驗證和授權
此內容是 Tableau Blueprint 的一部分,這是一個成熟度架構,可讓您放大並改進組織使用資料推動影響的方式。請使用我們的評估(連結在新視窗開啟)開啟您的旅程。
Tableau 提供全方位的功能和深度整合,可因應企業安全性的各個層面。如需詳細資訊,請參閱 Tableau Server 平台安全性和 Tableau Server 安全強化檢查表 (Windows | Linux) 或 Tableau Cloud 雲端安全性。
身分存放區
Tableau Server 需要身分存放區 (Windows | Linux) 才能管理使用者和群組資訊。身分存放區有兩種類型:本機 (Tableau Server) 和外部 (Active Directory、LDAP)。安裝 Tableau Server 時,必須設定本機身分存放區或外部身分存放區。如需身分存放區的配置選項的相關資訊,請參閱 identityStore 實體。
使用本機身分存放區配置 Tableau Server 時,所有的使用者和群組資訊都將儲存在 Tableau Server 存放庫中並在此進行管理。在本機身分存放區情境中,使用者和群組沒有外部來源。注意:如果要在伺服器安裝後變更身分存放區,必須完全解除安裝並重新安裝。
使用外部存放區設定 Tableau Server 時,所有使用者和群組資訊均由外部目錄服務儲存和管理。Tableau Server 必須與外部身分存放區同步,使 Tableau Server 存放庫中存在使用者和群組的本機複本,但外部身分存放區是所有使用者和群組資料的主要來源。使用者登入 Tableau Server 時,系統會將其認證傳送到負責驗證使用者的外部目錄 (Windows | Linux)。Tableau Server 不會執行此驗證;不過,身分存放區中儲存的 Tableau 使用者名稱會與 Tableau Server 的權限相關聯。確認驗證後,Tableau Server 會管理 Tableau 資源的使用者存取權(授權)。
驗證
驗證會驗證使用者的身分。每個需要存取 Tableau Server 或 Tableau Cloud 的人,無論他們是要管理伺服器或站台,還是要發佈、瀏覽或管理內容,都必須以使用者身分顯示在 Tableau Server 身分存放區中,或佈建為 Tableau Cloud 使用者。驗證的方法可以由 Tableau Server 或 Tableau Cloud 執行(本機驗證),也可以由外部程序執行。如果是後者,您必須為外部驗證通訊協定(如 Active Directory、OpenLDAP、SAML 或 OpenID)配置 Tableau Server,或是為 Google 或 SAML 配置 Tableau Cloud。
Tableau Cloud 中的驗證方法
Tableau Cloud 支援以下驗證類型,您可以在「驗證」頁面上進行設定。如需詳細資訊,請參閱 Tableau Cloud 驗證。
- Tableau:這是所有站台上可用的預設驗證類型,在新增使用者之前不需要執行附加的設定步驟。Tableau 認證是由使用者名稱和密碼組成,儲存在 Tableau Cloud 中。使用者可以直接在 Tableau Cloud 登入頁面中直接輸入自己的認證。
- Google:若您的組織使用 Google 應用程式,則您可以在 Tableau Cloud 啟用 Google 帳戶,允許系統透過 OpenID Connect 使用單一登入 (SSO) 功能。當您啟用 Google 驗證時,系統會將使用者定向到 Google 登入頁面,以便輸入由 Google 儲存的認證。
- SAML:另一種使用 SSO 的方式是透過 SAML。為此,您可以使用協力廠商身分提供程式 (IdP),並將站台設定為與 IdP 建立信任關係。啟用 SAML 後,系統便會將使用者導向 IdP 的登入頁面以輸入自己透過 IdP 儲存的 SSO 認證。
Tableau Cloud 多重要素驗證要求
除了您為站台設定的驗證類型外,2022 年 2 月 1 日起,Tableau Cloud 中也要求要透過單一登入 (SSO) 身分提供程式 (IdP) 使用多重要素驗證 (MFA)。如果您的組織不直接使用 SSO IdP,則可以使用具有 MFA 身份驗證的 Tableau 來滿足 MFA 要求。如需更多資訊,請參閱關於多重要素驗證和 Tableau Cloud。
