Authentifizierung und Autorisierung
Dieser Inhalt ist Teil von Tableau Blueprint – einem Framework, mit dem Sie genauer unter die Lupe nehmen können, wie Ihr Unternehmen Daten nutzt, um mehr Nutzen daraus zu ziehen. Ihre Reise beginnt mit unserer Beurteilung(Link wird in neuem Fenster geöffnet).
Tableau bietet umfangreiche Features und eine umfassende Einbindung, um alle Aspekte der Unternehmenssicherheit abdecken zu können. Weitere Informationen finden Sie unter Sicherheit der Tableau Server-Plattform und in der Checkliste zur Verbesserung der Tableau Server-Sicherheit (Windows | Linux) sowie unter Tableau Cloud-Sicherheit in der Cloud.
Identitätsspeicher
Tableau Server benötigt einen Identitätsspeicher (Windows | Linux) zur Verwaltung der Informationen für Benutzer und Gruppen. Es gibt zwei Arten von Identitätsspeichern: lokale Identitätsspeicher (Tableau Server) und externe Identitätsspeicher (Active Directory, LDAP). Bei der Installation von Tableau Server müssen Sie entweder einen lokalen oder einen externen Identitätsspeicher konfigurieren. Informationen zur Konfiguration der Optionen für den Identitätsspeicher finden Sie unter identityStore-Entität.
Wenn Sie Tableau Server mit einem lokalen Identitätsspeicher konfigurieren, werden alle Benutzer- und Gruppeninformationen im Tableau Server-Repository gespeichert und verwaltet. Bei einem lokalen Identitätsspeicher ist keine externe Quelle für Benutzer und Gruppen vorhanden. Hinweis: Wenn Sie den Identitätsspeicher nach der Serverinstallation wieder ändern möchten, müssen Sie Tableau Server komplett deinstallieren und erneut installieren.
Wenn Sie Tableau Server mit einem externen Speicher konfigurieren, werden alle Benutzer- und Gruppeninformationen von einem externen Verzeichnisdienst gespeichert und verwaltet. Tableau Server muss dann mit dem externen Identitätsspeicher synchronisiert werden, damit im Tableau Server-Repository die lokalen Kopien der Benutzer und Gruppen vorhanden sind. Der externe Identitätsspeicher ist aber stets die Hauptquelle für alle Benutzer- und Gruppendaten. Bei der Anmeldung von Benutzern bei Tableau Server werden ihre Anmeldeinformationen an das externe Verzeichnis übergeben, das für die Authentifizierung des jeweiligen Benutzers zuständig ist (Windows | Linux). Diese Authentifizierung wird nicht von Tableau Server durchgeführt. Die im Identitätsspeicher gespeicherten Tableau-Benutzernamen werden aber mit Rechten und Berechtigungen für Tableau Server verknüpft. Nach der Verifizierung der Authentifizierung wird der Benutzerzugriff (Autorisierung) für Tableau-Ressourcen von Tableau Server verwaltet.
Authentifizierung
Die Authentifizierung prüft die Identität eines Benutzers. Jeder, der Zugriff auf Tableau Server oder Tableau Cloud benötigt – ob zur Verwaltung von Server oder der Site bzw. zum Veröffentlichen, Durchsuchen und Verwalten von Inhalten – muss als Benutzer im Tableau Server-Identitätsspeicher vorhanden sein oder als Tableau Cloud-Benutzer bereitgestellt werden. Die Authentifizierung kann von Tableau Server oder von Tableau Cloud (lokale Authentifizierung) oder durch einen externen Prozess durchgeführt werden. Im letzteren Fall müssen Sie Tableau Server für Protokolle zur externen Authentifizierung wie Active Directory, OpenLDAP, SAML und OpenID oder Tableau Cloud für Google oder SAML konfigurieren.
Authentifizierung in Tableau Cloud
Tableau Cloud unterstützt die im Folgenden aufgeführten Authentifizierungstypen, die auf der Seite „Authentifizierung“ konfiguriert werden können. Weitere Informationen dazu finden Sie unter Tableau Cloud-Authentifizierung.
- Tableau: Dies ist der standardmäßige Authentifizierungstyp, der auf allen Sites verfügbar ist und keine zusätzlichen Konfigurationsschritte für das Hinzufügen von Benutzern erfordert. Die Tableau-Anmeldeinformationen bestehen aus dem Benutzernamen und aus dem Kennwort, die beide in Tableau Cloud gespeichert sind. Benutzer geben ihre Anmeldeinformationen direkt auf der Tableau Cloud-Anmeldeseite ein.
