Controlar a autenticação e o acesso para o Tableau Mobile
Métodos de autenticação suportados
Tableau Server
O Tableau Mobile é compatível com os seguintes métodos de autenticação do Tableau Server.
| Método | Considerações para o Tableau Mobile |
|---|---|
| Autenticação local (básica) | |
| Kerberos |
|
| SAML | |
| NTLM | |
| SSL mútuo |
|
| OpenID Connect |
|
Para obter informações sobre a configuração desses métodos, consulte a Ajuda do Tableau Server para Windows(O link abre em nova janela) e Linux(O link abre em nova janela).
Tableau Cloud
O Tableau Mobile é compatível com todos os três métodos de autenticação do Tableau Cloud.
- Método Tableau padrão
- Google via OpenID Connect (Fazer logon com o navegador do dispositivo deve estar habilitado)
- SAML
Para obter mais informações sobre a configuração desses métodos, consulte Autenticação(O link abre em nova janela) na ajuda do Tableau Cloud.
Autenticação com o navegador do dispositivo
O OpenID Connect (incluindo o Google) e a autenticação de SSL mútuo ocorrem usando o navegador do dispositivo móvel (Safari, Chrome). A troca entre o navegador e o Tableau Mobile é garantida pela Chave de prova para troca de código(O link abre em nova janela)(PKCE) do OAuth.
Para que essa autenticação ocorra, ative a configuração de Logon com o Navegador do dispositivo, seguindo as instruções abaixo. A única exceção a esse requisito é a autenticação de SSL mútuo no Android, que não requer alterações de configuração.
Tableau Server (versão 2019.4 ou posteriores)
Se usar um sistema MDM ou MAM, defina o parâmetro AppConfig, RequireSignInWithDeviceBrowser, como verdadeiro. Como alternativa, os usuários do Tableau Server podem habilitar a configuração "Fazer logon com o navegador do dispositivo" em seus dispositivos individuais. O parâmetro AppConfig substitui a configuração do usuário.
Tableau Cloud
Defina o parâmetro AppConfig, RequireSignInWithDeviceBrowser, como verdadeiro. Para definir os parâmetros AppConfig, implante o aplicativo com um sistema MDM ou MAM. A configuração do usuário não tem efeito no Tableau Cloud, portanto, se você não usar um sistema MDM ou MAM, não poderá permitir a autenticação do Google.
Substituir o navegador padrão usado para autenticação
Quando você configura o Tableau Mobile para usar o navegador para autenticação, ele usa o navegador padrão do dispositivo: Safari para iOS e Chrome para Android. Para habilitar o acesso condicional para Microsoft Intune, você deve configurar o Tableau Mobile para usar o Microsoft Edge para autenticação. Isso requer dois parâmetros AppConfig:
- Defina
RequireSignInWithDeviceBrowserparatrue, para que o Tableau Mobile use o navegador para autenticação. - Defina
OverrideDeviceBrowserparaEdge, para alterar o navegador usado para autenticação do padrão do dispositivo para o Microsoft Edge. Se você alterar esse parâmetro sem exigir login com o navegador, isso não terá efeito. Para obter mais informações, consulte Parâmetros AppConfig para o Tableau Mobile.
Além de definir os parâmetros AppConfig para Tableau Mobile, configure seu ambiente Microsoft Intune da seguinte maneira:
- Se você usar o Proxy de Aplicativo do Azure, ele deverá usar a passagem como método de pré-autenticação.
- O método de autenticação deve ser SAML ou OpenID.
- O provedor de identidade deve ser o Azure Active Directory.
Manter temporariamente os usuários conectados
Para manter temporariamente os usuários do Tableau Mobile conectados, verifique se os clientes conectados estão habilitados para o Tableau Cloud ou Tableau Server. Se você desabilitar essa configuração padrão, os usuários precisarão entrar sempre que se conectarem ao servidor.
Verificar a configuração dos clientes conectados para o Tableau Cloud
- Entre no Tableau Cloud como um administrador.
- Selecione Configurações e, em seguida, selecione a guia Autenticação.
- Em Clientes conectados, observe a configuração Permitir que os clientes se conectem automaticamente a este site do Tableau Cloud.
Para obter informações, consulte Acessar sites de clientes conectados na Ajuda do Tableau Cloud.
Verificar a configuração dos clientes conectados para o Tableau Server
- Entre no Tableau Server como um administrador.
- No menu do site, selecione Gerenciar todos os sites e depois selecione Configurações > Geral.
- Em Clientes conectados, observe a configuração Permitir que os clientes se conectem automaticamente ao Tableau Server.
Para obter mais informações, consulte Desabilitar a autenticação automática do cliente na ajuda do Tableau Server.
