Alteryx Server: Authentifizierung konfigurieren
Konfigurieren Sie auf der Seite Systemeinstellungen > Gallery Authentication (Gallery-Authentifizierung) die Authentifizierungsmethode, die Sie für die Zugriffverwaltung auf Server verwenden möchten.
Wählen Sie zunächst die Authentifizierungsmethode aus, die Sie für Ihren Server verwenden möchten. Navigieren Sie dann zu den Einrichtungsschritten für die ausgewählte Methode.
Authentifizierungstyp auswählen
Server unterstützt integrierte Authentifizierung, integrierte Windows-Authentifizierung mit oder ohne Kerberos-Unterstützung und SAML-Authentifizierung.
Built-in (Integriert): Die Benutzer geben eine E-Mail-Adresse und ein Kennwort ihrer Wahl an, um auf Server zuzugreifen.
Integrated Windows authentication (Integrierte Windows-Authentifizierung): Benutzer greifen mit internen Netzwerkanmeldedaten auf Server zu.
Integrated Windows authentication with Kerberos (Integrierte Windows-Authentifizierung mit Kerberos): Benutzer greifen mit internen Netzwerkanmeldedaten und Kerberos-Authentifizierungsprotokollen auf Server zu. Der Einrichtungsvorgang für die „Integrierte Windows-Authentifizierung“ und die „Integrierte Windows-Authentifizierung mit Kerberos“ ist identisch. Weitere Informationen finden Sie unter Einrichtung des ausgewählten Authentifizierungstyps abschließen und Integrierte Windows-Authentifizierung einrichten .
SAML-Authentifizierung: Benutzer greifen mit Anmeldedaten des Identitätsanbieters (Identity Provider, IDP) auf den Server zu.
Warnung
Alteryx Server unterstützt keine Änderung des Authentifizierungstyps nach der Konfiguration. Nachträgliche Änderungen können die Server-Funktionalität beeinträchtigen. Wenn Sie den Authentifizierungstyp ändern möchten, wenden Sie sich an Ihr Account-Team, um weitere Hilfeoptionen zu besprechen.
Einrichtung des ausgewählten Authentifizierungstyps abschließen
Die Einrichtung ist für jeden Authentifizierungstyp unterschiedlich. Wählen Sie den gewünschten Authentifizierungstyp aus und befolgen Sie die Schritte zum Abschließen der Einrichtung.
1. Schritt: Gallery-Standardadministrator für die integrierte Authentifizierung festlegen
Nachdem Sie Built-in (Integrierte Authentifizierung) ausgewählt haben, erstellen Sie unten auf der Seite Gallery Authentication (Gallery-Authentifizierung) einen Default Gallery Administrator (Gallery-Standardadministrator). Der Gallery (Server)-Administrator verwaltet Benutzer, Workflows und mehr. Geben Sie für die Integrierte Authentifizierung die E‑Mail-Adresse des Administrators ein.
Schließen Sie die verbleibenden Bildschirme in den System Settings ab (weitere Informationen zu diesen Bildschirmen finden Sie auf den Hilfeseiten Server-Benutzeroberfläche und Engine ). Wählen Sie dann Finish aus.
2. Schritt: Erstellung des Gallery-Administratorkontos abschließen
Um die Erstellung des Gallery-Administratorkontos abzuschließen, wechseln Sie zur Server-Anmeldeseite. Wählen Sie dazu den Link zu Server aus, der auf der Seite Systemeinstellungen > Status angezeigt ist, oder geben Sie die Server-URL in Ihren Internetbrowser ein.
Wählen Sie Anmelden aus.
Wählen Sie auf der Anmeldeseite die Option Sie haben noch kein Konto? Dann erstellen Sie eins!
Geben Sie einen Vornamen und Nachnamen ein und wählen Sie eine Zeitzone aus dem Dropdown-Menü aus.
Geben Sie unter E‑Mail die E‑Mail-Adresse ein, die Sie für den Gallery-Standardadministrator auf der Seite Systemeinstellungen > Gallery Authentication angegeben haben.