- Google: Wenn Ihr Unternehmen Google-Anwendungen nutzt, können Sie Tableau Cloud zur Verwendung von Google-Konten für eine SSO-Anmeldung (Single Sign-on) über OpenID Connect konfigurieren. Wenn Sie Google-Authentifizierung aktivieren, werden Benutzer auf die Google-Anmeldeseite weitergeleitet, damit sie dort ihre Anmeldeinformationen eingeben, die bei Google gespeichert sind.
- SAML: Ein andere Möglichkeit zur Verwendung von SSO ist die Anwendung von SAML Dazu benötigen Sie einen externen Identitätsanbieter (Identity Provider, IdP). Die Site muss dann für eine vertrauenswürdige Beziehung mit diesem IdP konfiguriert werden. Wenn Sie SAML aktivieren, werden die Benutzer zur Anmeldeseite des IdP weitergeleitet. Dort müssen sie ihre SSO-Anmeldeinformationen eingeben, die bereits beim IdP gespeichert sind.
Erforderliche Multi-Faktor-Authentifizierung für Tableau Cloud
Zusätzlich zu dem von Ihnen für Ihre Site konfigurierten Authentifizierungstyp ist für Tableau Cloud ab dem 1. Februar 2022 die Multi-Faktor-Authentifizierung (MFA) über Ihren SSO-Identitätsanbieter (Identity Provider, IdP) erforderlich. Wenn Ihre Organisation nicht direkt mit einem SSO-IdP arbeitet, können Sie Tableau mit MFA-Authentifizierung verwenden, um die MFA-Anforderungen zu erfüllen. Weitere Informationen finden Sie unter Informationen zur Multi-Faktor-Authentifizierung und Tableau Cloud.
Authentifizierung in Tableau Server
Die folgende Tabelle zeigt, welche Authentifizierungsmethoden von Tableau Server mit welchen Identitätsspeichern kompatibel sind.
Authentifizierungsmethode | Lokale Authentifizierung | AD/LDAP |
|---|---|---|
SAML | Ja | Ja |
Kerberos | Nein | Ja |
Gegenseitiges SSL | Ja | Ja |
OpenID | Ja | Nein |
Vertrauenswürdige Authentifizierung | Ja | Ja |
Active Directory und OpenLDAP
In diesem Szenario muss Tableau Server in einer Domain in Active Directory installiert sein. Tableau Server synchronisiert Metadaten von Benutzern und Gruppen aus dem Active Directory mit dem Identitätsspeicher. Sie müssen Benutzer nicht manuell hinzufügen. Nach der Synchronisierung der Daten müssen Sie jedoch die Site- und Serverrollen zuweisen. Sie können diese einzeln zuweisen oder auf Gruppenebene. Tableau Server synchronisiert keine Daten mit Active Directory. Tableau Server verwaltet den Zugriff auf Inhalte und auf den Server entsprechend der im Repository gespeicherten Berechtigungsdaten der Site-Rolle.
Wenn Sie bereits Benutzer in Ihrem Unternehmen mit Active Directory verwalten, müssen Sie bei der Tableau-Einrichtung die Active Directory-Authentifizierung auswählen. Durch Synchronisierung der Active Directory-Gruppen können Sie z. B. minimale Tableau-Berechtigungen der Site-Rolle für die Benutzer festlegen, die in den Gruppen synchronisiert werden. Sie können bestimmte Active Directory-Gruppen synchronisieren oder auch alle Gruppen. Weitere Informationen finden Sie unter Alle Active Directory-Gruppen auf dem Server synchronisieren. Unter Benutzerverwaltung in Active Directory-Bereitstellungen finden Sie Informationen darüber, wie sich mehrere Domains, die Domain-Benennung, NetBIOS und das Benutzernamenformat von Active Directory auf die Benutzerverwaltung in Tableau auswirken. Dieser Artikel wird dringend empfohlen.
Sie können Tableau Server auch für die Verwendung von LDAP als generische Möglichkeit zur Kommunikation mit dem Identitätsspeicher konfigurieren. OpenLDAP ist eine von mehreren LDAP-Serverimplementierungen mit einem flexiblen Schema. Tableau Server kann zur Abfrage des OpenLDAP-Servers konfiguriert werden. Weitere Informationen finden Sie unter Identitätsspeicher. Die Authentifizierung kann in diesem Szenario über eine native LDAP-Lösung oder mit einer SSO-Lösung (Single Sign-On, Einmalige Anmeldung) erfolgen. Das folgende Diagramm zeigt Tableau Server mit der Active Directory/OpenLDAP-Authentifizierung.
