控制 Tableau Mobile 的驗證和存取

支援的驗證方法

Tableau Server

Tableau Mobile 支援以下適用於 Tableau Server 的驗證方法。

方法 Tableau Mobile 注意事項
本機(基本)驗證  
Kerberos
  • (僅限 iOS)
SAML  
NTLM  
相互 SSL
OpenID Connect

有關設定這些方法的詳情,請參閱適用於 Windows(連結在新視窗開啟)Linux(連結在新視窗開啟) 的 Tableau Server 說明。

Tableau Online

Tableau Mobile 支援 Tableau Online 的所有三種驗證方法。

有關設定這些方法的詳情,請參閱 Tableau Online 說明中的驗證(連結在新視窗開啟)

使用裝置瀏覽器進行驗證

OpenID Connect(包含 Google)和相互 SSL 驗證是使用行動裝置瀏覽器(Safari、Chrome)進行的。瀏覽器和 Tableau Mobile 之間的交換是由 OAuth Proof Key for Code Exchange(連結在新視窗開啟) (PKCE) 保護。

若要進行此驗證,您必須依照下列指示,啟用「使用裝置瀏覽器登入」設定。此要求的例外是 Android 上的相互 SSL 驗證,其不需要組態變更。

Tableau Server(2019.4 版或更高版本)

如果您使用 MDM 或 MAM 系統,請將 AppConfig 參數(即 RequireSignInWithDeviceBrowser)設為 true。或者,Tableau Server 使用者可以在其個別裝置上啟用「使用裝置瀏覽器登入」設定。AppConfig 參數會覆寫使用者設定。

Tableau Online

AppConfig 參數(即 RequireSignInWithDeviceBrowser)設為 true。若要設定 AppConfig 參數,您需要使用 MDM 或 MAM 系統部署應用程式。使用者設定對 Tableau Online 不會產生任何影響,因此,如果您未使用 MDM 或 MAM 系統,將無法允許 Google 驗證。

暫時保持使用者的登入狀態

若要讓 Tableau Mobile 使用者暫時保持登入,請確定連線的用戶端已啟用 Tableau Online 或 Tableau Server。如果停用此預設設定,使用者在每次連線至伺服器時都需要登入。

確認 Tableau Online 的連線用戶端設定

  1. 以管理員身分登入 Tableau Online。
  2. 選取「設定」,然後選取「驗證」索引標籤。
  3. 「連線的用戶端」下,記下「讓用戶端自動連線到 Tableau Online 網站」的設定。

有關詳情,請參閱 Tableau Online 說明中的從連線的用戶端中存取網站

確認 Tableau Server 的連線用戶端設定

  1. 以管理員身分登入 Tableau Server。
  2. 在網站功能表中,選取管理所有網站,然後選取設定 > 一般
  3. 「連線的用戶端」下,記下「讓用戶端自動連線到 Tableau Server」的設定。

有關詳情,請參閱 Tableau Server 說明中的停用自動用戶端驗證

變更使用者保持登入 Tableau Server 的時間長度

未啟用連線的用戶端設定時,Tableau Mobile 上的工作階段長度由 Tableau Server 限制控制。啟用連線的用戶端設定後,只要權杖有效,Tableau Mobile 會使用 OAuth 權杖重新建立工作階段,並保持使用者的登入狀態。

變更連線用戶端的權杖值

若要保持使用者登入狀態,Tableau Mobile 會傳送重新整理權杖至驗證系統,而驗證系統接著會將新的存取權杖傳遞至行動裝置。您可以調整重新整理權杖的設定,以變更使用者保持登入的時間長度。

在 Tableau Services Manager 的命令列介面中,設定下列選項:

refresh_token.idle_expiry_in_seconds

設定權杖在到期之前可未經使用的秒數。預設值為 1,209,600,相當於 14 天。若輸入的值為 -1,則閒置的權杖永不到期。

refresh_token.absolute_expiry_in_seconds

設定重新整理權杖完全到期前的秒數。預設值為 31,536,000,相當於 365 天。若輸入的值為 -1,則權杖永不到期。

refresh_token.max_count_per_user

設定可以核發給每個使用者的最大重新整理權杖數量。預設值為 24。若輸入的值為 -1,則會完全移除權杖上限。

若要設定上述選項,請在命令列介面中使用此語法:

tsm configuration set -k <config.key> -v <config_value>

例如,若要將每個使用者的重新整理權杖數量限制為 5,可以輸入下列命令:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

有關詳情,請參閱 Tableau Server 說明中的 TSM configuration set 選項(連結在新視窗開啟)

變更 Tableau Server 的工作階段限制

若停用連線的用戶端,Tableau Server 的工作階段限制會確定 Tableau Mobile 上的工作階段長度。這些限制不會影響連線的用戶端,因為只要權杖有效,重新整理權杖就會重新建立工作階段。有關詳情,請參閱 Tableau Server 說明中的驗證工作階段存留期設定

在 Tableau 服務管理員的命令列介面中,設定下列選項:

wgserver.session.idle_limit

設定 Tableau 工作階段到期並再次要求登入前的分鐘數。預設值為 240。

啟用應用程式鎖定可提高安全性

長時間存在的驗證權杖允許使用者保持登入狀態,從而可以無障礙地存取資料。但是,您可能擔心 Tableau Mobile 中這種對資料的開放存取。您可以啟用應用程式鎖定,為使用者提供安全而簡單的存取內容的方法,而不是要求使用者更頻繁地登入。

