身份验证与授权
此内容是T ableau Blueprint 的一部分,这是一个成熟度框架,允许您放大并改进组织使用数据来推动影响的方式。若要开始您的旅程,请参加我们的评估(链接在新窗口中打开)。
Tableau 提供了全面的功能和深入的集成,以便解决方方面面的企业安全问题。有关更多信息,请参阅 Tableau Server 平台安全性和 Tableau Server 安全强化检查表 (Windows | Linux),或者参阅 Tableau Cloud 的云安全性。
身份存储
Tableau Server 需要使用身份存储 (Windows | Linux) 来管理用户和群组信息。身份存储有两种:本地 (Tableau Server) 和外部(Active Directory、LDAP)。安装 Tableau Server 时,您必须配置本地身份存储或外部身份存储。有关身份存储配置选项的信息,请参阅身份存储实体。
使用本地身份存储配置 Tableau Server 时,所有用户和组信息都将存储在 Tableau Server 存储库中并在其中进行管理。在本地身份存储方案中,没有外部用户和组来源。注:如果要在安装 Server 后更改身份存储,必须完全卸载并重新安装。
使用外部存储配置 Tableau Server 时,所有用户和组信息均由外部目录服务存储和管理。Tableau Server 必须与外部身份存储进行同步,因此虽然 Tableau Server 存储库中有用户和组的本地副本,但外部身份存储是所有用户和组数据的主要来源。用户登录 Tableau Server 时,其凭据将传递到外部目录,而外部目录负责对用户进行身份验证 (Windows | Linux)。Tableau Server 不会执行此类身份验证;但身份存储中保存的 Tableau 用户名与 Tableau Server 的权限相关联。确认身份验证后,Tableau Server 会管理用户的 Tableau 资源访问权限(授权)。
身份验证
身份验证将验证用户的身份。凡是需要访问 Tableau Server 或 Tableau Cloud 的人员,不论是为了管理 Server 或站点,还是为了发布、浏览或管理内容,都必须在 Tableau Server 身份存储中表示为一名用户,或者配置为一名 Tableau Cloud 用户。身份验证方法可由 Tableau Server 或 Tableau Cloud 执行(本地身份验证),也可由外部进程执行。在后一种情况下,您必须为 Tableau Server 配置外部身份验证协议,例如 Active Directory、OpenLDAP、SAML 或 OpenID,或者为 Tableau Cloud 配置 Google 或 SAML。
Tableau Cloud 中的身份验证
Tableau Cloud 支持以下身份验证类型,您可以在“身份验证”页面上配置这些类型。更多信息,请参阅 Tableau Cloud 身份验证。
- Tableau:这是在所有站点上均可使用的默认身份验证类型,您不需要完成额外的配置步骤即可开始添加用户。Tableau 凭据由用户名和密码组成,用户名和密码存储在 Tableau Cloud 中。用户可在 Tableau Cloud 登录页面直接输入其凭据。
- Google:如果您的组织使用 Google 应用程序,您可以允许 Tableau Cloud 使用 Google 帐户通过 OpenID Connect 进行单点登录 (SSO)。当您启用 Google 身份验证时,系统会将用户定向到 Google 登录页面,以便输入由 Google 存储的凭据。
- SAML:使用 SSO 的另一种方法是借助 SAML。为此,您可使用第三方身份提供程序 (IdP),并将站点配置为与 IdP 建立信任关系。您启用 SAML 后,系统会将用户定向到 IdP 登录页面以便他们输入自己的 SSO 凭据,这些凭据已经存储在 IdP 处。
Tableau Cloud 多重身份验证要求
除了您为站点配置的身份验证类型之外,从 2022 年 2 月 1 日开始,通过您的 SSO 身份提供方 (IdP) 进行的多重身份验证 (MFA) 是 Tableau Cloud 的一项要求。如果您的组织不直接使用 SSO IdP,您可以使用具有 MFA 身份验证的 Tableau 来满足 MFA 要求。详细信息,请参阅关于多重身份验证和 Tableau Cloud。
