Styra autentisering för och tillgång till Tableau Mobile
Autentiseringsmetoder som stöds
Tableau Server
Tableau Mobile har stöd för följande autentiseringsmetoder för Tableau Server.
Metod | Att tänka på för Tableau Mobile |
---|---|
Lokal (grundläggande) autentisering | |
Kerberos |
|
SAML | |
NTLM | |
Ömsesidig SSL |
|
OpenID Connect |
|
Information om hur du konfigurerar de här metoderna finns i hjälpen för Tableau Server för Windows(Länken öppnas i ett nytt fönster) och Linux(Länken öppnas i ett nytt fönster).
Tableau Cloud
Tableau Mobile har stöd för alla tre autentiseringsmetoder för Tableau Cloud.
- Tableaus standardmetod
- Google via OpenID Connect (Logga in med enhetens webbläsare måste vara aktiverat)
- SAML
Mer information om hur du konfigurerar de här metoderna finns i Autentisering(Länken öppnas i ett nytt fönster) i hjälpen för Tableau Cloud.
Autentisering med enhetens webbläsare
OpenID Connect (inklusive Google) och ömsesidig SSL-autentisering utförs med mobilenhetens webbläsare (som Safari eller Chrome). Utbytet mellan webbläsaren och Tableau Mobile skyddas av OAuth Proof Key for Code Exchange(Länken öppnas i ett nytt fönster) (PKCE).
För att den här autentiseringen ska utföras måste du aktivera inställningen Logga in med enhetens webbläsare genom att följa anvisningarna nedan. Det enda undantaget för det här kravet är ömsesidig SSL-autentisering på Android, som inte kräver några konfigurationsändringar.
Tableau Server (version 2019.4 eller senare)
Om du använder ett MDM- eller MAM-system ställer du in AppConfig-parametern, RequireSignInWithDeviceBrowser, på sant. Tableau Server-användare kan också aktivera inställningen ”Logga in med enhetens webbläsare” på sina enheter. AppConfig-parametern åsidosätter användarens inställning.
Tableau Cloud
Ställ in AppConfig-parametern, RequireSignInWithDeviceBrowser, på sant. För att ange AppConfig-parametrar måste du distribuera appen med ett MDM- eller MAM-system. Användarinställningen har ingen effekt på Tableau Cloud, så om du inte använder ett MDM- eller MAM-system kan du inte tillåta Google-autentisering.
Åsidosätta den standardwebbläsare som används för autentisering
När du konfigurerar Tableau Mobile att använda webbläsaren för autentisering används enhetens standardwebbläsare: Safari för iOS och Chrome för Android. Om du vill aktivera villkorlig åtkomst för Microsoft Intune måste du konfigurera Tableau Mobile att använda Microsoft Edge för autentisering i stället. Detta kräver två AppConfig-parametrar:
- Ange
RequireSignInWithDeviceBrowser
somtrue
för att Tableau Mobile ska använda webbläsaren för autentisering. - Ange
OverrideDeviceBrowser
somEdge
för att ändra den webbläsare som används för autentisering från enhetens standardwebbläsare till Microsoft Edge. Om du ändrar den här parametern utan att kräva inloggning med webbläsaren har det ingen effekt. Mer information finns i AppConfig-parametrar för Tableau Mobile.
Utöver att ange AppConfig-parametrarna för Tableau Mobile konfigurerar du även Microsoft Intune-miljön på följande sätt:
- Om du använder Azure App Proxy måste den använda genomströmning (passthrough) som förautentiseringsmetod.
- Autentiseringsmetoden måste vara SAML eller OpenID.
- Identitetsleverantören måste vara Azure Active Directory.
Hålla användare tillfälligt inloggade
Om du vill att Tableau Mobile-användare ska hållas tillfälligt inloggade ser du till att anslutna klienter har aktiverats för Tableau Cloud eller Tableau Server. Om du inaktiverar den här standardinställningen måste användarna logga in varje gång de ansluter till servern.
Kontrollera inställningen för anslutna klienter för Tableau Cloud
- Logga in på Tableau Cloud som administratör.
- Välj Inställningar och välj sedan fliken Autentisering.
- Under Anslutna klienter tittar du på inställningen Låt klienter ansluta till den här Tableau Cloud-platsen automatiskt.
Mer information finns i Öppna platser från anslutna klienter i hjälpen för Tableau Cloud.
Kontrollera inställningen för anslutna klienter för Tableau Server
- Logga in på Tableau Server som administratör.
- På platsens meny väljer du Hantera alla platser och sedan Inställningar > Allmänt.
- Under Anslutna klienter tittar du på inställningen Låt klienter ansluta till Tableau Server automatiskt.
Mer information finns i Inaktivera automatisk klientautentisering i hjälpen för Tableau Server.
Ändra hur länge användare hålls inloggade på Tableau Server
När inställningen för anslutna klienter inte har aktiverats styrs längden på en Tableau Mobile-session av gränserna i Tableau Server. När inställningen för anslutna klienter har aktiverats använder Tableau Mobile OAuth-token för att återupprätta sessionen och hålla användarna inloggade, förutsatt att token är giltiga.