Tableau Mobile 的應用程式鎖定不會使用 Tableau Server 或 Tableau Online 對使用者進行驗證;相反,它為已登入的使用者提供一層安全性。啟用應用程式鎖定後,使用者必須使用他們為解鎖裝置而設定的安全方法開啟應用程式。支援的生物識別方法包括 Face ID 或 Touch ID (iOS) 以及指紋、臉部或虹膜 (Android)。支援的替代方法包括密碼 (iOS) 以及圖案、PIN 或密碼 (Android)。

啟用應用程式鎖定之前

確保啟用 Tableau Server 或 Tableau Online 的已連線用戶端設定。有關詳細資訊,請參閱暫時保持使用者的登入狀態。 如果未啟用此設定,則使用者每次連線到 Tableau Server 或 Tableau Online 時都需要登入,從而無需應用程式鎖定。

對於 Tableau Server,您可以透過調整重新整理權杖的逾期值來精確控制使用者保持登入狀態的時間。有關更多資訊,請參閱變更使用者保持登入 Tableau Server 的時間長度。應用程式鎖定旨在與長期存在的權杖一起使用,例如使用預設逾期值的權杖。

注意:如果您的 Tableau Server 安裝使用反向 Proxy 伺服器,請注意,您的使用者可能需要在解鎖應用程式時登入。這是因為它們的反向 Proxy 權杖已逾期,但其重新整理權杖仍處於活動狀態。

啟用應用程式鎖定設定

對於 Tableau Online

  1. 以管理員身分登入 Tableau Online。
  2. 選取「設定」,然後選取「驗證」索引標籤。
  3. Tableau Mobile 的應用程式鎖定下,勾選啟用應用程式鎖定設定。

對於 Tableau Server 2019.4 版及更新版本

  1. 以管理員身分登入 Tableau Server。
  2. 巡覽到要為其啟用應用程式鎖定的網站。
  3. 選取 [設定]
  4. Tableau Mobile 下,勾選啟用應用程式鎖定設定。

對於 Tableau Server 2019.3 版及更舊版本

啟用應用程式鎖定的設定不適用於 Tableau Server 2019.3 版及更舊版本;但是,您仍可以使用適用於 MDM 和 MAM 系統的 AppConfig 參數,啟用應用程式鎖定。請參閱 AppConfig 參數中的 RequireAppLock。

啟用使用者的應用程式鎖定

使用者還可以透過應用程式內的設定為其裝置單獨啟用應用程式鎖定。但是,如果管理員啟用應用程式鎖定,則使用者無法透過此設定停用應用程式鎖定。

Tableau Mobile settings screen

啟用應用程式鎖定時

啟用應用程式鎖定後,登入的使用者在開啟應用程式時將需要解鎖應用程式。如果使用者尚未設定解鎖其裝置的方法,系統將提示他們執行此動作以解鎖應用程式。

如果使用者無法解鎖應用程式,他們將可以選取重試或登出 Tableau。如果使用者在使用生物識別方法進行五次嘗試後未能解鎖應用程式,或者他們的裝置未設定為使用生物識別,則系統將提示他們使用密碼等替代方法解鎖。

使用密碼解鎖應用程式反復失敗將導致使用者的整個裝置被鎖定,而不僅僅是應用程式。發生此情況之前的嘗試次數取決於裝置。解鎖裝置的進一步嘗試會因時間的增加而延遲。

Tableau Mobile 單一登入

對於單一登入 (SSO) 驗證,Tableau Mobile 支援適用於所有行動平台的 SAML 和 OpenID Connect,和適用於 iOS 裝置的 Kerberos。

SAML

如果 Tableau Online 或 Tableau Server 設定為使用 SAML,則會將使用者自動重新導向到身分識別提供者 (IdP) 以在 Tableau Mobile 內登入。您所要做的就只是這些 - SAML 不需要對行動裝置進行任何特殊設定。不過,SAML 並不會使用 SSO 將認證傳遞至其他行動應用程式。

OpenID Connect

如果 Tableau Server 設為使用 OpenID Connect 以供驗證使用,或如果 Tableau Online 設為使用 Google(透過 OpenID Connect),則會使用行動裝置的瀏覽器,透過外部身份識別提供者 (IdP) 進行單一登入。若要使用瀏覽器啟用 SSO,請參閱使用裝置瀏覽器進行驗證

Kerberos(僅限 iOS 和 Tableau Server)

若要使用 Kerberos 驗證,必須專門為您的組織設定裝置。Kerberos 設定已經超出了本文件和 Tableau 支援的範圍,但這裡有一些協力廠商資源可幫助您開始進行操作。

在設定組態設定檔時,您將需要用於存取 Tableau 伺服器的 URL。對於 URLPrefixMatches 機碼,如果您決定明確地列出 URL 字串,請加入具有所有通訊協定選項及適當埠號的 URL。

  • 如果伺服器使用 SSL,則 URL 應使用 https 協議和伺服器的完全限定功能變數名稱。其中一個 URL 還應指定連接埠 443。

    例如,輸入 https://fully.qualifed.domain.name:443/ https://servername.fully.qualified.domain.name/

  • 如果使用者透過僅指定本機伺服器名稱的方式來存取 Tableau 伺服器,則您還應該加入那些變化。

    例如,輸入 http://servername/http://servername:80/

附註: 登出不會清除裝置上的 Kerberos 票證。如果儲存的 Kerberos 票證仍然有效,則裝置的任何使用者皆無需提供認證就可以存取使用者上次登入的伺服器和網站。

感謝您的意見回饋!