Steuern von Authentifizierung und Zugang für Tableau Mobile
Unterstützte Authentifizierungsmethoden
Tableau Server
Tableau Mobile unterstützt die folgenden Authentifizierungsmethoden für Tableau Server.
| Methode | Hinweise für Tableau Mobile |
|---|---|
| Lokale (Basis-)Authentifizierung | |
| Kerberos |
|
| SAML | |
| NTLM | |
| Gegenseitiges SSL |
|
| OpenID Connect |
|
Informationen zum Konfigurieren dieser Methoden finden Sie in der Tableau Server-Hilfe für Windows(Link wird in neuem Fenster geöffnet) und Linux(Link wird in neuem Fenster geöffnet).
Tableau Cloud
Tableau Mobile unterstützt alle drei Authentifizierungsmethoden für Tableau Cloud.
- Standardmäßige Tableau-Methode
- Google über OpenID Connect (Mit Gerätebrowser anmelden muss aktiviert sein)
- SAML
Informationen über das Konfigurieren dieser Methoden finden Sie unter Authentifizierung(Link wird in neuem Fenster geöffnet) in der Tableau Cloud-Hilfe.
Authentifizierung mit dem Gerätebrowser
Die OpenID Connect-Verbindung (einschließlich Google) und die gegenseitige SSL-Authentifizierung erfolgen über den Browser des Mobilgeräts (Safari, Chrome). Der Austausch zwischen dem Browser und Tableau Mobile wird durch OAuth Proof Key for Code Exchange(Link wird in neuem Fenster geöffnet) (PKCE) geschützt.
Damit diese Authentifizierung stattfinden kann, müssen Sie die Einstellung "Mit Gerätebrowser anmelden" aktivieren. Befolgen Sie dazu die nachstehenden Anweisungen. Die einzige Ausnahme von dieser Anforderung ist die gegenseitige SSL-Authentifizierung unter Android, die keine Konfigurationsänderungen erfordert.
Tableau Server (Version 2019.4 oder höher)
Legen Sie bei Verwendung eines MDM- oder MAM-Systems den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Tableau Server-Benutzer können auch die Einstellung "Mit Gerätebrowser anmelden" auf ihren jeweiligen Geräten aktivieren. Der Parameter "AppConfig" überschreibt die Benutzereinstellung.
Tableau Cloud
Legen Sie den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Zum Festlegen des AppConfig-Parameters müssen Sie die App mit einem MDM- oder MAM-System bereitstellen. Da die Benutzereinstellung keine Auswirkung für Tableau Cloud hat, wird es Ihnen, sofern Sie kein MDM- oder MAM-System verwenden, nicht möglich sein, Google-Authentifizierung zuzulassen.
Überschreiben des für die Authentifizierung verwendeten Standardbrowsers
Wenn Sie Tableau Mobile für die Verwendung des Browsers zur Authentifizierung konfigurieren, verwendet es den Standardbrowser für das Gerät: Safari für iOS und Chrome für Android. Um den bedingten Zugriff für Microsoft Intune zu aktivieren, müssen Sie Tableau Mobile so konfigurieren, dass stattdessen Microsoft Edge für die Authentifizierung verwendet wird. Dies erfordert zwei AppConfig-Parameter:
- Setzen Sie
RequireSignInWithDeviceBrowserauftrue, damit Tableau Mobile den Browser zur Authentifizierung verwendet. - Setzen Sie
OverrideDeviceBrowseraufEdge, um den für die Authentifizierung verwendeten Browser vom Gerätestandard in Microsoft Edge zu ändern. Wenn Sie diesen Parameter ändern, ohne sich mit dem Browser anmelden zu müssen, hat dies keine Auswirkungen. Weitere Informationen dazu finden Sie unter AppConfig-Parameter für Tableau Mobile.
Konfigurieren Sie zusätzlich zum Festlegen der AppConfig-Parameter für Tableau Mobile Ihre Microsoft Intune-Umgebung wie folgt:
- Wenn Sie Azure App Proxy verwenden, muss Passthrough als Vorauthentifizierungsmethode verwendet werden.
- Die Authentifizierungsmethode muss SAML oder OpenID sein.
- Der Identitätsanbieter muss Azure Active Directory sein.