Tableau Server 中的驗證方法
下表顯示哪些 Tableau Server 驗證方法與哪些身分存放區相容。
驗證方法 | 本機驗證 | AD/LDAP |
|---|---|---|
SAML | 是 | 是 |
Kerberos | 否 | 是 |
相互 SSL | 是 | 是 |
OpenID | 是 | 否 |
受信任的驗證 | 是 | 是 |
Active Directory 和 OpenLDAP
在這種情況下,Tableau Server 必須安裝在 Active Directory 的網域中。Tableau Server 會將 Active Directory 中的使用者和群組中繼資料與識別身分存放區同步。您不必手動新增使用者。然而,同步資料後,您將需要指派站台和伺服器角色。您可以單獨或在群組層級指派這些內容。Tableau Server 未將任何資料回過來與 Active Directory 同步。Tableau Server 根據儲存在存放庫中的站台角色權限資料來管理內容和伺服器存取。
如果已經使用 Active Directory 管理組織中的使用者,則必須在 Tableau 設定期間選取 Active Directory 驗證。例如,透過同步 Active Directory 群組,可以對於在群組中同步的使用者設定最低站台角色 Tableau 權限。您可以同步特定的 Active Directory 群組,或者可以同步所有群組。有關詳情,請參閱在伺服器上同步所有 Active Directory 群組。務必檢閱 Active Directory 部署中的使用者管理以瞭解多個網域、網域命名、NetBIOS 和 Active Directory 使用者名稱格式如何影響 Tableau 使用者管理。
您也可以配置 Tableau Server 使用 LDAP 作為與身分存放區進行通訊的一般方法。例如,OpenLDAP 是具有彈性結構描述的多個 LDAP 伺服器實作之一。Tableau Server 可設定為查詢 OpenLDAP 伺服器。請參閱身分存放區。在這種情況下,驗證可以由本機 LDAP 解決方案提供,也可以由單一登入解決方案提供。下圖顯示採用 Active Directory/OpenLDAP 驗證的 Tableau Server。
SAML
SAML(安全判斷提示標記語言)是一種 XML 標準,它允許安全的 Web 域交換使用者驗證和授權資料。您可以設定 Tableau Server 和 Tableau Cloud 使用外部身分提供者 (IdP) 透過 SAML 2.0 驗證使用者。
Tableau Server 和 Tableau Cloud 在瀏覽器和 Tableau Mobile 應用程式中同時支援服務提供者和 IdP 啟動的 SAML。來自 Tableau Desktop 的連線會要求 SAML 要求必須由服務提供者啟動。Tableau Server 或 Tableau Cloud 不會儲存任何使用者認證,使用 SAML 可以讓您將 Tableau 新增到組織的單一登入環境中。透過 SAML 的使用者驗證不適用於 Tableau Server 或 Tableau Cloud 內容(例如資料來源和工作簿)的權限和授權,它也不控制對工作簿和資料來源連線到的完整資料的存取。
對於 Tableau Server,您可以在整個伺服器範圍內使用 SAML,也可以單獨配置 Tableau Server 站台。下列概述這些選項:
- 伺服器範圍 SAML 驗證。單一 SAMLIdP 應用程式會為所有 Tableau Server 使用者處理驗證作業。如果伺服器只有「預設」站台,請使用此選項。
另外,如果要使用 Tableau Server 站台特定的 SAML,則必須在配置單一站台之前配置 Tableau Server 範圍的 SAML。您不需要啟用 Tableau Server 端 SAML,Tableau Server 特定站台的 SAML 就能發揮作用,但您必須對其配置。
- 伺服器範圍的本機驗證和站台特定的 SAML 驗證。在多站台環境中,未在站台層級啟用 SAML 驗證的使用者可以使用本機驗證登入。
