Verificatie en toegang beheren voor Tableau Mobile
Ondersteunde verificatiemethoden
Tableau Server
Tableau Mobile ondersteunt de volgende verificatiemethoden voor Tableau Server.
Methode | Overwegingen voor Tableau Mobile |
---|---|
Lokale (basis)verificatie | |
Kerberos |
|
SAML | |
NTLM | |
Wederzijdse SSL |
|
OpenID Connect |
|
Raadpleeg de Tableau Server Help voor Windows(Link wordt in een nieuw venster geopend) en Linux(Link wordt in een nieuw venster geopend) voor informatie over het configureren van deze methoden.
Tableau Cloud
Tableau Mobile ondersteunt alle drie de verificatiemethoden voor Tableau Cloud.
- Standaard Tableau-methode
- Google via OpenID Connect (Aanmelden met apparaatbrowser moet ingeschakeld zijn)
- SAML
Zie Verificatie(Link wordt in een nieuw venster geopend) in de Help van Tableau Cloud voor informatie over het configureren van deze methoden.
Verificatie met de apparaatbrowser
OpenID Connect (inclusief Google) en wederzijdse SSL-verificatie vinden plaats via de browser van het mobiele apparaat (Safari, Chrome). De uitwisseling tussen de browser en Tableau Mobile wordt beveiligd door OAuth Proof Key for Code Exchange(Link wordt in een nieuw venster geopend) (PKCE).
Om deze verificatie te laten plaatsvinden, moet u de instelling Aanmelden met apparaatbrowser inschakelen door de onderstaande instructies te volgen. De enige uitzondering op deze vereiste is wederzijdse SSL-verificatie op Android, waarvoor geen configuratiewijzigingen nodig zijn.
Tableau Server (versie 2019.4 of hoger)
Als u een MDM- of MAM-systeem gebruikt, stelt u de AppConfig-parameter, RequireSignInWithDeviceBrowser, in op waar. Als alternatief kunnen Tableau Server-gebruikers de instelling Aanmelden met apparaatbrowser op hun individuele apparaten inschakelen. De AppConfig-parameter overschrijft de gebruikersinstelling.
Tableau Cloud
Stel de AppConfig-parameter, RequireSignInWithDeviceBrowser, in op waar. Om AppConfig-parameters in te stellen, moet u de app implementeren met een MDM- of MAM-systeem. De gebruikersinstelling heeft geen effect voor Tableau Cloud, dus als u geen MDM- of MAM-systeem gebruikt, kunt u Google-verificatie niet toestaan.
De standaardbrowser die voor verificatie wordt gebruikt, overschrijven
Wanneer u Tableau Mobile configureert om de browser te gebruiken voor verificatie, wordt de standaardbrowser voor het apparaat gebruikt: Safari voor iOS en Chrome voor Android. Om voorwaardelijke toegang voor Microsoft Intune in te schakelen, moet u Tableau Mobile configureren om in plaats daarvan Microsoft Edge voor verificatie te gebruiken. Hiervoor zijn twee AppConfig-parameters vereist:
- Stel
RequireSignInWithDeviceBrowser
in optrue
om ervoor te zorgen dat Tableau Mobile de browser gebruikt voor verificatie. - Stel
OverrideDeviceBrowser
in opEdge
om de browser die wordt gebruikt voor verificatie te wijzigen van de apparaatstandaard naar Microsoft Edge. Als u deze parameter wijzigt zonder dat u zich bij de browser hoeft aan te melden, heeft dit geen effect. Zie de AppConfig-parameters voor Tableau Mobile voor meer informatie.
Naast het instellen van de AppConfig-parameters voor Tableau Mobile configureert u uw Microsoft Intune-omgeving als volgt:
- Als u Azure-toepassingsproxy gebruikt, moet deze passthrough gebruiken als preverificatiemethode.
- De verificatiemethode moet SAML of OpenID zijn.
- De identiteitsprovider moet Azure Active Directory zijn.