Ändra token-värden för anslutna klienter
För att hålla en användare inloggad skickar Tableau Mobile en uppdateringstoken till autentiseringssystemet, som sedan skickar en ny åtkomsttoken till mobilenheten. Du kan ändra hur länge en användare förblir inloggad genom att ändra inställningarna för uppdateringstoken.
Ange följande alternativ i kommandoradsgränssnittet för Tableau Services Manager:
- refresh_token.idle_expiry_in_seconds
Anger i hur många sekunder en token kan vara oanvänd innan den upphör att gälla. Standardvärdet på 1 209 600 motsvarar 14 dagar. Ange värdet som -1 om du vill att oanvända token aldrig ska upphöra att gälla.
- refresh_token.absolute_expiry_in_seconds
Anger antalet sekunder innan uppdateringstoken upphör att gälla helt. Standardvärdet på 31 536 000 motsvarar 365 dagar. Ange värdet som -1 om du vill att token aldrig ska upphöra att gälla.
- refresh_token.max_count_per_user
Anger det högsta tillåtna antal uppdateringstoken som kan utfärdas till en användare. Standardvärdet är 24. Ange värdet som -1 om du vill ta bort alla tokengränser.
Ställ in alternativen ovan med hjälp av den här syntaxen i kommandoradsgränssnittet:
tsm configuration set -k <config.key> -v <config_value>
.
Om du till exempel vill begränsa antalet uppdateringstoken till 5 per användare anger du följande:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
Mer information finns i Alternativ för tsm configuration set(Länken öppnas i ett nytt fönster) i hjälpen för Tableau Server.
Ändra sessionsgränser för Tableau Server
Om du inaktiverar anslutna klienter avgör sessionsgränserna för Tableau Server längden på en session i Tableau Mobile. De här gränserna påverkar inte anslutna klienter, eftersom uppdateringstoken återupprättar sessionen om token är giltig. Mer information finns i Kontrollera timeout-konfigurationen för sessioner i hjälpen för Tableau Server.
Ange följande alternativ i kommandoradsgränssnittet för Tableau Services Manager:
Anger antalet minuter innan en Tableau-session går ut och kräver ny inloggning. Standardvärdet är 240.
Aktivera applås för extra säkerhet
Med långlivade autentiseringstoken kan användare förbli inloggade, vilket innebär att de kommer åt data utan problem. Det kan däremot vara så att du är bekymrad över den här öppna tillgången till data i Tableau Mobile. I stället för att kräva att användarna loggar in oftare kan du aktivera applås för att ge användarna enkel men ändå skyddad tillgång till innehållet.
Applås för Tableau Mobile autentiserar inte användare med Tableau Server eller Tableau Cloud, utan det utgör ett säkerhetslager för användare som redan är inloggade. När applås är aktiverat måste en användare öppna appen med den säkerhetsmetod denne har konfigurerat för att låsa upp sin enhet. Biometrikmetoder som stöds är Face ID eller Touch ID (iOS) samt fingeravtryck, ansikte eller iris (Android). Alternativa metoder som stöds är lösenkod (iOS) samt grafiskt lösenord, pinkod eller lösenord (Android).
Innan du aktiverar applås
Kontrollera att inställningen Anslutna klienter för Tableau Server eller Tableau Cloud är aktiverad. Mer information finns i Hålla användare tillfälligt inloggade. Om du inte aktiverar den här inställningen måste användarna logga in varje gång de ansluter till Tableau Server eller Tableau Cloud, vilket innebär att applåset inte behövs.
För Tableau Server kan du styra exakt hur länge användarna ska förbli inloggade genom att ändra utgångsvärdena för uppdateringstoken. Mer information finns i Ändra hur länge användare hålls inloggade på Tableau Server. Ett applås är avsett att användas med långlivade token, till exempel sådana som använder standardutgångsvärden.
Obs! Om Tableau Server-installationen använder en omvänd proxyserver måste du tänka på att användarna kan behöva logga in när de låser upp appen. Detta beror på att deras token för den omvända proxyn har upphört att gälla, men deras uppdateringstoken är fortfarande aktiva.
Aktivera inställningen för applås
För Tableau Cloud
- Logga in på Tableau Cloud som administratör.
- Välj Inställningar och välj sedan fliken Autentisering.
- Under Applås för Tableau Mobile markerar du inställningen Aktivera applås.
För Tableau Server version 2019.4 och senare
- Logga in på Tableau Server som administratör.
- Gå till den plats för vilken du vill aktivera applås.
- Välj Inställningar.
- Under Tableau Mobile markerar du inställningen Aktivera applås.
För Tableau Server version 2019.3 och tidigare
Inställningen för att aktivera applås finns inte i Tableau Server version 2019.3 och tidigare, men du kan ändå aktivera applås med en AppConfig-parameter för MDM- och MAM-system. Läs om RequireAppLock i AppConfig-nycklar.
Användaraktiverat applås
Användarna kan också aktivera applås individuellt för sina enheter via en inställning i appen. De kan däremot inte inaktivera applåset via den inställningen om det har aktiverats av administratören.
