控制 Tableau Mobile 的驗證和存取
支援的驗證方法
Tableau Server
Tableau Mobile 支援以下適用於 Tableau Server 的驗證方法。
| 方法 | Tableau Mobile 注意事項 |
|---|---|
| 本機(基本)驗證 | |
| Kerberos |
|
| SAML | |
| NTLM | |
| 相互 SSL |
|
| OpenID Connect |
|
有關設定這些方法的詳情,請參閱適用於 Windows(連結在新視窗開啟) 和 Linux(連結在新視窗開啟) 的 Tableau Server 說明。
Tableau Cloud
Tableau Mobile 支援 Tableau Cloud 的所有三種驗證方法。
- 預設 Tableau 方法
- 透過 OpenID Connect 使用 Google(必須啟用使用裝置瀏覽器登入)
- SAML
有關設定這些方法的詳情,請參閱 Tableau Cloud 說明中的驗證(連結在新視窗開啟)。
使用裝置瀏覽器進行驗證
OpenID Connect(包含 Google)和相互 SSL 驗證是使用行動裝置瀏覽器(Safari、Chrome)進行的。瀏覽器和 Tableau Mobile 之間的交換是由 OAuth Proof Key for Code Exchange(連結在新視窗開啟) (PKCE) 保護。
若要進行此驗證,您必須依照下列指示,啟用「使用裝置瀏覽器登入」設定。此要求的例外是 Android 上的相互 SSL 驗證,其不需要組態變更。
Tableau Server(2019.4 版或更高版本)
如果您使用 MDM 或 MAM 系統,請將 AppConfig 參數(即 RequireSignInWithDeviceBrowser)設為 true。或者,Tableau Server 使用者可以在其個別裝置上啟用「使用裝置瀏覽器登入」設定。AppConfig 參數會覆寫使用者設定。
Tableau Cloud
將 AppConfig 參數(即 RequireSignInWithDeviceBrowser)設為 true。若要設定 AppConfig 參數,您需要使用 MDM 或 MAM 系統部署應用程式。使用者設定對 Tableau Cloud 不會產生任何影響,因此,如果您未使用 MDM 或 MAM 系統,將無法允許 Google 驗證。
覆寫用於身份驗證的預設瀏覽器
將 Tableau Mobile 設定為使用瀏覽器進行身份驗證後,會使用裝置的預設瀏覽器:適用於 iOS 的 Safari 和適用於 Android 的 Chrome。若要為 Microsoft Intune 啟用條件式存取,則必須將 Tableau Mobile 設定為使用 Microsoft Edge 進行身份驗證。這需要兩個 AppConfig 參數:
- 將
RequireSignInWithDeviceBrowser設定為true,以便 Tableau Mobile 使用瀏覽器進行身份驗證。 - 將
OverrideDeviceBrowser設定為Edge, 將用於身份驗證的瀏覽器從裝置預設變更為 Microsoft Edge。如果在不要求使用瀏覽器登入的情況下變更此參數,則不會有任何效果。要深入了解,請參閱用於 Tableau Mobile 的 AppConfig 參數。
除了為 Tableau Mobile 設定 AppConfig 參數外,還要按如下方式設定您的 Microsoft Intune 環境:
- 如果使用 Azure App Proxy,則必須使用通道作為其先驗證方法。
- 身份驗證方法必須是 SAML 或 OpenID。
- 身份提供者必須是 Azure Active Directory。
暫時保持使用者的登入狀態
若要讓 Tableau Mobile 使用者暫時保持登入,請確定連線的用戶端已啟用 Tableau Cloud 或 Tableau Server。如果停用此預設設定,使用者在每次連線至伺服器時都需要登入。
確認 Tableau Cloud 的連線用戶端設定
- 以管理員身分登入 Tableau Cloud。
- 選取「設定」,然後選取「驗證」索引標籤。
- 在「連線的用戶端」下,記下「讓用戶端自動連線到 Tableau Cloud 網站」的設定。
有關詳情,請參閱 Tableau Cloud 說明中的從連線的用戶端中存取網站。
確認 Tableau Server 的連線用戶端設定
- 以管理員身分登入 Tableau Server。
- 在網站功能表中,選取管理所有網站,然後選取設定 > 一般。