Tableau Server 中的身份验证
下表显示了哪些 Tableau Server 身份验证方法与哪些身份存储兼容。
身份验证方法 | 本地身份验证 | AD/LDAP |
|---|---|---|
SAML | 兼容 | 兼容 |
Kerberos | 不兼容 | 兼容 |
相互 SSL | 兼容 | 兼容 |
OpenID | 兼容 | 不兼容 |
受信任的身份验证 | 兼容 | 兼容 |
Active Directory 和 OpenLDAP
在这种情况下,Tableau Server 必须安装在 Active Directory 内的域中。Tableau Server 会将 Active Directory 中的用户和组元数据与标识存储同步。您不必手动添加用户。然而,同步数据后,您将需要分配站点和服务器角色。您可以单独或在组级别分配这些内容。Tableau Server 未将任何数据回过来与 Active Directory 同步。Tableau Server 根据存储在存储库中的站点角色权限数据来管理内容和 Server 访问权限。
如果已经在使用 Active Directory 来管理组织中的用户,则必须在 Tableau 设置期间选择 Active Directory 身份验证。例如,通过同步 Active Directory 组,您可以为在组中同步的用户设置最小站点角色 Tableau 权限。您可以同步特定的 Active Directory 组,或者可以同步所有组。更多信息,请参阅在 Server 上同步所有 Active Directory 组。务必查看 Active Directory 部署中的用户管理以了解多个域、域命名、NetBIOS 和 Active Directory 用户名格式如何影响 Tableau 用户管理。
您还可以将 Tableau Server 配置为使用 LDAP 作为与身份存储进行通信的通用方法。例如,OpenLDAP 是具有灵活架构的多种 LDAP 服务器实现之一。Tableau Server 可配置为查询 OpenLDAP 服务器。请参阅身份存储。在这种情况下,身份验证可由本机 LDAP 解决方案提供,也可通过单点登录解决方案提供。下图显示了采用 Active Directory/OpenLDAP 身份验证的 Tableau Server。
SAML
SAML(安全断言标记语言)是一种 XML 标准,此标准允许安全的 Web 域交换用户身份验证和授权数据。您可以将 Tableau Server 和 Tableau Cloud 配置为使用外部身份提供程序 (IdP) 通过 SAML 2.0 对用户进行身份验证。
Tableau Server 和 Tableau Cloud 在浏览器中和 Tableau Mobile 应用软件中同时支持由服务提供商发起的和由 IdP 发起的 SAML。从 Tableau Desktop 发出的连接要求 SAML 请求必须由服务提供商发起。Tableau Server 或 Tableau Cloud 不存储任何用户凭据;通过使用 SAML,您可以将 Tableau 添加到您组织的单点登录环境中。通过 SAML 进行的用户身份验证不适用于 Tableau Server 或 Tableau Cloud 内容(例如数据源和工作簿)的权限和授权,也不会控制对工作簿和数据源连接的基础数据的访问。
对于 Tableau Server,您可以在整个服务器范围内使用 SAML,也可以分别配置各个 Tableau Server 站点。以下是这些选项的概述:
- Server 范围的 SAML 身份验证。单个 SAML IdP 应用程序处理所有 Tableau Server 用户的身份验证。如果您的 Server 只有默认站点,请使用此选项。
另外,如果要使用 Tableau Server 站点范围的 SAML,则必须先配置 Server 范围的 SAML,再配置各个站点。虽然不需要启用 Tableau Server 范围的 SAML,Tableau Server 站点范围的 SAML 也能正常运行,但必须对其进行配置。
- Server 范围的本地身份验证和特定站点的 SAML 身份验证。在多站点环境中,没有启用站点级别 SAML 身份验证的用户可以使用本地身份验证登录。
