Autentisering och auktorisering
Det här innehållet är en del av Tableau Blueprint – ett ramverk med vilket ni kan zooma in och förbättra hur organisationen använder data för att få större genomslag. Sätt igång genom att göra vår utvärdering(Länken öppnas i ett nytt fönster).
Tableau har heltäckande funktioner och djupgående integration som klarar alla aspekter av företagssäkerhet. Mer information finns i Plattformssäkerhet i Tableau Server och Checklista för säkerhetsförbättringar i Tableau Server (Windows | Linux) eller Säkerhet i molnet i Tableau Cloud.
Identitetsregister
Tableau Server behöver ett identitetsregister (Windows | Linux) för att hantera användar- och gruppinformation. Det finns två typer av identitetsregister: lokala (Tableau Server) och externa (Active Directory, LDAP). När du installerar Tableau Server måste du konfigurera antingen ett lokalt eller ett externt identitetsregister. Information om konfigurationsalternativ för identitetsregister finns i identityStore-entiteten.
När du konfigurerar Tableau Server med ett lokalt identitetsregister lagras och hanteras all användar- och gruppinformation i Tableau Servers lagringsplats. I scenariot med lokalt identitetsregister finns det ingen extern källa för användare och grupper. Obs! En komplett avinstallation och ominstallation krävs för att ändra identitetsregistret efter installation av servern.
När du konfigurerar Tableau Server med ett externt register lagras och hanteras all användar- och gruppinformation av en extern katalogtjänst. Tableau Server måste synkronisera med externa identitetsregister så att det finna lokala kopior av användare och grupper i Tableau Servers lagringsplats, dock är det externa identitetsregistret den primära källan för alla användar- och gruppdata. När användare loggar in på Tableau Server skickas inloggningsuppgifterna till den externa katalogen som ansvarar för att autentisera användaren (Windows | Linux). Tableau Server genomför inte autentiseringen men användarnamn för Tableau som är sparade i identitetsregistret associeras med rättigheter och behörigheter för Tableau Server. När autentiseringen är verifierad hanterar Tableau Server användaråtkomst (auktorisering) för Tableau-resurser.
Autentisering
Autentisering verifierar en användares identitet. Alla som behöver åtkomst till Tableau Server eller Tableau Cloud måste vara registrerade som användare i Tableau Server identitetsregister eller vara provisionerad som Tableau Cloud-användare, vare sig det är för att hantera server eller webbplats, eller för att publicera, bläddra eller administrera innehåll. Autentiseringsmetoden kan utföras av Tableau Server eller Tableau Cloud (lokal autentisering) eller genom en extern process. I det senare fallet måste Tableau Server konfigureras för externa autentiseringsprotokoll som Active Directory, OpenLDAP, SAML eller OpenID, eller Tableau Cloud konfigureras för Google eller SAML.
Autentisering i Tableau Cloud
Tableau Cloud har stöd för följande autentiseringstyper som du kan konfigurera på sidan Authentication (Autentisering). Mer information finns i Autentisering för Tableau Cloud.
- Tableau: Detta är standardtypen av autentisering som finns på alla webbplatser och inte kräver några ytterligare konfigurationssteg innan du kan lägga till användare. Inloggningsuppgifter för Tableau består av användarnamn och lösenord som sparas i Tableau Cloud. Användarna anger sina inloggningsuppgifter på inloggningssidan för Tableau Cloud.
- Google: Om din organisation använder Google-program kan du låta Tableau Cloud använda Google-konton för enkel inloggning (SSO) via OpenID Connect. När du aktiverar Google-autentisering skickas användarna till Googles inloggningssida för att ange sina inloggningsuppgifter, som lagras av Google.
- SAML: Ett annat sätt att använda enkel inloggning är via SAML. Då använder du en tredjeparts identitetsleverantör (IdP) och konfigurerar webbplatsen så att en betrodd relation upprättas med denna IdP. När du aktiverar SAML dirigeras användarna till inloggningssidan hos denna IdP och där anger de dina inloggningsuppgifter för enkel inloggning som redan finns sparade hos denna IdP.
Krav på flerfaktorsautentisering i Tableau Cloud
Förutom den autentiseringstyp som du konfigurerar för din webbplats är flerfaktorsautentisering (MFA) via din SSO-identitetsleverantör (IdP) ett krav för Tableau Cloud från och med den 1 februari 2022. Om din organisation inte arbetar direkt med en SSO IdP kan du använda Tableau med MFA-autentisering för att uppfylla MFA-kravet. Se Om flerfaktorsautentisering och Tableau Cloud för mer information.
