的效果。这些工具不支持 SSO，因此要求用户使用 Tableau Server 登录。如果该设置为 true，则非系统管理员用户将无法使用这些命令行工具。 true 控制工作簿、数据源或项目的所有权能否更改。其他选项包括 false 和 adminonly。有关详细信息，请参见管理所有权在本页 wgserver.authentication.restricted wgserver.change_ owner.enabled 作用相当于适用于 Tableau Mobile 的上述设置。 - 564 - 选项默认值说明 299。 wgserver.clickjack_ defense.enabled true 设置为 true 时，可帮助阻止恶意人员“单击劫持”Tableau Server 用户。在单击劫持攻击中，目标页面以透明方式显示在另一个页面之上，攻击者将诱使用户在目标页面中单击或输入信息，而用户会认为自己在与另一个页面交互。有关详细信息，请参见单击劫持保护在本页 379。 wgserver.domain.fqdn %USERDOMA- 要使用的 Active Directory 服务器的完全限定 IN% 的值域名。 wgserver.log.level info wgserver Java 组件的日志记录级别。日志写入 ProgramData\Tableau\Tableau Server\data\tabsvc\logs\wgserver\*.log。要获取更多信息，请设置为 debug。使用调试设置可能会显著影响性能，因此您应该仅当 Tableau 支持部门指示时才使用它。有关更多信息，请参见更改日志记录级别在本页 593。 wgserver.password_ autocomplete.enabled false 控制是否允许 Web 浏览器自动填充密码字段。 wgserver.restrict_options_ method true 控制 Tableau Server 是否接受 HTTP OPTIONS 请求。如果此选项设置为 true，则服务器将为 HTTP OPTIONS 请求返回 HTTP 405( 不允许的方法) 。 wgserver.saml.idpattribute.u- username sername 指定 IdP 用于 SAML 身份验证的属性。默认值为 username。有关详细信息，请参见 SAML 在本页 430。 wgserver.saml.logout.enabl- true ed 指定是否为 Tableau Server 启用 SAML 注销。默认值为 true。只有在为 Tableau Server 启用了 SAML 身份验证的情况下，此设置才适用。 wgserver.saml.logout.redirect_url 指定 SAML 身份验证的注销后登录页面。默认值为标准服务器登录页面。您可以指定绝对或相对 URL。有关详细信息，请参见 SAML 要 - 565 - 选项默认值说明求。 wgserver.saml.maxassertio- 3000 ntime 指定自创建后断言可用的最大秒数。 wgserver.saml.maxauthenti- 7200 cationage 指定用户的身份验证与 AuthNResponse 消息处理之间允许的最大秒数。 wgserver.saml.responseske- 180 w 设置 Tableau Server 时间与仍允许处理消息的断言创建时间( 基于 IdP 服务器时间) 相差的最大秒数。 wgserver.session.apply_ lifetime_limit false 控制服务器会话是否存在会话生命周期。将此值设置为 true可以配置服务器会话生命周期。 wgserver.session.lifetime_ limit 1440 服务器会话持续的分钟数( 如果设置了会话生命周期) 。默认值为 1440 分钟( 24 小时) 。如果 wgserver.session.apply_lifetime_ limit 为 false( 默认值) ，则会忽略此项。 wgserver.session.idle_limit 240 登录 Web 应用程序发生超时前的空闲时间分钟数。 workerX.gateway.port 80( 如果是 SSL，则为 443) Apache 为 workerX 进行侦听的外部端口。 worker0.gateway.port 是 Tableau Server 的外部端口。在分布式环境中，worker0 是主 Tableau Server。 workerX.vizqlserver.procs 进程数 VizQL 服务器数。 workerX.vizqlserver.port 9100 workerX 上用于 vizQL 服务器的基本端口。 workerX.wgserver.port 8000 workerX 上用于 Web 应用程序服务器的基本端口。 workerX.wgserver.procs 处理器数 Web 应用程序服务器进程数。 zookeeper.config.dataLogDir 指定 ZooKeeper 事务日志的目录和文件路径。默认情况下，ZooKeeper 事务日志将写入到 Tableau 的 data 目录( 例如 c:\Tableau\Tableau Server\data\tabsvc\zookeeper\0\data) 。使用此选项来指定其他位置。驱动器和路径适用于群集中的所有节点。如果位置不存在，则会创建位置。驱动器在所有节点上必须存在，并且可写入。此项不应是共享 - 566 - 选项默认值说明的 UNC 路径。 ZooKeeper 建议将事务日志写入到专用驱动器以优化性能。示例：tabadmin set zookeeper.config.dataLogDir "d:\Tableau\Tableau Server\zookeeper" 将设置恢复为默认值通过执行以下操作，可恢复 Tableau Server 配置设置的默认值： 1. 停止服务器。 2. 还是在 bin 目录中，通过键入以下内容恢复特定设置的默认值： tabadmin set option-name --default 例如，若要将 tabadmin vizqlserver.session.expiry.timeout 选项设置回其默认值 30 分钟，请键入以下内容： tabadmin set vizqlserver.session.expiry.timeout --default 或者，可以使用较短的 -d 命令。例如： tabadmin set vizqlserver.querylimit -d 3. 然后运行 configure 命令： tabadmin configure 4. 启动服务器。 - 567 - 数据库维护 Tableau Server 管理员应执行常规数据库维护，监视服务器上的磁盘使用情况并清除不必要的文件来释放服务器空间。采取这些步骤可帮助确保 Tableau Server 以最高效率运行。可使用 tabadmin 命令行工具备份和还原 Tableau 数据，以及清理( 移除) 不必要的日志和临时文件。Tableau 数据包括 Tableau Server 自己的 PostgreSQL 数据库，其中存储工作簿和用户元数据、数据提取 (.tde) 文件以及服务器配置数据。Tableau Server 日志文件捕获活动并可帮助诊断问题。日志写入到服务器上的文件夹中，您可以存档并移除它们以节省磁盘空间。可使用以下主题中介绍的命令以及内置的 Windows 任务计划程序来自动备份数据和清理不必要的文件。注意：在还原 Tableau Server 数据时，只能使用通过 tabadmin backup 命令建立的备份。在还原 Tableau Server 时，通过其他方式建立的数据库备份以及虚拟计算机快照是无效数据源。备份 Tableau 数据对 Tableau 数据进行备份十分重要，这样就可以在发生系统故障时还原已发布的视图和其他信息。Tableau Server 管理的数据包含 Tableau 自己的 PostgreSQL 数据库，其中包含工作簿和用户元数据、数据提取 (.tde) 文件以及配置数据。使用 tabadmin 创建备份时，所有这些内容都放置在一个扩展名为 .tsbak 的文件中。如果您运行的是 Tableau Server 的分布式安装，那么此步骤会在主服务器上执行，即使处理 .tde 文件的数据引擎位于工作服务器上也是如此。在还原 Tableau 数据时，只能使用通过 tabadmin 创建的备份。将 .tsbak 存储在不是 Tableau Server 安装一部分的计算机上。 Tableau 卸载，这是升级到新版本的第一个步骤，也会自动创建 .tsbak 文件。该 .tsbak 文件可用于自动将数据迁移到较新版本。使用下面的过程创建 Tableau 数据的备份。注意：运行 backup 命令还将移除早于七天的 Tableau Server 日志文件以及显示在特定 Tableau Server 管理视图在本页 268 中的一些信息。 1. 以管理员身份打开命令提示符，然后键入以下内容： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 通过键入 tabadmin backup <filename> 创建备份文件，其中 <filename> 是备份文件的名称或位置和名称。从版本 8.1 开始，创建备份之前不再需要停止服务器。例如： tabadmin backup tabserver - 568 - 或 tabadmin backup C:\backups\tableau\tabserver 您也可以根据需要使用 -d 将当前日期附加到文件名。添加后跟路径的 -t，指定在备份过程中创建的临时文件的位置。临时文件的路径不是将在其中写入备份文件的位置。例如： tabadmin backup tabserver -t C:\mytemp\tableau 在以上示例中，备份文件 tabserver.tsbak 将在 Tableau Server bin 目录 (C:\Program Files\Tableau\Tableau Server\9.2\bin) 而不是 C:\mytemp\tableau 中创建。还原备份内容使用 tabadmin 还原 Tableau 数据时，备份文件 (.tsbak) 中的内容会覆盖 Tableau PostgreSQL 数据库、数据提取和配置文件的内容。如果您运行的是 Tableau Server 的分布式安装，那么此步骤会在主 Tableau Server 上执行。注意：在还原 Tableau 数据时，只能使用通过 tabadmin 创建的备份。从数据库备份文件进行还原： 1. 通过键入以下命令来停止服务器： tabadmin stop 2. 通过键入以下命令从备份文件还原数据库： tabadmin restore <filename> 在上面的行中，将 <filename> 替换为要用来进行还原的备份文件的名称。要仅还原数据而不还原配置设置，请键入以下命令： tabadmin restore --no-config <filename> 3. 通过键入以下命令重新启动服务器： tabadmin start 4. 如果在创建现在要还原的备份文件之前的任何时间运行了 tabadmin assetkeys 命令，请运行以下命令： tabadmin assetkeys --validate 将提示您输入重新创建在备份文件中使用的自定义加密密钥所需的密码。 - 569 - 在还原 .tsbak 文件时，Tableau Server 会自动创建其当前 data 文件夹的副本，将它命名为 tabsvc.bak-*，并将它放在 ProgramData\Tableau\Tableau Server\data 中。此文件夹是 Tableau Server 数据的应急备份，在备份还原过程中出现问题时，Tableau 支持人员或许会用到它。还原完成后，可以安全地从 ProgramData\Tableau\Tableau Server\data 中移除任何 tabsvc.bak-* 文件夹来释放更多磁盘空间。在 Tableau Server 群集中，运行 Tableau Server 的每台计算机上都会创建 tabsvc.bak-* 文件夹。注意：不要移除 tabsvc 文件夹，它也位于 ProgramData\Tableau\Tableau Server\data 下。它包含 Tableau Server 数据。仅移除 tabsvc.bak-* 文件夹。还原备份内容中的数据提取创建 uninstall-<version>.tsbak 文件( 例如 uninstall-9.1.tsbak) 是卸载过程中的一个操作。升级到版本 9.2之后，可使用此文件来还原数据提取，例如您在升级过程中意外删除了 dataengine 文件夹时。若要使用 uninstall-<version>.tsbak 还原数据提取，请执行以下操作： 1. 停止服务器。 2. 在 Tableau Server 9.2 版的 bin 目录中键入以下命令： Windows Server 2012、Windows Server 2008、Windows 7、Windows 8：tabadmin restore \ProgramData\Tableau\Tableau Server\uninstall9.1.tsbak 安装在 64 位 Windows Server 上的 32 位 Tableau Server：tabadmin restore \Program Files (x86)\Tableau\Tableau Server\uninstall9.1.tsbak 安装在 32 位 Windows Server 上的 32 位 Tableau Server：tabadmin restore \Program Files\Tableau\Tableau Server\uninstall-9.1.tsbak 移除不需要的文件作为最佳做法，您应该监视您服务器上的空间使用率。如果您需要腾出更多空间，可以使用 cleanup 在本页 533 命令移除日志文件、临时文件以及 PostgreSQL 数据库中不需要的条目。如果您可能需要较旧日志条目来排除故障，则应在执行清理之前创建日志文件存档。有关详细信息，请参见在命令行上对日志进行存档 (tabadmin) 在本页 586。要执行清理，请使用此命令： tabadmin cleanup 您可以添加 restart 选项，该选项相当于运行 tabadmin stop、tabadmin cleanup，然后运行 tabadmin start： tabadmin cleanup --restart - 570 - tabadmin cleanup 命令移除的文件和数据库条目取决于 Tableau Server 是正在运行还是已停止。因此，要清理所有可能的文件和数据库条目，您应运行 tabadmin cleanup 两次：一次在 Tableau Server 运行时，一次在其已停止时。下面汇总了您在服务器运行时和服务器已停止的情况下运行 tabadmin cleanup 时移除的内容：当您在 Tableau Server 已停止的情况下运行 tabadmin cleanup 时： l l l 将从 ProgramData\Tableau\Tableau Server\data\tabsvc\logs 中移除所有日志文件。( 不会移除 ProgramData\Tableau\Tableau Server\logs 中的日志文件。) 将从 ProgramData\Tableau\Tableau Server\temp 和 ProgramData\Tableau\Tableau Server\data\tabsvc\temp 中移除临时文件。不会从 Tableau Server PostgreSQL 数据库的 http_requests 表中移除 HTTP 请求的任何行，因为在服务器停止时无法访问该数据库。当您在 Tableau Server 正在运行的情况下运行 tabadmin cleanup 时： l 将从 ProgramData\Tableau\Tableau Server\data\tabsvc\logs 中超过早于日志文件周转时间间隔的日志文件。( 默认情况下，周转时间间隔为一天。) 不会移除 ProgramData\Tableau\Tableau Server\logs 中的活动日志和日志文件。 l 不会移除临时文件。 l 不会移除正在使用的文件( 即操作系统锁定的文件) 。 l 将从 Tableau Server PostgreSQL 数据库的 http_requests 表中移除超过七天的 HTTP 请求行。注意：在备份 Tableau 数据时，超过七天的 HTTP 请求行也会被移除。有关详细信息，请参见备份 Tableau 数据在本页 568。详细信息有关 http_requests 表的详细信息，请参见创建自定义管理视图在本页 278。有关如何自动运行清理和备份命令的提示，请参见以下知识库文章：服务器备份和维护自动化如果您创建了日志文件存档但现在不再需要它，可使用“状态”页面上的 “删除快照”选项将其从服务器中移除。有关详细信息，请参见在“状态”页面上对日志进行存档( 快照) 在本页 584。 - 571 - 疑难解答使用 Tableau Server遇到问题时，可以使用以下主题来解决。有关受信任的身份验证方面的问题解答提示，请参见受信任的身份验证疑难解答在本页 416：使用日志文件 Tableau Server 创建日志文件作为其活动的正常一部分。在您排查 Tableau Server 问题时或者 Tableau 支持人员需要使用日志来帮助您解决问题时，您可能需要使用服务器日志文件。可以在服务器上从命令行或使用“维护”页面上的“生成快照”选项来创建压缩的日志文件存档 ( 快照) 。压缩的存档包含您可使用 Web 浏览器复制或下载并发送给 Tableau 支持人员的日志副本。在您拥有存档副本之后，可以从服务器删除存档。有关创建、下载和删除日志文件存档的详细信息，请参见在“状态”页面上对日志进行存档( 快照) 在本页 584。这组主题提供了有关如何创建日志文件存档的信息、特定日志文件的内容以及有关您何时可能需要查看文件和如何查看的详细信息。调查 Tableau Server 问题 Tableau Server 可能出现的问题的范围和复杂性不同，这意味着没有可用于调查所有问题的简单过程，但常规方法包括以下步骤： 1. 清理现有日志文件以减小其大小。有关更多信息，请参见移除不需要的文件在本页 570。 2. 设置适当的日志记录级别。Tableau 支持人员将指示您执行此操作。有关更多信息，请参见更改日志记录级别在本页 593。 3. 重现您要解决的问题，以便日志捕获与问题相关的事件。 4. 创建日志的存档。有关更多信息，请参见对日志文件进行存档在本页 583。重要信息：在查看日志文件时使用此存档。不应直接在服务器上编辑、移动或删除任何文件。 5. 查看服务器配置文件 ( \config\tabsvc.yml)，以获得对服务器环境的基本了解。 6. 查看管理日志 (\logs\tabadmin.log)，以了解在服务器上执行的任何维护。搜索 run as: <script> 来查找特定于 tabadmin 活动的条目。 7. 查看 Apache 日志 ( \httpd\access.####_##_##_##_##_##.log 和 \httpd\error.log) 中可能与您要调查的问题相关的请求。 Apache 日志将包含大量不适用于您遇到的问题的“无用数据”。 l 如果您找到似乎与您的问题相关的请求，请在 \wgserver 和 \vizqlserver 中搜索包含 Apache 日志中的唯一请求 ID 的条目。 - 572 - l l l l 查找与请求 ID 关联的响应代码和消息。搜索与您的问题相关的工作簿、视图、仪表板或数据源的名称。确保查找相关的时间戳。如果您找到可能与您的问题相关的请求，请查看与该请求关联的响应代码( 200 表示正常，500 表示问题) 。找到与您已确定的请求关联的唯一请求 ID( 唯一请求 ID 位于请求的末尾，是一个包含 24 个字符的字母数字字符串) 。 8. 进一步查看日志存档，以搜索其他消息和可能的错误。 l 使用 Apache 日志中的请求 ID 搜索日志存档的 \wgserver 和 \vizqlserver 文件夹，以查找包含相关日志条目的文件。查找问题的迹象 ( 例如错误消息或长时间运行的查询) 。 9. 与支持人员联系如果您自己无法解决问题或者 Tableau 支持人员要求您这么做，请将压缩的存档发送给 Tableau。有关更多信息，请参见以下主题： Tableau Server 进程有一些您可以更改其默认配置来获得不同结果的 Tableau Server 进程。主题提高服务器性能在本页 386和高可用性在本页 80介绍了您可以采用的某些方法。每个进程的高级别状态显示在服务器的“状态”页面上，与某些进程( 例如后台进程) 相关的更详细信息位于管理视图在本页 268 主题中。注意：下面列出的某些进程无法进行配置：在基本安装过程中，将在每个节点上安装群集控制器和协调服务。它们需要位于每个服务器节点上。文件存储是在安装数据引擎时安装的，无法单独安装。每个数据引擎进程的实例将始终也存在文件存储进程的实例。从结构上说，64 位版本的 Tableau Server 使用本机 64 位进程；32 位版本的 Tableau Server 使用 32 位进程。但数据引擎例外。如果 32 位版本的 Tableau Server 安装在 64 位操作系统上，则会使用 64 位版本的数据引擎进程。有关这些进程生成的日志文件的信息，请参见服务器日志文件位置在本页 586。 - 573 - 进程文件名用途是否为多线程？ API Server wgserver.exe 处理 REST API 调用应用程序服务器 vizportal.exe 处理是 Web 应用程序，支持浏览和搜索 - 574 - 是性能特征除非您为关键业务进程使用 REST API，否则此服务可关闭，而不会对 Tableau Server 的总体运行状况产生影响。在不经常使用的操作 ( 例如，发布包含数据提取的工作簿，或者生成视图的静态图像) 中仅占用显而易见的资源。可通过基于浏览器的交互进程后台程序文件名 backgrounder.exe - 575 - 用途是否为多线程？执行服否务器任务( 包括数据提取刷新) 、 “立即运行”任务以及通过 tabcmd 启动的任务性能特征和 tabcmd 创建该进程的负载。可在群集内的任何或所有计算机上运行多个进程以扩展容量的单线程进程。后台程序通常不会占用很多进程内存，但后台程序可能会根据面向它的工作负载的性质占用 CPU 资源、I/O 资源或网络资源。例进程缓存服务器文件名 redis-server.exe - 576 - 用途是否为多线程？查询缓否存性能特征如，执行大量数据提取刷新时，可能会使用网络带宽来检索数据。数据检索或复杂的 tabcmd 任务可能会占用 CPU 资源。