Autenticazione e autorizzazione
Questo contenuto fa parte della metodologia Tableau Blueprint. Scopri Tableau Blueprint(Il collegamento viene aperto in una nuova finestra).
Tableau offre funzionalità e integrazione complete per gestire tutti gli aspetti della sicurezza aziendale. Per ulteriori informazioni, consulta le sezioni Sicurezza della piattaforma Tableau Server e Checklist per il miglioramento della sicurezza di Tableau Server (Windows | Linux) o Sicurezza di Tableau Cloud nel cloud.
Archivio di identità
Tableau Server utilizza un archivio di identità (Windows | Linux) per gestire le informazioni sugli utenti e sui gruppi. Esistono due tipi di archivi di identità: locale (Tableau Server) ed esterno (Active Directory, LDAP). Quando installi Tableau Server devi configurare un archivio di identità locale oppure esterno. Per informazioni sulle opzioni di configurazione dell'archivio di identità, consulta la sezione Entità identityStore.
Se configuri Tableau Server con un archivio di identità locale, tutte le informazioni sugli utenti e sui gruppi vengono archiviate e gestite nel repository di Tableau Server. Nel caso di un archivio di identità locale, non esistono origini esterne per gli utenti e i gruppi. Nota: per modificare l'archivio di identità dopo l'installazione del server è necessaria la disinstallazione completa seguita dalla reinstallazione.
Se configuri Tableau Server con un archivio di identità esterno, tutte le informazioni sugli utenti e sui gruppi vengono archiviate e gestite da un servizio di directory esterno. Tableau Server deve sincronizzarsi con l'archivio di identità esterno per avere copie locali degli utenti e dei gruppi nel repository di Tableau Server, ma l'archivio esterno è l'origine principale di tutti i dati degli utenti e dei gruppi. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono trasferite alla directory esterna, che si occupa dell'autenticazione (Windows | Linux). Tableau Server non esegue questa autenticazione, ma i nomi degli utenti di Tableau archiviati nell'archivio di identità sono associati ai diritti e alle autorizzazioni per Tableau Server. Dopo aver verificato l'autenticazione, Tableau Server gestisce l'accesso (autorizzazione) degli utenti per quanto riguarda le risorse di Tableau.
Autenticazione
L'autenticazione consente di verificare l'identità di un utente. Chiunque voglia accedere a Tableau Server o a Tableau Cloud (per gestire il server o il sito, per pubblicare, sfogliare o amministrare i contenuti) deve essere registrato come utente nell'archivio di identità di Tableau Server o avere diritti di accesso come utente di Tableau Cloud. L'autenticazione può essere controllata da Tableau Server o da Tableau Cloud (autenticazione locale) oppure da un processo esterno. Nel secondo caso occorre configurare Tableau Server per protocolli di autenticazione esterni come Active Directory, OpenLDAP, SAML o OpenID, oppure si dovrà configurare Tableau Cloud per Google o SAML.
Autenticazione in Tableau Cloud
Tableau Cloud supporta i seguenti tipi di autenticazione, configurabili nella pagina Autenticazione. Per ulteriori informazioni, consulta la sezione dedicata all'autenticazione in Tableau Cloud.
- Tableau: questo è il metodo di autenticazione predefinito, disponibile in tutti i siti; non richiede ulteriori procedure di configurazione prima di aggiungere gli utenti. Le credenziali di Tableau sono costituite da nome utente e password, che sono archiviate in Tableau Cloud. Gli utenti inseriscono le proprie credenziali direttamente nella pagina di accesso a Tableau Cloud.
- Google: se la tua organizzazione utilizza applicazioni di Google, puoi abilitare in Tableau Cloud l'uso degli account Google per l'autenticazione Single Sign-On (SSO) tramite OpenID Connect. Abilitando l'autenticazione tramite Google, gli utenti vengono indirizzati alla pagina di accesso di Google per inserire le loro credenziali, che sono memorizzate da Google.
- SAML: un altro modo per utilizzare la modalità SSO consiste nel ricorrere all'autenticazione SAML. In questo caso, si ricorre a un provider di identità (IdP) esterno e si configura il sito in modo da stabilire una relazione affidabile con l’IdP. Abilitando l'autenticazione SAML, gli utenti vengono indirizzati alla pagina di accesso dell'IdP dove inseriranno le proprie credenziali SSO, già archiviate presso l'IdP.
Autenticazione a più fattori necessaria in Tableau Cloud
In aggiunta al tipo di autenticazione che configuri per il tuo sito, dal 1° febbraio 2022 Tableau Cloud richiede l'autenticazione a più fattori (MFA) tramite il tuo identity provider (IdP) SSO. Se la tua organizzazione non lavora direttamente con un IdP SSO puoi utilizzare Tableau con l'autenticazione MFA per soddisfare i requisiti dell'MFA. Per ulteriori informazioni, consulta la sezione Informazioni sull'autenticazione a più fattori e Tableau Cloud.