Autentisering i Tableau Server
Tabellen nedan visar vilka autentiseringsmetoder för Tableau Server som är kompatibla med vilka identitetsregister.
Autentiseringsmetod | Lokal autentisering | AD/LDAP |
|---|---|---|
SAML | Ja | Ja |
Kerberos | Nej | Ja |
Ömsesidig SSL | Ja | Ja |
OpenID | Ja | Nej |
Betrodd autentisering | Ja | Ja |
Active Directory och OpenLDAP
I detta scenario måste Tableau Server vara installerat i en domän i Active Directory. Tableau Server synkar metadata för användare och grupper från Active Directory till identitetsregistret. Du behöver inte lägga till användare manuellt. Men när data har synkroniserats måste du tilldela roller för webbplatser och servrar. Du kan tilldela dessa separat eller på gruppnivå. Tableau Server synkroniserar inga data tillbaka till Active Directory. Tableau Server hanterar åtkomst till innehåll och server enligt behörigheterna för webbplatsrollen som är sparad i lagringsplatsen.
Om du redan använder Active Directory för att hantera användare i din organisation måste du välja Active Directory-autentisering när Tableau konfigureras. Genom att synkronisera Active Directory-grupper kan du exempelvis ställa in Tableau-behörigheten till lägsta webbplatsrollen för användare som synkroniseras i grupperna. Du kan synkronisera specifika Active Directory-grupper eller synkronisera alla. Mer information finns i Synkronisera alla Active Directory-grupper på servern. Se till att läsa Användarhantering i Active Directory-driftsättningar för att förstå hur användarnamnformatet för flera domäner, domännamngivning, NetBIOS och Active Directory påverkar Tableau-användarhanteringen.
Du kan även konfigurera Tableau Server att använda LDAP som ett generiskt sätt att kommunicera med identitetsregistret. Till exempel är OpenLDAP en av flera LDAP-serverimplementationer med ett flexibelt schema. Tableau Server kan konfigureras för att fråga OpenLDAP-servern. Se Identitetsregister. I det här scenariot kan autentisering göras av den inbyggda LDAP-lösningen eller med en lösning för enkel inloggning (SSO). Bilden nedan visar Tableau Server med Active Directory-/OpenLDAP-autentisering.
SAML
SAML (Security Assertion Markup Language) är en XML-standard som gör det möjligt för säkra webbdomäner att utbyta användarautentiserings- och auktoriseringsdata. Du kan konfigurera Tableau Server och Tableau Cloud att använda en extern identitetsleverantör (IdP) för att autentisera användare via SAML 2.0.
Tableau Server och Tableau Cloud har stöd för SAML som initierats av både tjänstleverantör och IdP i webbläsare och i Tableau Mobile-appen. Anslutningar från Tableau Desktop kräver att SAML-förfrågan initieras av en tjänstleverantör. Inga inloggningsuppgifter för användare sparas hos Tableau Server eller Tableau Cloud och genom att använda SAML kan du lägga till Tableau i din organisations miljö för enkel inloggning. Användarautentisering via SAML kan inte användas för behörigheter och auktorisering för Tableau Server- eller Tableau Cloud-innehåll, som datakällor och arbetsböcker. Den styr inte heller åtkomsten till underliggande data som arbetsböcker och datakällor ansluter till.
För Tableau Server kan du använda serveromfattande SAML eller så kan du konfigurera Tableau Server-platser separat. Här är en översikt över alternativen:
- Serveromfattande SAML-autentisering. Ett enda SAML IdP-program sköter autentisering för alla Tableau Server-användare. Använd alternativet om din server enbart har standardwebbplatsen.
Om du vill använda platsspecifik SAML med Tableau Server måste du dessutom konfigurera Tableau Server-omfattande SAML innan du konfigurerar enskilda platser. SAML på Tableau Server-sidan behöver inte aktiveras för att platsspecifik SAML ska fungera, men det måste konfigureras.
- Serveromfattande lokal autentisering och platsspecifik SAML-autentisering. I en miljö med flera platser kan användare som inte använder SAML-autentisering på platsnivå logga in via lokal autentisering.
- Serveromfattande SAML-autentisering och platsspecifik SAML-autentisering. I en miljö med flera platser autentiserar alla användare via en SAML IdP som konfigurerats på platsnivå, och du anger en serveromfattande och standardiserad SAML IdP för användare som hör till flera platser.
