Unterstützte Authentifizierungsmethoden

Tableau Server

Tableau Mobile unterstützt die folgenden Authentifizierungsmethoden für Tableau Server.

Methode Hinweise für Tableau Mobile
Lokale (Basis-)Authentifizierung  
Kerberos
  • nur iOS
SAML  
NTLM  
Gegenseitiges SSL
  • Erfordert Tableau Server Version 2019.4 oder höher
  • Proxy-Unterstützung nur für Android
  • Mit Gerätebrowser anmelden muss für iOS aktiviert sein
OpenID Connect

Informationen zum Konfigurieren dieser Methoden finden Sie in der Tableau Server-Hilfe für Windows(Link wird in neuem Fenster geöffnet) und Linux(Link wird in neuem Fenster geöffnet).

Tableau Online

Tableau Mobile unterstützt alle drei Authentifizierungsmethoden für Tableau Online.

Informationen zum Konfigurieren dieser Methoden finden Sie unter Authentifizierung(Link wird in neuem Fenster geöffnet) in der Tableau Online-Hilfe.

Authentifizierung mit dem Gerätebrowser

Die OpenID Connect-Verbindung (einschließlich Google) und die gegenseitige SSL-Authentifizierung erfolgen über den Browser des Mobilgeräts (Safari, Chrome). Der Austausch zwischen dem Browser und Tableau Mobile wird durch OAuth Proof Key for Code Exchange(Link wird in neuem Fenster geöffnet) (PKCE) geschützt.

Damit diese Authentifizierung stattfinden kann, müssen Sie die Einstellung "Mit Gerätebrowser anmelden" aktivieren. Befolgen Sie dazu die nachstehenden Anweisungen. Die einzige Ausnahme von dieser Anforderung ist die gegenseitige SSL-Authentifizierung unter Android, die keine Konfigurationsänderungen erfordert.

Tableau Server (Version 2019.4 oder höher)

Legen Sie bei Verwendung eines MDM- oder MAM-Systems den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Tableau Server-Benutzer können auch die Einstellung "Mit Gerätebrowser anmelden" auf ihren jeweiligen Geräten aktivieren. Der Parameter "AppConfig" überschreibt die Benutzereinstellung.

Tableau Online

Legen Sie den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Zum Festlegen des AppConfig-Parameters müssen Sie die App mit einem MDM- oder MAM-System bereitstellen. Die Benutzereinstellung wirkt sich nicht auf Tableau Online aus. Wenn Sie also weder ein MDM- noch ein MAM-System verwenden, können Sie die Google-Authentifizierung nicht zulassen.

Benutzer vorübergehend angemeldet lassen

Um die angemeldeten Benutzer von Tableau Mobile vorübergehend zu erhalten, stellen Sie sicher, dass die verbundenen Clients für Tableau Online oder Tableau Server aktiviert sind. Wenn Sie diese Standardeinstellung deaktivieren, müssen sich die Benutzer bei jeder Verbindung mit dem Server anmelden.

Überprüfen Sie die Einstellung der verbundenen Clients für Tableau Online

  1. Melden Sie sich als Administrator bei Tableau Online an.
  2. Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
  3. Beachten Sie unter Verbundene Clients die Einstellung Clients automatisch mit dieser Tableau Online-Site verbinden lassen.

Weitere Informationen finden Sie in der Tableau Online-Hilfe unter Zugriff auf Sites von verbundenen Clients aus.

Überprüfen Sie die Einstellung der verbundenen Clients für Tableau Server

  1. Melden Sie sich als Administrator am Tableau-Server an.
  2. Wählen Sie im Menü "Site" die Option Alle Sites verwalten und dann Einstellungen > Allgemein aus.
  3. Beachten Sie unter Verbundene Clients die Einstellung Clients automatisch mit Tableau Server verbinden lassen.

Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Deaktivieren der automatischen Client-Authentifizierung.

Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben

Wenn die Einstellung für verbundene Clients nicht aktiviert ist, wird die Dauer einer Sitzung in Tableau Mobile durch die für Tableau Server geltenden Obergrenzen gesteuert. Wenn die Einstellung für verbundene Clients aktiviert ist, verwendet Tableau Mobile OAuth-Token, um die Sitzung wieder einzurichten und Benutzer angemeldet zu lassen, solange die Token gültig sind.

Ändern von Token-Werten für verbundene Clients

Um die Anmeldung eines Benutzers aufrechtzuerhalten, sendet Tableau Mobile ein Aktualisierungs-Token an das Authentifizierungssystem, das dann ein neues Zugriffstoken an das mobile Gerät liefert. Sie können ändern, wie lange Benutzer angemeldet bleiben, indem Sie die Einstellungen für Aktualisierungstoken anpassen.

Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgenden Optionen fest:

refresh_token.idle_expiry_in_seconds

Legt die Anzahl der Sekunden fest, die ein Token vor Ablauf unbenutzt bleiben kann. Der Standardwert von 1.209.600 entspricht 14 Tagen. Geben Sie einen Wert von -1 ein, um ungenutzte Token zu erhalten.

refresh_token.absolute_expiry_in_seconds

Legt die Anzahl der Sekunden fest, bevor die Aktualisierungs-Token vollständig ablaufen. Der Standardwert von 31.536.000 entspricht 365 Tagen. Geben Sie einen Wert von -1 ein, damit Token niemals ablaufen.

refresh_token.max_count_per_user

Legt die maximale Anzahl der Aktualisierungs-Token fest, die für jeden Benutzer ausgegeben werden können.. Der Standardwert ist 24. Geben Sie einen Wert von -1 ein, um Token-Limits vollständig zu entfernen.

Um die obigen Optionen festzulegen, verwenden Sie diese Syntax in der Befehlszeilenschnittstelle:

tsm configuration set -k <config.key> -v <config_value>.

Um beispielsweise die Anzahl der Aktualisierungs-Token auf 5 pro Benutzer zu begrenzen, geben Sie Folgendes ein:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Weitere Informationen finden Sie in der Tableau Server-Hilfe unter TSM-Konfigurationssetoptionen(Link wird in neuem Fenster geöffnet).

Ändern von Sitzungsbeschränkungen für Tableau Server

Wenn Sie verbundene Clients deaktivieren, wird die Sitzungsdauer in Tableau Mobile durch die für Tableau Server geltenden Sitzungsbeschränkungen festgelegt. Diese Obergrenzen wirken sich nicht auf verbundene Clients aus, da Aktualisierungstoken die Sitzung erneut einrichten, solange die Token gültig sind. Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Überprüfen der konfigurierten Sitzungsdauer.

Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgende Option fest:

wgserver.session.idle_limit

Legt die Anzahl der Minuten fest, bevor eine Tableau-Sitzung abläuft und erneut eine Anmeldung erforderlich ist. Der Standardwert ist 240.

Aktivieren der App-Sperre für zusätzliche Sicherheit

Langlebige Authentifizierungstoken ermöglichen es Benutzern, angemeldet zu bleiben, so dass sie reibungslos auf Daten zugreifen können. Möglicherweise haben Sie jedoch Bedenken hinsichtlich dieses offenen Zugangs zu Daten in Tableau Mobile. Anstatt zu verlangen, dass sich Benutzer häufiger anmelden, können Sie die App-Sperre aktivieren, um Benutzern eine sichere, aber einfache Möglichkeit für den Zugang auf Inhalte zu bieten.

Die App-Sperre für Tableau Mobile authentifiziert Benutzer nicht bei Tableau Server oder Tableau Online. Stattdessen bietet sie eine Sicherheitsebene für Benutzer, die bereits angemeldet sind. Wenn die App-Sperre aktiviert ist, müssen Benutzer die App mit der Sicherheitsmethode öffnen, die sie für das Entsperren ihrer Geräte konfiguriert haben. Unterstützte biometrische Methoden sind Face ID oder Touch ID (iOS) und Fingerabdruck, Gesichts- oder Iriserkennung (Android). Unterstützte alternative Methoden sind Passcode (iOS) und Muster, Pin oder Passwort (Android).

Bevor Sie die App-Sperre aktivieren

Stellen Sie sicher, dass die Einstellung "Verbundene Clients" für Tableau Server oder Tableau Online aktiviert ist. Weitere Informationen finden Sie unter Benutzer vorübergehend angemeldet lassen. Wenn diese Einstellung nicht aktiviert ist, müssen sich Benutzer bei jeder Verbindung mit Tableau Server oder Tableau Online anmelden, sodass keine App-Sperre erforderlich ist.

Für Tableau Server können Sie genau steuern, wie lange Benutzer angemeldet bleiben, indem Sie die Ablaufwerte für Aktualisierungstoken anpassen. Weitere Informationen finden Sie unter Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben. Eine App-Sperre ist für die Verwendung mit langlebigen Token vorgesehen, z. B. für Token, die die Standardablaufwerte verwenden.

Hinweis: Wenn Ihre Tableau Server-Installation einen Reverse-Proxyserver verwendet, beachten Sie, dass sich Ihre Benutzer möglicherweise beim Entsperren der App anmelden müssen. Dies liegt daran, dass ihre Reverse-Proxy-Token abgelaufen sind, ihre Aktualisierungstoken jedoch noch aktiv sind.

Aktivieren der App-Sperreinstellung

Für Tableau Online

  1. Melden Sie sich als Administrator bei Tableau Online an.
  2. Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
  3. Aktivieren Sie unter App-Sperre für Tableau Mobile die Einstellung App-Sperre aktivieren.

Für Tableau Server-Versionen 2019.4 und höher

  1. Melden Sie sich als Administrator am Tableau-Server an.
  2. Navigieren Sie zur Site, für die Sie die App-Sperre aktivieren möchten.
  3. Wählen Sie Einstellungen.
  4. Aktivieren Sie unter Tableau Mobile die Einstellung App-Sperre aktivieren.