在服务器群集中分布和共享的查询缓存。这种内存中的缓存在许多方案中可加快用户体验。 VizQL Server、后台程序和数进程群集控制器文件名 clustercontroller.exe - 577 - 用途是否为多线程？负责监不适视各个用组件、检测故障以及在需要时执行故障转移性能特征据服务器( 以及较小范围的 API 服务器和应用程序服务器) 代表用户或作业向缓存服务器发出缓存请求。缓存为单一线程方式，因此如果您需要更好的性能，您应运行其他缓存服务器实例。包括在每个节点上的基本安装中。进程文件名协调服务 zookeeper.exe 数据引擎 tdeserver64.exe tdeserver.exe( 32 位) - 578 - 用途是否为多线程？在分布不适式安装用中，负责确保在故障转移过程中有做出决策的法定人数。存储数是据提取和回答查询性能特征包括在每个节点上的基本安装中。数据引擎的工作负载由来自 VizQL Server、应用程序服务器、API 服务器、数据服务器和后台程序服务器进程的请求生成。数据引擎服务也会从大多数其进程文件名用途是否为多线程？性能特征他服务器进程中进行请求。该进程是将数据提取加载到内存并针对数据提取执行查询的组件。内存占用主要基于所加载的数据提取的大小。在 64 位操作系统上，默认使用 64 位二进制文件，即使安装的是 32 位 Tableau Server，也是如此。数据 - 579 - 进程数据服务器文件名 dataserver.exe - 580 - 用途是否为多线程？管理与是 Tableau Server 数据源的连接性能特征。高负载时，数据引擎的单个实例可能会占用所有 CPU 资源，以便处理请求。由于该进程是一个代理，因此它通常仅受限制于网络，但在有很多同时存在的用户会话时，可能会受限制于 CPU。该进程的负载是以下内容产生的：基于浏览器的交互，进程文件名用途是否为多线程？文件存储 filestore.exe 自动在不适数据引用擎节点之间复制数据提取。存储库 postgres.exe Tableau 不适 Server 用数据库，用于存储工作簿和用户元数据 - 581 - 性能特征基于 Tableau Desktop 的交互，以及针对 Tableau Server 数据源的数据提取刷新作业。随数据引擎一起安装 ( 无法单独安装) 。如果安装了一个或多个数据引擎进程，则文件存储进程将始终存在。通常仅占用很少的资源。执行诸如用户查看所有工进程搜索和浏览文件名 searchserver.exe - 582 - 用途是否为多线程？在服务是器上处理内容元数据的快速搜索、筛选、检索和显示性能特征作簿或更改权限等操作时，在极少情况下，对于超大型部署 ( 存在数千位用户) ，该进程可能会成为瓶颈。有关详细信息，请参见 Tableau Server 存储库在本页 50。进程首先与内存绑定，然后与 IO 绑定。使用的内存量随服务器上的内容量( 站点 /项目/工作簿/数进程 VizQL Server 文件名 vizqlserver.exe 用途是否为多线程？加载和是呈现视图，计算和执行查询性能特征据源/视图/用户的数量) 缩放。在从 Web 浏览器加载视图和交互使用的过程中，占用明显的资源。可能受限制于 CPU、 I/O 或网络。进程负载只能由浏览器的交互创建。进程内存可能不足。对日志文件进行存档可以采用两种不同的方法创建日志文件的存档( 快照) ：使用浏览器从“状态”页面，或在 Tableau Server 上从命令提示符使用 tabadmin。创建日志文件存档为您提供了日志的压缩快照，您可将其用于进行疑难解答或发送给 Tableau 支持人员来帮助解决问题。 - 583 - 在“状态 ”页面上对日志进行存档( 快照) 您可以从 Web 浏览器生成并下载 Tableau Server 日志文件的快照( 存档) ，而无需打开命令提示符。这种压缩的快照包含 Tableau Server 和任何工作服务器( 如果您具有分布式环境) 中的最多七天的日志文件数据的副本。快照过程不会更改或删除 Tableau Server 日志文件或使用 tabadmin 创建的日志存档。注意：若要指定要收集的数据量或要创建的 zip 文件的名称，请使用 tabadmin 创建服务器日志的存档。有关详细信息，请参见在命令行上对日志进行存档 (tabadmin) 在本页 586。生成服务器日志文件的快照： 1. 打开“状态”页面： l 多站点：选择 “服务器”>“状态”。 l 单站点：选择 “状态”。 2. 单击 “生成快照”以创建 Tableau Server 日志的快照。仅当没有现有快照时，“生成快照”按钮才可用。注意：不管您是否使用 tabadmin 创建日志存档，此选项都可用。 3. 选择要包括的日志的天数。默认值为 “前 7 天”，但如果您想要减小 zip 文件的大小，则可能需要选择较少的天数。举例来说，如果您刚才再现了问题并且正在收集与该问题相关的日志，则可能需要选择 “今天”以创建所需的最小 zip 文件。 4. 单击 “下载快照”将日志快照下载到您的 Web 浏览器的默认下载位置。此选项在您创建快照后可用。 Google Chrome 在窗口底部向您显示下载： - 584 - 5. 单击箭头，然后单击 “打开”以解压缩快照，或单击 “在文件夹中显示”以查看它的下载位置： 6. ( 可选) 单击 “删除快照”可删除日志快照。此选项在您创建快照后可用。您需要删除现有快照，然后才能创建新快照。例如，您可能需要删除在要调查的事件之前创建的快照。 - 585 - 在命令行上对日志进行存档 (tabadmin) 可以使用 tabadmin ziplogs 命令对 Tableau Server 日志文件进行存档。此命令创建一个包含所有日志文件的 zip 文件，在使用 Tableau 支持时，这十分有用。ziplogs 命令不删除日志文件，而是将这些文件复制到 zip 文件中。如果您运行的是 Tableau Server 的分布式安装，则通过主服务器执行此步骤。zip 文件将包含所有工作服务器日志。注意：tabadmin ziplogs 命令可能生成类似以下内容的消息：“zip 错误: 不执行任何操作!”这些通常与 zip 过程中的特定步骤相关，并不意味着日志文件存档为空或整个存档过程失败。创建日志文件存档： 1. 以管理员身份打开命令提示符，转到 Tableau Server 的 bin 目录。例如： cd "C:\Program Files\Tableau\Tableau Server\9.2\bin" 2. 通过键入以下命令停止 Tableau Server： tabadmin stop 3. 通过键入 tabadmin ziplogs -l -n <filename> 创建 zip 文件，其中 <filename> 是要创建的 zip 文件的名称。选择一个唯一名称( 不带空格) 。Tableau 不会覆盖现有文件。例如： tabadmin ziplogs -l -n my_logs 如果不指定文件名，则文件名为 logs.zip。也可以使用 -d mm/dd/yyyy 包括自某个日期开始生成的日志。例如： tabadmin ziplogs -l -n -d 12/14/2014 上述命令会创建名为 logs.zip 的压缩文件，该文件包含从 2014 年 12 月 14 日至今的日志( 不包括更早的日志) 。-n 选项用于捕获有关服务器环境的信息，包括所使用的端口。若要查看所有 ziplogs 选项的列表，请键入 tabadmin ziplogs -h。 4. 通过键入以下命令重新启动 Tableau Server： tabadmin restart 在 Tableau Server 的 bin 目录中可以找到经过压缩的日志文件。服务器日志文件位置默认情况下，Tableau Server 日志文件存档收集在名为 logs.zip 的 zip 文件中( 如果使用 tabadmin 创建存档，则可以指定不同的名称) 。您可以将存档从服务器复制到本地计算机并在那里打开它，也可将它发送给 Tableau 支持人员。在您解压缩存档时，会创建包含相关 - 586 - 日志文件的一系列文件夹。下表说明了每个文件夹可能包含的内容，以及文件在 Tableau Server 上的原始位置、创建日志文件的进程和有关文件的详细信息。如果您将 Tableau Server 安装在驱动器 C 上，则 Tableau Server 日志目录为 C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs，除非下表中另有说明。日志存档文件位置 logs.zip 中的文件/文件夹 buildversion.txt 详细信息文件生成进程在 Tableau Server 上的位置 Tableau Server 的内部版本。 tabsvc.yml \config wgserver.checksum 与存储库加密相关的日 assetkeyencryp- 志。 tion backgrounder cacheserver 与订阅和安排的活动 ( 例如数据提取刷新、 “立即运行” 任务和 tabcmd 任务) 相关的日志。 assetkeyencryptio n.log tabadmin assetkeys backgrounder#.log backgrounder.e- \logs\backgrounder xe spawn.####.log tomcat-#.####-####.log 与缓存服务器进程相关的日志。与群集控制器进程相关 clustercontrolle- 的日志。 \logs\assetkeyencryption redisserver.exe clustercontroller.lo g clustercontroller.lo - 587 - \cacheserver clustercontrolle- \clustercontroller r.exe r g-####-##-## config 配置文件。 connections.yml 在进行疑难解答时，这是开始收集信息的好位置。确认配置设置是您所期望的。 workgroup.yml Tableau Server 配置 \config \logs\datacollector datacollector 每天都会有 tdeserver 日志文件，其中包含有关数据提取和查询以及对 VizQL 服务器请求的响应的信息。 tdeserver_####_ ##_##_##_##_ ##.log tdeserver.exe dataserver 有关与 Tableau Server 数据源的连接的信息。 dataserver-#.log dataserver.exe \logs\dataserver httpd Apache 日志。在此处查找身份验证条目。 Apache 日志中的每个请求将具有与之关联的请求 ID。此请求 ID 在所有服务器日志中使 access.####-####.##-##-##log Apache 守护程序 \logs\httpd dataengine error.log startup.log - 588 - \logs\dataengine tdeserver64.ex e 用，并且您可以使用它将日志条目与请求相关联。 licensing logs \logs\licensing 这是最感兴趣和最有用的日志的位置。在查看配置文件之后查看这里。 tabadmin.log \logs tabconfig.log tablicsrv.log tabsrvlic.log wgserver.war.depl oy.log tabadmin.lo g 从不会被覆盖或截断，因此它包含所有详细信息。 