Alterar o tempo de permanência dos usuários no Tableau Server
Quando a configuração de clientes conectados não está habilitada, a duração de uma sessão no Tableau Mobile é controlada pelos limites do Tableau Server. Quando a configuração de clientes conectados está habilitada, o Tableau Mobile usa tokens OAuth para restabelecer a sessão e manter os usuários conectados, desde que os tokens sejam válidos.
Alterar valores de token para clientes conectados
Para manter um usuário conectado, o Tableau Mobile envia um token de atualização para o sistema de autenticação, que fornece um novo token de acesso para o dispositivo móvel. Você pode alterar por quanto tempo os usuários permanecem registrados ajustando as configurações de tokens de atualização.
Na interface de linha de comando do Tableau Services Manager, defina as seguintes opções:
- refresh_token.idle_expiry_in_seconds
Define o número de segundos que um token pode não ser utilizado antes de expirar. O valor padrão de 1.209.600 é igual a 14 dias. Digite um valor de -1 para nunca expirar tokens ociosos.
- refresh_token.absolute_expiry_in_seconds
Define o número de segundos antes de atualizar tokens completamente expirados. O valor padrão de 31.536.000 é igual a 365 dias. Digite um valor de -1 para nunca expirar tokens.
- refresh_token.max_count_per_user
Define o número máximo de tokens de atualização que podem ser emitidos para cada usuário. O valor padrão é 24. Digite um valor de -1 para remover completamente os limites de token.
Para definir as opções acima, use esta sintaxe na interface de linha de comando:
tsm configuration set -k <config.key> -v <config_value>.
Por exemplo, para limitar o número de tokens de atualização a 5 por usuário, você deve inserir o seguinte:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
Para obter mais informações, consulte Opções de tsm configuration set(O link abre em nova janela) na ajuda do Tableau Server.
Alterar limites de sessão para Tableau Server
Se você desativar os clientes conectados, os limites de sessão do Tableau Server determinarão a duração de uma sessão no Tableau Mobile. Esses limites não afetam os clientes conectados, porque os tokens de atualização restabelecem a sessão, desde que os tokens sejam válidos. Para obter mais informações, consulte Verificar a configuração de tempo da sessão na ajuda do Tableau Server.
Na interface de linha de comando do Tableau Services Manager, defina as seguintes opções:
Define o número de minutos antes de uma sessão do Tableau expirar, exigindo novamente o registro. O valor padrão é 240.
Ativar o bloqueio de aplicativo para maior segurança
Os tokens de autenticação de longa duração permitem que os usuários permaneçam conectados, fornecendo acesso aos dados sem problemas. No entanto, você pode ter preocupações com esse acesso aberto aos dados no Tableau Mobile. Em vez de exigir que os usuários façam logon com mais frequência, você pode ativar o bloqueio de aplicativo para oferecer aos usuários uma maneira segura, porém simples de acessar o conteúdo.
O bloqueio de aplicativo do Tableau Mobile não autentica os usuários com o Tableau Server ou com o Tableau Cloud. Em vez disso, oferece uma camada de segurança para os usuários que já estão conectados. Quando o bloqueio de aplicativo é ativado, os usuários devem abrir o aplicativo usando o método de segurança que configuraram para desbloquear os dispositivos. Os métodos biométricos compatíveis são Face ID ou Touch ID (iOS) e impressão digital, face ou íris (Android). Métodos alternativos compatíveis são senha (iOS) e padrão, pin ou senha (Android).
Antes de ativar o bloqueio de aplicativo
Ative a configuração de Clientes conectados do Tableau Server ou do Tableau Cloud. Para obter mais informações, consulte Manter temporariamente os usuários conectados. Se essa configuração não estiver ativada, os usuários precisarão fazer logon toda vez que se conectarem ao Tableau Server ou Tableau Cloud, eliminando a necessidade de um bloqueio de aplicativo.
Para o Tableau Server, é possível controlar com precisão o tempo de permanência dos usuários, ajustando os valores de expiração para tokens de atualização. Para obter mais informações, consulte Alterar o tempo de permanência dos usuários no Tableau Server. Um bloqueio de aplicativo deve ser usado com tokens de longa duração, como os que usam os valores de expiração padrão.
Observação: se a instalação do Tableau Server usar um servidor proxy reverso, esteja ciente de que talvez os usuários precisem entrar no desbloqueio de aplicativo. Isso ocorre porque os tokens de proxy reverso expiraram, mas os tokens de atualização ainda estão ativos.
Habilitar a configuração de bloqueio do aplicativo
Para o Tableau Cloud
- Entre no Tableau Cloud como um administrador.
- Selecione Configurações e, em seguida, selecione a guia Autenticação.
- Em Bloqueio de aplicativo do Tableau Mobile, marque a configuração Ativar bloqueio de aplicativo.
Para o Tableau Server versões 2019.4 e posteriores
- Entre no Tableau Server como um administrador.
