Autenticação e autorização
Este conteúdo faz parte do Tableau Blueprint, uma estrutura de maturidade que permite ampliar e melhorar a forma como sua organização usa dados para gerar impacto. Para começar sua jornada, faça nossa avaliação(O link abre em nova janela).
O Tableau fornece recursos abrangentes e uma profunda integração para abordar todos os aspectos da segurança empresarial. Para obter mais informações, consulte Segurança da plataforma do Tableau Server e Lista de verificação do reforço de segurança do Tableau Server (Windows | Linux) ou Segurança do Tableau Cloud na nuvem.
Armazenamento de identidades
Tableau Server requer um armazenamento de identidades (Windows | Linux) para gerenciar informações de usuários e grupos. Existem dois tipos de repositórios de identidades: local (Tableau Server) e externo (Active Directory, LDAP). Ao instalar o Tableau Server, você deve configurar um armazenamento de identidades local ou externo. Para informações sobre opções de configuração para o armazenamento de identidades, consulte Entidade identityStore.
Quando você configura o Tableau Server com um armazenamento de identidades local, todas as informações de usuários e grupos são armazenadas e gerenciadas no Repositório do Tableau Server. No cenário de armazenamento de identidades local, não há fonte externa para usuários e grupos. Observação: alterar o armazenamento de identidades após a instalação do servidor requer uma desinstalação e reinstalação completa.
Quando você configura o Tableau Server com um repositório externo, todas as informações de usuários e grupos são armazenadas e gerenciadas por um serviço de diretório externo. O Tableau Server deve ser sincronizado com o armazenamento de identidades externo, de modo que cópias locais dos usuários e grupos existam no Repositório do Tableau Server, mas o armazenamento de identidades externo é a fonte principal de todos os dados de usuários e grupos. Quando os usuários fazem logon no Tableau Server, suas credenciais são passadas para o diretório externo, que é responsável pela autenticação do usuário (Windows | Linux). O Tableau Server não executa essa autenticação; no entanto, os nomes de usuário do Tableau armazenados no armazenamento de identidades estão associados aos direitos e permissões do Tableau Server. Após a verificação da autenticação, o Tableau Server gerencia o acesso do usuário (autorização) aos recursos do Tableau.
Autenticação
A autenticação verifica a identidade de um usuário. Todos que precisam acessar o Tableau Server ou o Tableau Cloud, seja para gerenciar o servidor ou o site, ou para publicar, navegar ou administrar conteúdo, devem ser representados como usuários no armazenamento de identidades do Tableau Server ou provisionados como usuários do Tableau Cloud. O método de autenticação pode ser executado pelo Tableau Server ou pelo Tableau Cloud (autenticação local) ou a autenticação pode ser executada por um processo externo. No segundo caso, você deve configurar o Tableau Server para protocolos de autenticação externa, como Active Directory, OpenLDAP, SAML ou OpenID, ou configurar o Tableau Cloud para o Google ou SAML.
Autenticação no Tableau Cloud
O Tableau Cloud é compatível com seguintes tipos de autenticação, que podem ser configurados na página Autenticação. Para saber mais, consulte Autenticação do Tableau Cloud.
- Tableau: este é o tipo de autenticação padrão, que está disponível em todos os sites e não exige outras etapas de configuração para adicionar usuários. As credenciais do Tableau são compostas pelo nome de usuário e pela senha, que são armazenados no Tableau Cloud. Os usuários informam suas credenciais diretamente na página de logon do Tableau Cloud.
- Google: se a sua organização usa aplicativos do Google, você pode ativar o logon único (SSO) das contas do Google no Tableau Cloud pelo OpenID Connect. Quando você habilita a autenticação do Google, os usuários são direcionados para a página de logon do Google para inserir as credenciais, que são armazenadas pelo Google.
- SAML: outra maneira de usar o SSO é via SAML. Para fazer isso, você usa um provedor de identidade de terceiros (IdP) e configura o site para estabelecer uma relação de confiança com o IdP. Quando você habilitar o SAML, os usuários serão direcionados para a página de logon do IdP para inserir suas credenciais de SSO já armazenadas no IdP.
Requisito de autenticação multifatorial do Tableau Cloud
Desde 1º de fevereiro de 2022, além do tipo de autenticação configurado para seu site, a autenticação multifatorial (MFA) por meio de seu provedor de identidade de SSO (IdP) é um requisito do Tableau Cloud. Se sua organização não trabalha diretamente com um IdP de SSO, você pode usar o Tableau com autenticação MFA para atender ao requisito de MFA. Para saber mais, confira Sobre a autenticação multifatorial e o Tableau Cloud.
