Verificatie en autorisatie
Deze inhoud is onderdeel van Tableau Blueprint, een volwassenheidsframework waarmee u kunt inzoomen op en verbeteren hoe uw organisatie data gebruikt om impact te bevorderen. Om het traject te beginnen, voert u onze beoordeling(Link wordt in een nieuw venster geopend) uit.
Tableau biedt uitgebreide functies en diepgaande integraties om alle aspecten van bedrijfsbeveiliging aan te pakken. Zie Beveiliging van Tableau Server-platform en de Tableau Server-checklist voor versterking van de beveiliging (Windows | Linux) of Beveiliging Tableau Cloud in de cloud voor meer informatie.
Identiteitenarchief
Voor Tableau Server is een identiteitenarchief vereist (Windows | Linux) om gebruikers- en groepsinformatie te beheren. Er zijn twee soorten identiteitenarchieven: lokaal (Tableau Server) en extern (Active Directory, LDAP). Wanneer u Tableau Server installeert, moet u een lokaal identiteitenarchief of een extern identiteitenarchief configureren. Zie voor informatie over configuratieopties voor het identiteitenarchief identityStore-entiteit.
Wanneer u Tableau Server configureert met een lokaal identiteitenarchief, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd in de Tableau Server-opslagplaats. In het geval van een lokaal identiteitenarchief is er geen externe bron voor gebruikers en groepen. Opmerking: Voor het wijzigen van het identiteitenarchief na de serverinstallatie is een verwijderen en opnieuw installeren vereist.
Wanneer u Tableau Server configureert met een externe opslag, wordt alle gebruikers- en groepsinformatie opgeslagen en beheerd door een externe directoryservice. Tableau Server moet synchroniseren met het externe identiteitenarchief, zodat er lokale kopieën van de gebruikers en groepen bestaan in de Tableau Server-opslagplaats, maar het externe identiteitenarchief is de hoofdbron voor alle gebruikers- en groepsdata. Wanneer gebruikers zich aanmelden bij Tableau Server, worden hun inloggegevens doorgegeven aan de externe directory, die verantwoordelijk is voor de verificatie van de gebruiker (Windows | Linux). Tableau Server voert deze verificatie niet uit. De Tableau-gebruikersnamen die in het identiteitenarchief zijn opgeslagen, zijn echter wel gekoppeld aan rechten en machtigingen voor Tableau Server. Nadat de verificatie is gecontroleerd, beheert Tableau Server de gebruikerstoegang (autorisatie) voor Tableau-resources.
Verificatie
Met verificatie wordt de identiteit van een gebruiker gecontroleerd. Iedereen die toegang nodig heeft tot Tableau Server of Tableau Cloud (of het nu gaat om het beheren van de server of site, of om inhoud te publiceren, doorbladeren of beheren) moet als gebruiker worden weergegeven in het Tableau Server-identiteitenarchief of worden ingesteld als een Tableau Cloud-gebruiker. De verificatiemethode kan worden uitgevoerd door Tableau Server of Tableau Cloud (lokale verificatie), of de verificatie kan worden uitgevoerd door een extern proces. In het laatste geval moet u Tableau Server configureren voor externe verificatieprotocollen zoals Active Directory, OpenLDAP, SAML of OpenID of Tableau Cloud configureren voor Google of SAML.
Verificatie in Tableau Cloud
Tableau Cloud ondersteunt de volgende verificatietypen, die u kunt configureren op de pagina Verificatie. Zie Tableau Cloud-verificatie voor meer informatie.
- Tableau: dit is het standaardverificatietype dat op alle sites beschikbaar is en waarvoor geen extra configuratiestappen nodig zijn voordat u gebruikers toevoegt. Tableau-inloggegevens bestaan uit een gebruikersnaam en wachtwoord, die worden opgeslagen bij Tableau Cloud. Gebruikers voeren hun inloggegevens rechtstreeks in op de aanmeldingspagina van Tableau Cloud.