notifytabadmin.lo g 包含来自 tabadmin.lo g 的错误( 错误还包括在 tabadmin.lo g 中) 。 tablicsrv.log 和 tabsrvlic.log 与许可相关。 pgsql PostgreSQL 数据库日志，包括与启动服务器进程相关的 tabspawn - 589 - \logs\pgsql 文件。 Tableau 数据提取存储在 PostgreSQL 数据库中。 repository postgres.exe service notify-tabsvc.log \logs\repository \logs\service tabsvc.log solr 与搜索索引相关。 \logs\solr svcmonitor \logs\svcmonitor 与使用生成服务器日 tabadminservic- 志文件的快照选项创 e 建的日志存档相关。 tabadmwrk \logs\tabadminservice 用于在分布式环境中自动发现工作服务器的 Server 工作服务器管理器进程。 tabadmwrk.exe vizportal vizqlserver \logs\tabadmwrk \logs\vizportal 与显示视图并与之交互相关。 vizql-0.log.######-## spawn.####.log 在运行 VizQL Server 的多 - 590 - vizqlserver.exe \logs\vizqlserver 个实例时，将按端口号区分这些实例。 notifyproducti on 日志包含意外事件。大多数文件采用 JSON vizqlserver\logs 格式。在您打开数据或连接到数据时创建 tabprotosrv. txt。 backgrounder_ ####_####_##_ ##_##_##_##.txt \vizqlserver\logs dataserver_####_ ####_##_##_##_ ##_##.txt tabadmin_####_ ##_##_##_##_ ##.txt tabprotosrv.txt vizqlserver_####_ ####_##_##_##_ ##_##.txt wgserver_####_ ####_##_##_##_ ##_##.txt tdserver_ vizqlserver_####_ ####_##_##_##_ ##_##.txt wgserver 与管理任务、工作簿和权限管理、身份验证、登录、初始视图请求以及发布请求相关的信息。 db-migrate_####_ ##_##_##_##_ ##.log migrate.log notifyproduction.####_ ####_##_##_##_ ##_##.log - 591 - wgserver.exe \logs\wgserver 浏览，搜索。 production.####.lo g wgserver 的实例按 “production” 或“notifyproduction” 之后紧跟的端口号进行区分。 production.####_ ####_##_##_##_ ##_##.log spawn.####.log tomcat-#.####_ ##_##.log wgserver-#.log notifyproduction 日志包含意外事件。每天每个后台运行进程都会有单独的 production. n_### 文件。 notifyproduction. n_### 与 production. n_### 相关，但仅包含错误。 zookeeper 与 Tableau Server 协调服务相关的信息。 spawn.####.log zookeeper.exe \logs\zookeeper zookeeper-#.log zookeeper#.log.####_##_## Tableau Server 日志文件位于服务器上的以下文件夹中： Tableau Service 日志以下日志文件对与 Web 应用程序、数据库和索引有关的活动进行跟踪： C:\ProgramData\Tableau\Tableau Server\data\tabsvc - 592 - VizQL 日志这些日志文件跟踪与显示视图有关的活动( 如查询数据库和生成图像) ： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\vizqlserver\Logs 临时文件下面的文件夹中所有以 exe_ 开头的文件都是 Tableau Server 文件，可以删除。 C:\ProgramData\Tableau\Tableau Server\temp 更改日志记录级别默认情况下，Tableau Server 记录信息级别的事件。如果您需要收集更多信息，可以更改此级别( 例如，如果您与 Tableau 支持人员合作) 。作为最佳做法，除非是为了排查问题，否则不应提高日志记录级别。日志记录级别以下日志记录级别是按照记录的信息量的递增顺序列出的： l l l l l l l off( 关闭) fatal( 致命) error( 错误) warn( 警告) info (the default)( 信息( 默认值) ) debug( 调试) trace( 跟踪) 注意：将日志级别提高到调试或跟踪会增加要记录的信息量，并且会对性能产生显著影响。您只应在调查特定问题时将日志记录级别设置为调试。重现问题，然后将日志记录级别重置回信息。更改日志记录级别可使用多个 tabadmin set 命令之一为 Tableau Server 设置日志记录级别。您使用的命令取决于您要更改 Tableau Server 的哪个组件的日志记录级别。命令受影响的日志的位置 (path begins with \ProgramData\Tableau\Tableau Server\data\tabsvc) server.log.level \vizqlserver\Logs\*.txt vizportal.log.level \vizportal\*.log - 593 - vizqlserver.log.level \vizqlserver\*.log wgserver.log.level \wgserver\*.log 有关更多信息，请参见 tabadmin set 选项在本页 556。您需要在更改日志记录级别之前停止 Tableau Server，然后在更改之后重新启动它。如果您运行的是 Tableau Server 的分布式安装，请从主服务器设置日志记录级别。更改日志记录级别： 1. 以管理员身份打开命令提示符，转到 Tableau Server 的 bin 目录。如果 Tableau Server 安装在 C 驱动器上： C:\Program Files\Tableau\Tableau Server\9.2\bin 或 C:\Program Files (x86)\Tableau\Tableau Server\9.2\bin 2. 通过键入以下命令停止 Tableau Server： tabadmin stop 3. 通过键入 tabadmin set [command][option] 来设置日志记录级别其中，[command] 是 server.log.level、vizqlserver.log.level 或 wgserver.log.level [option] 是有效的日志记录级别。示例： l tabadmin set server.log.level debug l tabadmin set vizqlserver.log.level warn tabadmin set vizportal.log.level debug l tabadmin set wgserver.log.level off 4. 通过键入以下命令重新启动 Tableau Server： tabadmin restart 重置日志记录级别在收集了与要调查的问题相关的信息之后，重置日志记录级别，以避免对性能产生影响。使用带有 -d 选项的适当命令将日志记录级别重置回其默认值 (info)。示例： - 594 - l tabadmin set server.log.level -d tabadmin set vizportal.log.level -d l tabadmin set vizqlserver.log.level -d l tabadmin set wgserver.log.level -d 处理未许可的服务器 Tableau 提供了两种许可模型：基于用户和基于内核。基于用户的许可要求每个活动用户帐户都需要有一个许可证。基于用户的许可证具有定义的容量或它所允许的用户数目。每个用户在服务器上都分配有唯一用户名，在连接到服务器时需要进行身份识别。基于内核的许可对系统中用户帐户的数目没有限制，但会限制 Tableau Server 能够使用的处理器内核的最大数目。如果有 Tableau Server - 多计算机内核许可证，您可以将 Tableau Server 安装在一台或多台计算机上来创建群集，但所有计算机上内核的总数不能超出获得许可的内核数目，并且特定计算机上的所有内核都要拥有许可证。如果有 Tableau Server — 单计算机内核许可证，则只能将 Tableau Server 安装在一台计算机上。该计算机上的处理器内核数不得超过您获得许可的内核数。未许可的基于用户的服务器进行基于用户的许可的服务器未获得许可的最常见原因是产品密钥过期或维护合同过期。通过选择 “开始”>“所有程序”>“Tableau Server”>“管理产品密钥”，可以查看产品密钥和添加新密钥。未许可的基于内核的服务器基于内核的服务器可出于多种原因而未获得许可。其中一个常见问题是主计算机或工作计算机的内核数超出了许可证允许的数目。当服务器未获得许可时，您可能无法启动或管理该服务器。不过，您可以使用 tabadmin 命令行工具来管理许可证。按以下步骤操作可查看您的许可证列表和计算机内核数。 1. 打开命令提示符，键入以下内容：cd C:\Program Files\Tableau\Tableau Server\9.2\bin 2. 键入以下命令：tabadmin licenses. 处理未许可的 VizQL Server 进程 Tableau Server“状态”页面上有若干状态指示器，有助于您了解 Tableau Server 进程的状态。如果出现 “未许可”橙色状态框，则表示某个 VizQL 服务器进程无法检索 Tableau Server 许可证信息。 - 595 - 可能有若干原因造成进程无法访问此信息。例如，可能存在网络问题，使得工作计算机上运行的 VizQL 进程无法与主计算机通信。或者，该进程收到的请求数可能超出了其当时的接受能力，导致无法处理许可请求。这造成一些用户可以访问视图，而另一些用户则不能访问。若要解决该问题，请先停止然后再启动 Tableau Server。 VizQL“内存不足 ”错误在 32 位版本的 Tableau Server 中，如果 VizQL 进程达到了并发查看会话数的限制，则可能出现“内存不足”错误，该错误还会写入位于以下位置的 vizqlserver*.txt 日志： C:\ProgramData\Tableau\Tableau Server\data\tabsvc\vizqlserver\Logs 出现此错误时，VizQL 进程不会终止，但不再接受更多连接。