Controlar a autenticação e o acesso para o Tableau Mobile

Métodos de autenticação suportados

Tableau Server

O Tableau Mobile é compatível com os seguintes métodos de autenticação do Tableau Server.

Método Considerações para o Tableau Mobile
Autenticação local (básica)  
Kerberos
  • Somente no iOS
SAML  
NTLM  
SSL mútuo
OpenID Connect

Para obter informações sobre a configuração desses métodos, consulte a Ajuda do Tableau Server para Windows(O link abre em nova janela) e Linux(O link abre em nova janela).

Tableau Online

O Tableau Mobile é compatível com todos os três métodos de autenticação do Tableau Online.

Para obter mais informações sobre a configuração desses métodos, consulte Autenticação(O link abre em nova janela) na ajuda do Tableau Online.

Autenticação com o navegador do dispositivo

O OpenID Connect (incluindo o Google) e a autenticação de SSL mútuo ocorrem usando o navegador do dispositivo móvel (Safari, Chrome). A troca entre o navegador e o Tableau Mobile é garantida pela Chave de prova para troca de código(O link abre em nova janela)(PKCE) do OAuth.

Para que essa autenticação ocorra, ative a configuração de Logon com o Navegador do dispositivo, seguindo as instruções abaixo. A única exceção a esse requisito é a autenticação de SSL mútuo no Android, que não requer alterações de configuração.

Tableau Server (versão 2019.4 ou posteriores)

Se usar um sistema MDM ou MAM, defina o parâmetro AppConfig, RequireSignInWithDeviceBrowser, como verdadeiro. Como alternativa, os usuários do Tableau Server podem habilitar a configuração "Fazer logon com o navegador do dispositivo" em seus dispositivos individuais. O parâmetro AppConfig substitui a configuração do usuário.

Tableau Online

Defina o parâmetro AppConfig, RequireSignInWithDeviceBrowser, como verdadeiro. Para definir os parâmetros AppConfig, implante o aplicativo com um sistema MDM ou MAM. A configuração do usuário não tem efeito no Tableau Online, portanto, se você não usar um sistema MDM ou MAM, não poderá permitir a autenticação do Google.

Manter temporariamente os usuários conectados

Para manter temporariamente os usuários do Tableau Mobile conectados, verifique se os clientes conectados estão habilitados para o Tableau Online ou Tableau Server. Se você desabilitar essa configuração padrão, os usuários precisarão entrar sempre que se conectarem ao servidor.

Verificar a configuração dos clientes conectados para o Tableau Online

  1. Entre no Tableau Online como um administrador.
  2. Selecione Configurações e, em seguida, selecione a guia Autenticação.
  3. Em Clientes conectados, observe a configuração Permitir que os clientes se conectem automaticamente a este site do Tableau Online.

Para obter informações, consulte Acessar sites de clientes conectados na Ajuda do Tableau Online.

Verificar a configuração dos clientes conectados para o Tableau Server

  1. Entre no Tableau Server como um administrador.
  2. No menu do site, selecione Gerenciar todos os sites e depois selecione Configurações > Geral.
  3. Em Clientes conectados, observe a configuração Permitir que os clientes se conectem automaticamente ao Tableau Server.

Para obter mais informações, consulte Desabilitar a autenticação automática do cliente na ajuda do Tableau Server.

Alterar o tempo de permanência dos usuários no Tableau Server

Quando a configuração de clientes conectados não está habilitada, a duração de uma sessão no Tableau Mobile é controlada pelos limites do Tableau Server. Quando a configuração de clientes conectados está habilitada, o Tableau Mobile usa tokens OAuth para restabelecer a sessão e manter os usuários conectados, desde que os tokens sejam válidos.

Alterar valores de token para clientes conectados

Para manter um usuário conectado, o Tableau Mobile envia um token de atualização para o sistema de autenticação, que fornece um novo token de acesso para o dispositivo móvel. Você pode alterar por quanto tempo os usuários permanecem registrados ajustando as configurações de tokens de atualização.