Autenticação no Tableau Server
A tabela abaixo mostra quais métodos de autenticação do Tableau Server são compatíveis com quais armazenamentos de identidades.
Método de autenticação | Autenticação local | AD/LDAP |
---|---|---|
SAML | Sim | Sim |
Kerberos | Não | Sim |
SSL mútuo | Sim | Sim |
OpenID | Sim | Não |
Autenticação confiável | Sim | Sim |
Active Directory e OpenLDAP
Nesse cenário, o Tableau Server deve ser instalado em um domínio no Active Directory. O Tableau Server vai sincronizar os metadados de usuário e grupo do Active Directory com o armazenamento de identidades. Não é necessário adicionar usuários manualmente. No entanto, após os dados serem sincronizados, será necessário atribuir funções no site e no servidor. É possível atribuí-las individualmente ou no nível de grupo. O Tableau Server não sincroniza os dados de volta ao Active Directory. O Tableau Server gerencia o acesso ao conteúdo e ao servidor de acordo com os dados de permissão da função no site armazenados no Repositório.
Se você já estiver usando o Active Directory para gerenciar usuários em sua organização, deverá selecionar a autenticação do Active Directory durante a instalação do Tableau. Por exemplo, ao sincronizar grupos do Active Directory, você pode definir permissões do Tableau de função no site mínima para usuários sincronizados nos grupos. É possível sincronizar grupos específicos do Active Directory ou sincronizar todos. Para mais informações, consulte Sincronizar todos os grupos do Active Directory no servidor. Não deixe de consultar Gerenciamento de usuários em implantações do Active Directory para entender como vários domínios, nomenclaturas de domínio, NetBIOS e formatos de nome de usuário do Active Directory influenciam o gerenciamento de usuários do Tableau.
Você também pode configurar o Tableau Server para usar o LDAP como uma maneira genérica de se comunicar com o armazenamento de identidades. Por exemplo, OpenLDAP é uma da muitas implementações do servidor LDAP com um esquema flexível. O Tableau Server pode ser configurado para consultar o servidor OpenLDAP. Consulte Armazenamento de identidades. A autenticação nesse cenário pode ser fornecida pela solução LDAP nativa ou com uma solução de logon único. O diagrama abaixo mostra o Tableau Server com a autenticação do Active Directory/OpenLDAP.
SAML
SAML (Security Assertion Markup Language) é um padrão XML que permite que domínios seguros da Web troquem dados de autenticação e autorização de usuários. Você pode configurar o Tableau Server e o Tableau Cloud para usar um provedor de identidade externo (IdP) a fim de autenticar usuários pelo SAML 2.0.
O Tableau Server e o Tableau Cloud suportam um SAML iniciado pelo provedor de serviços e iniciado pelo IdP em navegadores e no aplicativo Tableau Mobile. As conexões do Tableau Desktop exigem que a solicitação de SAML seja iniciada pelo provedor de serviço. Nenhuma credencial de usuário é armazenada no Tableau Server ou no Tableau Cloud, e o uso do SAML permite adicionar o Tableau ao ambiente de logon único da sua organização. A autenticação do usuário por meio do SAML não se aplica a permissões e autorizações para conteúdo do Tableau Server ou do Tableau Cloud, como fontes de dados e pastas de trabalho. Ela também não controla o acesso aos dados subjacentes aos quais as pastas de trabalho e as fontes de dados se conectam.
Para o Tableau Server, você pode usar um SAML em todo o servidor ou configurar sites do Tableau Server individualmente. Confira uma visão geral dessas opções:
- Autenticação SAML em todo o servidor. Um único aplicativo SAML IdP gerencia a autenticação para todos os usuários do Tableau Server. Use essa opção se o seu servidor tiver apenas o site Padrão.
Além disso, se você quiser usar o SAML específico de site do Tableau Server, deve configurar o SAML para todo o Tableau Server antes de configurar sites individuais. O SAML no Tableau Server não precisa ser habilitado para um SAML específico de site do Tableau Server, mas deve ser configurado.
- Autenticação local em todo o servidor e autenticação SAML específica de site. Em um ambiente com vários sites, os usuários que não estão habilitados para autenticação SAML no nível do site podem fazer logon ao usar autenticação local.
- Autenticação SAML em todo o servidor e autenticação SAML específica de site. Em um ambiente com vários sites, todos os usuários são autenticados por meio do SAML IdP configurado no nível do site e você especifica um padrão SAML IdP em todo o servidor para os usuários que pertencem a vários sites.