可以通过以下方法来处理此问题： l l l 升级到 64 位版本的 Tableau Server：有关详细信息，请参见升级到9.2 在本页 53。增加 VizQL 进程数：这可能意味着您需要添加一个或多个工作服务器。有关如何完成这一操作的信息，请参见安装和配置工作服务器节点在本页 74。编辑 vizqlserver.session.expiry.timeout：使用 tabadmin 更改 vizqlserver.session.expiry.timeout 设置，将其默认值( 30 分钟) 改为较短的时段，例如 10 分钟或 5 分钟。这将使得空闲会话更快到期，从而释放内存用于新会话。 Cookie 限制错误用户登录到 Tableau Server 时，会话 Cookie 会存储到他们的本地浏览器中。Tableau Server 利用存储的 Cookie 来保留通过身份验证且可访问服务器的已登录用户。由于 Cookie 设置的 - 596 - 域或子域与浏览器地址栏中的域或子域相同，因此该 Cookie 被认定为第一方 Cookie。如果用户浏览器配置为阻止第一方 Cookie，则它们将无法登录到 Tableau Server。如果用户通过嵌入式视图或在配置了受信任的身份验证的环境中登录到 Tableau Server，则会发生同样的情况：系统会存储此 Cookie。但在这种情况下，浏览器会将此 Cookie 当做第三方 Cookie 来处理。这是由于 Cookie 设置的域与浏览器地址栏中显示的域不同。如果用户 Web 浏览器设置为阻止第三方 Cookie，则此 Cookie 将无法通过 Tableau Server 所需的身份验证。要避免出现这种情况，Web 浏览器必须配置为允许第三方 Cookie。数据源疑难解答对于使用 Tableau Server 数据源的用户，最多需要满足三个条件： l 数据源的权限：任何连接到数据源的人员必须同时具有该数据源的 “连接”和 “查看” 权限。这同样适用于访问与数据源相连的视图的用户。任何人要发布和修改数据源，都必须获得“发布”许可并具有 “写入/另存为”和 “下载/Web 另存为”的权限。有关更多信息，请参见管理权限在本页 305和设置数据源的权限在本页 321。必须下载多维( 多维数据集) 数据源并在 Tableau Desktop 中使用它们，因此它们需要 “下载/另存到 Web”权限。有关 Tableau 中的多维数据集的详细信息，请参见多维数据集数据源在本页 256。 l l 能够通过数据库身份验证：您可通过多种方式连接到 Tableau 中的数据并控制谁可以访问哪些数据。基本上，无论哪个实体要连接数据库，都必须能够通过身份验证。该实体可以是执行数据提取刷新的 Tableau Server。该实体可以是连接到数据源随后再连接到实时数据库的 Tableau Desktop 用户。该实体还可以是要访问连接到实时数据库的视图的 Tableau Server 用户。若要了解这些选项的更多信息，请参见数据安全在本页 375。数据库驱动程序：如果在 Tableau Desktop 中创建和发布数据源的人需要安装其他数据库驱动程序，则您可能也需要在 Tableau Server 上安装这些驱动程序。如果您正在运行分布式安装的 Tableau Server，例如，数据服务器进程在工作服务器上运行，则必须在该工作服务器上和主服务器上安装任何需要的数据库驱动程序。其他进程也需要驱动程序。有关更多信息，请参见数据库驱动程序在本页 77。数据源错误消息下面是工作簿作者和其他用户使用数据源和视图时可能遇到的一些错误：访问此 Tableau Server 数据源的权限被拒绝：连接到数据源需要拥有“连接”权限。有关更多信息，请参见管理权限在本页 305和设置数据源的权限在本页 321的权限。未找到数据源：如果已从 Tableau Server 中删除数据源，或者使用视图的用户的“连接到数据”页面需要更新，则该用户可能会看到此错误。若要更新 Tableau Desktop 中的“连接到数据”页面，请单击“刷新”图标： - 597 - 无法连接到此 Tableau Server 数据源：如果数据源的连接信息已发生改变( 例如，由于数据库服务器名称已更改) ，则可能会出现此错误。检查该数据源的“数据连接”信息并确认其设置正确。无法列出 Tableau Server 数据源：如果用户尝试访问 Tableau Server 数据源且 Tableau Server 和 Tableau Desktop 之间存在连接问题，则可能发生此错误。无法连接到多维数据集数据源：要使用已发布的多维( 多维数据集) 数据源，您必须下载该数据源并在 Tableau Desktop 中使用它。验证您是否拥有该数据源的 “下载/另存到 Web”权限。有关 Tableau 中的多维数据集的详细信息，请参见多维数据集数据源在本页 256。订阅疑难解答 "此电子邮件中的视图快照无法正确呈现。” 如果您接收的订阅出现此错误消息，可能是由以下几种原因导致的： l l l 缺失凭据：某些视图在发布时具有嵌入的凭据。如果嵌入式凭据现已过时或视图在重新发布时未包含嵌入式凭据，则您可能会收到以上错误消息。数据库暂时瘫痪：如果视图具有实时数据库连接，且数据库在生成订阅时暂时瘫痪，则您可能会收到以上错误消息。后台进程超时：默认情况下，处理订阅的后台进程如果在 30 分钟后还未完成，就算超时。大部分情况下，30 分钟足够了。但如果后台进程在处理极大且非常复杂的仪表板，30 分钟可能就不够。您可以检查非数据提取后台任务在本页 275管理视图，看看是否出现了这种情况。若要提高超时阈值，请使用 tabadmin 选项 subscriptions.timeout。无法订阅如果您在 Tableau Server 上可以看到视图并且该视图的右上角有一个订阅图标 ( 可以订阅该视图。 )，则您需要存在以下两项，您才能订阅视图：需要正确配置 Tableau Server( 请参见管理订阅在本页 217) ，并且您订阅的视图必须已嵌入其数据源的凭据或者根本不需要凭据。后一种情况的示例连接到不需要刷新的数据提取的工作簿，或其数据位于发布时工作簿附带的文件中 - 598 - 的工作簿。嵌入凭据的步骤在 Tableau Desktop 中执行( 有关详细信息，请参见 Tableau Desktop 帮助 ) 。没有订阅图标可以在 Tableau Server 上看到视图但无法订阅它。具有实时数据库连接的视图会出现这种情况，当您首次单击该视图时，会提示您提供数据库凭据。订阅包括视图( 或工作簿) 、数据和计划。为了交付数据，Tableau Server 需要嵌入式数据库凭据或不需要凭据的数据。至于实时数据库连接，Tableau Server 没有相关凭据，只有单个用户拥有凭据。这就是为什么您只能订阅不需要凭据或已嵌入凭据的视图的原因所在。如果 Tableau Server 配置为使用受信任的身份验证，您也可能可以看到视图但无法订阅它 ( 没有订阅图标) 。有关详细信息，请参见订阅要求。接收的订阅无效或 “损坏 ”订阅如果除了生产实例，您还配置了 Tableau Server 测试或开发实例上的订阅，请禁用非生产实例上的订阅。在所有实例上将订阅保持为启用状态会导致您用户接收到看起来有效但实际无法运作的订阅，或接收到已在视图或工作簿上取消的订阅。订阅没有到达 ( “发送电子邮件时出错。无法向 SMTP 主机发送命令。”) 如果订阅显示为已发送( 根据数据提取后台任务在本页 273管理视图) 但没有到达，并且您的 SMTP 服务器使用的是加密 (SSL) 会话，您可能会在 Windows 事件查看器中看到以上错误消息。订阅只支持未加密的 SMTP 连接。解决方案是使用未加密的 SMTP 服务器。升级到 8.1 后，自定义脚本不工作为了更好地管理会话，从 8.1 版开始，向视图 URL 末尾添加了一个井号 (#)。如果您的自定义订阅脚本会以 PDF 或 PNG 形式生成视图，可能需要更新脚本以允许使用井号。例如，在版本 8.1 之前，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1。若要以 PNG 格式生成视图，可以将 .png 添加到 URL 末尾。例如， http://tableauserver/views/SuperStore/sheet1.png。在版本 8.1、8.2 或 8.3 中，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1#1。若要生成 PNG，请在井号标记前面添加 .png。例如：http://tableauserver/views/SuperStore/sheet1.png#1 升级到 9.0 后，自定义脚本不工作在版本 9.0 中，服务器 URL 末尾的会话 ID 由“iid” 参数 :iid=<n> 指明。例如， http://localhost/#/views/Sales2015/SalesMarginsByAreaCode?:iid=1。此参数替换了 Tableau Server 8.x 版本用于会话 ID 的井号标记“#<n>”。 - 599 - 如果使用以 PDF 或 PNG 形式生成视图的自定义订阅脚本，您可能需要通过移除井号标记和数字 (#<n>) 并在数字前面插入 ?:iid= 会话 ID 参数来更新脚本。从版本 9.0 开始，视图 URL 使用此语法：http://tableauserver/views/SuperStore/sheet1?:iid=2。若要在版本 9.0 及更高版本中生成 PNG，请在会话 ID 前面添加 .png：http://tableauserver/views/SuperStore/sheet1.png?:iid=2 SAML 疑难解答使用以下主题排查 SAML 问题。 SAML 和启用自动登录如果您使用 SAML 且 Tableau Server 还配置为使用 Active Directory，请不要同时选择 “启用自动登录”。“启用自动登录”和 SAML 不能同时在同一服务器安装上使用。配置 SAML 时出现 HTTP 状态 500 错误在某些情况下，启用 SAML 并在浏览器中导航到 Tableau Server URL 之后，您可能会收到 HTTP 状态 500 错误并看到以下错误： org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser 为了帮助解决此错误，请确保以下各项： l 在“SAML”选项卡中指定的 SSO 配置文件的 IdP URL 正确无误。 l 在 IdP 中创建服务提供程序时提供的 SSO 配置文件的 IdP URL 正确无误。 l IdP 配置为使用 SP 发起的身份验证。( 不支持 IdP 发起的身份验证。) l IdP 配置为使用 HTTP-POST 请求。( 不支持重定向和 SOAP。) 如果任何这些设置不正确，请进行适当的更新，然后再次执行 SAML 配置步骤，从通过 Tableau Server 生成和导出 XML 元数据文档开始。如果这些设置正确无误，但您仍然看到错误，请检查 Tableau Server 和 IdP 生成的元数据 XML，如 SAML 要求在本页 433中所述。从命令行登录即使 Tableau Server 配置为使用 SAML，但如果您使用命令行工具 tabcmd 在本页 500 或 Tableau 数据提取命令行实用工具 ( 随 Tableau Desktop 提供) 登录 Tableau Server，也不会使用 SAML。 - 600 - 登录失败登录可能会失败，并出现以下消息： Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server. 