Gebruikers tijdelijk aangemeld houden
Om Tableau Mobile-gebruikers tijdelijk aangemeld te houden, moet u ervoor zorgen dat verbonden clients zijn ingeschakeld voor Tableau Cloud of Tableau Server. Als u deze standaardinstelling uitschakelt, moeten gebruikers zich elke keer aanmelden wanneer ze verbinding maken met de server.
De instelling van verbonden clients voor Tableau Cloud controleren
- Meld u als beheerder aan bij Tableau Cloud.
- Selecteer Instellingen en selecteer vervolgens het tabblad Verificatie.
- Merk onder Verbonden clients de instelling Clients mogen automatisch verbinding maken met deze Tableau Cloud-site op.
Zie Sites openen vanuit verbonden clients in Tableau Cloud Help voor meer informatie.
De instelling van verbonden clients voor Tableau Server controleren
- Meld u als beheerder aan bij Tableau Server.
- Selecteer in het sitemenu Alle sites beheren en selecteer vervolgens Instellingen > Algemeen.
- Merk onder Verbonden clients de instelling Clients mogen automatisch verbinding maken met Tableau Server op.
Zie Automatische clientverificatie uitschakelen in Tableau Server Help voor meer informatie.
Wijzigen hoe lang gebruikers aangemeld blijven bij Tableau Server
Als de instelling voor verbonden clients niet is ingeschakeld, wordt de lengte van een sessie op Tableau Mobile bepaald door Tableau Server-limieten. Wanneer de instelling voor verbonden clients is ingeschakeld, gebruikt Tableau Mobile OAuth-tokens om de sessie te herstellen en gebruikers aangemeld te houden, zolang de tokens geldig zijn.
Tokenwaarden voor verbonden clients wijzigen
Om een gebruiker aangemeld te houden, stuurt Tableau Mobile een vernieuwingstoken naar het verificatiesysteem, dat vervolgens een nieuw toegangstoken aan het mobiele apparaat levert. U kunt wijzigen hoe lang gebruikers aangemeld blijven door de instellingen voor vernieuwingstokens aan te passen.
Stel in de opdrachtregelinterface voor Tableau Services Manager de volgende opties in:
- refresh_token.idle_expiry_in_seconds
Stelt het aantal seconden in dat een token ongebruikt mag blijven voordat het vervalt. De standaardwaarde van 1.209.600 is gelijk aan 14 dagen. Voer een waarde van -1 in om inactieve tokens nooit te laten verlopen.
- refresh_token.absolute_expiry_in_seconds
Stelt het aantal seconden in voordat vernieuwingstokens volledig verlopen. De standaardwaarde van 31.536.000 is gelijk aan 365 dagen. Voer een waarde van -1 in om tokens nooit te laten verlopen.
- refresh_token.max_count_per_user
Stelt het maximale aantal vernieuwingstokens in dat aan elke gebruiker kan worden uitgegeven. De standaardwaarde is 24. Voer een waarde van -1 in om de tokenlimieten volledig te verwijderen.
Om de bovenstaande opties in te stellen, gebruikt u deze syntaxis in de opdrachtregelinterface:
tsm configuration set -k <config.key> -v <config_value>
.
Als u bijvoorbeeld het aantal vernieuwingstokens wilt beperken tot 5 per gebruiker, voert u het volgende in:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
Zie TSM-configuration set-opties(Link wordt in een nieuw venster geopend) in Tableau Server Help voor meer informatie.
Sessielimieten voor Tableau Server wijzigen
Als u verbonden clients uitschakelt, bepalen de sessielimieten voor Tableau Server de lengte van een sessie op Tableau Mobile. Deze limieten hebben geen invloed op verbonden clients, omdat vernieuwingstokens de sessie opnieuw tot stand brengen zolang de tokens geldig zijn. Zie De configuratie van de sessielevensduur controleren in Tableau Server Help voor meer informatie.
Stel in de opdrachtregelinterface voor Tableau Services Manager de volgende optie in:
Stelt het aantal minuten in voordat een Tableau-sessie verloopt, waarbij opnieuw aanmelden vereist is. De standaardwaarde is 240.