Für Tableau Server-Versionen 2019.3 und früher

Die Einstellung für das Aktivieren der App-Sperre ist für Tableau Server-Versionen 2019.3 und früher nicht verfügbar. Sie können die App-Sperre jedoch weiterhin mit einem AppConfig-Parameter für MDM- und MAM-Systeme aktivieren. Weitere Informationen finden Sie unter RequireAppLock in AppConfig-Schlüssel

Benutzeraktivierte App-Sperre

Benutzer können die App-Sperre für ihre Geräte auch einzeln über eine Einstellung innerhalb der App aktivieren. Benutzer können die App-Sperre jedoch nicht über diese Einstellung deaktivieren, wenn sie von ihrem Administrator aktiviert wurde.

Tableau Mobile-Bildschirm "Einstellungen"

Wenn die App-Sperre aktiviert ist

Nachdem Sie die App-Sperre aktiviert haben, müssen Benutzer, die angemeldet sind, die App entsperren, wenn sie sie öffnen. Wenn Benutzer keine Methode zum Entsperren ihrer Geräte eingerichtet haben, werden sie dazu aufgefordert, dies nachzuholen, um die App entsperren zu können.

Wenn Benutzer die App nicht entsperren können, haben sie die Möglichkeit, es entweder erneut zu versuchen oder sich bei Tableau abzumelden. Wenn Benutzer die App nach fünf Versuchen mit einer biometrischen Methode nicht entsperren können oder wenn ihre Geräte nicht für biometrische Daten konfiguriert sind, werden sie aufgefordert, die App mit einer alternativen Methode wie einem Passcode zu entsperren.

Wiederholte Fehler beim Entsperren der App mit einem Passcode führen dazu, dass der Benutzer vom Gerät als Ganzes gesperrt wird, nicht nur vom Zugriff auf die App. Die Anzahl der Versuche, bevor dies geschieht, hängt vom Gerät ab. Weitere Versuche, das Gerät zu entsperren, werden durch immer größer werdende Zeitintervalle verzögert.

Einmaliges Anmelden (Single Sign-On) für Tableau Mobile

Tableau Mobile unterstützt für die Single Sign-On-Authentifizierung (SSO) SAML und OpenID Connect für alle mobilen Plattformen und Kerberos für iOS-Geräte.

SAML

Wenn Tableau Online oder Tableau Server für die Verwendung von SAML konfiguriert ist, werden die Benutzer automatisch zum Identitätsanbieter (IdP) weitergeleitet, um sich in Tableau Mobile anzumelden. Das war alles hierzu. Für SAML ist keine spezielle Konfiguration für Mobilgeräte erforderlich. SAML leitet jedoch keine Anmeldeinformationen über SSO an andere mobile Anwendungen weiter.

OpenID Connect

Wenn Tableau Server für die Verwendung von OpenID Connect für die Authentifizierung oder Tableau Online für die Verwendung von Google (über OpenID Connect) konfiguriert ist, erfolgt die einmalige Anmeldung beim externen Identitätsanbieter (IdP) über den Browser des mobilen Geräts. Informationen zum Aktivieren von SSO mit dem Browser finden Sie unter Authentifizierung mit dem Gerätebrowser.

Kerberos (nur iOS und Tableau Server)

Zum Verwenden der Kerberos-Authentifizierung müssen Geräte für Ihre Organisation speziell konfiguriert sein. Auch wenn die Kerberos-Konfiguration im Rahmen dieses Dokuments nicht näher behandelt und nicht vom Tableau-Support abgedeckt wird, finden Sie hier einige Drittanbieterressourcen, die Ihnen bei den ersten Schritten helfen.

Wenn Sie ein Konfigurationsprofil einrichten, benötigen Sie die verwendeten URLs für den Zugriff auf den Tableau-Server. Wenn Sie die URL-Strings für den Schlüssel "URLPrefixMatches" explizit auflisten möchten, beziehen Sie die URLs mit allen Protokolloptionen und den jeweiligen Portnummern ein.

  • Wenn Ihre Server SSL verwenden, müssen Ihre URLs das HTTPS-Protokoll sowie den vollqualifizierten Domänennamen des Servers verwenden. Des Weiteren sollte für eine der URLs der Port 443 festgelegt sein.

    Geben Sie beispielsweise Folgendes ein: https://fully.qualifed.domain.name:443/ und https://servername.fully.qualified.domain.name/

  • Wenn Ihre Benutzer lediglich durch die Angabe des lokalen Servernamens auf Ihren Tableau-Server zugreifen, dann berücksichtigen Sie dies auch bei der Konfiguration.

    Geben Sie beispielsweise Folgendes ein: http://servername/ und http://servername:80/

Hinweis: Kerberos-Tickets auf einem Gerät werden bei der Abmeldung nicht gelöscht. Wenn gespeicherte Kerberos-Tickets weiterhin gültig sind, kann jeder, der ein Gerät verwendet, auf den Server und die Site zugreifen, bei dem bzw. der sich ein Benutzer zuletzt angemeldet hat, ohne Anmeldedaten anzugeben.

Vielen Dank für Ihr Feedback!