Metodi di autenticazione supportati

Tableau Server

Tableau Mobile supporta i seguenti metodi di autenticazione per Tableau Server.

Metodo Considerazioni per Tableau Mobile
Autenticazione locale (di base)  
Kerberos
  • Solo iOS
SAML  
NTLM  
Autenticazione SSL reciproca
OpenID Connect

Per informazioni sulla configurazione di questi metodi, consulta la Guida di Tableau Server per Windows(Il collegamento viene aperto in una nuova finestra) e Linux(Il collegamento viene aperto in una nuova finestra).

Tableau Online

Tableau Mobile supporta tutti e tre i metodi di autenticazione per Tableau Online.

Per informazioni sulla configurazione di questi metodi, consulta Autenticazione(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau Online.

Autenticazione con il browser del dispositivo

OpenID Connect (incluso Google) e l'autenticazione SSL reciproca vengono eseguiti utilizzando il browser del dispositivo mobile (Safari, Chrome). Lo scambio tra il browser e Tableau Mobile è protetto da OAuth Proof Key for Code Exchange(Il collegamento viene aperto in una nuova finestra) (PKCE).

Per consentire questa autenticazione, devi abilitare l'impostazione Accedi con il browser del dispositivo seguendo le istruzioni riportate di seguito. L'unica eccezione a questo requisito è l'autenticazione SSL reciproca in Android, che non richiede modifiche della configurazione.

Tableau Server (versione 2019.4 o successiva)

Se utilizzi un sistema MDM o MAM, imposta il parametro di AppConfig RequireSignInWithDeviceBrowser su true. In alternativa, gli utenti di Tableau Server possono abilitare l'impostazione "Accedi con il browser del dispositivo" sui singoli dispositivi. Il parametro di AppConfig esegue l'override dell'impostazione utente.

Tableau Online

Imposta il parametro di AppConfig RequireSignInWithDeviceBrowser su true. Per impostare i parametri di AppConfig, devi distribuire l'app con un sistema MDM o MAM. L'impostazione utente non ha alcun effetto per Tableau Online. Pertanto, se non utilizzi un sistema MDM o MAM, non sarai in grado di consentire l'autenticazione Google.

Mantenere temporaneamente gli utenti connessi

Per mantenere temporaneamente gli utenti Tableau Mobile connessi, assicurati che i client connessi siano abilitati per Tableau Online o Tableau Server. Se disabiliti questa impostazione predefinita, agli utenti sarà richiesto di accedere ogni volta che si connettono al server.

Verificare l'impostazione dei client connessi per Tableau Online

  1. Accedi a Tableau Online come amministratore.
  2. Seleziona Impostazioni, quindi la scheda Autenticazione.
  3. In Client connessi, verifica l'impostazione Consenti ai client di connettersi automaticamente a questo sito di Tableau Online.

Per maggiori informazioni, consulta Accedere ai siti da client connessi nella Guida di Tableau Online.

Verificare l'impostazione dei client connessi per Tableau Server

  1. Accedi a Tableau Server come amministratore.
  2. Nel menu del sito seleziona Gestisci tutti i siti, quindi Impostazioni > Generale.
  3. In Client connessi, verifica l'impostazione Consenti ai client di connettersi automaticamente a Tableau Server.

Per maggiori informazioni, consulta Disattivare l'autenticazione automatica del client nella Guida di Tableau Server.

Modificare il tempo di accesso degli utenti a Tableau Server

Quando l'impostazione Client connessi non è abilitata, la durata di una sessione in Tableau Mobile è controllata dai limiti di Tableau Server. Quando l'impostazione Client connessi è abilitata, Tableau Mobile utilizza i token OAuth per ristabilire la sessione e mantenere connessi gli utenti, purché i token siano validi.

Modificare i valori dei token per i client connessi

Per mantenere un utente connesso, Tableau Mobile invia un token di aggiornamento al sistema di autenticazione, che poi fornisce un nuovo token di accesso al dispositivo mobile. Puoi modificare la durata dell'accesso degli utenti regolando le impostazioni dei token di aggiornamento.

