Autenticazione e autorizzazione
Questo contenuto fa parte di Tableau Blueprint, un framework di valutazione della maturità che ti consente di approfondire e migliorare l’utilizzo dei dati nella tua organizzazione per aumentarne un impatto. Per iniziare il tuo percorso, esegui la valutazione(Il collegamento viene aperto in una nuova finestra).
Tableau offre funzionalità e integrazione complete per gestire tutti gli aspetti della sicurezza aziendale. Per ulteriori informazioni, consulta le sezioni Sicurezza della piattaforma Tableau Server e Checklist per il miglioramento della sicurezza di Tableau Server (Windows | Linux) o Sicurezza di Tableau Cloud nel cloud.
Archivio identità
Tableau Server utilizza un archivio identità (Windows | Linux) per gestire le informazioni sugli utenti e sui gruppi. Esistono due tipi di archivi di identità: locale (Tableau Server) ed esterno (Active Directory, LDAP). Quando installi Tableau Server, devi configurare un archivio identità locale oppure esterno. Per informazioni sulle opzioni di configurazione dell’archivio identità, consulta la sezione Entità identityStore.
Se configuri Tableau Server con un archivio identità locale, tutte le informazioni sugli utenti e sui gruppi vengono archiviate e gestite nel repository di Tableau Server. Nel caso di un archivio identità locale, non esistono origini esterne per gli utenti e i gruppi. Nota: per modificare l’archivio identità dopo l’installazione del server è necessaria la disinstallazione completa seguita dalla reinstallazione.
Quando configuri Tableau Server con un archivio esterno, tutte le informazioni sull’utente e sul gruppo vengono memorizzate e gestite da un servizio di directory esterno. Tableau Server deve sincronizzarsi con l’archivio identità esterno per avere copie locali degli utenti e dei gruppi nel repository di Tableau Server, ma l’archivio esterno è l’origine principale di tutti i dati degli utenti e dei gruppi. Quando gli utenti accedono a Tableau Server, le loro credenziali vengono trasferite alla directory esterna, che si occupa dell’autenticazione (Windows | Linux). Tableau Server non esegue questa autenticazione, ma i nomi degli utenti di Tableau archiviati nell’archivio identità sono associati ai diritti e alle autorizzazioni per Tableau Server. Dopo aver verificato l’autenticazione, Tableau Server gestisce l’accesso degli utenti, ovvero l’autorizzazione, per le risorse di Tableau.
Autenticazione
L’autenticazione consente di verificare l’identità di un utente. Chiunque voglia accedere a Tableau Server o a Tableau Cloud (per gestire il server o il sito, per pubblicare, sfogliare o amministrare i contenuti) deve essere registrato come utente nell’archivio identità di Tableau Server o avere diritti di accesso come utente di Tableau Cloud. L’autenticazione può essere controllata da Tableau Server o da Tableau Cloud (autenticazione locale) oppure da un processo esterno. Nel secondo caso occorre configurare Tableau Server per protocolli di autenticazione esterni come Active Directory, OpenLDAP, SAML o OpenID, oppure si dovrà configurare Tableau Cloud per Google o SAML.
Autenticazione in Tableau Cloud
Tableau Cloud supporta i seguenti tipi di autenticazione, configurabili nella pagina Autenticazione. Per ulteriori informazioni, consulta la sezione dedicata all’autenticazione in Tableau Cloud.
- Tableau: questo è il tipo di autenticazione predefinito, disponibile in tutti i siti che non richiedono ulteriori passaggi di configurazione prima che tu aggiunga utenti. Le credenziali di Tableau sono costituite da nome utente e password, che sono archiviate in Tableau Cloud. Gli utenti inseriscono le proprie credenziali direttamente nella pagina di accesso a Tableau Cloud.
- Google: se la tua organizzazione usa applicazioni di Google, puoi abilitare in Tableau Cloud l’uso degli account Google per l’autenticazione Single Sign-On (SSO) tramite OpenID Connect. Quando abiliti l’autenticazione Google, gli utenti vengono indirizzati alla pagina di accesso Google per immettere le proprie credenziali, memorizzate da Google.
- SAML: un altro modo per utilizzare SSO è tramite SAML. In questo caso, si ricorre a un provider di identità (IdP) di terze parti e si configura il sito in modo da stabilire una relazione affidabile con l’IdP. Abilitando l’autenticazione SAML, gli utenti vengono indirizzati alla pagina di accesso dell’IdP dove inseriranno le proprie credenziali SSO, già archiviate presso l’IdP.
Autenticazione a più fattori necessaria in Tableau Cloud
In aggiunta al tipo di autenticazione che configuri per il tuo sito, dal 1° febbraio 2022 Tableau Cloud richiede l’autenticazione a più fattori (MFA) tramite il tuo provider di identità (IdP) SSO. Se la tua organizzazione non lavora direttamente con un IdP SSO, puoi utilizzare Tableau con l’autenticazione MFA per soddisfare il requisito relativo a MFA. Per ulteriori informazioni, consulta la sezione Informazioni sull’autenticazione a più fattori e Tableau Cloud.