Benutzer vorübergehend angemeldet lassen
Damit Tableau Mobile-Benutzer vorübergehend angemeldet bleiben, müssen Sie sicherstellen, dass verbundene Clients für Tableau Cloud oder Tableau Server aktiviert sind. Wenn Sie diese Standardeinstellung deaktivieren, müssen sich die Benutzer bei jeder Verbindung mit dem Server anmelden.
Überprüfen der Einstellung "Verbundene Clients" für Tableau Cloud
- Melden Sie sich als Administrator in Tableau Cloud an.
- Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
- Unter Verbundene Clients finden Sie die Einstellung Clients automatisch mit dieser Tableau Cloud Site verbinden lassen.
Weitere Informationen finden Sie unter Zugriff auf Sites von verbundenen Clients aus in der Tableau Cloud-Hilfe.
Überprüfen Sie die Einstellung der verbundenen Clients für Tableau Server
- Melden Sie sich als Administrator in Tableau Server an.
- Wählen Sie im Menü "Site" die Option Alle Sites verwalten und dann Einstellungen > Allgemein aus.
- Beachten Sie unter Verbundene Clients die Einstellung Clients automatisch mit Tableau Server verbinden lassen.
Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Deaktivieren der automatischen Client-Authentifizierung.
Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben
Wenn die Einstellung für verbundene Clients nicht aktiviert ist, wird die Dauer einer Sitzung in Tableau Mobile durch die für Tableau Server geltenden Obergrenzen gesteuert. Wenn die Einstellung für verbundene Clients aktiviert ist, verwendet Tableau Mobile OAuth-Token, um die Sitzung wieder einzurichten und Benutzer angemeldet zu lassen, solange die Token gültig sind.
Ändern von Token-Werten für verbundene Clients
Um die Anmeldung eines Benutzers aufrechtzuerhalten, sendet Tableau Mobile ein Aktualisierungs-Token an das Authentifizierungssystem, das dann ein neues Zugriffstoken an das mobile Gerät liefert. Sie können ändern, wie lange Benutzer angemeldet bleiben, indem Sie die Einstellungen für Aktualisierungstoken anpassen.
Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgenden Optionen fest:
- refresh_token.idle_expiry_in_seconds
Legt die Anzahl der Sekunden fest, die ein Token vor Ablauf unbenutzt bleiben kann. Der Standardwert von 1.209.600 entspricht 14 Tagen. Geben Sie einen Wert von -1 ein, um ungenutzte Token zu erhalten.
- refresh_token.absolute_expiry_in_seconds
Legt die Anzahl der Sekunden fest, bevor die Aktualisierungs-Token vollständig ablaufen. Der Standardwert von 31.536.000 entspricht 365 Tagen. Geben Sie einen Wert von -1 ein, damit Token niemals ablaufen.
- refresh_token.max_count_per_user
Legt die maximale Anzahl der Aktualisierungs-Token fest, die für jeden Benutzer ausgegeben werden können. Der Standardwert ist 24. Geben Sie einen Wert von -1 ein, um Token-Limits vollständig zu entfernen.
Um die obigen Optionen festzulegen, verwenden Sie diese Syntax in der Befehlszeilenschnittstelle:
tsm configuration set -k <config.key> -v <config_value>.
Um beispielsweise die Anzahl der Aktualisierungs-Token auf 5 pro Benutzer zu begrenzen, geben Sie Folgendes ein:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
Weitere Informationen finden Sie in der Tableau Server-Hilfe unter TSM-Konfigurationssetoptionen(Link wird in neuem Fenster geöffnet).
Ändern von Sitzungsbeschränkungen für Tableau Server
Wenn Sie verbundene Clients deaktivieren, wird die Sitzungsdauer in Tableau Mobile durch die für Tableau Server geltenden Sitzungsbeschränkungen festgelegt. Diese Obergrenzen wirken sich nicht auf verbundene Clients aus, da Aktualisierungstoken die Sitzung erneut einrichten, solange die Token gültig sind. Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Überprüfen der konfigurierten Sitzungsdauer.
Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgende Option fest:
Legt die Anzahl der Minuten fest, bevor eine Tableau-Sitzung abläuft und erneut eine Anmeldung erforderlich ist. Der Standardwert ist 240.