- Google: Als uw organisatie Google-toepassingen gebruikt, kunt u Tableau Cloud inschakelen om Google-accounts te gebruiken voor eenmalige aanmelding (SSO) via OpenID Connect. Wanneer u Google-verificatie inschakelt, worden gebruikers doorgestuurd naar de aanmeldingspagina van Google om hun inloggegevens in te voeren, die door Google worden opgeslagen.
- SAML: Een andere manier om SSO te gebruiken is via SAML. Om dit te doen, gebruikt u een externe identiteitsprovider (IdP) en configureert u de site om een vertrouwensrelatie met de IdP tot stand te brengen. Wanneer u SAML inschakelt, worden gebruikers doorgestuurd naar de aanmeldingspagina van de IdP, waar ze hun SSO-inloggegevens invoeren, die al bij de IdP zijn opgeslagen.
Vereiste voor meervoudige verificatie voor Tableau Cloud
Naast het verificatietype dat u voor uw site configureert, is meervoudige verificatie (MFA) via de SSO-identiteitsprovider (IdP) vanaf 1 februari 2022 een vereiste voor Tableau Cloud. Als uw organisatie niet rechtstreeks met een SSO IdP werkt, kunt u Tableau met MFA-verificatie gebruiken om aan de MFA-vereiste te voldoen. Zie Over meervoudige verificatie en Tableau Cloud voor meer informatie.
Verificatie in Tableau Server
In de onderstaande tabel ziet u welke verificatiemethoden van Tableau Server compatibel zijn met welke identiteitenarchieven.
Verificatiemethode | Lokale verificatie | AD/LDAP |
|---|---|---|
SAML | Ja | Ja |
Kerberos | Nee | Ja |
Wederzijdse SSL | Ja | Ja |
OpenID | Ja | Nee |
Vertrouwde verificatie | Ja | Ja |
Active Directory en OpenLDAP
In dit scenario moet Tableau Server worden geïnstalleerd in een domein in Active Directory. Tableau Server synchroniseert metadata van gebruikers en groepen uit Active Directory naar het identiteitenarchief. U hoeft gebruikers niet handmatig toe te voegen. Nadat de data zijn gesynchroniseerd, moet u echter wel de site- en serverrollen toewijzen. Deze kunt u individueel of op groepsniveau toewijzen. Tableau Server synchroniseert geen data terug naar Active Directory. Tableau Server beheert inhoud- en servertoegang op basis van de siterolmachtigingsdata die worden opgeslagen in de opslagplaats.
Als u Active Directory al gebruikt om gebruikers in uw organisatie te beheren, moet u Active Directory-verificatie selecteren tijdens de configuratie van Tableau. Door bijvoorbeeld Active Directory-groepen te synchroniseren, kunt u Tableau-machtigingen voor de minimale siterol instellen voor gebruikers die in de groepen worden gesynchroniseerd. U kunt specifieke Active Directory-groepen synchroniseren, of u kunt ze allemaal synchroniseren. Zie Alle Active Directory-groepen op de server synchroniseren voor meer informatie. Zorg ervoor dat u Gebruikersbeheer in Active Directory-implementaties raadpleegt, om te lezen hoe meerdere domeinen, domeinnamen, NetBIOS en Active Directory-gebruikersnaamnotatie het gebruikersbeheer van Tableau beïnvloeden.
U kunt Tableau Server ook configureren om LDAP te gebruiken als een algemene manier om met het identiteitenarchief te communiceren. OpenLDAP is bijvoorbeeld een van de vele LDAP-serverimplementaties met een flexibel schema. Tableau Server kan worden geconfigureerd om aanvragen te doen bij de OpenLDAP-server. Zie Identiteitenarchief. Verificatie kan in dit scenario worden gedaan door de systeemeigen LDAP-oplossing of met een eenmalige aanmeldingsoplossing. In het onderstaande diagram wordt Tableau Server met Active Directory/OpenLDAP-verificatie weergegeven.