Na interface de linha de comando do Tableau Services Manager, defina as seguintes opções:

refresh_token.idle_expiry_in_seconds

Define o número de segundos que um token pode não ser utilizado antes de expirar. O valor padrão de 1.209.600 é igual a 14 dias. Digite um valor de -1 para nunca expirar tokens ociosos.

refresh_token.absolute_expiry_in_seconds

Define o número de segundos antes de atualizar tokens completamente expirados. O valor padrão de 31.536.000 é igual a 365 dias. Digite um valor de -1 para nunca expirar tokens.

refresh_token.max_count_per_user

Define o número máximo de tokens de atualização que podem ser emitidos para cada usuário. O valor padrão é 24. Digite um valor de -1 para remover completamente os limites de token.

Para definir as opções acima, use esta sintaxe na interface de linha de comando:

tsm configuration set -k <config.key> -v <config_value>.

Por exemplo, para limitar o número de tokens de atualização a 5 por usuário, você deve inserir o seguinte:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Para obter mais informações, consulte Opções de tsm configuration set(O link abre em nova janela) na ajuda do Tableau Server.

Alterar limites de sessão para Tableau Server

Se você desativar os clientes conectados, os limites de sessão do Tableau Server determinarão a duração de uma sessão no Tableau Mobile. Esses limites não afetam os clientes conectados, porque os tokens de atualização restabelecem a sessão, desde que os tokens sejam válidos. Para obter mais informações, consulte Verificar a configuração de tempo da sessão na ajuda do Tableau Server.

Na interface de linha de comando do Tableau Services Manager, defina as seguintes opções:

wgserver.session.idle_limit

Define o número de minutos antes de uma sessão do Tableau expirar, exigindo novamente o registro. O valor padrão é 240.

Ativar o bloqueio de aplicativo para maior segurança

Os tokens de autenticação de longa duração permitem que os usuários permaneçam conectados, fornecendo acesso aos dados sem problemas. No entanto, você pode ter preocupações com esse acesso aberto aos dados no Tableau Mobile. Em vez de exigir que os usuários façam logon com mais frequência, você pode ativar o bloqueio de aplicativo para oferecer aos usuários uma maneira segura, porém simples de acessar o conteúdo.

O bloqueio de aplicativo do Tableau Mobile não autentica os usuários com o Tableau Server ou com o Tableau Online. Em vez disso, oferece uma camada de segurança para os usuários que já estão conectados. Quando o bloqueio de aplicativo é ativado, os usuários devem abrir o aplicativo usando o método de segurança que configuraram para desbloquear os dispositivos. Os métodos biométricos compatíveis são Face ID ou Touch ID (iOS) e impressão digital, face ou íris (Android). Métodos alternativos compatíveis são senha (iOS) e padrão, pin ou senha (Android).

Antes de ativar o bloqueio de aplicativo

Ative a configuração de Clientes conectados do Tableau Server ou do Tableau Online. Para obter mais informações, consulte Manter temporariamente os usuários conectados. Se essa configuração não estiver ativada, os usuários precisarão fazer logon toda vez que se conectarem ao Tableau Server ou Tableau Online, eliminando a necessidade de um bloqueio de aplicativo.

Para o Tableau Server, é possível controlar com precisão o tempo de permanência dos usuários, ajustando os valores de expiração para tokens de atualização. Para obter mais informações, consulte Alterar o tempo de permanência dos usuários no Tableau Server. Um bloqueio de aplicativo deve ser usado com tokens de longa duração, como os que usam os valores de expiração padrão.

Observação: se a instalação do Tableau Server usar um servidor proxy reverso, esteja ciente de que talvez os usuários precisem entrar no desbloqueio de aplicativo. Isso ocorre porque os tokens de proxy reverso expiraram, mas os tokens de atualização ainda estão ativos.

Habilitar a configuração de bloqueio do aplicativo

Para o Tableau Online

  1. Entre no Tableau Online como um administrador.
  2. Selecione Configurações e, em seguida, selecione a guia Autenticação.
  3. Em Bloqueio de aplicativo do Tableau Mobile, marque a configuração Ativar bloqueio de aplicativo.

Para o Tableau Server versões 2019.4 e posteriores

  1. Entre no Tableau Server como um administrador.
  2. Navegue até o site para o qual deseja ativar o bloqueio de aplicativo.
  3. Selecione Configurações.
  4. Em Tableau Mobile, marque a configuração Ativar bloqueio de aplicativo.

