Steuern von Authentifizierung und Zugang für Tableau Mobile

Unterstützte Authentifizierungsmethoden

Tableau Server

Tableau Mobile unterstützt die folgenden Authentifizierungsmethoden für Tableau Server.

MethodeHinweise für Tableau Mobile
Lokale (Basis-)Authentifizierung 
Kerberos
  • nur iOS
SAML 
NTLM 
Gegenseitiges SSL
  • Erfordert Tableau Server Version 2019.4 oder höher
  • Proxy-Unterstützung nur für Android
  • Mit Gerätebrowser anmelden muss für iOS aktiviert sein
OpenID Connect

Informationen zum Konfigurieren dieser Methoden finden Sie in der Tableau Server-Hilfe für Windows(Link wird in neuem Fenster geöffnet) und Linux(Link wird in neuem Fenster geöffnet).

Tableau Cloud

Tableau Mobile unterstützt alle drei Authentifizierungsmethoden für Tableau Cloud.

Informationen über das Konfigurieren dieser Methoden finden Sie unter Authentifizierung(Link wird in neuem Fenster geöffnet) in der Tableau Cloud-Hilfe.

Authentifizierung mit dem Gerätebrowser

Die OpenID Connect-Verbindung (einschließlich Google) und die gegenseitige SSL-Authentifizierung erfolgen über den Browser des Mobilgeräts (Safari, Chrome). Der Austausch zwischen dem Browser und Tableau Mobile wird durch OAuth Proof Key for Code Exchange(Link wird in neuem Fenster geöffnet) (PKCE) geschützt.

Damit diese Authentifizierung stattfinden kann, müssen Sie die Einstellung "Mit Gerätebrowser anmelden" aktivieren. Befolgen Sie dazu die nachstehenden Anweisungen. Die einzige Ausnahme von dieser Anforderung ist die gegenseitige SSL-Authentifizierung unter Android, die keine Konfigurationsänderungen erfordert.

Tableau Server (Version 2019.4 oder höher)

Legen Sie bei Verwendung eines MDM- oder MAM-Systems den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Tableau Server-Benutzer können auch die Einstellung "Mit Gerätebrowser anmelden" auf ihren jeweiligen Geräten aktivieren. Der Parameter "AppConfig" überschreibt die Benutzereinstellung.

Tableau Cloud

Legen Sie den AppConfig-Parameter "RequireSignInWithDeviceBrowser" auf "true" fest. Zum Festlegen des AppConfig-Parameters müssen Sie die App mit einem MDM- oder MAM-System bereitstellen. Da die Benutzereinstellung keine Auswirkung für Tableau Cloud hat, wird es Ihnen, sofern Sie kein MDM- oder MAM-System verwenden, nicht möglich sein, Google-Authentifizierung zuzulassen.

Überschreiben des für die Authentifizierung verwendeten Standardbrowsers

Wenn Sie Tableau Mobile für die Verwendung des Browsers zur Authentifizierung konfigurieren, verwendet es den Standardbrowser für das Gerät: Safari für iOS und Chrome für Android. Um den bedingten Zugriff für Microsoft Intune zu aktivieren, müssen Sie Tableau Mobile so konfigurieren, dass stattdessen Microsoft Edge für die Authentifizierung verwendet wird. Dies erfordert zwei AppConfig-Parameter:

  • Setzen Sie RequireSignInWithDeviceBrowser auf true, damit Tableau Mobile den Browser zur Authentifizierung verwendet.
  • Setzen Sie OverrideDeviceBrowser auf Edge, um den für die Authentifizierung verwendeten Browser vom Gerätestandard in Microsoft Edge zu ändern. Wenn Sie diesen Parameter ändern, ohne sich mit dem Browser anmelden zu müssen, hat dies keine Auswirkungen. Weitere Informationen dazu finden Sie unter AppConfig-Parameter für Tableau Mobile.