SAML
SAML (Security Assertion Markup Language) is een XML-standaard waarmee beveiligde webdomeinen gebruikersverificatie- en autorisatiedata kunnen uitwisselen. U kunt Tableau Server en Tableau Cloud configureren om een externe identiteitsprovider (IdP) te gebruiken om gebruikers te verifiëren via SAML 2.0.
Tableau Server en Tableau Cloud ondersteunen zowel door de serviceprovider geïnitieerde als door IdP geïnitieerde SAML in browsers en in de Tableau Mobile app. Voor verbindingen vanuit Tableau Desktop is het vereist dat het SAML-verzoek door de serviceprovider wordt geïnitieerd. Er worden geen gebruikersdata opgeslagen bij Tableau Server of Tableau Cloud, en door SAML te gebruiken kunt u Tableau toevoegen aan de omgeving voor eenmalige aanmelding van de organisatie. Gebruikersverificatie via SAML is niet van toepassing op machtigingen en autorisatie voor Tableau Server- of Tableau Cloud-inhoud, zoals databronnen en werkmappen. Het beheert ook niet de toegang tot onderliggende data waarmee werkmappen en databronnen verbinding maken.
Voor Tableau Server kunt u SAML serverbreed gebruiken, of u kunt Tableau Server-sites afzonderlijk configureren. Hier is een overzicht van die opties:
- Serverbrede SAML-verificatie. Eén SAML IdP-toepassing voert de verificatie voor alle Tableau Server-gebruikers uit. Gebruik deze optie als uw server alleen de standaardsite heeft.
Als u daarnaast sitespecifieke SAML van Tableau Server wilt gebruiken, moet u Tableau Server-brede SAML configureren voordat u afzonderlijke sites configureert. SAML aan de Tableau Server-zijde hoeft niet te zijn ingeschakeld om de sitespecifieke SAML van Tableau Server te laten functioneren, maar moet wel worden geconfigureerd.
- Serverbrede lokale verificatie en sitespecifieke SAML-verificatie. In een omgeving met meerdere sites kunnen gebruikers voor wie SAML-verificatie op siteniveau niet is ingeschakeld, aanmelden met lokale verificatie.
- Serverbrede SAML-verificatie en sitespecifieke SAML-verificatie. In een omgeving met meerdere sites verifiëren alle gebruikers zich via een SAML IdP die is geconfigureerd op siteniveau. U specificeert een serverbrede standaard SAML IdP voor gebruikers die tot meerdere sites behoren.
Zie SAML (Windows | Linux) voor meer informatie. In het onderstaande diagram wordt Tableau Server met SAML-verificatie weergegeven.
Raadpleeg de volgende vereisten om SAM voor Tableau Cloud te configureren:
- Vereisten voor identiteitsproviders (IdP) voor Tableau-configuratie
- Opmerkingen en vereisten over SAML-compatibiliteit
- SAML SSO gebruiken in Tableau-clienttoepassingen
- Effecten op Tableau Bridge van het wijzigen van het verificatietype
- XML-datavereisten
OPMERKING: Naast deze vereisten raden we u aan een sitebeheerdersaccount voor Tableau Cloud toe te wijzen dat altijd is geconfigureerd voor Tableau-verificatie. In het geval van een probleem met SAML of de IdP zorgt een speciaal TableauID-account ervoor dat u altijd toegang hebt tot de Tableau Cloud-site.
Vertrouwde tickets
Als u Tableau Server-weergaven in webpagina's insluit, moet iedereen die de pagina bezoekt een gelicentieerde gebruiker van Tableau Server zijn. Wanneer gebruikers de pagina bezoeken, wordt hen gevraagd zich aan te melden bij Tableau Server voordat ze de weergave kunnen zien. Als u al over een manier beschikt om gebruikers op de webpagina of binnen uw webtoepassing te verifiëren, kunt u deze prompt vermijden en voorkomen dat uw gebruikers zich tweemaal moeten aanmelden door vertrouwde verificatie in te stellen.