Aktivieren der App-Sperre für zusätzliche Sicherheit
Langlebige Authentifizierungstoken ermöglichen es Benutzern, angemeldet zu bleiben, so dass sie reibungslos auf Daten zugreifen können. Möglicherweise haben Sie jedoch Bedenken hinsichtlich dieses offenen Zugangs zu Daten in Tableau Mobile. Anstatt zu verlangen, dass sich Benutzer häufiger anmelden, können Sie die App-Sperre aktivieren, um Benutzern eine sichere, aber einfache Möglichkeit für den Zugang auf Inhalte zu bieten.
Die App-Sperre für Tableau Mobile authentifiziert Benutzer nicht bei Tableau Server oder Tableau Cloud. Stattdessen bietet sie eine Sicherheitsschicht für Benutzer, die bereits angemeldet sind. Wenn die App-Sperre aktiviert ist, müssen Benutzer die App mit der Sicherheitsmethode öffnen, die sie für das Entsperren ihrer Geräte konfiguriert haben. Unterstützte biometrische Methoden sind Face ID oder Touch ID (iOS) und Fingerabdruck, Gesichts- oder Iriserkennung (Android). Unterstützte alternative Methoden sind Passcode (iOS) und Muster, Pin oder Passwort (Android).
Bevor Sie die App-Sperre aktivieren
Stellen Sie sicher, dass die Einstellung "Verbundene Clients" für Tableau Server oder Tableau Cloud aktiviert ist. Weitere Informationen finden Sie unter Benutzer vorübergehend angemeldet lassen. Wenn diese Einstellung nicht aktiviert ist, müssen sich Benutzer jedes Mal anmelden, wenn sie eine Verbindung zu Tableau Server oder Tableau Cloud herstellen, sodass keine App-Sperre erforderlich ist.
Für Tableau Server können Sie genau steuern, wie lange Benutzer angemeldet bleiben, indem Sie die Ablaufwerte für Aktualisierungstoken anpassen. Weitere Informationen finden Sie unter Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben. Eine App-Sperre ist für die Verwendung mit langlebigen Token vorgesehen, z. B. für Token, die die Standardablaufwerte verwenden.
Hinweis: Wenn Ihre Tableau Server-Installation einen Reverse-Proxyserver verwendet, beachten Sie, dass sich Ihre Benutzer möglicherweise beim Entsperren der App anmelden müssen. Dies liegt daran, dass ihre Reverse-Proxy-Token abgelaufen sind, ihre Aktualisierungstoken jedoch noch aktiv sind.
Aktivieren der App-Sperreinstellung
Für Tableau Cloud
- Melden Sie sich als Administrator in Tableau Cloud an.
- Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
- Aktivieren Sie unter App-Sperre für Tableau Mobile die Einstellung App-Sperre aktivieren.
Für Tableau Server-Versionen 2019.4 und höher
- Melden Sie sich als Administrator in Tableau Server an.
- Navigieren Sie zur Site, für die Sie die App-Sperre aktivieren möchten.
- Wählen Sie Einstellungen.
- Aktivieren Sie unter Tableau Mobile die Einstellung App-Sperre aktivieren.
Für Tableau Server-Versionen 2019.3 und früher
Die Einstellung für das Aktivieren der App-Sperre ist für Tableau Server-Versionen 2019.3 und früher nicht verfügbar. Sie können die App-Sperre jedoch weiterhin mit einem AppConfig-Parameter für MDM- und MAM-Systeme aktivieren. Weitere Informationen finden Sie unter RequireAppLock in AppConfig-Schlüssel
Benutzeraktivierte App-Sperre
Benutzer können die App-Sperre für ihre Geräte auch einzeln über eine Einstellung innerhalb der App aktivieren. Benutzer können die App-Sperre jedoch nicht über diese Einstellung deaktivieren, wenn sie von ihrem Administrator aktiviert wurde.
Wenn die App-Sperre aktiviert ist
Nachdem Sie die App-Sperre aktiviert haben, müssen Benutzer, die angemeldet sind, die App entsperren, wenn sie sie öffnen. Wenn Benutzer keine Methode zum Entsperren ihrer Geräte eingerichtet haben, werden sie dazu aufgefordert, dies nachzuholen, um die App entsperren zu können.
Wenn Benutzer die App nicht entsperren können, haben sie die Möglichkeit, es entweder erneut zu versuchen oder sich bei Tableau abzumelden. Wenn Benutzer die App nach fünf Versuchen mit einer biometrischen Methode nicht entsperren können oder wenn ihre Geräte nicht für biometrische Daten konfiguriert sind, werden sie aufgefordert, die App mit einer alternativen Methode wie einem Passcode zu entsperren.