- 伺服器範圍的 SAML 驗證和站台特定的 SAML 驗證。在多站台環境中,所有使用者都透過在站台層級設定的 SAML IdP 進行驗證,並且您可以為屬於多個站台的使用者指定伺服器範圍的預設 SAML IdP。
如需詳細資訊,請參閱 SAML (Windows | Linux)。下圖顯示採用 SAML 驗證的 Tableau Server。
若要為 Tableau Cloud 設定 SAML,請參閱以下要求:
- 身分提供程式 (IdP) 對 Tableau 配置的要求
- SAML 相容性說明和要求
- 在 Tableau 用戶端應用程式中使用 SAML SSO
- 變更驗證類型對 Tableau Bridge 的影響
- XML 資料要求
注意:除了這些要求外,建議您建立一個一律配置為進行 Tableau 驗證的 Tableau Cloud 站台管理員專用帳戶。萬一 SAML 或 IdP 出現問題時,這個專用的 TableauID 帳戶可以確保您隨時可以存取 Tableau Cloud 站台。
受信任票證
如果將 Tableau Server 檢視嵌入到網頁中,則存取該頁面的每個人都必須是 Tableau Server 上的授權使用者。使用者存取頁面時,將提示使用者登入 Tableau Server,使用者才能看見該檢視。如果您已經有一種方法可以在網頁上或 Web 應用程式中對使用者進行驗證,則可以透過設定受信任的驗證來避免此提示,並避免您的使用者必須登入兩次。
受信任的驗證意味著您已在 Tableau Server 與一個或多個 Web 伺服器之間建立信任關係。當 Tableau Server 接收來自這些受信任 Web 伺服器的請求時,它會假設您的 Web 伺服器已處理必需的驗證。
如果您的 Web 伺服器使用 SSPI(安全性支援提供者介面),則無需設定受信任的驗證。您可以嵌入檢視,而且只要使用者是 Tableau Server 授權使用者和 Active Directory 成員,使用者就可以進行安全存取 (Windows | Linux)。下圖顯示的是具備信任工作單的 Tableau Server。
相互 SSL
使用雙向 SSL,可以對於 Tableau Desktop 和獲得核准的 Tableau 用戶端其他使用者提供對 Tableau Server 的安全直接存取。藉由雙向 SSL,擁有有效 SSL 憑證的用戶端連線到 Tableau Server 時,Tableau Server 會根據用戶端憑證中的使用者名稱確認用戶端憑證存在,並驗證使用者身分。如果用戶端沒有有效的 SSL 憑證,則 Tableau Server 會拒絕連線。您也可以將 Tableau Server 設定為在相互 SSL 失敗的情況下回退為使用使用者名/密碼驗證。
授權
授權是指使用者在驗證透過後可以在 Tableau Server 或 Tableau Cloud 上存取的方式和內容。有關詳情,請參閱 Tableau 中的控管。授權包括:
- 允許使用者使用 Tableau Server 或 Tableau Cloud 上託管的內容(包括專案、站台、工作簿和檢視)執行哪些操作。
- 允許使用者使用 Tableau Server 或 Tableau Cloud 管理的資料來源執行哪些操作。
- 允許使用者執行哪些工作來管理 Tableau Server 或 Tableau Cloud,例如配置伺服器或站台設定、執行命令列工具以及其他工作。
授權在 Tableau Server 和 Tableau Cloud 中進行管理。這是由使用者的授權層級 (Tableau Creator、Tableau Explorer、Tableau Viewer)、站台角色以及與特定實體(例如工作簿和資料來源)關聯的權限共同決定。專案團隊應該共同定義權限模型。Tableau Server 和/或站台管理員或 Tableau Cloud 站台管理員將會指派權限規則給群組,並將規則設為僅適用於專案。自訂權限允許更細部的權限 — 從存取或下載資料來源到使用者與已發佈內容進行互動的方式。
透過 Tableau 的直覺式介面,可以輕鬆地將使用者與功能群組關聯,對於群組指派權限,並且檢視哪些人有權存取哪些內容。您可以在伺服器上本機建立群組,也可以從 Active Directory 匯入並按照設定的排程進行同步。權限檢視也可以協助企業使用者管理本身的使用者和群組。如需詳細資訊,請參閱設定權限快速入門、配置受管理自助服務的專案、群組和權限和權限參考。