- 在「連線的用戶端」下,記下「讓用戶端自動連線到 Tableau Server」的設定。
有關詳情,請參閱 Tableau Server 說明中的停用自動用戶端驗證。
變更使用者保持登入 Tableau Server 的時間長度
未啟用連線的用戶端設定時,Tableau Mobile 上的工作階段長度由 Tableau Server 限制控制。啟用連線的用戶端設定後,只要權杖有效,Tableau Mobile 會使用 OAuth 權杖重新建立工作階段,並保持使用者的登入狀態。
變更連線用戶端的權杖值
若要保持使用者登入狀態,Tableau Mobile 會傳送重新整理權杖至驗證系統,而驗證系統接著會將新的存取權杖傳遞至行動裝置。您可以調整重新整理權杖的設定,以變更使用者保持登入的時間長度。
在 Tableau 服務管理員的命令列介面中,設定下列選項:
- refresh_token.idle_expiry_in_seconds
設定權杖在到期之前可未經使用的秒數。預設值為 1,209,600,相當於 14 天。若輸入的值為 -1,則閒置的權杖永不到期。
- refresh_token.absolute_expiry_in_seconds
設定重新整理權杖完全到期前的秒數。預設值為 31,536,000,相當於 365 天。若輸入的值為 -1,則權杖永不到期。
- refresh_token.max_count_per_user
設定可以核發給每個使用者的最大重新整理權杖數量。預設值為 24。若輸入的值為 -1,則會完全移除權杖上限。
若要設定上述選項,請在命令列介面中使用此語法:
tsm configuration set -k <config.key> -v <config_value>。
例如,若要將每個使用者的重新整理權杖數量限制為 5,可以輸入下列命令:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
有關詳情,請參閱 Tableau Server 說明中的 TSM configuration set 選項(連結在新視窗開啟)。
變更 Tableau Server 的工作階段限制
若停用連線的用戶端,Tableau Server 的工作階段限制會確定 Tableau Mobile 上的工作階段長度。這些限制不會影響連線的用戶端,因為只要權杖有效,重新整理權杖就會重新建立工作階段。有關詳情,請參閱 Tableau Server 說明中的驗證工作階段存留期設定。
在 Tableau 服務管理員的命令列介面中,設定下列選項:
設定 Tableau 工作階段到期並再次要求登入前的分鐘數。預設值為 240。
啟用應用程式鎖定可提高安全性
長時間存在的驗證權杖允許使用者保持登入狀態,從而可以無障礙地存取資料。但是,您可能擔心 Tableau Mobile 中這種對資料的開放存取。您可以啟用應用程式鎖定,為使用者提供安全而簡單的存取內容的方法,而不是要求使用者更頻繁地登入。
Tableau Mobile 的應用程式鎖定不會使用 Tableau Server 或 Tableau Cloud 對使用者進行驗證;相反,它為已登入的使用者提供一層安全性。啟用應用程式鎖定後,使用者必須使用他們為解鎖裝置而設定的安全方法開啟應用程式。支援的生物識別方法包括 Face ID 或 Touch ID (iOS) 以及指紋、臉部或虹膜 (Android)。支援的替代方法包括密碼 (iOS) 以及圖案、PIN 或密碼 (Android)。
啟用應用程式鎖定之前
確保啟用 Tableau Server 或 Tableau Cloud 的已連線用戶端設定。更多詳情,請參閱暫時保持使用者的登入狀態。如果未啟用此設定,則使用者每次連線到 Tableau Server 或 Tableau Cloud 時都需要登入,從而無需應用程式鎖定。
對於 Tableau Server,您可以透過調整重新整理權杖的逾期值來精確控制使用者保持登入狀態的時間。有關更多資訊,請參閱變更使用者保持登入 Tableau Server 的時間長度。應用程式鎖定旨在與長期存在的權杖一起使用,例如使用預設逾期值的權杖。
注意:如果您的 Tableau Server 安裝使用反向 Proxy 伺服器,請注意,您的使用者可能需要在解鎖應用程式時登入。這是因為它們的反向 Proxy 權杖已逾期,但其重新整理權杖仍處於活動狀態。
啟用應用程式鎖定設定
對於 Tableau Cloud
- 以管理員身分登入 Tableau Cloud。
- 選取「設定」,然後選取「驗證」索引標籤。
- 在 Tableau Mobile 的應用程式鎖定下,勾選啟用應用程式鎖定設定。