Appvergrendeling inschakelen voor extra beveiliging
Dankzij duurzame verificatietokens kunnen gebruikers aangemeld blijven, waardoor ze probleemloos toegang krijgen tot data. Het kan echter zijn dat u zich zorgen maakt over deze open toegang tot data in Tableau Mobile. In plaats van te vereisen dat gebruikers zich vaker aanmelden, kunt u appvergrendeling inschakelen, zodat gebruikers op een veilige maar eenvoudige manier toegang krijgen tot inhoud.
Appvergrendeling voor Tableau Mobile verifieert geen gebruikers met Tableau Server of Tableau Cloud. In plaats daarvan biedt het een beveiligingslaag voor gebruikers die al zijn aangemeld. Wanneer appvergrendeling is ingeschakeld, moeten gebruikers de app openen met de beveiligingsmethode die ze hebben geconfigureerd om hun apparaten te ontgrendelen. Ondersteunde biometrische methoden zijn Face ID of Touch ID (iOS) en vingerafdruk, gezicht of iris (Android). Ondersteunde alternatieve methoden zijn wachtwoordcode (iOS) en patroon, pincode of wachtwoord (Android).
Voordat u appvergrendeling inschakelt
Zorg ervoor dat de instelling Verbonden clients voor Tableau Server of Tableau Cloud is ingeschakeld. Zie Gebruikers tijdelijk aangemeld houden voor meer informatie. Als u deze instelling niet hebt ingeschakeld, moeten gebruikers zich elke keer aanmelden wanneer ze verbinding maken met Tableau Server of Tableau Cloud, waardoor er geen appvergrendeling nodig is.
Voor Tableau Server kunt u precies bepalen hoe lang gebruikers aangemeld blijven door de verloopwaarden voor vernieuwingstokens aan te passen. Zie Wijzigen hoe lang gebruikers aangemeld blijven bij Tableau Server voor meer informatie. Een appvergrendeling is bedoeld voor gebruik met tokens met een lange levensduur, zoals tokens die de standaard verloopwaarden gebruiken.
Opmerking: als uw Tableau Server-installatie gebruikmaakt van een reverse proxy-server, houd er dan rekening mee dat uw gebruikers zich mogelijk moeten aanmelden bij het ontgrendelen van de app. Dit komt omdat hun reverse proxy-tokens zijn verlopen, maar hun vernieuwingstokens nog steeds actief zijn.
De instelling Appvergrendeling inschakelen
Voor Tableau Cloud
- Meld u als beheerder aan bij Tableau Cloud.
- Selecteer Instellingen en selecteer vervolgens het tabblad Verificatie.
- Schakel onder Appvergrendeling voor Tableau Mobile de instelling App-vergrendeling inschakelen in.
Voor Tableau Server-versies 2019.4 en hoger
- Meld u als beheerder aan bij Tableau Server.
- Navigeer naar de site waarvoor u appvergrendeling wilt inschakelen.
- Selecteer Instellingen.
- Schakel onder Tableau Mobile de instelling App-vergrendeling inschakelen in.
Voor Tableau Server-versies 2019.3 en lager
De instelling om appvergrendeling in te schakelen is niet beschikbaar voor Tableau Server-versies 2019.3 en lager. U kunt appvergrendeling echter nog steeds inschakelen met een AppConfig-parameter voor MDM- en MAM-systemen. Zie Appvergrendeling vereisen in AppConfig-sleutels.
Door gebruiker ingeschakelde appvergrendeling
Gebruikers kunnen appvergrendeling ook individueel inschakelen voor hun apparaten via een instelling binnen de app. Gebruikers kunnen appvergrendeling echter niet uitschakelen via deze instelling als deze is ingeschakeld door hun beheerder.
Wanneer appvergrendeling is ingeschakeld
Nadat u appvergrendeling hebt ingeschakeld, moeten gebruikers die zijn aangemeld de app ontgrendelen wanneer ze deze openen. Als gebruikers geen methode hebben ingesteld om hun apparaten te ontgrendelen, wordt hen gevraagd dit te doen om de app te ontgrendelen.
