Konfigurieren von verbundenen Apps mit direkter Vertrauensstellung

Ab Anfang Januar 2022 ermöglichen mit Tableau verbundene Apps eine nahtlose und sichere Authentifizierung, indem sie eine explizite Vertrauensstellung zwischen Ihrer Tableau Cloud-Site und externen Anwendungen ermöglichen.

Hinweis: Damit das Sitzungs-Token gültig ist, müssen die Uhren der externen Anwendung und des Servers, der die externe Anwendung hostet, auf koordinierte Weltzeit (UTC) eingestellt sein. Wenn eine der Uhren einen anderen Standard verwendet, wird der verbundenen App nicht vertraut.

Wie mit Tableau verbundene Apps mit direkter Vertrauensstellung funktionieren

Die Vertrauensbeziehung zwischen Ihrer Tableau Cloud-Site und Ihrer externen Anwendung wird durch ein Authentifizierungstoken im JSON Web Token (JWT)-Standard hergestellt und überprüft. Dabei wird ein gemeinsames Geheimnis verwendet, das von der mit Tableau verbundenen App bereitgestellt und von Ihrer benutzerdefinierten Anwendung signiert wird.

Hauptkomponenten einer verbundenen App

Die folgenden Komponenten der verbundenen App greifen mit dem JWT in Ihrer externen Anwendung ineinander, um Benutzer zu authentifizieren und eingebettete Inhalte anzuzeigen.

  • Geheimnisse: Geheimnisse sind Schlüssel, die von Tableau und Ihrer externen Anwendung gemeinsam genutzt werden. Sie werden in Signaturen verwendet, die das JWT bilden. Ein Geheimnis ist erforderlich, wenn verbundene Apps zur Einbettung der Authentifizierung oder der REST-API-Autorisierung verwendet werden. Geheimnisse können in einer verbundenen App erstellt werden, laufen nicht ab und bleiben gültig, bis sie gelöscht werden.
  • Domänenzulassungsliste (nur beim Einbetten von Workflows): Sie können in jeder verbundenen App eine Liste der zulässigen Domänen angeben. Über eine verbundene App eingebettete Tableau-Inhalte sind nur unter den angegebenen Domänen zulässig. Auf diese Weise wird sichergestellt, dass Inhalte unter den von Ihrem Unternehmen gesicherten und genehmigten Domänen bereitgestellt werden.
  • Zugriffsebene (nur beim Einbetten von Workflows): Sie können festlegen, welche Inhalte über eine verbundene App eingebettet werden können, indem Sie eine verbundene App einem Projekt oder allen Projekten zuordnen. Wenn Sie ein Projekt angeben, können nur die Inhalte des ausgewählten Projekts über die verbundene App eingebettet werden. Wenn Sie mehrere Projekte angeben möchten, müssen Sie die Tableau-REST API verwenden.

Workflow für verbundene Apps

Einbetten von Workflows

Das folgende Diagramm zeigt, wie die Authentifizierung zwischen Ihrer externen Anwendung (Webserver und Webseite) und der verbundenen App funktioniert.

  1. Benutzer besucht die Webseite: Wenn ein Benutzer den eingebetteten Inhalt einer Webseite aufruft, sendet die Webseite eine GET-Anfrage an Ihre externe Anwendung, um den HTML-Code auf dieser Webseite abzurufen.
  2. Externe Anwendung erstellt ein Authentifizierungstoken: Die externe Anwendung erstellt ein JWT, das ein Geheimnis der verbundenen App (siehe Schritt 3 unten für zusätzliche JWT-Anforderungen) und den Umfang des Benutzerzugriffs für den eingebetteten Inhalt enthält. Das Geheimnis wird von der externen Anwendung signiert und in einem späteren Schritt zur Überprüfung der Vertrauensbeziehung verwendet.
  3. Externe Anwendung antwortet mit Authentifizierungstoken: Die externe Anwendung antwortet auf die Seite mit dem JWT in der URL des eingebetteten Inhalts, die von der Webseite aufgerufen wird.
  4. Webseite fordert Inhalt von Tableau an: Bei dem Versuch, den eingebetteten Inhalt zu laden, ruft die Webseite die URL des eingebetteten Inhalts auf, die eine GET-Anforderung an Tableau sendet.
  5. Tableau validiert das Token: Tableau empfängt das JWT und prüft die Vertrauensbeziehung mit der externen Anwendung, indem es die verbundene App und das im JWT verwendete gemeinsame Geheimnis identifiziert. Anschließend erstellt Tableau eine Sitzung für den Benutzer. Die Sitzung beachtet nicht nur die im JWT definierten Einbettungsbereiche, sondern auch die in der verbundenen App festgelegten Einschränkungen, einschließlich der zulässigen Domänen und Projekte.
  6. Tableau gibt den Inhalt basierend auf dem eingeschränkten Einbettungskontext zurück: Der eingebettete Inhalt wird nur geladen, wenn sich die Seite unter einer zulässigen Domain befindet und der Inhalt in einem zulässigen Projekt veröffentlicht wurde (falls zutreffend). Der authentifizierte Benutzer kann nur in dem im JWT definierten Bereich mit den eingebetteten Inhalten interagieren.