- Server 范围的 SAML 身份验证和特定站点的 SAML 身份验证。在多站点环境中,所有用户都通过在站点级别配置的 SAML IdP 进行身份验证,并且您将为属于多个站点的用户指定服务器范围默认 SAML IdP。
有关更多信息,请参阅 SAML (Windows | Linux)。下图显示了采用 SAML 身份验证的 Tableau Server。
如果要为 Tableau Cloud 配置 SAML,请参阅以下要求:
- Tableau 配置的身份提供程序 (IdP) 要求
- SAML 兼容性注意事项和要求
- 在 Tableau 客户端应用程序中使用 SAML SSO
- 更改身份验证类型对 Tableau Bridge 的影响
- XML 数据要求
注:除了满足上述要求之外,我们还建议您专设一个始终配置为采用 Tableau 身份验证的 Tableau Cloud 站点管理员帐户。万一 SAML 或 IdP 出现问题,这个专设的 TableauID 帐户就可以确保您始终都能访问自己的 Tableau Cloud 站点。
受信票证
如果将 Tableau Server 视图嵌入网页中,则访问该页面的每个人都必须是 Tableau Server 上的许可用户。用户访问该页面时,系统将提示他们登录 Tableau Server,然后才允许他们查看该视图。如果您已经通过某种方法在网页上或 Web 应用程序中对用户进行身份验证,那么您可以通过设置受信任的身份验证来避免此提示,让用户无需登录两次。
受信任的身份验证意味着您已在 Tableau Server 与一个或多个 Web 服务器之间建立信任关系。当 Tableau Server 接收来自这些受信任 Web 服务器的请求时,它会假设您的 Web 服务器已处理必需的身份验证。
如果您的 Web 服务器使用 SSPI(安全支持提供程序接口),则无需设置受信任的身份验证。您可以嵌入视图,只要您的用户是 Tableau Server 许可用户和 Active Directory 成员,他们就能够安全地访问这些视图 (Windows | Linux)。下图显示了采用受信任票证的 Tableau Server。
相互 SSL
使用相互 SSL,您可以为 Tableau Desktop 和其他批准的 Tableau 客户端的用户提供直接、安全的 Tableau Server 访问体验。使用相互 SSL 时,当具有有效 SSL 证书的客户端连接到 Tableau Server 时,Tableau Server 会根据客户端证书中的用户名确认客户端证书的存在并验证用户身份。如果客户端没有有效的 SSL 证书,则 Tableau Server 会拒绝连接。您还可以将 Tableau Server 配置为在相互 SSL 失败时回退到用户名/密码身份验证。
授权
授权是指用户在通过身份验证后,在 Tableau Server 或 Tableau Cloud 上能够以何种方式访问哪些内容。有关详细信息,请参见 Tableau 的管控。授权包括:
- 允许用户对 Tableau Server 或 Tableau Cloud 上托管的内容(包括项目、站点、工作簿和视图)执行哪些操作。
- 允许用户对 Tableau Server 或 Tableau Cloud 管理的数据源执行哪些操作。
- 允许用户执行哪些任务来管理 Tableau Server 或 Tableau Cloud,例如配置 Server 或站点设置、运行命令行工具以及其他任务。
授权是在 Tableau Server 和 Tableau Cloud 中进行管理的。具体授予的权限是根据用户的许可级别(Tableau Creator、Tableau Explorer、Tableau Viewer)、站点角色以及与特定实体(例如工作簿和数据源)关联的权限来共同决定。项目团队应共同定义权限模型。Tableau Server 和/或站点管理员或者 Tableau Cloud 站点管理员将负责为组分配权限规则,并将其锁定到项目。自定义权限可让权限更加细化,包括访问或下载数据源,用户与已发布内容的交互方式等。
借助 Tableau 的直观界面,可轻松地将用户关联到职能部门群组,为群组分配权限,并查看人员对内容的访问权限。您可以在服务器上本地创建群组,或从 Active Directory 导入群组,并按照设定的计划进行同步。权限视图还有助于业务用户管理其自己的用户和群组。有关详细信息,请参见快速开始:权限,为托管自助服务配置项目、组和权限和权限参考。