Als gebruikers de app niet kunnen ontgrendelen, hebben ze de mogelijkheid om het opnieuw te proberen of af te melden bij Tableau. Als gebruikers de app na vijf pogingen met een biometrische methode niet kunnen ontgrendelen, of als hun apparaat niet is geconfigureerd voor biometrie, wordt hen gevraagd de app te ontgrendelen met een alternatieve methode, zoals een wachtwoordcode.
Herhaaldelijk mislukte pogingen om de app te ontgrendelen met een wachtwoordcode zal ertoe leiden dat de gebruiker wordt buitengesloten van het apparaat als geheel, en niet alleen van de app. Het aantal pogingen voordat dit gebeurt, is afhankelijk van het apparaat. Verdere pogingen om het apparaat te ontgrendelen worden met steeds langere tijdsspannes vertraagd.
Eenmalige aanmelding voor Tableau Mobile
Voor verificatie met eenmalige aanmelding (SSO) ondersteunt Tableau Mobile SAML en OpenID Connect voor alle mobiele platforms en Kerberos voor iOS-apparaten.
SAML
Als Tableau Cloud of Tableau Server is geconfigureerd om SAML te gebruiken, worden gebruikers automatisch doorgestuurd naar de identiteitsprovider (IdP) om aan te melden binnen Tableau Mobile. SAML geeft echter geen referenties door aan andere mobiele apps met behulp van SSO. SAML vereist geen speciale configuratie voor mobiele apparaten, behalve in het geval van apparaten die Microsoft Intune gebruiken. Raadpleeg De standaardbrowser die voor verificatie wordt gebruikt, overschrijven om SAML voor Microsoft Intune in te schakelen.
OpenID Connect
Als Tableau Server is geconfigureerd om OpenID Connect te gebruiken voor verificatie, of als Tableau Cloud is geconfigureerd om Google te gebruiken (via OpenID Connect), vindt eenmalige aanmelding plaats bij de externe identiteitsprovider (IdP) via de browser van het mobiele apparaat. Raadpleeg Verificatie met de apparaatbrowser om SSO in te schakelen met de browser. Als u OpenID Connect specifiek voor Microsoft Intune wilt inschakelen, raadpleegt u De standaardbrowser die voor verificatie wordt gebruikt, overschrijven.
Kerberos (alleen iOS en Tableau Server)
Om Kerberos-verificatie te gebruiken, moeten apparaten speciaal voor uw organisatie worden geconfigureerd. De Kerberos-configuratie valt buiten het bestek van dit document en Tableau-ondersteuning, maar hier zijn enkele bronnen van derden om u op weg te helpen.
Eenmalige aanmelding met Kerberos voor iOS(Link wordt in een nieuw venster geopend) op Sam's Tech Notes-blog
Mobiele eenmalige aanmelding van iOS naar SAP NetWeaver(Link wordt in een nieuw venster geopend) op het SAP Community Network
De Configuration Profile Key Reference(Link wordt in een nieuw venster geopend) in de iOS-ontwikkelaarsbibliotheek
Wanneer u een configuratieprofiel instelt, hebt u de URL's nodig die worden gebruikt om toegang te krijgen tot uw Tableau-server. Als u voor de URLPrefixMatches-sleutel besluit de URL-tekenreeksen expliciet weer te geven, neemt u URL's op met alle protocolopties en de juiste poortnummers.
Als uw servers SSL gebruiken, moeten uw URL's het https-protocol en de volledig gekwalificeerde domeinnaam van de server gebruiken. Een van de URL's moet ook poort 443 opgeven.
Voer bijvoorbeeld
https://fully.qualifed.domain.name:443/
enhttps://servername.fully.qualified.domain.name/
inAls uw gebruikers toegang krijgen tot uw Tableau-server door alleen de lokale servernaam op te geven, moet u deze varianten ook opnemen.
Voer bijvoorbeeld
http://servername/
enhttp://servername:80/
in
Opmerking: als u zich afmeldt, worden Kerberos-tickets op een apparaat niet gewist. Als opgeslagen Kerberos-tickets nog steeds geldig zijn, kan iedereen die een apparaat gebruikt, toegang krijgen tot de server en de site waarop de gebruiker het laatst was aangemeld, zonder referenties op te geven.