Erstellen einer verbundenen App

Schritt 1: Erstellen einer verbundenen App

Erstellen Sie über die Einstellungsseite von Tableau Cloud eine verbundene App.

  1. Melden Sie sich als Site--Administrator bei Tableau Cloud an.

  2. Wählen Sie im linken Bereich Einstellungen > Verbundene Apps aus.

  3. Klicken Sie auf den Dropdown-Pfeil der Schaltfläche "Neue verbundene App" und wählen Sie Direct Trust aus.

  4. Führen Sie im Dialogfeld "Verbundene App erstellen" eine der folgenden Aktionen durch:
    • Geben Sie bei REST-API-Autorisierungsworkflows (einschließlich Metadaten-API-Workflows, die die REST-API zur Authentifizierung verwenden) im Textfeld "Name der verbundenen App" einen Namen für die verbundene App ein und klicken Sie auf die Schaltfläche Erstellen.

      Hinweis: Sie können die Zugriffsebene und die Domänenzulassungsliste ignorieren, wenn Sie eine verbundene Anwendung für die Autorisierung über die REST-API und die Metadaten-API konfigurieren.

    • Gehen Sie zum Einbetten von Workflows wie folgt vor:

      1. Geben Sie im Textfeld für den Namen der verbundenen App einen Namen für die verbundene App ein.
      2. Wählen Sie im Dropdown-Menü "Gilt für" die Option Alle Projekte oder Nur ein Projekt, um festzulegen, welche Ansichten oder Metriken eingebettet werden können. Wenn Sie die Option "Nur ein Projekt" auswählen, wählen Sie das Projekt aus, das Sie in den Geltungsbereich aufnehmen möchten. Weitere Informationen zu diesen beiden Optionen finden Sie unter Zugriffsebene (nur Einbettungs-Workflows).

        Hinweise: 

      3. Geben Sie in der Domänenzulassungsliste gemäß den unter Domänenformatierung beschriebenen Regeln die Domänen an, um zu steuern, wo Ansichten oder Metriken eingebettet werden können.

        Wichtig: Zur Sicherheit empfehlen wir als Best Practice die Verwendung der Domänen-Zulassungsliste, um sicherzustellen, dass Tableau-Inhalte nur an Stellen eingebettet werden, die Sie erlauben.

      4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Erstellen.

  5. Klicken Sie neben dem Namen der verbundenen App auf das Aktionsmenü und wählen Sie Aktivieren aus. Aus Sicherheitsgründen wird eine verbundene App beim Erstellen standardmäßig auf "Deaktiviert" gesetzt.

  6. Notieren Sie sich die ID der verbundenen App (die auch als "Client-ID" bezeichnet wird), um sie in Schritt 3 zu verwenden.

Schritt 2: Generieren eines Geheimnisses

Sie können für jede verbundene App insgesamt zwei Geheimnisse generieren. Das zweite Geheimnis kann für die Rotation des Geheimnisses verwendet werden, um sich vor Problemen zu schützen, wenn ein Geheimnis kompromittiert wird.

  1. Klicken Sie auf der Detailseite der verbundenen App, die Sie in Schritt 1 erstellt haben, auf die Schaltfläche Neues Geheimnis generieren.

  2. Notieren Sie sich die Geheimnis-ID und den Wert des Geheimnisses, die in Schritt 3 unten verwendet werden.

Schritt 3: Konfigurieren des JWT

Nachdem Sie ein Geheimnis erzeugt haben, müssen Sie Ihre externe Anwendung in die Lage versetzen, ein gültiges JWT zu senden. JWT ist ein Standard für die sichere Übertragung von Informationen zwischen zwei Parteien. Das JWT wird von Ihrer externen Anwendung signiert, um Informationen sicher an Tableau Cloud zu senden. Das JWT bezieht sich auf die verbundene App, den Benutzer, für den die Sitzung erstellt wird, und die Zugriffsebene, die der Benutzer haben soll.