Autenticazione in Tableau Server
La seguente tabella mostra i metodi di autenticazione per Tableau Server compatibili con i diversi archivi di identità.
Metodo di autenticazione | Autenticazione locale | AD/LDAP |
|---|---|---|
SAML | Sì | Sì |
Kerberos | No | Sì |
Autenticazione SSL reciproca | Sì | Sì |
OpenID | Sì | No |
Autenticazione attendibile | Sì | Sì |
Active Directory e OpenLDAP
In questo caso Tableau Server deve essere installato in un dominio di Active Directory. Tableau Server sincronizzerà i metadati degli utenti e dei gruppi tra Active Directory e l’archivio identità. Non è necessario aggiungere gli utenti manualmente. Dopo aver sincronizzato i dati si devono però assegnare i ruoli per il sito e il server. Si possono assegnare singolarmente o per ogni gruppo. Tableau Server non sincronizza i dati con Active Directory. Tableau Server gestisce l’accesso ai contenuti e al server in base ai dati di autorizzazione per il ruolo sul sito archiviati nel repository.
Se utilizzi già Active Directory per gestire gli utenti nella tua organizzazione, dovrai selezionare l’autenticazione con Active Directory durante l’installazione di Tableau. Ad esempio, sincronizzando i gruppi di Active Directory si possono configurare le autorizzazioni minime di Tableau per i ruoli sul sito, per gli utenti sincronizzati nei gruppi. Puoi sincronizzare determinati gruppi di Active Directory o sincronizzarli tutti. Per ulteriori informazioni, consulta la sezione Sincronizzare tutti i gruppi di Active Directory sul server. Leggi la sezione Gestione degli utenti nelle distribuzioni di Active Directory per capire come domini multipli, denominazione dei domini, NetBIOS e formato dei nomi utente in Active Directory influiscono sulla gestione degli utenti di Tableau.
Puoi anche configurare Tableau Server per utilizzare LDAP come modalità generica per comunicare con l’archivio identità. Ad esempio, OpenLDAP è una delle numerose implementazioni server LDAP con uno schema flessibile. È possibile configurare Tableau Server per eseguire query sul server OpenLDAP. Consulta la sezione Archivio identità. In questa situazione l’autenticazione potrebbe essere gestita dalla soluzione LDAP nativa oppure tramite una soluzione Single Sign-On. Lo schema qui sotto mostra Tableau Server con autenticazione tramite Active Directory/OpenLDAP.
SAML
SAML (Security Assertion Markup Language) è uno standard XML che consente ai domini Web sicuri di scambiare dati per l’autenticazione e l’autorizzazione degli utenti. Puoi configurare Tableau Server e Tableau Cloud affinché utilizzino un identity provider (IdP) esterno per autenticare gli utenti tramite SAML 2.0.
Tableau Server e Tableau Cloud supportano richieste SAML inoltrate dal provider di servizi e dall’IdP nei browser e nell’app Tableau Mobile. Per le connessioni tramite Tableau Desktop invece la richiesta SAML deve essere inoltrata dal provider di servizi. Le credenziali dell’utente non vengono archiviate in Tableau Server né in Tableau Cloud e utilizzando il protocollo SAML si può aggiungere Tableau all’ambiente Single Sign-On dell’organizzazione. L’autenticazione tramite SAML non riguarda le autorizzazioni e l’autorizzazione per i contenuti di Tableau Server o per Tableau Cloud, come le origini dati e le cartelle di lavoro. Inoltre non consente di controllare l’accesso ai dati sottostanti ai quali si collegano le cartelle di lavoro e le origini dati.
Per Tableau Server puoi utilizzare SAML a livello di server o configurare i siti di Tableau Server singolarmente. Ecco una panoramica di queste opzioni:
- Autenticazione SAML a livello di server. Una sola applicazione IdP SAML gestisce l’autenticazione per tutti gli utenti di Tableau Server. Utilizza questa opzione se il server ha solo il sito predefinito.
Inoltre, se preferisci usare lo standard SAML specifico per il sito di Tableau Server, dovrai configurare SAML a livello di Tableau Server prima di configurare i singoli siti. Non è necessario abilitare il protocollo SAML su Tableau Server per usare SAML in modo specifico per Tableau Server, ma è necessario configurarlo.
- Autenticazione locale a livello di server e autenticazione SAML specifica per il sito. In un ambiente multi-sito gli utenti che non sono abilitati all’autenticazione SAML a livello del sito possono accedere utilizzando l’autenticazione locale.
- Autenticazione SAML a livello di server e autenticazione SAML specifica per il sito. In un ambiente multi-sito tutti gli utenti si autenticano tramite un IdP protocollo SAML configurato a livello di sito; tu specifichi un IdP protocollo SAML predefinito per tutto il server per gli utenti che appartengono a più siti.