Konfigurieren Sie zusätzlich zum Festlegen der AppConfig-Parameter für Tableau Mobile Ihre Microsoft Intune-Umgebung wie folgt:

  • Wenn Sie Azure App Proxy verwenden, muss Passthrough als Vorauthentifizierungsmethode verwendet werden.
  • Die Authentifizierungsmethode muss SAML oder OpenID sein.
  • Der Identitätsanbieter muss Azure Active Directory sein.

Benutzer vorübergehend angemeldet lassen

Damit Tableau Mobile-Benutzer vorübergehend angemeldet bleiben, müssen Sie sicherstellen, dass verbundene Clients für Tableau Cloud oder Tableau Server aktiviert sind. Wenn Sie diese Standardeinstellung deaktivieren, müssen sich die Benutzer bei jeder Verbindung mit dem Server anmelden.

Überprüfen der Einstellung "Verbundene Clients" für Tableau Cloud

  1. Melden Sie sich als Administrator in Tableau Cloud an.
  2. Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
  3. Unter Verbundene Clients finden Sie die Einstellung Clients automatisch mit dieser Tableau Cloud Site verbinden lassen.

Weitere Informationen finden Sie unter Zugriff auf Sites von verbundenen Clients aus in der Tableau Cloud-Hilfe.

Überprüfen Sie die Einstellung der verbundenen Clients für Tableau Server

  1. Melden Sie sich als Administrator in Tableau Server an.
  2. Wählen Sie im Menü "Site" die Option Alle Sites verwalten und dann Einstellungen > Allgemein aus.
  3. Beachten Sie unter Verbundene Clients die Einstellung Clients automatisch mit Tableau Server verbinden lassen.

Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Deaktivieren der automatischen Client-Authentifizierung.

Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben

Wenn die Einstellung für verbundene Clients nicht aktiviert ist, wird die Dauer einer Sitzung in Tableau Mobile durch die für Tableau Server geltenden Obergrenzen gesteuert. Wenn die Einstellung für verbundene Clients aktiviert ist, verwendet Tableau Mobile OAuth-Token, um die Sitzung wieder einzurichten und Benutzer angemeldet zu lassen, solange die Token gültig sind.

Ändern von Token-Werten für verbundene Clients

Um die Anmeldung eines Benutzers aufrechtzuerhalten, sendet Tableau Mobile ein Aktualisierungs-Token an das Authentifizierungssystem, das dann ein neues Zugriffstoken an das mobile Gerät liefert. Sie können ändern, wie lange Benutzer angemeldet bleiben, indem Sie die Einstellungen für Aktualisierungstoken anpassen.

Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgenden Optionen fest:

refresh_token.idle_expiry_in_seconds

Legt die Anzahl der Sekunden fest, die ein Token vor Ablauf unbenutzt bleiben kann. Der Standardwert von 1.209.600 entspricht 14 Tagen. Geben Sie einen Wert von -1 ein, um ungenutzte Token zu erhalten.

refresh_token.absolute_expiry_in_seconds

Legt die Anzahl der Sekunden fest, bevor die Aktualisierungs-Token vollständig ablaufen. Der Standardwert von 31.536.000 entspricht 365 Tagen. Geben Sie einen Wert von -1 ein, damit Token niemals ablaufen.

refresh_token.max_count_per_user

Legt die maximale Anzahl der Aktualisierungs-Token fest, die für jeden Benutzer ausgegeben werden können. Der Standardwert ist 24. Geben Sie einen Wert von -1 ein, um Token-Limits vollständig zu entfernen.

Um die obigen Optionen festzulegen, verwenden Sie diese Syntax in der Befehlszeilenschnittstelle:

tsm configuration set -k <config.key> -v <config_value>.

Um beispielsweise die Anzahl der Aktualisierungs-Token auf 5 pro Benutzer zu begrenzen, geben Sie Folgendes ein:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Weitere Informationen finden Sie in der Tableau Server-Hilfe unter TSM-Konfigurationssetoptionen(Link wird in neuem Fenster geöffnet).