此错误通常意味着 Tableau Server 中存储的用户名与 IdP 提供的用户名之间存在不匹配。若要修复此错误，请确保这些用户名匹配。例如，如果史珍妮的用户名在 IdP 中存储为 jsmith，那么它在 Tableau Server 中也必须存储为 jsmith。 SAML 错误日志 SAML 身份验证在 Tableau Server 外部进行，因此，排查身份验证问题可能很困难。但是， Tableau Server 会记录登录尝试。可以创建日志文件的快照，并使用它们来排查问题。有关详细信息，请参见对日志文件进行存档在本页 583。注意：在 Tableau Server 9.0 及更高版本中，若要记录 SAML 相关事件， wgserver.log.level 和 vizportal.log.level 均必须设置为 debug。有关详细信息，请参见更改日志记录级别在本页 593。在未解压的日志文件快照内的以下文件中，检查 SAML 错误： \wgserver\wgserver-<n>.log \vizportal\vizportal-<n>.log \wgserver\production.<nnnn>_<yyyy_mm_dd_hh_mm_ss>.log 在 Tableau Server 9.0 及更高版本中，应用程序进程 (vizportal.exe) 处理身份验证，因此 SAML 响应由该进程记录。SAML 安装程序进程将信息记录在 API 服务器进程 (wgserver.exe) 的日志中。末尾斜杠在“SAML”选项卡上，确认 “Tableau Server 返回 URL”的末尾没有斜杠( 正确：http://tableau_server；错误：http://tableau_server/) ： - 601 - 确认连接确认您配置的 Tableau Server 具有可路由的 IP 地址，或者在防火墙上具有允许直接与服务器双向通信的 NAT。若要测试连接，可以在 Tableau Server 上运行 telnet，并尝试与 SAML IdP 进行连接。例如：C:\telnet 12.360.325.10 80 以上测试应连接到 IdP 上的 HTTP 端口 (80)，而且您应收到 HTTP 标头。相互 SSL 身份验证疑难解答本主题描述可能的相互( 双向) SSL 身份验证问题及其原因、用户可能会看到的消息，以及该问题可能的缓解方法。 l 客户端缺少证书 l 客户端不支持相互 SSL 身份验证 l 客户端证书未发布到 Active Directory l 用户意外地看到一个显示错误消息的登录对话框 l UPN 或 CN 字段中的用户名缺失或无效 l 用户使用意外的用户名( LDAP 映射) 登录 l 用户以错误的用户身份( UPN 或 CN 映射) 登录有关相互 SSL 身份验证和 LDAP、UPN 和 CN 用户映射的详细信息，请参见以下主题： l 快速开始：相互( 双向) SSL 身份验证在本页 445 l 在相互身份验证过程中将客户端证书映射到用户在本页 452 - 602 - 找不到有效的客户端证书。请与 Tableau Server 管理员联系。客户端缺少证书。如果客户端没有客户端证书，则该用户会在身份验证期间看到此消息： We couldn't find a valid client certificate. Contact your Tableau Server administrator. 若要解决此问题，用户应该与系统管理员联系，以生成客户端计算机证书。用户名或密码无效客户端不支持相互 SSL 身份验证。早于版本 9.1 的 Tableau Desktop 版本不支持相互 SSL 身份验证。如果使用较早的 Tableau Desktop 版本连接到配置为使用相互 SSL 身份验证的 Tableau Server，则可能会出现以下情况： l l 如果 Tableau Server 配置为使用后备身份验证，则客户端会显示一个登录对话框，用户可以输入用户名和密码。如果服务器未配置为使用后备身份验证，则用户会看到以下消息并且无法连接到服务器： Invalid user name or password 有关后备身份验证的详细信息，请参见快速开始：相互( 双向) SSL 身份验证在本页 445。在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系，或使用您的 Tableau Server 帐户登录。客户端证书未发布到 Active Directory。如果 Tableau Server 配置为使用 Active Directory 进行身份验证，并且用户映射设置为 LDAP，则 Tableau Server 会将客户端证书发送给 Active Directory 进行身份验证。但是，如果客户端证书未发布到 Active Directory，则身份验证将会失败，并且用户会看到以下消息：在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系，或使用您的 Tableau Server 帐户登录。若要解决此问题，系统管理员必须确保客户端证书已发布到 Active Directory。或者，服务器应配置为使用不同的用户映射( UPN 或 CN) ，并且系统管理员应确保客户端证书包含 UPN 或 CN 字段中的用户名。用户意外地看到一个显示错误消息的登录对话框如果 Tableau Server 配置为使用相互 SSL 身份验证，且证书可在用户的计算机上使用，则用户应该看不到登录对话框，因为 Tableau Server 使用该证书对用户进行身份验证。但是，如 - 603 - 果服务器不能识别该证书中的用户名，则用户将看到一个登录对话框，其中包含一条指明为何未使用证书的错误消息。如果满足以下所有条件，则可能会发生这种情况： l l 启用了后备身份验证。如果服务器使用 UPN 或 CN 映射，则无法识别证书的 UPN 或 CN 字段中的用户名。如果服务器使用的是 LDAP 映射，则不会将证书映射到 Active Directory 中的用户。若要解决此问题，系统管理员应执行以下操作，具体取决于在 Tableau Server 上配置用户映射的方式： l l LDAP 映射：确保证书已链接至用户、证书可在用户的计算机上使用，并且用户已配置为 Tableau Server 用户。 UPN 或 CN 映射：确保证书可在用户的计算机上使用、用户名在证书的 UPN 或 CN 字段中，并且用户名与 Tableau Server 上的用户名( 包括域) 匹配。在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系。证书未包含有效的 Tableau Server 用户名。 UPN 或 CN 字段中的用户名缺失或无效如果 Tableau Server 配置为使用 UPN 或 CN 映射，则服务器会从证书的 UPN 或 CN 字段中读取用户名，然后在 Active Directory 中或在 Tableau Server 上的本地存储库中查找该用户名。( 服务器读取的特定字段取决于服务器被配置为是使用 UPN 映射还是使用 CN 映射。) 如果应该包含用户名的字段中没有任何内容，则用户会看到以下消息：在客户端证书中找不到您的用户名。请与 Tableau Server 管理员联系。如果客户端证书包含用户名，但是 Active Directory 和 Tableau Server 无法识别该用户名，则用户将看到以下消息： Certificate does not contain a valid Tableau Server user name. 如果满足以下所有条件，则可能会发生这种情况： l Tableau Server 配置为使用 UPN 或 CN 映射。 l 未启用后备身份验证。 l 客户端证书 UPN 或 CN 字段中没有用户名，或者 UPN 或 CN 字段中的用户名与 Active Directory 中或 Tableau Server 上的用户名不匹配。若要解决此问题，系统管理员应该确保用户的证书 UPN 或 CN 字段中具有正确的用户名。用户使用意外的用户名 ( LDAP 映射 ) 登录如果服务器配置为使用 Active Directory 身份验证和 LDAP 映射，则此证书会链接至 Active Directory 中的用户。如果此证书的 UPN 或 CN 字段中包含用户名，则会忽略该用户名。 - 604 - 如果打算使用 UPN 或 CN 字段中的用户名让用户登录，则服务器应配置为使用 UPN 或 CN 映射。用户以错误的用户身份 ( UPN 或 CN 映射 ) 登录在某些情况下，客户端证书的 UPN 或 CN 字段中的用户名可能不明确。因此，用户会用不正确的标识登录。有关此问题发生的条件的详细信息，请参见在相互身份验证过程中将客户端证书映射到用户在本页 452主题中的多域组织中的不明确用户名。处理数据提取刷新通知如果计划的数据提取刷新失败，Tableau 将在右上角显示“通知”菜单：仅当数据提取刷新失败，并且您具有以下身份时，才会看到“通知”菜单： l 系统管理员或站点管理员 l 未能刷新的工作簿或数据源的作者 l 连接到未能刷新的数据源的工作簿的作者打开“通知”菜单后，可以看到有关刷新失败的更多信息：当 “数据源”列示为 “嵌入”时，意味着该数据源定义( 包括数据源凭据或数据库名称等内容) 嵌入或驻留在原来在 Tableau Desktop 中创建的工作簿自身中。当数据源名称或工作簿名称列示为 “数据源”时( 例如数据源 : sales_data) ，意味着该数据源是 Tableau Server 数据源。数据源定义位于 Tableau Server 上。 - 605 - 在 Tableau Desktop 上的“数据”窗格中，您可以确定数据源是位于 Tableau Server 上还是位于本地。如果数据源位于服务器上，则数据源名称旁边会显示 Tableau 图标，而不是数据库图标：解决数据提取刷新问题通过单击通知中的 “编辑连接信息”链接，输入缺少的信息，然后单击 “保存”，可以解决一些数据提取刷新问题：如果通过编辑数据连接无法解决问题，则需要在 Tableau Desktop 中解决它并重新发布工作簿。提示：管理员可以随时在 “数据连接”页面上编辑数据连接，可通过单击 “内容”选项卡和“数据连接”从每个站点中访问该页面。 Tableau Server 安装和升级疑难解答按照本主题中的建议来解决 Tableau Server 的常见问题。有关基于在“状态”页面上查看的进程状态的其他疑难解答步骤，请参见服务器进程疑难解答在本页 226。 - 606 - 一般疑难解答步骤许多 Tableau Server 问题可通过某些基本步骤解决： 1. 确保运行 Tableau Server 的每台计算机上都有足够的磁盘空间。有限的磁盘空间可能会导致安装失败、升级失败或运行 Tableau Server 时出现问题。 2. 重新启动 Tableau Server。与索引及未完全启动的进程相关的问题可通过以受控方式重新启动 Tableau Server 解决。若要重新启动 Tableau Server，请使用 tabadmin restart 命令。这将停止与 Tableau Server 关联的所有进程，然后重新启动这些进程。 3. 清理与协调服务 (ZooKeeper) 关联的文件。若要清理协调服务文件，请使用 tabadmin cleanup --reset-coordination 命令。