SAML
SAML (Security Assertion Markup Language) ist ein XML-Standard, der sicheren Webdomänen den Austausch von Benutzerauthentifizierungs- und Autorisierungsdaten ermöglicht. Sie können Tableau Server und Tableau Cloud auch für die Verwendung eines externen Identitätsanbieters (Identity Provider, IDP) zur Authentifizierung von Benutzern über SAML 2.0 konfigurieren.
Tableau Server und Tableau Cloud unterstützen beide vom Internetdienstanbieter und vom Identitätsanbieter initiiertes SAML in Browsern und in der Tableau Mobile-App. Für Verbindungen von Tableau Desktop ist erforderlich, dass die SAML-Anforderung vom Internetdienstanbieter initiiert wird. In Tableau Server oder Tableau Cloud sind keine Anmeldeinformationen von Benutzern gespeichert. Bei Verwendung von SAML können Sie aber Tableau zur SSO-Umgebung Ihres Unternehmens hinzufügen. Die Benutzerauthentifizierung über SAML gilt nicht für Berechtigungen und die Autorisierung für Tableau Server- oder Tableau Cloud-Inhalte wie Datenquellen und Arbeitsmappen. Zudem wird der Zugriff auf zugrunde liegende Daten, mit denen Arbeitsmappen und Datenquellen eine Verbindung herstellen, nicht kontrolliert.
Bei Tableau Server können Sie SAML Server-übergreifend verwenden oder einzelne Tableau Server-Sites konfigurieren. Hier finden Sie eine Übersicht über diese Optionen:
- Serverweite SAML-Authentifizierung. Mit dieser Option führt eine einzelne SAML IdP-Anwendung die Authentifizierung für alle Tableau Server-Benutzer durch. Verwenden Sie diese Option, wenn Ihr Server nur über eine Standard-Site verfügt.
Außerdem müssen Sie, wenn Sie Site-spezifisches SAML für Tableau Server verwenden möchten, zuerst SAML Tableau Server-übergreifend konfigurieren, bevor Sie einzelne Sites konfigurieren. Tableau Server-seitiges SAML muss für Site-spezifisches SAML für Tableau Server nicht aktiviert werden, aber konfiguriert sein.
- Serverweite lokale Authentifizierung und Site-spezifische SAML-Authentifizierung. In einer Umgebung mit mehreren Sites können sich Benutzer, die auf Site-Ebene nicht für die SAML-Authentifizierung aktiviert sind, mit der lokalen Authentifizierung anmelden.
- Serverweite SAML-Authentifizierung und Site-spezifische SAML-Authentifizierung. In einer Umgebung mit mehreren Sites authentifizieren sich alle Benutzer über SAML IdP mit Konfiguration auf Site-Ebene, und Sie geben ein SAML-Standard-IdP für Benutzer an, die zu mehreren Sites gehören.
Weitere Informationen finden Sie unter SAML (Windows | Linux). Das folgende Diagramm zeigt Tableau Server mit der SAML-Authentifizierung.
Für die Konfiguration von SAML für Tableau Cloud gelten die folgenden Anforderungen:
- Anforderungen des Identitätsanbieters (IdP) bezüglich der Tableau-Konfiguration
- Anforderungen und Hinweise zur SAML-Kompatibilität
- Verwenden der einmaligen Anmeldung (SSO) mittels SAML in Tableau-Clientanwendungen
- Auswirkungen auf Tableau Bridge durch die Änderung des Authentifizierungstyps
- XML-Datenanforderungen
HINWEIS: Zusätzlich zu diesen Anforderungen empfehlen wir die Zuweisung eines Kontos des Tableau Cloud-Site-Administrators, das immer für die Tableau-Authentifizierung konfiguriert ist. Im Falle eines Problems mit SAML oder mit dem Identitätsanbieter stellt ein zugewiesenes TableauID-Konto dann den Zugriff auf Ihre Tableau Cloud-Site sicher.