Autenticazione in Tableau Server
La seguente tabella mostra i metodi di autenticazione per Tableau Server compatibili con i diversi archivi di identità.
Metodo di autenticazione | Autenticazione locale | AD/LDAP |
|---|---|---|
SAML | Sì | Sì |
Kerberos | No | Sì |
SSL reciproca | Sì | Sì |
OpenID | Sì | No |
Autenticazione attendibile | Sì | Sì |
Active Directory e OpenLDAP
In questo caso Tableau Server deve essere installato in un dominio di Active Directory. Tableau Server sincronizzerà i metadati degli utenti e dei gruppi tra Active Directory e l'archivio di identità. Non è necessario aggiungere gli utenti manualmente. Dopo aver sincronizzato i dati si devono però assegnare i ruoli per il sito e il server. Si possono assegnare singolarmente o per ogni gruppo. Tableau Server non sincronizza i dati con Active Directory. Tableau Server gestisce l'accesso ai contenuti e al server in base ai dati di autorizzazione per il ruolo del sito archiviati nel repository.
Se utilizzi già Active Directory per gestire gli utenti nella tua organizzazione, dovrai selezionare l'autenticazione con Active Directory durante l'installazione di Tableau. Ad esempio, sincronizzando i gruppi di Active Directory si possono configurare le autorizzazioni minime di Tableau per i ruoli sul sito, per gli utenti sincronizzati nei gruppi. Puoi sincronizzare determinati gruppi di Active Directory o sincronizzarli tutti. Per ulteriori informazioni, consulta la sezione Sincronizzare tutti i gruppi di Active Directory sul server. Leggi la sezione Gestione degli utenti nelle distribuzioni di Active Directory per capire come domini multipli, denominazione dei domini, NetBIOS e formato dei nomi utente in Active Directory influiscono sulla gestione degli utenti di Tableau.
Puoi anche configurare Tableau Server per utilizzare LDAP come modalità generica per comunicare con l'archivio di identità. Ad esempio, OpenLDAP è una delle tante implementazioni di server LDAP con uno schema flessibile. Tableau Server si può configurare per interrogare il server OpenLDAP. Consulta la sezione Archivio di identità. In questa situazione l'autenticazione potrebbe essere gestita dalla soluzione LDAP nativa oppure tramite una soluzione Single Sign-On. Lo schema qui sotto mostra Tableau Server con autenticazione tramite Active Directory/OpenLDAP.
SAML
SAML (Security Assertion Markup Language) è uno standard XML che consente ai domini web sicuri di scambiare dati per l'autenticazione e l'autorizzazione degli utenti. Puoi configurare Tableau Server e Tableau Cloud affinché utilizzino un identity provider (IdP) esterno per autenticare gli utenti tramite SAML 2.0.
Tableau Server e Tableau Cloud supportano richieste SAML inoltrate dal provider di servizi e dall'IdP nei browser e nell'app Tableau Mobile. Per le connessioni tramite Tableau Desktop invece la richiesta SAML deve essere inoltrata dal provider di servizi. Le credenziali dell'utente non vengono archiviate in Tableau Server né in Tableau Cloud e utilizzando il protocollo SAML si può aggiungere Tableau all'ambiente Single Sign-On dell'organizzazione. L'autenticazione tramite SAML non riguarda i permessi e le autorizzazioni per i contenuti di Tableau Server o per Tableau Cloud, come le origini dati e le cartelle di lavoro. Inoltre non consente di controllare l'accesso ai dati sottostanti ai quali si collegano le cartelle di lavoro e le origini dati.
Per Tableau Server puoi utilizzare SAML a livello di server o configurare i siti di Tableau Server singolarmente. Ecco una panoramica di queste opzioni:
- Autenticazione SAML a livello di server. Una sola applicazione IdP SAML gestisce l'autenticazione per tutti gli utenti di Tableau Server. Utilizza questa opzione se il server ha solo il sito predefinito.
Inoltre, se preferisci usare lo standard SAML specifico per il sito di Tableau Server, dovrai configurare SAML a livello di Tableau Server prima di configurare i singoli siti. Non è necessario abilitare il protocollo SAML su Tableau Server per usare SAML in modo specifico per Tableau Server, ma è necessario configurarlo.
- Autenticazione locale a livello di server e autenticazione SAML specifica per il sito. In un ambiente con più siti, gli utenti non abilitati all'autenticazione SAML a livello di sito possono accedere con l'autenticazione locale.
- Autenticazione SAML a livello di server e autenticazione SAML specifica per il sito. In un ambiente multi-sito, tutti gli utenti si autenticano tramite un IdP SAML configurato a livello di sito e dovrai specificare un IdP SAML predefinito a livello di server per gli utenti appartenenti a più siti.