Ändern von Sitzungsbeschränkungen für Tableau Server

Wenn Sie verbundene Clients deaktivieren, wird die Sitzungsdauer in Tableau Mobile durch die für Tableau Server geltenden Sitzungsbeschränkungen festgelegt. Diese Obergrenzen wirken sich nicht auf verbundene Clients aus, da Aktualisierungstoken die Sitzung erneut einrichten, solange die Token gültig sind. Weitere Informationen finden Sie in der Tableau Server-Hilfe unter Überprüfen der konfigurierten Sitzungsdauer.

Legen Sie in der Befehlszeilenschnittstelle für Tableau Services Manager die folgende Option fest:

wgserver.session.idle_limit

Legt die Anzahl der Minuten fest, bevor eine Tableau-Sitzung abläuft und erneut eine Anmeldung erforderlich ist. Der Standardwert ist 240.

Aktivieren der App-Sperre für zusätzliche Sicherheit

Langlebige Authentifizierungstoken ermöglichen es Benutzern, angemeldet zu bleiben, so dass sie reibungslos auf Daten zugreifen können. Möglicherweise haben Sie jedoch Bedenken hinsichtlich dieses offenen Zugangs zu Daten in Tableau Mobile. Anstatt zu verlangen, dass sich Benutzer häufiger anmelden, können Sie die App-Sperre aktivieren, um Benutzern eine sichere, aber einfache Möglichkeit für den Zugang auf Inhalte zu bieten.

Die App-Sperre für Tableau Mobile authentifiziert Benutzer nicht bei Tableau Server oder Tableau Cloud. Stattdessen bietet sie eine Sicherheitsschicht für Benutzer, die bereits angemeldet sind. Wenn die App-Sperre aktiviert ist, müssen Benutzer die App mit der Sicherheitsmethode öffnen, die sie für das Entsperren ihrer Geräte konfiguriert haben. Unterstützte biometrische Methoden sind Face ID oder Touch ID (iOS) und Fingerabdruck, Gesichts- oder Iriserkennung (Android). Unterstützte alternative Methoden sind Passcode (iOS) und Muster, Pin oder Passwort (Android).

Bevor Sie die App-Sperre aktivieren

Stellen Sie sicher, dass die Einstellung "Verbundene Clients" für Tableau Server oder Tableau Cloud aktiviert ist. Weitere Informationen finden Sie unter Benutzer vorübergehend angemeldet lassen. Wenn diese Einstellung nicht aktiviert ist, müssen sich Benutzer jedes Mal anmelden, wenn sie eine Verbindung zu Tableau Server oder Tableau Cloud herstellen, sodass keine App-Sperre erforderlich ist.

Für Tableau Server können Sie genau steuern, wie lange Benutzer angemeldet bleiben, indem Sie die Ablaufwerte für Aktualisierungstoken anpassen. Weitere Informationen finden Sie unter Ändern Sie, wie lange Benutzer bei Tableau Server angemeldet bleiben. Eine App-Sperre ist für die Verwendung mit langlebigen Token vorgesehen, z. B. für Token, die die Standardablaufwerte verwenden.

Hinweis: Wenn Ihre Tableau Server-Installation einen Reverse-Proxyserver verwendet, beachten Sie, dass sich Ihre Benutzer möglicherweise beim Entsperren der App anmelden müssen. Dies liegt daran, dass ihre Reverse-Proxy-Token abgelaufen sind, ihre Aktualisierungstoken jedoch noch aktiv sind.

Aktivieren der App-Sperreinstellung

Für Tableau Cloud

  1. Melden Sie sich als Administrator in Tableau Cloud an.
  2. Klicken Sie auf Einstellungen, und wählen Sie die Registerkarte Authentifizierung aus.
  3. Aktivieren Sie unter App-Sperre für Tableau Mobile die Einstellung App-Sperre aktivieren.