Wiederholte Fehler beim Entsperren der App mit einem Passcode führen dazu, dass der Benutzer vom Gerät als Ganzes gesperrt wird, nicht nur vom Zugriff auf die App. Die Anzahl der Versuche, bevor dies geschieht, hängt vom Gerät ab. Weitere Versuche, das Gerät zu entsperren, werden durch immer größer werdende Zeitintervalle verzögert.
Einmaliges Anmelden (Single Sign-On) für Tableau Mobile
Tableau Mobile unterstützt für die Single Sign-On-Authentifizierung (SSO) SAML und OpenID Connect für alle mobilen Plattformen und Kerberos für iOS-Geräte.
SAML
Wenn Tableau Cloud oder Tableau Server für die Verwendung von SAML konfiguriert ist, werden Benutzer automatisch zu dem Identitätsanbieter (IdP) zwecks Anmeldung in Tableau Mobile weitergeleitet. SAML leitet jedoch keine Anmeldeinformationen über SSO an andere mobile Anwendungen weiter. SAML erfordert keine spezielle Konfiguration für mobile Geräte, außer bei Geräten, die Microsoft Intune verwenden. Informationen zum Aktivieren von SAML für Microsoft Intune finden Sie unter Überschreiben des für die Authentifizierung verwendeten Standardbrowsers.
OpenID Connect
Wenn Tableau Server für die Verwendung von OpenID Connect für die Authentifizierung oder Tableau Cloud für die Verwendung von Google (über OpenID Connect) konfiguriert ist, erfolgt die einmalige Anmeldung (SSO) beim externen Identitätsanbieter (IdP) über den Browser des mobilen Geräts. Informationen zum Aktivieren von SSO mit dem Browser finden Sie unter Authentifizierung mit dem Gerätebrowser. Informationen zum Aktivieren von OpenID Connect speziell für Microsoft Intune finden Sie unter Überschreiben des für die Authentifizierung verwendeten Standardbrowsers.
Kerberos (nur iOS und Tableau Server)
Zum Verwenden der Kerberos-Authentifizierung müssen Geräte für Ihre Organisation speziell konfiguriert sein. Auch wenn die Kerberos-Konfiguration im Rahmen dieses Dokuments nicht näher behandelt und nicht vom Tableau-Support abgedeckt wird, finden Sie hier einige Drittanbieterressourcen, die Ihnen bei den ersten Schritten helfen.
Kerberos Single Sign-on für iOS(Link wird in neuem Fenster geöffnet) in Sam’s Tech Notes-Blog
Mobile Single Sign On from iOS 7 to SAP NetWeaver(Link wird in neuem Fenster geöffnet) im SAP Community Network
Die Configuration Profile Key Reference(Link wird in neuem Fenster geöffnet) in der iOS Developer Library
Wenn Sie ein Konfigurationsprofil einrichten, benötigen Sie die verwendeten URLs für den Zugriff auf den Tableau-Server. Wenn Sie die URL-Strings für den Schlüssel "URLPrefixMatches" explizit auflisten möchten, beziehen Sie die URLs mit allen Protokolloptionen und den jeweiligen Portnummern ein.
Wenn Ihre Server SSL verwenden, müssen Ihre URLs das HTTPS-Protokoll sowie den vollqualifizierten Domänennamen des Servers verwenden. Des Weiteren sollte für eine der URLs der Port 443 festgelegt sein.
Geben Sie beispielsweise Folgendes ein:
https://fully.qualifed.domain.name:443/undhttps://servername.fully.qualified.domain.name/Wenn Ihre Benutzer lediglich durch die Angabe des lokalen Servernamens auf Ihren Tableau-Server zugreifen, dann berücksichtigen Sie dies auch bei der Konfiguration.
Geben Sie beispielsweise Folgendes ein:
http://servername/undhttp://servername:80/
Hinweis: Kerberos-Tickets auf einem Gerät werden bei der Abmeldung nicht gelöscht. Wenn gespeicherte Kerberos-Tickets weiterhin gültig sind, kann jeder, der ein Gerät verwendet, auf den Server und die Site zugreifen, bei dem bzw. der sich ein Benutzer zuletzt angemeldet hat, ohne Anmeldedaten anzugeben.