Vertrauenswürdige Tickets
Wenn Sie Tableau Server-Ansichten in Webseiten einbetten, können diese nur von für Tableau Server lizenzierten Benutzern besucht werden. Beim Aufruf einer solchen Seite werden die Benutzer zur Anmeldung bei Tableau Server aufgefordert. Die Ansicht wird dann nach der Anmeldung angezeigt. Wenn Sie die Benutzer einer Webseite oder Webanwendung bereits authentifizieren, können Sie diese Eingabeaufforderung vermeiden und den Benutzern eine zweimalige Anmeldung ersparen, indem Sie die vertrauenswürdige Authentifizierung einrichten.
Vertrauenswürdige Authentifizierung bedeutet einfach, dass eine vertrauenswürdige Beziehung zwischen Tableau Server und einem oder mehreren Webservern eingerichtet wurde. Wenn Tableau Server Anforderungen von vertrauenswürdigen Webservern empfängt, wird davon ausgegangen, dass der Webserver die notwendige Authentifizierung durchgeführt hat.
Wenn der Webserver SSPI (Security Support Provider Interface) verwendet, müssen Sie keine vertrauenswürdige Authentifizierung einrichten. Sie können Ansichten einbetten, auf die Ihre Benutzer dann einen sicheren Zugriff haben, wenn sie lizenzierte Tableau Server-Benutzer sind und zu Ihrem Active Directory gehören (Windows | Linux). Das folgende Diagramm zeigt Tableau Server mit vertrauenswürdigen Tickets.
Gegenseitiges SSL
Mit Mutual SSL können Sie Benutzern von Tableau Desktop und anderen genehmigten Tableau-Clients eine sichere Nutzung von Tableau Server mit direktem Zugriff zur Verfügung stellen. Mit Mutual SSL bestätigt Tableau Server, wenn ein Client mit einem gültigen SSL-Zertifikat eine Verbindung zu Tableau Server herstellt, das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer auf der Basis des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern. Sie können Tableau Server auch so konfigurieren, dass die Authentifizierung mit Benutzername/Kennwort verwendet wird, wenn Mutual SSL fehlschlägt.
Autorisierung
Mit der Autorisierung wird festgelegt, in welcher Weise und auf was Benutzer in Tableau Server oder Tableau Cloud zugreifen können, nachdem die Authentifizierung verifiziert wurde. Weitere Informationen finden Sie unter Governance in Tableau. Die Autorisierung umfasst Folgendes:
- Die Aktionen, die Benutzer mit in Tableau Server oder Tableau Cloud gehosteten Inhalten wie Projekte, Sites, Arbeitsmappen und Ansichten durchführen dürfen.
- Die Aktionen, die Benutzer mit von Tableau Server oder Tableau Cloud verwalteten Datenquellen durchführen dürfen.
- Die Aufgaben, die Benutzer zur Verwaltung von Tableau Server oder Tableau Cloud durchführen dürfen, z. B. die Konfiguration von Server- oder Site-Einstellungen, die Ausführung von Befehlszeilentools oder andere Aufgaben.
Die Autorisierung wird in Tableau Server und Tableau Cloud verwaltet. Sie ist von der Lizenzstufe des Benutzers (Tableau Creator, Tableau Explorer, Tableau Viewer), der Site-Rolle und den Berechtigungen abhängig, die bestimmten Einheiten wie Arbeitsmappen und Datenquellen zugewiesen wurden. Das Projektteam sollte das Berechtigungsmodell gemeinsam definieren. Tableau Server- und/oder Site-Administratoren oder Tableau Cloud-Site-Administratoren weisen Gruppen Berechtigungsregeln zu und sperren diese für das Projekt. Benutzerdefinierte Berechtigungen erlauben eine höhere Granularität in Berechtigungen – vom Zugriff auf eine Datenquelle über den Download einer Datenquelle bis hin zu der Art und Weise, wie Benutzer mit veröffentlichten Inhalten interagieren.
Mit der intuitiven Benutzeroberfläche von Tableau können Sie Benutzer mühelos mit funktionalen Gruppen verbinden und den Gruppen Berechtigungen zuweisen. Außerdem lässt sich feststellen, wer Zugriff auf welche Inhalte hat. Sie haben die Möglichkeit, Gruppen lokal auf dem Server zu erstellen oder aus Active Directory zu importieren und sie gemäß einem festgelegten Zeitplan zu synchronisieren. Die Ansicht für Berechtigungen hilft Geschäftsanwendern auch dabei, ihre eigenen Benutzer und Gruppen zu verwalten. Weitere Informationen finden Sie unter Schnellstart für die Einrichtung von Berechtigungen, Konfigurieren von Projekten, Gruppen und Berechtigungen für verwalteten Selfservice, und Referenz für Berechtigungen.