對於 Tableau Server 2019.4 版及更新版本
- 以管理員身分登入 Tableau Server。
- 巡覽到要為其啟用應用程式鎖定的網站。
- 選取 [設定] 。
- 在 Tableau Mobile 下,勾選啟用應用程式鎖定設定。
對於 Tableau Server 2019.3 版及更舊版本
啟用應用程式鎖定的設定不適用於 Tableau Server 2019.3 版及更舊版本;但是,您仍可以使用適用於 MDM 和 MAM 系統的 AppConfig 參數,啟用應用程式鎖定。請參閱 AppConfig 機碼中的 RequireAppLock。
啟用使用者的應用程式鎖定
使用者還可以透過應用程式內的設定為其裝置單獨啟用應用程式鎖定。但是,如果管理員啟用應用程式鎖定,則使用者無法透過此設定停用應用程式鎖定。
啟用應用程式鎖定時
啟用應用程式鎖定後,登入的使用者在開啟應用程式時將需要解鎖應用程式。如果使用者尚未設定解鎖其裝置的方法,系統將提示他們執行此動作以解鎖應用程式。
如果使用者無法解鎖應用程式,他們將可以選取重試或登出 Tableau。如果使用者在使用生物識別方法進行五次嘗試後未能解鎖應用程式,或者他們的裝置未設定為使用生物識別,則系統將提示他們使用密碼等替代方法解鎖。
使用密碼解鎖應用程式反復失敗將導致使用者的整個裝置被鎖定,而不僅僅是應用程式。發生此情況之前的嘗試次數取決於裝置。解鎖裝置的進一步嘗試會因時間的增加而延遲。
Tableau Mobile 單一登入
對於單一登入 (SSO) 驗證,Tableau Mobile 支援適用於所有行動平台的 SAML 和 OpenID Connect,和適用於 iOS 裝置的 Kerberos。
SAML
如果 Tableau Cloud 或 Tableau Server 設定為使用 SAML,則會將使用者自動重新導向到身分識別提供者 (IdP) 以在 Tableau Mobile 內登入。不過,SAML 並不會使用 SSO 將認證傳遞至其他行動應用程式。SAML 不需要對移動裝置進行特殊設定,使用 Microsoft Intune 的裝置除外。要為 Microsoft Intune 啟用 SAML,請參閱 覆寫用於身份驗證的預設瀏覽器.
OpenID Connect
如果 Tableau Server 設為使用 OpenID Connect 以供驗證使用,或如果 Tableau Cloud 設為使用 Google(透過 OpenID Connect),則會使用行動裝置的瀏覽器,透過外部身份識別提供者 (IdP) 進行單一登入。若要使用瀏覽器啟用 SSO,請參閱使用裝置瀏覽器進行驗證。要專門為 Microsoft Intune 啟用 OpenID Connect,請參閱 覆寫用於身份驗證的預設瀏覽器.
Kerberos(僅限 iOS 和 Tableau Server)
若要使用 Kerberos 驗證,必須專門為您的組織設定裝置。Kerberos 設定已經超出了本文件和 Tableau 支援的範圍,但這裡有一些協力廠商資源可幫助您開始進行操作。
Sam 的 Tech Notes 部落格上的 Kerberos Single Sign-on for iOS(適用於 iOS 的 Kerberos 單一登入)(連結在新視窗開啟)。
SAP Community Network 上的 透過移動單一登入從 iOS 登入到 SAP NetWeaver(連結在新視窗開啟)
iOS Developer Library 中的 組態設定檔鍵喜好設定(連結在新視窗開啟)
在設定組態設定檔時,您將需要用於存取 Tableau 伺服器的 URL。對於 URLPrefixMatches 機碼,如果您決定明確地列出 URL 字串,請加入具有所有通訊協定選項及適當埠號的 URL。
如果伺服器使用 SSL,則 URL 應使用 https 協議和伺服器的完全限定功能變數名稱。其中一個 URL 還應指定連接埠 443。
例如,輸入
https://fully.qualifed.domain.name:443/和https://servername.fully.qualified.domain.name/如果使用者透過僅指定本機伺服器名稱的方式來存取 Tableau 伺服器,則您還應該加入那些變化。
例如,輸入
http://servername/和http://servername:80/
附註: 登出不會清除裝置上的 Kerberos 票證。如果儲存的 Kerberos 票證仍然有效,則裝置的任何使用者皆無需提供認證就可以存取使用者上次登入的伺服器和網站。