Para mais informações, consulte SAML (Windows | Linux). O diagrama abaixo mostra o Tableau Server com a autenticação do SAML.
Para configurar o SAML para o Tableau Cloud, consulte os seguintes requisitos:
- Requisitos do provedor de identidade (IdP) para a configuração do Tableau
- Notas e requisitos de compatibilidade do SAML
- Usar logon único SAML em aplicativos clientes do Tableau
- Efeitos da alteração do tipo de autenticação no Tableau Bridge
- Requisitos de dados em XML
OBSERVAÇÃO: além desses requisitos, recomendamos que você dedique uma conta de administrador de site do Tableau Cloud que esteja sempre configurada para autenticação Tableau. Caso haja um problema com o SAML ou o IdP, uma conta do TableauID dedicada garante que você tenha sempre acesso ao seu site do Tableau Cloud.
Tickets confiáveis
Se você incorporar exibições do Tableau Server a páginas da Web, todos os visitantes da página deverão ser usuários licenciados no Tableau Server. Quando os usuários visitam a página, eles são solicitados a entrar no Tableau Server antes de poderem ver a exibição. Se você já tem uma maneira de autenticar usuários na página da Web ou em seu aplicativo da Web, pode configurar uma autenticação confiável para contornar esse aviso e evitar que os usuários precisem fazer logon duas vezes.
A autenticação confiável simplesmente significa que você configurou um relacionamento confiável entre o Tableau Server e um ou mais servidores Web. Quando o Tableau Server recebe solicitações desses servidores Web confiáveis, ele supõe que o servidor já foi tratado, independentemente de a autenticação ser necessária.
Se seu servidor Web usar SSPI (Security Support Provider Interface), você não precisará configurar a autenticação confiável. Você pode incorporar visualizações e seus usuários terão acesso seguro a elas desde que sejam usuários licenciados do Tableau Server e membros do seu Active Directory (Windows | Linux). O diagrama abaixo mostra o Tableau Server com autenticação confiável.
SSL mútuo
Usando SSL mútuo, você pode fornecer aos usuários do Tableau Desktop e a outros clientes aprovados do Tableau uma experiência segura e de acesso direto ao Tableau Server. Com SSL mútuo, quando um cliente com um certificado SSL válido se conecta ao Tableau Server, o Tableau Server confirma a existência do certificado do cliente e autentica o usuário, com base no nome do usuário no certificado do cliente. Se o cliente não tiver um certificado SSL válido, o Tableau Server pode recusar a conexão. Você também pode configurar o Tableau Server para retornar à autenticação de nome de usuário/senha se o SSL mútuo falhar.
Autorização
A autorização determina a maneira como os usuários podem acessar o Tableau Server ou o Tableau Cloud após a autenticação ter sido verificada. Para obter mais informações, consulte Governança com o Tableau. A autorização inclui:
- O que os usuários têm permissão para fazer com o conteúdo hospedado no Tableau Server ou no Tableau Cloud, incluindo projetos, sites, pastas de trabalho e exibições.
- O que os usuários podem fazer com as fontes de dados gerenciadas pelo Tableau Server ou pelo Tableau Cloud.
- Quais tarefas os usuários têm permissão para executar a fim de administrar o Tableau Server ou o Tableau Cloud, como definir configurações do servidor e de sites, executar ferramentas de linha de comando, entre outras.
A autorização é gerenciada no Tableau Server e no Tableau Cloud É determinada por uma combinação do nível de licença do usuário (Tableau Creator, Tableau Explorer, Tableau Viewer), da função no site e das permissões associadas a entidades específicas, como pastas de trabalho e fontes de dados. A equipe de projeto deve trabalhar em conjunto para definir o modelo de permissões. Os administradores de site ou do Tableau Server e/ou os administradores de site do Tableau Cloud atribuirão regras de permissão a grupos, limitando-as ao projeto. As permissões personalizadas oferecem um controle mais minucioso das permissões. Por exemplo, elas permitem definir se um usuário pode acessar ou baixar determinada fonte de dados, como ele pode interagir com o conteúdo publicado, entre outras opções.
Com a interface intuitiva do Tableau, é fácil associar usuários a grupos funcionais, atribuir permissões aos grupos e ver quem tem acesso a qual conteúdo. Você pode criar grupos localmente no servidor ou importá-los do Active Directory e sincronizá-los de forma programada. A exibição de permissões também ajuda os usuários corporativos a gerenciar seus próprios usuários e grupos. Para mais informações, consulte Início rápido: Permissões, Configurar projetos, grupos e permissões para o serviço de autoatendimento gerenciado, e Referência de permissões.