Vertrouwde verificatie betekent simpelweg dat u een vertrouwde relatie hebt opgezet tussen Tableau Server en een of meer webservers. Wanneer Tableau Server verzoeken ontvangt van deze vertrouwde webservers, gaat het ervan uit dat uw webserver de noodzakelijke verificatie heeft afgehandeld.
Als uw webserver SSPI (Security Support Provider Interface) gebruikt, hoeft u geen vertrouwde verificatie in te stellen. U kunt weergaven insluiten waar uw gebruikers veilig toegang tot hebben, zolang ze gelicentieerde Tableau Server-gebruikers zijn en lid zijn van uw Active Directory (Windows | Linux). In het onderstaande diagram wordt Tableau Server met vertrouwde tickets weergegeven.
Wederzijdse SSL
Door wederzijdse SSL te gebruiken, kunt u gebruikers van Tableau Desktop en andere goedgekeurde Tableau-clients een veilige ervaring met directe toegang tot Tableau Server bieden. Met wederzijdse SSL bevestigt Tableau Server, wanneer een client met een geldig SSL-certificaat verbinding maakt met Tableau Server, het bestaan van het clientcertificaat en verifieert de gebruiker op basis van de gebruikersnaam in het clientcertificaat. Als de client niet over een geldig SSL-certificaat beschikt, kan Tableau Server de verbinding weigeren. U kunt Tableau Server ook configureren om terug te vallen op gebruikersnaam-/wachtwoordverificatie als wederzijdse SSL mislukt.
Autorisatie
Autorisatie heeft betrekking op hoe en waartoe gebruikers toegang hebben op Tableau Server of Tableau Cloud nadat de verificatie is gecontroleerd. Zie Governance in Tableau voor meer informatie. Autorisatie omvat:
- Wat gebruikers mogen doen met inhoud die wordt gehost op Tableau Server of Tableau Cloud, inclusief projecten, sites, werkmappen en weergaven.
- Wat gebruikers mogen doen met de databronnen die worden beheerd door Tableau Server of Tableau Cloud.
- Welke taken gebruikers mogen uitvoeren om Tableau Server of Tableau Cloud te beheren, zoals het configureren van server- of site-instellingen, het uitvoeren van opdrachtregelprogramma's en andere taken.
Autorisatie wordt beheerd binnen Tableau Server en Tableau Cloud. Dit wordt bepaald door een combinatie van het licentieniveau van de gebruiker (Tableau Creator, Tableau Explorer, Tableau Viewer), de siterol en machtigingen die zijn gekoppeld aan specifieke entiteiten zoals werkmappen en databronnen. Het projectteam moet samenwerken om het machtigingsmodel te definiëren. Tableau Server- en/of sitebeheerders of de Tableau Cloud-sitebeheerder wijzen machtigingsregels toe aan groepen en vergrendelen deze aan het project. Aangepaste machtigingen zorgen voor meer granulariteit in machtigingen, van het openen of downloaden van een databron tot de manier waarop een gebruiker omgaat met gepubliceerde inhoud.
De intuïtieve interface van Tableau maakt het eenvoudig om gebruikers aan functionele groepen te koppelen, machtigingen aan de groepen toe te wijzen en te zien wie toegang heeft tot welke inhoud. U kunt groepen lokaal op de server aanmaken of vanuit Active Directory importeren en volgens een vast schema synchroniseren. Met de machtigingsweergave kunnen zakelijke gebruikers ook hun eigen gebruikers en groepen beheren. Zie Snelle start: Machtigingen instellen, Projecten, groepen en machtigingen configureren voor beheerde selfservice en Machtigingenreferentie voor meer informatie.