启动 Tableau Server Tableau Server 无法确定其是否已完全启动在某些情况下，Tableau Server 可能会报告它无法确定所有组件在启动时是否已正常启动。一条消息将显示："无法确定所有服务组件是否已正常启动。” 如果在启动后看到此消息，请通过使用 tabadmin status -v 命令验证 Tableau Server 是否按预期方式运行。如果状态显示为正在运行( “Status: RUNNING”) ，则服务器已成功启动，您可以忽略该消息。如果状态为 DEGRADED 或 STOPPED，请参见下一节中的“Tableau Server 未启动”。 Tableau Server 未启动如果 Tableau Server 未启动或在降级的状态下运行，请从命令提示符中运行 tabadmin restart 命令。这将关闭正在运行的任何进程，并重新启动 Tableau Server。安装 Tableau Server 安装由于硬件要求而失败从版本 9.0 开始，如果要进行安装的计算机未满足最低硬件要求，则 Tableau Server 无法安装。最低要求旨在最大程度地减少由于在能力不足的计算机上运行 Tableau Server 而造成的问题。这些要求既适用于主服务器计算机，也适用于工作服务器计算机。32 位版本的 Tableau Server 的最低要求较低。如果由于硬件限制而无法安装 64 位版本，您或许能够改用 32 位版本。有关最低硬件要求的详细信息，请参见 Tableau Server 的最低硬件要求和推荐配置在本页 60。 - 607 - 升级 Tableau Server 将数据提取迁移到文件存储 Tableau Server 9.2 为数据提取引入了更可靠的存储机制( 称为文件存储) 。从以前的版本升级时，需要迁移数据提取。如果有大量的数据提取或数据提取包含大量数据，此操作可能要花费很长时间( 长达数小时) 。在迁移期间，一条消息将显示： Migrating extracts to File Store This process may take up to several hours. 如果迁移进度看起来已停止或卡滞，您可以通过观察 tabadmin.log 来验证迁移是否正在继续。每迁移一个数据提取，都会向此日志中写入一个条目。升级由于缺少磁盘空间而失败如果磁盘空间不足，使得 Tableau Server 安装程序无法运行和执行升级，则安装将失败。所需的磁盘空间量将取决于存储库数据库的大小以及数据提取的数量和大小。在升级到版本 9.0 的过程中，安装程序会将数据提取迁移到新的文件存储，这将会占用空间。释放磁盘空间： 1. 使用 tabadmin ziplogs 命令压缩和保存日志。创建 ziplogs 文件之后，请将其保存到不是 Tableau Server 安装一部分的安全位置。 2. 使用 tabadmin cleanup 命令清理不必要的文件。有关详细信息，请参见移除不需要的文件在本页 570 重建 Tableau Server 搜索和浏览索引可通过重建搜索和浏览索引来解决的其他问题需要重建的索引的其他症状包括： l l l l 用户尝试登录时出现空白站点列表用户尝试选择项目时出现空白项目列表缺少内容( 工作簿、视图、仪表板) 意外或不准确的通知( 例如，未包括数据提取的工作簿上的“刷新失败”通知) 如果看到任何这些行为，请使用 tabadmin reindex 命令来重建搜索和浏览索引。 - 608 - JavaScript API 使用 Tableau 的 JavaScript API，您可以将 Tableau 可视化项整合到您自己的 Web 应用程序中。该 API 允许您密切控制用户的交互并组合通过其他方式无法组合的功能。例如，您可以对单个控件进行编码，以筛选一组标记，选择其中的一些标记，并呈现其数据以供下载。若要了解详细信息，请参见 JavaScript API。 - 609 - REST API 利用 REST API，您可以编写程序以通过 HTTP 来管理和更改 Tableau Server 资源。此 API 可让您简单访问 Tableau 服务器上的数据源、项目、工作簿、站点用户和站点背后的功能。可以使用此访问创建您自己的自定义应用程序，或者编写交互脚本以便与 Tableau Server 资源进行交互。若要了解详细信息，请参见 REST API。 - 610 - 与我们联系全球办事处目录销售额联系方式支持 1. 搜索我们的支持资源。 2. 查看搜索结果以了解您的问题是否获得解答。 3. 如果无法找到所需的信息，请滚动到搜索结果的底部，然后单击 “继续并创建问题”。 - 611 - Copyright © 2015 Tableau Software, Incorporated 及其许可方。保留所有权利。专利 www.tableau.com/ip。代码部分版权所有 ©2002 The Board of Trustees of the Leland Stanford Junior University。保留所有权利。 Tableau 的安装包括 Firebird 数据库的未修改可执行版本。http://www.firebirdsql.org 提供了该数据库的源代码有关第三方版权声明的列表，请参见随 Tableau Server 安装的以下文件： C:\Program Files\Tableau\Tableau Server\9.2\COPYRIGHTS.rtf 注意：如果在 64 位操作系统上安装了 32 位 Tableau Server，它将位于 C:\Program Files (x86)\Tableau\Tableau Server\9.2\COPYRIGHTS.rtf 本产品包含由 Andy Clark 开发的软件。本产品包含由 Apache Software Foundation 开发的软件 (http://www.apache.org/)。本产品是 Tableau Software 的《最终用户软件许可协议》中定义的客户端软件。编辑和创建工作簿拥有 Web 制作环境的相应权限的用户可以编辑现有工作簿或创建新工作簿。登录到 Tableau Server 时，默认情况下将显示“内容”页面。您有权访问的内容( 工作簿和数据源) 在这里显示为以下过程之一的结果： l l Tableau Desktop 用户将工作簿或数据源发布到 Tableau Server。 Tableau Server 用户在 Web 编辑环境中创建和保存工作簿。生成视图您可以通过在现有工作簿中创建新工作表或创建新工作簿的方式构建新视图。本主题介绍如何连接到发布的数据源以及在新工作簿中构建视图。以下过程演示如何构建一个视图，该视图合并了有关按类别和区域分类的销售情况的信息。它使用 Tableau Desktop 附带的已发布到 Tableau Server 的 “Superstore”示例数据源。如果您没有所示数据源的访问权限，则无法连接到自己的已发布数据并使用其中的度量和维度创建类似视图。 1. 在站点的 “内容”页面上，选择 “数据源”。 2. 在数据源列表中，选中要使用的数据源旁边的复选框，然后选择 “动作”>“新建工作 - 612 - 簿”。一个新的空白工作簿将在 Tableau Server Web 编辑环境中打开。注意：如果数据源用于基于多维数据集的数据库，则 “新建工作簿”选项不可用。有关详细信息，请参见多维数据集数据源在本页 256。 3. 从“度量”窗格中，将 “Sales”拖到“列”功能区。 - 613 - 4. 从“维度”窗格中，展开 “产品”以显示其子类别，然后将 “类别”拖动到“行”功能区。 Tableau 现在有足够的信息将数据转换为可视化项( 视图) ，此处为一个水平条形图。 5. 从“维度”窗格中，将 “区域”拖到“行”功能区。 - 614 - 视图现包含另一层级的数据，即按地区细分的类别。现在假定您需要按类别查看和比较单个区域中的销售额。您可使用筛选器实现这一目的。 6. 从“维度”窗格中，将 “区域”拖到“筛选器”功能区。当您将鼠标悬停在“筛选器”功能区上时，字段左侧会出现一个小三角，指示您可以将 “区域”拖到功能区上。 “筛选器”控件将出现在页面右侧边缘。 7. 除要分析的区域外，清除所有其他项的复选框，然后再次选中它们。 8. 您可以使用颜色优化可视项的显示。将 “区域”拖到“标记”卡上的 “颜色”中。 - 615 - 现在，这一实用的视图可让您比较各地区不同产品类别的销售额：提示：若要了解为条形图选择不同调色板或调整其大小的信息，请参见标记在本页 630。 9. 您可能更希望使用让您能够更轻松地分析某个区域的整体产品销售额的视图，而不是侧重于每种产品的区域销售额。在“行”功能区上，将 “区域”拖到 “类别”的左侧。 - 616 - 视图会刷新，以便按区域显示所有产品的销售额。 10. 如果决定使用前一种视图，可单击工具栏中的 “撤消”。 11. 如果要创建第二个工作表，请选择视图底部的 “新建工作表”选项卡。选择工作表标签并选择 “重命名工作表”以给它提供一个更具描述性的名称。 12. 单击 “保存”以保存工作簿。在 “保存工作簿”对话框中，完成以下步骤： l 指定工作簿名称，并将 “项目”保留为 “Default”。 l 如果创建了多个工作表，并且希望其标签显示在视图的底部，请选择 “将工作表显示为标签”。 - 617 - l l 如果您希望没有数据库帐户的用户也能看到视图，请选中 “嵌入数据源的密码”。完成后，单击 “保存”。编辑视图在“视图”部分，可通过下列方式之一打开要编辑的视图： l 单击工具提示中的 “编辑”，将指针悬停在缩略图视图上时将会出现该工具提示。 l 选择一个视图以显示它，然后单击视图上方的 “编辑”。如果工作簿发布者未嵌入数据库凭据，系统会提示您提供凭据。保存或放弃更改编辑视图时，可通过单击视图区域上方的菜单来保存或放弃更改。保存所做工作后，即使是从单个视图进入创作环境，也会保存整个工作簿，包括您可能已编辑或未编辑的其他视图。 - 618 - l “保存”会覆盖原始工作簿。注意：此选项仅在您有权覆盖工作簿时显示。 l “另存为”会在同一项目中创建新工作簿。如果要同时保留视图的原始版本和已编辑版本，请使用 “另存为”创建新工作簿。如果选择 “将工作表显示为标签”，则工作簿权限会覆盖工作簿中单个视图上的权限，直到在不带标签的情况下再次保存该工作簿。 l “恢复”会放弃编辑并返回到最新保存的工作簿版本。 l “完成”会退出创作环境。如果您未保存更改，系统会提示您进行保存。如果您选择不保存更改，那么当您返回到视图的创作模式时，未保存的更改仍会显示出来，只要您仍然登录到当前服务器会话。可保存工作簿的方式取决于管理员授予您的权限。有关更多信息，请参见授予 Web 编辑、保存和下载权限在本页 341。 Web 制作工作区 Tableau Server 中的 Web 制作环境与 Tableau Desktop 类似。您可以编辑视图并与工作簿中的仪表板交互，但不能与故事交互。工作表视图的 Web 制作工作区看起来将很熟悉。像 Tableau Desktop 中一样，“数据”和“分析”窗格显示在工作区的左侧。 - 619 - “数据”窗格包括工作簿中所含的数据源的名称，以及当前数据源中包含的字段、参数和集。 “分析”窗格包括 Tableau 中的常见分析功能。您可以将参考线、预测、趋势线和其他对象从 “分析”窗格拖到视图中。包含用于编辑视图的选项的工具栏显示在工作区的顶部。“标记”卡以及 “页面”和 “筛选器” 功能区显示在视图的左侧。度量和维度的 “列”和 “行”功能区显示在视图上方。