Per ulteriori informazioni, consulta la sezione SAML (Windows | Linux). Lo schema qui sotto mostra Tableau Server con autenticazione tramite SAML.
Per configurare SAML per Tableau Cloud, controlla i seguenti requisiti:
- Requisiti dell'identity provider (IdP) per la configurazione di Tableau
- Note di compatibilità e requisiti di SAML
- Utilizzare SSO SAML in applicazioni client Tableau
- Effetti su Tableau Bridge della modifica del tipo di autenticazione
- Requisiti per i dati XML
NOTA: oltre a questi requisiti, consigliamo di avere uno specifico account di amministratore dei siti di Tableau Cloud sempre configurato per l'autenticazione in Tableau. In caso di problemi con SAML o con l'IdP, un account TableauID dedicato ti garantisce di poter sempre accedere al tuo sito di Tableau Cloud.
Ticket attendibili
Se incorpori le viste di Tableau Server nelle pagine web, tutti coloro che visitano la pagina devono essere utenti provvisti di licenza per Tableau Server. Quando visitano la pagina, agli utenti viene chiesto di accedere a Tableau Server prima di poter accedere alla vista. Se nella pagina web o nell'applicazione web è già disponibile un modo per autenticare gli utenti, puoi evitare questa richiesta ed evitare loro la necessità di accedere due volte, configurando l'autenticazione attendibile.
L'autenticazione attendibile si ha quando è stata definita una relazione attendibile tra Tableau Server e uno o più server web. Quando Tableau Server riceve una richiesta da uno di questi server web attendibili, presuppone che il server web abbia già gestito l'autenticazione necessaria.
Se il server web utilizza l'interfaccia SSPI (Security Support Provider Interface), non è necessario configurare l'autenticazione attendibile. Puoi incorporare le viste e i tuoi utenti vi accederanno direttamente in modo sicuro, purché siano provvisti di licenza per Tableau Server e siano membri della tua Active Directory (Windows | Linux). Lo schema qui sotto mostra Tableau Server con autenticazione affidabile.
SSL reciproca
Con l'autenticazione SSL reciproca puoi offrire agli utenti di Tableau Desktop e di altri client Tableau approvati un'esperienza di accesso diretto e sicuro a Tableau Server. Con l'autenticazione SSL reciproca, quando un client provvisto di certificato SSL valido si connette a Tableau Server, quest'ultimo conferma l'esistenza del certificato e autentica l'utente in base al nome utente specificato nel certificato del client. Se il client non ha un certificato SSL valido, Tableau Server può rifiutare la connessione. Puoi anche configurare Tableau Server in modo che passi all'autenticazione con nome utente e password, se quella con SSL reciproco non ha esito positivo.
Autorizzazione
Le autorizzazioni stabiliscono i modi con cui gli utenti possono accedere a Tableau Server e a Tableau Cloud e i contenuti ai quali hanno accesso, dopo la verifica dell'autenticazione. Per ulteriori informazioni, consulta la sezione La governance di Tableau. Le autorizzazioni comprendono:
- Quello che gli utenti possono fare con i contenuti in hosting su Tableau Server o su Tableau Cloud, come i progetti, i siti, le cartelle di lavoro e le viste.
- Quello che gli utenti possono fare con le origini dati gestite da Tableau Server o da Tableau Cloud.
- Le attività che gli utenti possono eseguire per gestire Tableau Server e Tableau Cloud, ad esempio configurare le impostazioni del server e del sito, eseguire operazioni dalla riga di comando e altre attività.
Le autorizzazioni vengono gestite in Tableau Server e in Tableau Cloud. Sono determinate da una combinazione tra livello di licenza dell'utente (Tableau Creator, Tableau Explorer, Tableau Viewer), ruolo del sito e autorizzazioni associate a elementi specifici come cartelle di lavoro e origini dati. Il team di progetto deve contribuire a definire il modello delle autorizzazioni. Gli amministratori di Tableau Server e/o dei siti o gli amministratori dei siti di Tableau Cloud assegneranno le regole di autorizzazione ai gruppi e le abbineranno al progetto. Le autorizzazioni personalizzate consentono un livello di dettagli maggiore, dall'accesso a un'origine dati al download dei suoi contenuti, fino ai modi in cui un utente può interagire con i contenuti pubblicati.
L'interfaccia intuitiva di Tableau consente di associare facilmente gli utenti a dei gruppi funzionali, assegnare autorizzazioni ai gruppi e vedere chi ha accesso ai contenuti. Si possono creare dei gruppi a livello locale sul server o importarli da Active Directory e sincronizzarli in base a un programma prestabilito. La visualizzazione delle autorizzazioni aiuta anche i business user a gestire i propri utenti e gruppi. Per ulteriori informazioni, consulta le sezioni Guida introduttiva: Autorizzazioni, Configurare progetti, gruppi e autorizzazioni per il self-service gestito e Informazioni di riferimento sulle autorizzazioni.