Für Tableau Server-Versionen 2019.4 und höher

  1. Melden Sie sich als Administrator in Tableau Server an.
  2. Navigieren Sie zur Site, für die Sie die App-Sperre aktivieren möchten.
  3. Wählen Sie Einstellungen aus.
  4. Aktivieren Sie unter Tableau Mobile die Einstellung App-Sperre aktivieren.

Für Tableau Server-Versionen 2019.3 und früher

Die Einstellung für das Aktivieren der App-Sperre ist für Tableau Server-Versionen 2019.3 und früher nicht verfügbar. Sie können die App-Sperre jedoch weiterhin mit einem AppConfig-Parameter für MDM- und MAM-Systeme aktivieren. Weitere Informationen finden Sie unter RequireAppLock in AppConfig-Schlüssel

Benutzeraktivierte App-Sperre

Benutzer können die App-Sperre für ihre Geräte auch einzeln über eine Einstellung innerhalb der App aktivieren. Benutzer können die App-Sperre jedoch nicht über diese Einstellung deaktivieren, wenn sie von ihrem Administrator aktiviert wurde.

Tableau Mobile-Bildschirm "Einstellungen"

Wenn die App-Sperre aktiviert ist

Nachdem Sie die App-Sperre aktiviert haben, müssen Benutzer, die angemeldet sind, die App entsperren, wenn sie sie öffnen. Wenn Benutzer keine Methode zum Entsperren ihrer Geräte eingerichtet haben, werden sie dazu aufgefordert, dies nachzuholen, um die App entsperren zu können.

Wenn Benutzer die App nicht entsperren können, haben sie die Möglichkeit, es entweder erneut zu versuchen oder sich bei Tableau abzumelden. Wenn Benutzer die App nach fünf Versuchen mit einer biometrischen Methode nicht entsperren können oder wenn ihre Geräte nicht für biometrische Daten konfiguriert sind, werden sie aufgefordert, die App mit einer alternativen Methode wie einem Passcode zu entsperren.

Wiederholte Fehler beim Entsperren der App mit einem Passcode führen dazu, dass der Benutzer vom Gerät als Ganzes gesperrt wird, nicht nur vom Zugriff auf die App. Die Anzahl der Versuche, bevor dies geschieht, hängt vom Gerät ab. Weitere Versuche, das Gerät zu entsperren, werden durch immer größer werdende Zeitintervalle verzögert.

Einmaliges Anmelden (Single Sign-On) für Tableau Mobile

Tableau Mobile unterstützt für die Single Sign-On-Authentifizierung (SSO) SAML und OpenID Connect für alle mobilen Plattformen und Kerberos für iOS-Geräte.

SAML

Wenn Tableau Cloud oder Tableau Server für die Verwendung von SAML konfiguriert ist, werden Benutzer automatisch zu dem Identitätsanbieter (IdP) zwecks Anmeldung in Tableau Mobile weitergeleitet. SAML leitet jedoch keine Anmeldeinformationen über SSO an andere mobile Anwendungen weiter. SAML erfordert keine spezielle Konfiguration für mobile Geräte, außer bei Geräten, die Microsoft Intune verwenden. Informationen zum Aktivieren von SAML für Microsoft Intune finden Sie unter Überschreiben des für die Authentifizierung verwendeten Standardbrowsers.

OpenID Connect

Wenn Tableau Server für die Verwendung von OpenID Connect für die Authentifizierung oder Tableau Cloud für die Verwendung von Google (über OpenID Connect) konfiguriert ist, erfolgt die einmalige Anmeldung (SSO) beim externen Identitätsanbieter (IdP) über den Browser des mobilen Geräts. Informationen zum Aktivieren von SSO mit dem Browser finden Sie unter Authentifizierung mit dem Gerätebrowser. Informationen zum Aktivieren von OpenID Connect speziell für Microsoft Intune finden Sie unter Überschreiben des für die Authentifizierung verwendeten Standardbrowsers.