- Navegue até o site para o qual deseja ativar o bloqueio de aplicativo.
- Selecione Configurações.
- Em Tableau Mobile, marque a configuração Ativar bloqueio de aplicativo.
Para o Tableau Server versões 2019.3 e anteriores
A configuração para ativar o bloqueio de aplicativo não está disponível para o Tableau Server versões 2019.3 e anteriores. No entanto, você ainda pode ativar o bloqueio de aplicativo com um parâmetro AppConfig para sistemas MDM e MAM. Consulte RequireAppLock em Chaves AppConfig.
Bloqueio de aplicativo habilitado para o usuário
Os usuários também podem ativar individualmente o bloqueio de aplicativo para seus dispositivos por meio de uma configuração no aplicativo. No entanto, os usuários não podem desativar o bloqueio de aplicativo por meio dessa configuração, se ele for ativado pelo administrador.
Quando o bloqueio de aplicativo é ativado
Depois de ativar o bloqueio de aplicativo, os usuários conectados precisarão desbloquear o aplicativo ao abri-lo. Se os usuários não configuraram um método de desbloqueio de dispositivos, eles serão solicitados a fazê-lo para desbloquear o aplicativo.
Se os usuários não desbloquearem o aplicativo, eles terão a opção de tentar novamente ou sair do Tableau. Se os usuários não desbloquearem o aplicativo após cinco tentativas usando um método biométrico ou se os dispositivos não forem configurados para biometria, eles serão solicitados a desbloquear usando um método alternativo, como um código de acesso.
Falhas repetidas ao desbloquear o aplicativo usando uma senha resultarão no bloqueio do usuário do dispositivo como um todo, não apenas do aplicativo. O número de tentativas antes que isso ocorra depende do dispositivo. Outras tentativas de desbloquear o dispositivo são adiadas pelo aumento da quantidade de tempo.
Logon único no Tableau Mobile
Para a autenticação de logon único (SSO), o Tableau Mobile é compatível com SAML e OpenID Connect para todas as plataformas móveis e Kerberos para dispositivos iOS.
SAML
Se o seu Tableau Cloud ou Tableau Server estiver configurado para utilizar SAML, os usuários serão redirecionados automaticamente para o provedor de identidade (IdP) para logon no Tableau Mobile. No entanto, o SAML não depende das credenciais para outros aplicativos de dispositivos móveis usando o SSO. O SAML não requer configuração especial para dispositivos móveis, exceto no caso de dispositivos que usam o Microsoft Intune. Para habilitar o SAML para Microsoft Intune, consulte Substituir o navegador padrão usado para autenticação.
OpenID Connect
Se o Tableau Server estiver configurado para usar o OpenID Connect para autenticação ou se o Tableau Cloud estiver configurado para usar o Google (por meio do OpenID Connect), o logon único ocorre com o provedor de identidade externo (IdP) usando o navegador do dispositivo móvel. Para ativar o SSO com o navegador, consulte Autenticação com o navegador do dispositivo. Para habilitar o OpenID Connect especificamente para o Microsoft Intune, consulte Substituir o navegador padrão usado para autenticação.
Kerberos (somente iOS e Tableau Server)
Para usar a autenticação do Kerberos, os dispositivos devem ser configurados especialmente para a sua organização. A configuração do Kerberos está fora do escopo deste documento e do Suporte do Tableau, mas veja abaixo alguns recursos de terceiros para ajudar na introdução.
Logon único do Kerberos no iOS(O link abre em nova janela) no blog Sam's Tech Notes (em inglês)
Logon único móvel do iOS para SAP NetWeaver(O link abre em nova janela) na Rede da Comunidade SAP (em inglês)
Referência principal do perfil de configuração(O link abre em nova janela) na Biblioteca de desenvolvedor do iOS
Ao definir um perfil um perfil de configuração, precisará das URLs usadas para acessar o Tableau Server. Para a chave URLPrefixMatches, se você decidir listar as cadeias de caracteres da URL de modo explícito, inclua as URLs com todas as opções de protocolo e os números de porta apropriados.
Se os seus servidores usarem SSL, as suas URLs devem usar o protocolo https e o nome de domínio totalmente qualificado do servidor. Uma das URLs também deve especificar a porta 443.
Por exemplo, insira
https://fully.qualifed.domain.name:443/ehttps://servername.fully.qualified.domain.name/Se os usuários acessarem o Tableau Server ao especificar somente o nome do servidor local, você também deverá incluir essas variações.
Por exemplo, insira
http://servername/ehttp://servername:80/
Observação: sair não libera os tíquetes do Kerberos em um dispositivo. Se você armazenou tickets de Kerberos que ainda são válidos, qualquer pessoa que use um dispositivo poderá acessar o servidor e o site aos quais um usuário se conectou recentemente, sem fornecer credenciais.