När applås är aktiverat
När du har aktiverat applås måste användare som är inloggade låsa upp appen när de öppnar den. Om användarna inte har angett någon metod för att låsa upp sina enheter uppmanas de att göra det för att kunna låsa upp appen.
Om användarna inte lyckas låsa upp appen får de möjlighet att antingen försöka igen eller logga ut från Tableau. Om användarna inte lyckas låsa upp appen efter fem försök med en biometrikmetod eller om deras enheter inte har konfigurerats för biometrik, uppmanas de att låsa upp den med en alternativ metod, till exempel en lösenkod.
Upprepade försök att låsa upp appen med en lösenkod som inte fungerar medför att användaren låses ute från hela enheten, inte bara appen. Hur många försök som tillåts beror på enheten. Ytterligare försök att låsa upp enheten fördröjs längre och längre för varje gång.
Enkel inloggning för Tableau Mobile
För autentisering med enkel inloggning har Tableau Mobile stöd för SAML och OpenID Connect för alla mobilplattformar och Kerberos för iOS-enheter.
SAML
Om Tableau Cloud eller Tableau Server har konfigurerats att använda SAML omdirigeras användarna automatiskt till identitetsprovidern för att logga in på Tableau Mobile. SAML skickar däremot inte inloggningsuppgifterna vidare till andra mobilappar som använder enkel inloggning. SAML kräver ingen speciell konfiguration för mobila enheter, utom när det gäller enheter som använder Microsoft Intune. Läs mer om hur du aktiverar SAML för Microsoft Intune i Åsidosätta den standardwebbläsare som används för autentisering.
OpenID Connect
Om Tableau Server har konfigurerats att använda OpenID Connect för autentisering, eller om Tableau Cloud har konfigurerats att använda Google (via OpenID Connect), utförs enkel inloggning med den externa identitetsprovidern med hjälp av mobilenhetens webbläsare. Om du vill aktivera enkel inloggning med webbläsaren läser du Autentisering med enhetens webbläsare. Om du vill aktivera OpenID Connect särskilt för Microsoft Intune läser du Åsidosätta den standardwebbläsare som används för autentisering.
Kerberos (endast iOS och Tableau Server)
Om du vill använda Kerberos-autentisering måste enheterna vara särskilt konfigurerade för er organisation. Kerberos-konfiguration omfattas inte av den här dokumentationen eller Tableaus support, men följande resurser kan vara användbara för att komma igång.
Kerberos Single Sign-on for iOS(Länken öppnas i ett nytt fönster) på bloggen Sam's Tech Notes
Mobile Single Sign On from iOS to SAP NetWeaver(Länken öppnas i ett nytt fönster) på SAP Community Network
Configuration Profile Key Reference(Länken öppnas i ett nytt fönster) i iOS Developer Library
När du skapar en konfigurationsprofil behöver du de URL:er som används för att komma åt Tableau-servern. Om du väljer att lista URL-strängarna explicit ser du till att inkludera URL:erna med alla protokollalternativ och portnummer för nyckeln URLPrefixMatches.
Om servrarna använder SSL bör URL:erna använda https-protokollet och serverns fullständiga domännamn. En av URL:erna bör också ange port 443.
Ange till exempel
https://fully.qualifed.domain.name:443/
ochhttps://servername.fully.qualified.domain.name/
Om användarna kommer åt Tableau-servern genom att bara ange det lokala servernamnet bör du även inkludera de variationerna.
Ange till exempel
http://servername/
ochhttp://servername:80/
Obs! Utloggning rensar inte Kerberos-biljetter på en enhet. Om lagrade Kerberos-biljetter fortfarande är giltiga kan alla komma åt den server och plats en användare senast loggade in på, utan att uppge några inloggningsuppgifter.
Gör det enkelt för användare att växla plats i Tableau Cloud
Med platsväxlaren i Tableau Mobile kan användare växla mellan de olika Tableau-platser de har tillgång till, utan att de behöver logga ut från den aktuella platsen och logga in på målplatsen. För att användarna ska kunna växla mellan platser i Tableau Cloud utan att ange sina inloggningsuppgifter igen måste vissa villkor vara uppfyllda.
- Användarens Tableau-session och identitetsprovidersessionen måste fortfarande vara aktiva på målplatsen.
- Inställningen Logga in med enhetens webbläsare måste vara aktiverad. Mer information finns i Autentisering med enhetens webbläsare.
När användare väljer en plats att växla till omdirigerar appen till enhetens webbläsare för att verifiera sessionen med identitetsprovidern och växlar sedan till målplatsen. Om sessionen på målplatsen har löpt ut, eller om inställningen Logga in med enhetens webbläsare inte är aktiverad, måste användarna ange sina inloggningsuppgifter igen.
Du kan öka sannolikheten för att en användares session fortfarande är aktiv genom att ställa in en längre sessionstid och genom att aktivera inställningen Anslutna klienter. Mer information om anslutna klienter finns i Öppna platser från anslutna klienter.
Obs! Tableau Server-användare behöver inte ange sina inloggningsuppgifter igen för att växla mellan platser som tillhör samma serverinstans.