Mer information finns i SAML (Windows | Linux). Bilden nedan visar Tableau Server med SAML-autentisering.
Följande krav gäller för att konfigurera SAML för Tableau Cloud:
- Identitetsleverantörens (IdP) krav för Tableau-konfiguration
- Anteckningar och krav för SAML-kompatibilitet
- Använda SAML SSO i Tableaus klientprogram
- Inverkan på Tableau Bridge vid ändrad autentiseringstyp
- XML-datakrav
OBS! Förutom dessa krav rekommenderar vi att du dedikerar ett platsadministratörskonto för Tableau Cloud som alltid är konfigurerat för Tableau-autentisering. I händelse av problem med SAML eller IdP säkerställer ett dedikerat TableauID-konto att du alltid har åtkomst till din Tableau Cloud-webbplats.
Betrodda biljetter
Om du bäddar in Tableau Server-vyer på webbplatser måste alla som går till sidan i fråga vara en licensierad användare på Tableau Server. När användare besöker sidan uppmanas de att logga in på Tableau Server innan de kan se vyn. Om du redan kan autentisera användare på webbsidan eller i webbprogrammet, finns ett sätt att undvika den här uppmaningen och rädda användare från att behöva logga in två gånger genom att ställa in betrodd autentisering.
Betrodd autentisering innebär helt enkelt att du har skapat en betrodd relation mellan Tableau Server och en eller flera webbservrar. När Tableau Server tar emot begäran från dessa betrodda webbservrar antar det att webbservern har hanterat den autentisering som krävs.
Om webbservern använder SSPI (Security Support Provider Interface) behöver du inte ställa in betrodd autentisering. Du kan bädda in vyer och dina användare har säker åtkomst till vyerna så länge som de är licensierade Tableau Server-användare och medlemmar i din Active Directory (Windows | Linux). Bilden nedan visar Tableau Server med betrodda biljetter.
Ömsesidig SSL
Om du använder ömsesidig SSL kan du tillhandahålla användare av Tableau Desktop och andra godkända Tableau-klienter säker direkt åtkomst till Tableau Server. Om du använder ömsesidig SSL och en klient med giltigt SSL-certifikat ansluter till Tableau Server kontrollerar Tableau Server att klientcertifikatet finns och autentiserar användaren baserat på användarnamnet i klientcertifikatet. Om klienten saknar ett giltigt SSL-certifikat kan Tableau Server neka anslutningen. Du kan även konfigurera Tableau Server så att det återgår till autentisering med användarnamn/lösenord om ömsesidig SSL inte fungerar.
Auktorisering
Auktorisering avser hur och vad användare kan komma åt på Tableau Server eller Tableau Cloud när autentiseringen har verifierats. Mer information finns i Kontroll i Tableau. Auktorisering inkluderar:
- Vad användare tillåts göra med värdbaserat innehåll på Tableau Server eller Tableau Cloud, som projekt, webbplatser, arbetsböcker och vyer.
- Vad användare tillåts göra med datakällor som hanteras av Tableau Server eller Tableau Cloud.
- Vilka uppgifter användare tillåts utföra för att administrera Tableau Server eller Tableau Cloud, som att konfigurera inställningar för en server eller webbplats, köra kommandoradverktyg och andra uppgifter.
Auktorisering hanteras i Tableau Server och Tableau Cloud. Det fastställs av en kombination av användarens licensnivå (Tableau Creator, Tableau Explorer, Tableau Viewer), webbplatsroll och behörigheter associerade med specifika entiteter som arbetsböcker och datakällor. Projektteamet bör arbeta tillsammans för att definiera behörighetsmodellen. Platsadministratörer för Tableau Server- och/eller Tableau Cloud tilldelar behörighetsregler till grupper och låser dem till projektet. Anpassade behörigheter ger möjlighet till mer detaljer i behörigheterna – från åtkomst till eller nedladdning av en datakälla till hur en användare interagerar med publicerat innehåll.
Tableaus intuitiva gränssnitt gör det enkelt att associera användare till funktionsgrupper och att se vem som har åtkomst till vilket innehåll. Du kan skapa grupper lokalt på servern eller importera från Active Directory och synkronisera enligt upprättat schema. Behörighetsvyn gör också att företagsanvändare kan hantera sina egna användare och grupper. Mer information finns i Snabbstart för att ställa in behörigheter, Konfigurera projekt, grupper och behörigheter för hanterad självbetjäning, och Referens för behörigheter.