工作簿中包括的工作表标签和仪表板显示在工作区的底部。 - 620 - 选择 “新建工作表”选项卡以开始创建新视图。仪表板选择工作簿中的仪表板选项卡，然后在工具栏中选择 “编辑”以开始 Web 制作。您可以像在 Tableau Desktop 中一样与仪表板交互，尽管完整编辑功能未启用。 - 621 - 例如，通过选择仪表板上视图名称旁边的排序按钮对数据进行排序。或者，选择字段名称以 “只保留”、“排除”、“查看数据”或 “将成员分组”。这些动作将影响关联的基础工作表。为了轻松地更新或查看工作簿中的视图，请在仪表板上选择一个视图以显示 “转到工作表”。 - 622 - 工具栏菜单使用 “仪表板”菜单可重命名仪表板或在工作簿中创建新工作表。使用 “下载”菜单可保存仪表板以供脱机查看或下载基础数据。选择 “下载”>“图像”可将仪表板另存为 PNG 文件。选择 “下载”>“PDF”可将仪表板另存为 PDF。若要下载视图的基础数据，请先在仪表板上选择相关视图。上下文相关的 “下载”菜单可更新以添加 “数据”和 “交叉表”选项。 - 623 - 选择 “数据”将打开一个新窗口，您可在其中预览和下载所选视图的摘要数据和基础数据。选择 “交叉表”可以文本表( CSV 文件) 的形式下载所选视图的摘要数据。工具栏编辑视图时，可使用视图顶部的工具栏执行常见操作。撤消/重做撤消和重做一个动作或一系列动作，次数不限。可通过选择这些工具栏按钮撤消或重做视图中几乎所有类型的更改。暂停更新将字段置于功能区上时，Tableau 会通过查询数据源来生成视图。如果在编辑视图时更新似乎很慢，则可以在进行一系列编辑时暂停更新，然后重新打开它们。 - 624 - 交换这会交换“行”功能区和“列”功能区上的字段。最常用于基于 x 轴和 y 轴的视图类型。合计您可以自动计算视图中数据的总计和小计。选择“合计”可查看四个选项： l 显示列总计：添加一行，显示视图中所有列的合计。 l 显示行总计：添加一列，显示视图中所有行的合计。 l 行合计移至左侧：将显示合计的行移至交叉表或视图的左侧。 l 列合计移至顶部：将显示合计的列移至交叉表或视图的顶部。 l 添加所有小计：如果在一列或一行中有多个维度，则在视图中插入小计行和列。 l 移除所有小计：移除小计行或列。显示/隐藏标签选择以显示或隐藏视图中的标记标签。视图大小使用 “视图大小”下的选项可更改浏览器窗口中视图的比例，并且可在查看详细信息和查看概要信息之间切换。“单元格大小”命令具有不同的影响，具体取决于可视化类型。工作表包含在工作表级别进行更改的选项。创建工作表、修改工作表名称、清除工作表格式设置或清除整个工作表。下载使用“下载”下面的选项捕获视图的某些部分以在其他应用程序中使用。 l l l l 图像：在新的浏览器标签中将视图、仪表板或故事显示为图像。数据：在新浏览器窗口中使用两个选项卡显示视图中的数据：摘要 ( 显示视图中所显示的字段的聚合数据) 和基础 ( 显示可视化项中所选标记的基础数据) 。如果新窗口未打开，则您可能需要禁用浏览器的弹出窗口阻止程序。交叉表：将可视化项中所选标记的基础数据保存为 CSV( 逗号分隔值) 文件，然后可在 Microsoft Excel 中打开该文件。 PDF：在新的浏览器窗口中将当前视图作为 PDF 打开。从该窗口中，您可以将视图保存为文件。如果新窗口未打开，则您可能需要禁用浏览器的弹出窗口阻止程序。向我显示打开一个显示可在 Tableau 中使用的一系列可视化类型的控件。显示“智能显示”列表时， Tableau 使用当前视图中的数据确定可供您选择的可视化类型。在可用类型中，Tableau 在其确定为最适合您的数据的类型周围绘制不同的彩色轮廓。还可将鼠标悬停在可视化类型上，以查看需要哪些字段类型才能使可视化类型可用。 - 625 - “数据”窗格 “数据”窗格的顶部是工作簿的可用数据源的列表。如果要编辑现有工作簿，则可能存在多个数据源。选择某个数据源可查看该数据源的维度和度量。如果要创建新工作簿，则您只会看到从中创建工作簿的数据源。所有数据源都包含字段。这些字段出现在“数据”窗格中的数据源列表下方。维度和度量始终显示，其他字段类型如果存在于数据源中则会显示： l l l l “维度”是包含离散定性数据的字段。维度的例子包括日期、客户名称和客户群。度量是包含可以聚合的数字数据的字段。度量的示例包括销售额、利润、员工数、温度、频率和压力。 “集”是根据某些条件定义数据子集的自定义字段。集可能基于计算条件( 随数据更改而进行更新) 或基于固定值列表。集可以放在所编辑的工作簿中，但您不能在其中创建集。 “参数”是可在计算、筛选器和参考线中替换常量值的动态值。参数可以放在所编辑的工作簿中，但您不能创建参数。默认情况下，Tableau 将包含数字的所有关系字段视为度量。不过，您可能会决定将其中某些字段作为维度。例如，在 Tableau 中，默认情况下可能会将包含年龄的字段分类为度量，因为它包含数字数据。不过，如果您要查看各个年龄而不是一个轴，则可将 “Age”( 年龄) 字段转换为维度。为此，请将 “Age”( 年龄) 度量拖放到“数据”窗格的“维度”区域中。现在，如果将 “Age”( 年龄) 字段拖到 “行”或 “列”功能区，它将创建列标题( 1、2、3 等) ，而不是连续轴。若要生成可视化内容，请将“数据”窗格中的字段拖到 “行”和 “列”功能区、“标记”卡或其他某个可用功能区中。要查看演示，请参见生成视图在本页 612。管理“数据”窗格中的字段在“数据”窗格中右键单击字段可看到用于修改该字段的一组选项。您可以： l 将维度转换为度量或反之。 l 将离散字段转换为继续字段或反之。此选项可用于度量和日期维度。 l 更改字段的数据类型。 l 更改字段的地理角色。 l 更改度量的默认聚合。数据混合如果上载使用混合数据源的工作簿，您可能会在主数据源中的一个或多个字段旁边看到用于链接两个数据源的链接： - 626 - 您可以单击链接图标来激活或停用特定字段。当可用作链接字段的字段未在使用时，链接图标的外观将发生变化：数据源使用左联接进行链接，视图将使用主数据源中的所有数据行，但对于辅助数据源，则只会使用对于视图中的字段具有值或对于指定为链接字段的字段具有值的那些数据行。因此，更改链接字段或指定多个链接字段可能实际上会从辅助数据源中引入不同的数据行或额外的数据行，从而更改聚合返回的值。 “列”和“行”功能区将字段拖到“列”功能区可创建表列，拖到“行”功能区可创建表行。可以将多个字段拖到任一功能区。离散值( 通常为维度) 在“列”和“行”功能区上显示为蓝色；连续值( 通常为度量) 显示为绿色。您在“列”或“行”功能区上放置的任何字段的右端都有下拉菜单，您可以使用该下拉菜单来配置维度或度量： - 627 - 可用选项取决于字段类型。完整的选项列表包含： l 包含在工具提示中默认情况下，“列”和“行”功能区上的所有字段都包括在当您将鼠标移到视图中的一个或多个标记之上时出现的工具提示中。取消选中该选项可从工具提示中移除字段。 l 显示筛选器选择此选项可将用于此字段的筛选器添加到视图中。然后，用户可以指定要为此维度或度量包含和排除的数据。 l 离散/连续使用这些选项可实现一个连续范围内的值和一组离散值间的来回转换。 l 维度/属性/度量使用此选项范围可来回转换维度与度量。还可以将选项定义为属性，如果组中所有行都只有单个值，则返回给定表达式的值，否则显示星号 (*) 字符。会忽略 Null 值。 l 快速表计算提供一组用于重新定义值标记含义的选项。 l 移除从“列”或“行”功能区中移除值。数据维度选项一组附加选项可用于日期维度： - 628 - 从上面的组中选择某个选项可将数据粒度定义为离散值。例如，如果选择月，您的视图会将每个已指定月的数据汇总到全年数据中：数据中恰好有十二个标记，一个标记代表一个月。“11 月”标记组合了 2008 年 11 月、2009 年 11 月等的数据。从下面的组中选择某个选项可将数据粒度定义为连续值。例如，如果选择“月”，则视图将顺序显示可用月范围内的数据。 - 629 - 此处数据中有 48 个标记，每个标记代表自 2008 年 11 月以来的每个月。标记将字段拖到视图时，将使用标记来显示数据。每个标记都表示视图中所有维度的交叉点。例如，在具有 “Region”( 区域) 和 “Year”( 年度) 维度的视图中，有一个表示这两个维度的每种组合( “East 2011”、“East 2012”、“West 2011”、“West 2012”等) 的标记。可通过多种方式来显示标记，包括线、形状、条、地图等。您可以使用标记属性( 例如颜色、大小、形状、标签等) 显示有关数据的其他信息。所使用的标记类型以及标记属性由“标记”卡来控制。将字段拖到“标记”卡可显示更多数据。例如，下面显示了与上面相同的视图，但这次 “颜色”上包含 “Profit”。通过此附加信息，可清楚地看到 2014 年“West”( 西部) 地区的利润最高。 - 630 - 可使用“标记”卡控制视图中的标记。使用下拉菜单可指定要显示的标记的类型。将字段拖到 “标记”卡并使用下拉控件向视图添加更多信息，并控制视图中的颜色、形状、大小、标签和标记数。 “筛选器”功能区使用“筛选器”功能区可以指定要为维度或度量包含和排除的数据。例如，您可能希望对每个客户分区的利润进行分析，但希望只限于特定的装运容器和交货时间。通过将 Container 维度放在“筛选器”功能区上，可以指定要包含的容器。同样，也可以将 Delivery Date 字段放在 “筛选器”功能区上来定义要包含的交货时间。将维度或度量拖到“筛选器”功能区时，Tableau 会自动在视图中插入一个筛选器控件，用于选择要显示的值。例如：对于维度，筛选器控件显示如上所示的离散值。对于度量，控件显示连续范围：将鼠标悬停在筛选器控件标题右侧可指定要如何显示控件中的值： - 631 - “页面”功能区将维度或度量拖到“页面”功能区可以将视图划分为一系列页面，使您可以更好地分析特定字段对视图中其他数据的影响。将某个维度拖到“页面”功能区就像为该维度的每个成员添加一个新行。将某个度量拖到“页面”功能区会自动将该度量转换为可划分为各个页面的离散度量。将维度或度量拖到“页面”功能区时，Tableau 会自动在视图中插入一个控件，让您可以在视图中导航页面。例如：通过以下任意方式，可以手动翻阅页面序列： l l l 使用下拉菜单选择一个值。使用下拉列表任意一侧的向前和向后按钮，一次浏览一个页面。使用“页面”滑块快速在页面序列中向前和向后滚动。选择 “显示历史记录”显示前几页中的标记( 除了当前页面的标记) 。工具提示将光标放在视图中的某个标记上方可查看该标记的工具提示。工具提示提供有关所选标记的维度和度量值的信息： - 632 - 工具提示还提供以下选项： l 仅保持从视图中排除这一个标记之外的所有标记。 l 排除只排除此标记。 l 组成员选择回形针图标可从所选标记创建新组( 即，维度) 。通常，您会选择多个标记，然后创建一个组。例如，如果维度 Region 的值是 North、South、East 和 West，则可以选择 South 和 West，然后从中创建一个组。 l 查看数据选择表图标可打开新的浏览器窗口以显示以下两个选项卡：摘要 ( 仅显示当前标记的数据) 和基础 ( 显示整个视图的数据) 。 - 633 -

Tableau Server 管理员指南

Related documents

Products

Support

Tableau Server 管 理 员 指 南

Related documents

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib

Tableau Server 管理员指南