Erstellen Sie unter Kennwort ein Kontokennwort. Ihr Kennwort muss Folgendes enthalten:
Mindestens 8 Zeichen
Mindestens 1 Buchstaben
Mindestens 1 Zahl
Groß- und Kleinbuchstaben
Mindestens 1 Sonderzeichen
Wählen Sie Anmelden .
Sie sind jetzt als Gallery (Server)-Administrator angemeldet. Ihre Angaben aus dem Anmeldeformular werden für die Zukunft als Ihre Anmeldedaten gespeichert. Sie können jetzt Server-Benutzer hinzufügen. Navigieren Sie zu Server-Benutzer hinzufügen .
Wichtig
Wenn Sie AWS mit Windows-Authentifizierung verwenden, muss die TCP-Verbindung denselben Quellport beibehalten, um authentifiziert zu bleiben. Aus diesem Grund empfehlen wir die Verwendung des Netzwerklastenausgleichs oder des klassischen Lastenausgleichsmoduls anstelle des Anwendungslastenausgleichs.
Anmerkung
Der Unterschied bei der Einrichtung der integrierten Windows-Authentifizierung und der integrierten Windows-Authentifizierung mit Kerberos ist das Protokoll, das zur Authentifizierung von Benutzern mit Active Directory verwendet wird. Die Option „Integrierte Windows-Authentifizierung“ verwendet NTLM, während die Option „Integrierte Windows-Authentifizierung mit Kerberos“ NTLM durch Kerberos ersetzt.
Es ist keine spezielle Konfiguration innerhalb von Alteryx Server selbst erforderlich. Aber für die Kerberos-Option müssen ein ordnungsgemäß konfigurierter Kerberos-Bereich und ein KDC in der Active Directory-Domäne vorhanden sein.
1. Schritt: Gallery-Standardadministrator für die Windows-Authentifizierung festlegen
Nachdem Sie
Integrated Windows authentication
(Integrierte Windows-Authentifizierung) ausgewählt haben, erstellen Sie unten auf der Seite
Gallery-Authentication
einen
Default Gallery Administrator
(Gallery-Standardadministrator). Der Gallery (Server)-Administrator verwaltet Benutzer, Workflows und mehr. Für
Integrated Windows authentication
, geben Sie das Benutzerkonto in diesem Format ein:
domain\username
.
Schließen Sie die verbleibenden Bildschirme in den System Settings ab (weitere Informationen zu diesen Bildschirmen finden Sie auf den Hilfeseiten Server-Benutzeroberfläche und Engine ). Wählen Sie dann Finish aus.
2. Schritt: Auf Server zugreifen
Der Gallery (Server)-Standardadministrator kann jetzt auf den Server zugreifen. Wählen Sie dazu den Link zu Server aus, der auf der Seite Systemeinstellungen > Status angezeigt ist, oder geben Sie die Server-URL in Ihren Internetbrowser ein. Sie sind jetzt als Gallery (Server)-Administrator angemeldet und können Server-Benutzer hinzufügen. Navigieren Sie zu Server-Benutzer hinzufügen .
Unterstützung mehrerer Domänen
Alteryx Server unterstützt mehrere Domänen für die Windows-Authentifizierung. Sie müssen dafür keine Konfiguration in Alteryx Server vornehmen, aber diese Funktionen und Berechtigungen müssen domänenübergreifend vorhanden sein.
Die Domäne, auf der Alteryx Server ausgeführt wird, muss über die gleiche Vertrauensrichtlinie wie andere Domänenbenutzer verfügen, damit Active Directory Benutzerberechtigungen auflösen und festlegen kann.
Beide Domänen müssen Teil derselben Forest-Struktur sein.
Der Alteryx Dienst muss in der Lage sein, alle Attribute aus den Behältern „CN=Users" und „CN=Computers" für beide Domänen zu lesen. Der Alteryx Dienst wird unter dem lokalen Systemkonto auf dem Server ausgeführt, auf dem er installiert ist. Wenn Sie ein dediziertes Dienstkonto definieren, anstatt das lokale System zu verwenden, muss das Konto über die Berechtigung verfügen, alle Attribute aus beiden Behältern zu lesen, um die Authentifizierung für beide Domänen zu aktivieren.