Kerberos (nur iOS und Tableau Server)

Zum Verwenden der Kerberos-Authentifizierung müssen Geräte für Ihre Organisation speziell konfiguriert sein. Auch wenn die Kerberos-Konfiguration im Rahmen dieses Dokuments nicht näher behandelt und nicht vom Tableau-Support abgedeckt wird, finden Sie hier einige Drittanbieterressourcen, die Ihnen bei den ersten Schritten helfen.

Wenn Sie ein Konfigurationsprofil einrichten, benötigen Sie die verwendeten URLs für den Zugriff auf den Tableau-Server. Wenn Sie die URL-Strings für den Schlüssel "URLPrefixMatches" explizit auflisten möchten, beziehen Sie die URLs mit allen Protokolloptionen und den jeweiligen Portnummern ein.

  • Wenn Ihre Server SSL verwenden, müssen Ihre URLs das HTTPS-Protokoll sowie den vollqualifizierten Domänennamen des Servers verwenden. Des Weiteren sollte für eine der URLs der Port 443 festgelegt sein.

    Geben Sie beispielsweise Folgendes ein: https://fully.qualifed.domain.name:443/ und https://servername.fully.qualified.domain.name/

  • Wenn Ihre Benutzer lediglich durch die Angabe des lokalen Servernamens auf Ihren Tableau-Server zugreifen, dann berücksichtigen Sie dies auch bei der Konfiguration.

    Geben Sie beispielsweise Folgendes ein: http://servername/ und http://servername:80/

Hinweis: Beim Abmelden werden Kerberos-Tickets auf einem Gerät nicht gelöscht. Wenn gespeicherte Kerberos-Tickets weiterhin gültig sind, kann jeder, der ein Gerät verwendet, auf den Server und die Site zugreifen, bei dem bzw. der sich ein Benutzer zuletzt angemeldet hat, ohne Anmeldedaten anzugeben.

Erleichtern Sie Benutzern das Wechseln zwischen Sites in Tableau Cloud

Der Site-Wechsler („Site Switcher“) in Tableau Mobile erlaubt es Benutzern, zwischen den verschiedenen Tableau-Sites zu wechseln, auf die sie Zugriff haben, ohne sich in der aktuellen Site abmelden und bei der Zielsite anmelden zu müssen. Damit Benutzer zwischen Sites in Tableau Cloud wechseln können, ohne ihre Anmeldeinformationen erneut eingeben zu müssen, müssen bestimmte Bedingungen erfüllt sein.

  • Die Tableau-Sitzung des Benutzers und die Identitätsanbietersitzung sind auf der Zielsite weiterhin aktiv.
  • Die Einstellung „Mit Gerätebrowser anmelden“ ist aktiviert. Weitere Informationen finden Sie unter Authentifizierung mit dem Gerätebrowser.

Wenn Benutzer eine Site auswählen, zu der sie wechseln möchten, leitet die App die Anforderung an den Browser des Gerätes weiter, um die Sitzung bei dem Identitätsanbieter zu überprüfen, und schaltet dann zur Zielsite um. Wenn die Sitzung auf der Zielsite abgelaufen ist oder die Einstellung „Mit Gerätebrowser anmelden“ nicht aktiviert ist, müssen Benutzer ihre Anmeldeinformationen erneut eingeben.

Sie können die Wahrscheinlichkeit erhöhen, dass die Sitzung eines Benutzers noch aktiv ist, indem Sie eine längere Sitzungsdauer festlegen und die Einstellung „Verbundene Clients“ aktivieren. Weitere Informationen über verbundene Clients finden Sie unter Zugriff auf Sites von verbundenen Clients aus.

Hinweis: Tableau Server-Benutzer müssen ihre Anmeldeinformationen nicht erneut eingeben, um zwischen Sites zu wechseln, die zu der gleichen Serverinstanz gehören.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.