Nell'interfaccia della riga di comando per Tableau Services Manager, imposta le seguenti opzioni:

refresh_token.idle_expiry_in_seconds

Imposta il numero di secondi che un token rimarrà inutilizzato prima della scadenza. Il valore predefinito è 1.209.600 secondi (14 giorni). Immetti un valore di -1 per non far mai scadere i token inattivi.

refresh_token.absolute_expiry_in_seconds

Imposta il numero di secondi prima che i token di aggiornamento scadano completamente. Il valore predefinito è 31.536.000 secondi (365 giorni). Immetti un valore di -1 per non far mai scadere i token.

refresh_token.max_count_per_user

Imposta il numero massimo di token di aggiornamento che possono essere rilasciati per ogni utente. Il valore predefinito è 24 Immetti un valore di -1 per rimuovere completamente i limiti dei token.

Per impostare le opzioni di cui sopra, utilizza questa sintassi nell'interfaccia della riga di comando:

tsm configuration set -k <config.key> -v <config_value>.

Ad esempio, per limitare il numero di token di aggiornamento a 5 per utente, è necessario immettere quanto segue:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Per maggiori informazioni, consulta Opzioni di tsm configuration set(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau Server.

Modificare i limiti di sessione per Tableau Server

Se disabiliti i client connessi, i limiti di sessione per Tableau Server determinano la durata di una sessione in Tableau Mobile. Questi limiti non influiscono sui client connessi, perché i token di aggiornamento ristabiliscono la sessione finché sono validi. Per maggiori informazioni, consulta Verificare la configurazione della durata della sessione nella Guida di Tableau Server.

Nell'interfaccia della riga di comando per Tableau Services Manager imposta la seguente opzione:

wgserver.session.idle_limit

Imposta il numero di minuti prima della scadenza di una sessione di Tableau, che richiede di ripetere l'accesso. Il valore predefinito è 240.

Abilitare il blocco dell'app per una maggiore sicurezza

I token di autenticazione di lunga durata consentono agli utenti di rimanere connessi, in modo da poter accedere istantaneamente ai dati. Tuttavia, questo accesso aperto ai dati in Tableau Mobile potrebbe essere una fonte di preoccupazione. Invece di richiedere agli utenti di eseguire l'accesso più di frequente, puoi abilitare il blocco dell'app per offrire loro un sistema sicuro ma al tempo stesso semplice per accedere ai contenuti.

Il blocco dell'app per Tableau Mobile non autentica gli utenti con Tableau Server o Tableau Online, ma fornisce un livello di sicurezza per gli utenti che hanno già effettuato l'accesso. Quando è abilitato il blocco dell'app, gli utenti devono aprire l'app utilizzando il metodo di sicurezza che hanno configurato per lo sblocco dei propri dispositivi. I metodi biometrici supportati sono Face ID o Touch ID (iOS) e le impronte digitali, il riconoscimento del volto o il riconoscimento dell'iride (Android). I metodi alternativi supportati sono il codice (iOS) e la sequenza, il PIN o la password (Android).

Prima di abilitare il blocco dell'app

Verifica che l'impostazione Client connessi per Tableau Server o Tableau Online sia abilitata. Per maggiori informazioni, consulta Mantenere temporaneamente gli utenti connessi. Se questa impostazione non è abilitata, agli utenti sarà richiesto di accedere ogni volta che si connettono a Tableau Server o Tableau Online, eliminando la necessità di un blocco dell'app.

Per Tableau Server, è possibile controllare con precisione per quanto tempo gli utenti rimangono connessi regolando i valori di scadenza per i token di aggiornamento. Per maggiori informazioni, consulta Modificare il tempo di accesso degli utenti a Tableau Server. Un blocco dell'app è destinato all'utilizzo con token di lunga durata, come quelli che utilizzano i valori di scadenza predefiniti.

Nota: se l'installazione di Tableau Server utilizza un server proxy inverso, tieni presente che gli utenti potrebbero dover eseguire l'accesso all'app dopo averla sbloccata. Questo perché i token del proxy inverso sono scaduti, mentre i token di aggiornamento sono ancora attivi.

Abilitare l'impostazione di blocco delle app

Per Tableau Online

  1. Accedi a Tableau Online come amministratore.
  2. Seleziona Impostazioni, quindi la scheda Autenticazione.
  3. In Blocco dell'app per Tableau Mobile seleziona l'impostazione Abilita blocco dell'app.

Per Tableau Server 2019.4 e versioni successive

  1. Accedi a Tableau Server come amministratore.
  2. Passa al sito per cui desideri abilitare il blocco dell'app.
  3. Seleziona Impostazioni.
  4. In Tableau Mobile seleziona l'impostazione Abilita blocco dell'app.