Per ulteriori informazioni, consulta la sezione SAML (Windows | Linux). Lo schema qui sotto mostra Tableau Server con autenticazione tramite SAML.
Per configurare SAML per Tableau Cloud, controlla i seguenti requisiti:
- Requisiti dell’identity provider (IdP) per la configurazione di Tableau
- Note di compatibilità e requisiti di SAML
- Utilizzare SSO SAML in applicazioni client Tableau
- Effetti su Tableau Bridge della modifica del tipo di autenticazione
- Requisiti per i dati XML
NOTA: oltre a questi requisiti, consigliamo di avere uno specifico account di amministratore del sito di Tableau Cloud sempre configurato per l’autenticazione in Tableau. In caso di problemi con SAML o con l’IdP, un account TableauID dedicato ti garantisce di poter sempre accedere al tuo sito di Tableau Cloud.
Ticket attendibili
Se incorpori le viste di Tableau Server nelle pagine Web, tutti coloro che visitano la pagina devono essere utenti provvisti di licenza per Tableau Server. Quando visitano la pagina, agli utenti viene chiesto di accedere a Tableau Server prima di poter accedere alla vista. Se disponi già di un modo per autenticare gli utenti nella pagina Web o all’interno dell’applicazione Web, puoi evitare questo prompt consentendo agli utenti di non dover effettuare l’accesso due volte impostando l’autenticazione attendibile.
L’autenticazione attendibile significa semplicemente che è stata impostata una relazione di trust tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste provenienti da questi server Web attendibile, presuppone che il server Web abbia gestito l’autenticazione necessaria.
Se il server Web utilizza SSPI (Security Support Provider Interface), non è necessario configurare l’autenticazione attendibile. Puoi incorporare le viste e i tuoi utenti vi accederanno direttamente in modo sicuro, purché siano provvisti di licenza per Tableau Server e siano membri della tua Active Directory (Windows | Linux). Lo schema qui sotto mostra Tableau Server con autenticazione affidabile.
Autenticazione SSL reciproca
Con l’autenticazione SSL reciproca puoi offrire agli utenti di Tableau Desktop e di altri client Tableau approvati un’esperienza di accesso diretto e sicuro a Tableau Server. Con l’autenticazione SSL reciproca, quando un client provvisto di certificato SSL valido si connette a Tableau Server, quest’ultimo conferma l’esistenza del certificato e autentica l’utente in base al nome utente specificato nel certificato del client. Se il client non dispone di un certificato SSL valido, Tableau Server può rifiutare la connessione. Puoi anche configurare Tableau Server in modo che passi all’autenticazione con nome utente e password, se quella con SSL reciproco non ha esito positivo.
Autorizzazione
Le autorizzazioni stabiliscono i modi con cui gli utenti possono accedere a Tableau Server e a Tableau Cloud e i contenuti ai quali hanno accesso, dopo la verifica dell’autenticazione. Per maggiori informazioni, consulta Governance in Tableau. L’autorizzazione include:
- Quello che gli utenti possono fare con i contenuti in hosting su Tableau Server o su Tableau Cloud, come i progetti, i siti, le cartelle di lavoro e le viste.
- Quello che gli utenti possono fare con le origini dati gestite da Tableau Server o da Tableau Cloud.
- Le attività che gli utenti possono eseguire per gestire Tableau Server e Tableau Cloud, ad esempio configurare le impostazioni del server e del sito, eseguire operazioni dalla riga di comando e altre attività.
Le autorizzazioni vengono gestite in Tableau Server e in Tableau Cloud. Sono determinate da una combinazione tra livello di licenza dell’utente (Tableau Creator, Tableau Explorer, Tableau Viewer), ruolo sul sito e autorizzazioni associate a elementi specifici come cartelle di lavoro e origini dati. Il team di progetto deve contribuire a definire il modello delle autorizzazioni. Gli amministratori di Tableau Server e/o dei siti o gli amministratori del sito Tableau Cloud assegneranno le regole di autorizzazione ai gruppi e le abbineranno al progetto. Le autorizzazioni personalizzate consentono una maggiore granularità, dall’accesso a un’origine dati al download dei suoi contenuti, fino ai modi in cui un utente può interagire con i contenuti pubblicati.
L’interfaccia intuitiva di Tableau consente di associare facilmente gli utenti a dei gruppi funzionali, assegnare autorizzazioni ai gruppi e vedere chi ha accesso ai contenuti. Si possono creare dei gruppi a livello locale sul server o importarli da Active Directory e sincronizzarli in base a un programma prestabilito. La vista delle autorizzazioni aiuta anche i business user a gestire i propri utenti e gruppi. Per ulteriori informazioni, consulta le sezioni Guida introduttiva: Autorizzazioni, Configurare progetti, gruppi e autorizzazioni per il self-service gestito e Informazioni di riferimento sulle autorizzazioni.