Para o Tableau Server versões 2019.3 e anteriores

A configuração para ativar o bloqueio de aplicativo não está disponível para o Tableau Server versões 2019.3 e anteriores. No entanto, você ainda pode ativar o bloqueio de aplicativo com um parâmetro AppConfig para sistemas MDM e MAM. Consulte RequireAppLock em Parâmetros AppConfig.

Bloqueio de aplicativo habilitado para o usuário

Os usuários também podem ativar individualmente o bloqueio de aplicativo para seus dispositivos por meio de uma configuração no aplicativo. No entanto, os usuários não podem desativar o bloqueio de aplicativo por meio dessa configuração, se ele for ativado pelo administrador.

Tableau Mobile settings screen

Quando o bloqueio de aplicativo é ativado

Depois de ativar o bloqueio de aplicativo, os usuários conectados precisarão desbloquear o aplicativo ao abri-lo. Se os usuários não configuraram um método de desbloqueio de dispositivos, eles serão solicitados a fazê-lo para desbloquear o aplicativo.

Se os usuários não desbloquearem o aplicativo, eles terão a opção de tentar novamente ou sair do Tableau. Se os usuários não desbloquearem o aplicativo após cinco tentativas usando um método biométrico ou se os dispositivos não forem configurados para biometria, eles serão solicitados a desbloquear usando um método alternativo, como um código de acesso.

Falhas repetidas ao desbloquear o aplicativo usando uma senha resultarão no bloqueio do usuário do dispositivo como um todo, não apenas do aplicativo. O número de tentativas antes que isso ocorra depende do dispositivo. Outras tentativas de desbloquear o dispositivo são adiadas pelo aumento da quantidade de tempo.

Logon único no Tableau Mobile

Para a autenticação de logon único (SSO), o Tableau Mobile é compatível com SAML e OpenID Connect para todas as plataformas móveis e Kerberos para dispositivos iOS.

SAML

Se o seu Tableau Online ou Tableau Server estiver configurado para utilizar SAML, os usuários serão redirecionados automaticamente para o provedor de identidade (IdP) para logon no Tableau Mobile. Isso é tudo o que você precisa saber: o SAML não requer nenhuma configuração especial para dispositivos móveis. No entanto, o SAML não depende das credenciais para outros aplicativos de dispositivos móveis usando o SSO.

OpenID Connect

Se o Tableau Server estiver configurado para usar o OpenID Connect para autenticação ou se o Tableau Online estiver configurado para usar o Google (por meio do OpenID Connect), o logon único ocorre com o provedor de identidade externo (IdP) usando o navegador do dispositivo móvel. Para ativar o SSO com o navegador, consulte Autenticação com o navegador do dispositivo.

Kerberos (somente iOS e Tableau Server)

Para usar a autenticação do Kerberos, os dispositivos devem ser configurados especialmente para a sua organização. A configuração do Kerberos está fora do escopo deste documento e do Suporte do Tableau, mas veja abaixo alguns recursos de terceiros para ajudar na introdução.

Ao definir um perfil um perfil de configuração, precisará das URLs usadas para acessar o Tableau Server. Para a chave URLPrefixMatches, se você decidir listar as cadeias de caracteres da URL de modo explícito, inclua as URLs com todas as opções de protocolo e os números de porta apropriados.

  • Se os seus servidores usarem SSL, as suas URLs devem usar o protocolo https e o nome de domínio totalmente qualificado do servidor. Uma das URLs também deve especificar a porta 443.

    Por exemplo, insira https://fully.qualifed.domain.name:443/ e https://servername.fully.qualified.domain.name/

  • Se os usuários acessarem o Tableau Server ao especificar somente o nome do servidor local, você também deverá incluir essas variações.

    Por exemplo, insira http://servername/ e http://servername:80/

Observação: sair não libera os tíquetes do Kerberos em um dispositivo. Se você armazenou tickets de Kerberos que ainda são válidos, qualquer pessoa que use um dispositivo poderá acessar o servidor e o site aos quais um usuário se conectou recentemente, sem fornecer credenciais.

Agradecemos seu feedback!