Per Tableau Server 2019.3 e versioni precedenti

L'impostazione per abilitare il blocco dell'app non è disponibile per Tableau Server 2019.3 e versioni precedenti. È comunque possibile abilitare il blocco dell'app con un parametro di AppConfig per i sistemi MDM e MAM. Vedi RequireAppLock in Chiavi AppConfig.

Blocco dell'app abilitato dall'utente

Gli utenti possono anche abilitare individualmente il blocco dell'app per i propri dispositivi tramite un'impostazione all'interno dell'app. Tuttavia, gli utenti non possono disabilitare il blocco dell'app tramite questa impostazione se è abilitato dall'amministratore.

Schermata delle impostazioni di Tableau Mobile

Quando il blocco dell'app è abilitato

Dopo aver abilitato il blocco dell'app, agli utenti che hanno effettuato l'accesso verrà richiesto di sbloccare l'app al momento dell'apertura. Se gli utenti non hanno impostato un metodo per sbloccare i propri dispositivi, verrà richiesto loro di eseguire tale operazione per sbloccare l'app.

Se gli utenti non riescono a sbloccare l'app, hanno la possibilità di riprovare o di uscire da Tableau. Se gli utenti non riescono a sbloccare l'app dopo cinque tentativi con un metodo biometrico, o se i dispositivi non sono configurati per la biometria, verrà richiesto di eseguire lo sblocco utilizzando un metodo alternativo come un codice.

In caso di ripetuti tentativi non riusciti di sblocco dell'app tramite un codice, verrà bloccato l'accesso dell'utente all'intero dispositivo, non solo all'app. Il numero di tentativi prima del blocco dipende dal dispositivo. Per gli ulteriori tentativi di sblocco del dispositivo è previsto un ritardo in base a un periodo di tempo crescente.

Accesso Single Sign-On per Tableau Mobile

Per l'autenticazione Single Sign-On (SSO), Tableau Mobile supporta SAML e OpenID Connect per tutte le piattaforme mobili e Kerberos per i dispositivi iOS.

SAML

Se Tableau Online o Tableau Server è configurato per utilizzare SAML, gli utenti vengono automaticamente reindirizzati al provider di identità (IdP) per l'accesso all'interno di Tableau Mobile. Non dovrai fare altro: SAML non richiede alcuna configurazione particolare per i dispositivi mobili. Tuttavia, SAML non trasmette le credenziali ad altre applicazioni mobili che utilizzano l'accesso SSO.

OpenID Connect

Se Tableau Server è configurato per l'utilizzo di OpenID Connect per l'autenticazione o se Tableau Online è configurato per l'utilizzo di Google (tramite OpenID Connect), l'accesso Single Sign-On viene eseguito con il provider di identità (IdP) esterno tramite il browser del dispositivo mobile. Per abilitare SSO con il browser, consulta Autenticazione con il browser del dispositivo.

Kerberos (solo iOS e Tableau Server)

Per utilizzare l'autenticazione Kerberos, i dispositivi devono essere configurati appositamente per la tua organizzazione. La configurazione di Kerberos non rientra nell'ambito di questo documento e dell'assistenza di Tableau, ma ecco alcune risorse di terze parti per aiutarti a iniziare.

Quando imposti un profilo di configurazione, hai bisogno degli URL utilizzati per accedere a Tableau Server. Per la chiave URLPrefixMatches, se decidi di elencare esplicitamente le stringhe dell'URL, includi l'URL con tutte le opzioni di protocollo e i numeri di porta appropriati.

  • Se i tuoi server utilizzano SSL, gli URL devono utilizzare il protocollo https e il nome di dominio completo del server. Uno degli URL dovrebbe specificare anche la porta 443.

    Ad esempio, immetti https://fully.qualifed.domain.name:443/ e https://servername.fully.qualified.domain.name/

  • Se gli utenti accedono a Tableau Server specificando solo il nome del server locale, devi includere anche queste variazioni.

    Ad esempio, immetti http://servername/ e http://servername:80/

Nota: la disconnessione non cancella i ticket Kerberos su un dispositivo. Se i ticket Kerberos memorizzati sono ancora validi, chiunque utilizzi un dispositivo può accedere al server e al sito a cui l'utente ha effettuato l'ultimo accesso, senza fornire credenziali.

Grazie per il tuo feedback.