Um die SAML-Authentifizierung für Single Sign‑On (SSO) zu konfigurieren, muss Ihr IDP SAML unterstützen.
Wichtig
Bevor Sie die SAML-Authentifizierung für Server konfigurieren, müssen Sie Alteryx Server als Dienstanbieter im IDP hinzufügen. Der IDP benötigt möglicherweise:
die ACS-Basis-URL (z. B. http://localhost/webapi/Saml2/Acs).
die SP-Entitäts-ID (z. B. http://localhost/webapi/Saml2).
Ab Version 2022.3 verwenden wir über den Web-API-Service aktualisierte Endpunkte für Dienstleister. Bestehende Konfigurationen, die die vorherigen Endpunkte verwenden, funktionieren weiterhin und Sie können SAML weiterhin für Ihren bestehenden Alteryx Server verwenden. Weitere Informationen finden Sie in den Versionshinweisen zu Server 2022.3 .
Der IDP kann auch erfordern, dass Sie die Attributanweisungen für E‑Mail-Adresse, Vorname und Nachname (email, firstName, lastName) den entsprechenden IDP-Feldern zuordnen, um Benutzer zu authentifizieren.
Das IDP-Signaturzertifikat sollte mindestens mit dem Signaturalgorithmus SHA-256 konfiguriert werden.
Wählen Sie eine Option zum Abrufen der vom IDP geforderten Metadaten aus. Sie können SAML mit IDP-Metadaten-URL oder X509-Zertifikat und IDP-SSO-URL konfigurieren.
Schließen Sie die SAML-IDP-Konfiguration ab.
ACS-Basis-URL : URL für den Assertion Consumer Service, der SAML-Nachrichten zum Aufbau einer Sitzung akzeptiert
IDP-URL : URL für die im IDP konfigurierte Alteryx-Anwendung, auch bekannt als IDP-Entitäts-ID
IDP-Metadaten-URL : vom IDP bereitgestellte URL, welche die IDP-SSO-URL und das X509-Zertifikat zur Konfiguration des Alteryx-Authentifizierungsdienstes enthält
IDP-SSO-URL : vom IDP bereitgestellte SSO-URL, die der Alteryx-Authentifizierungsdienst zur Anmeldung beim IDP verwendet
X509-Zertifikat : öffentliches Zertifikat, das vom IDP für die sichere Kommunikation mit dem Alteryx-Authentifizierungsdienst bereitgestellt wird
Enable Request Signing (Anfragesignierung aktivieren): Für IDPs, die eine Anfragesignierung erfordern, können Sie die entsprechende Einstellung auswählen. Dafür muss ein gültiges signiertes Zertifikat mit einem verknüpfen privaten RSA-Schlüssel im Windows-Zertifikatspeicher installiert sein.
SSL-/TLS-Zertifikathash : Sobald Sie Ihr Zertifikat und Ihren privaten Schlüssel installiert haben, stellen Sie den eindeutigen Hash für das SSL-/TLS-Zertifikat bereit.
Verify IDP (IDP überprüfen): Wählen Sie diese Option aus, um ein Browserfenster zu öffnen, sich anzumelden, die IDP-Konfiguration zu testen und den Server-Standardadministrator festzulegen.
Gallery-Standardadministrator für SAML festlegen
Zur Verwaltung der Seite (Benutzer-, Workflow- und sonstige Verwaltung) muss ein Gallery (Server)-Administratorkonto erstellt werden. Wählen Sie für die SAML-Authentifizierung die Option Verify IDP aus, um die IDP-Konfiguration zu testen und das Feld mit IDP-Anmeldedaten zu füllen.
Sie sind jetzt als Server-Administrator angemeldet. Sie können jetzt Server-Benutzer hinzufügen. Navigieren Sie zu Server-Benutzer hinzufügen .