Ein gültiges JWT enthält die folgenden Informationen:

  • ID der verbundenen App, auch Client-ID genannt, aus Schritt 1
  • Geheimnis-ID und Wert des Geheimnisses, die in Schritt 2 generiert wurden

  • Registrierte Ansprüche und Header:

    AnspruchNameBeschreibung oder erforderlicher Wert
    "kid"Geheimnis-ID (Secret ID)Erforderlich (im Header). Die geheime Schlüsselkennung der verbundenen App.
    "iss"Aussteller (Issuer)Erforderlich (im Header). Eindeutige Issuer-URI, die die vertrauenswürdige verbundene App und ihren Signierschlüssel identifiziert.
    "alg"Algorithmus (Algorithm)Erforderlich (im Header). JWT-Signaturalgorithmus. Nur HS256 wird unterstützt.
    "sub"Antragsteller (Subject)Benutzername (E-Mail-Adresse) des authentifizierten Tableau Cloud-Benutzers.
    "aud"Zielgruppe (Audience)Muss den Wert "tableau" haben.
    "exp"Ablaufzeit (Expiration Time)Ein gültiges JWT darf nicht abgelaufen sein. Die Ablaufzeit (in UTC) des JWT muss innerhalb der maximalen Gültigkeitsdauer liegen, die 10 Minuten beträgt.
    "jti"JWT-ID (JWT ID)Als Anspruch erforderlich. Der JWT-ID-Anspruch stellt einen eindeutigen Bezeichner für das JWT bereit und unterscheidet zwischen Groß- und Kleinschreibung.
    "scp"

    Wichtig: Verwenden Sie nicht "scope".

    Bereich (Scope)Zu den unterstützten Werten für Einbettungs-Workflows gehören:

    "tableau:views:embed"
    "tableau:views:embed_authoring"
    "tableau:metrics:embed" (Im Oktober 2023 (Tableau 2023.3) eingestellt)
    "tableau:ask_data:embed" (Im Februar 2024 (Tableau 2024.1) eingestellt)

    Hinweise:

    • Werte müssen als ein Listentyp übergeben werden.
    • Bei tableau:views:embed und tableau:views:embed_authoring berücksichtigt der Bereich die bereits in Tableau Cloud konfigurierten Benutzerberechtigungen und ermöglicht den Benutzern die Interaktion mit den Tools in der eingebetteten Ansicht, wenn diese in der ursprünglichen Ansicht verfügbar sind.
    • Wir empfehlen, den Parameter für die Symbolleiste im Einbettungscode nicht zu verwenden. Weitere Informationen finden Sie weiter unten unter Bekannte Probleme (nur Einbettungs-Workflows).

    Informationen zu REST API-Autorisierungs-Workflows finden Sie unter REST API-Methoden, die JWT-Autorisierung unterstützen.

    Für Metadaten-API-Workflows, die die REST-API zur Authentifizierung verwenden, ist der einzige unterstützte Bereich tableau:content:read.

    https://tableau.com/odaOn-Demand-Zugriff – Anspruch (Funktion aktivieren)Nur für Einbettungs-Workflows.

    Der Wert muss "true" sein, und eine oder mehrere Tableau Cloud-Gruppen müssen angegeben werden (siehe nächste Zeile). Weitere Informationen finden Sie unten im Abschnitt On-Demand-Zugriff (nur Einbettungsworkflows).

    https://tableau.com/groupsOn-Demand-Zugriff – Anspruch (Gruppennamen angeben)Nur für Einbettungs-Workflows.

    Der Wert muss mit dem Namen einer oder mehrerer Gruppen in Tableau Cloud übereinstimmen. Weitere Informationen finden Sie unten im Abschnitt On-Demand-Zugriff (nur Einbettungsworkflows).

      Nur für Einbettungs-Workflows.

    Der Wert muss mit dem Namen einer oder mehrerer Gruppen in Tableau Cloud übereinstimmen. Weitere Informationen finden Sie weiter unten im Abschnitt Dynamische Gruppenmitgliedschaft (nur Einbettungs-Workflows).

    (Benutzerattribut)(Benutzerattributwerte)Nur für Einbettungs-Workflows.

    Sie können Benutzerattribute in das JWT aufnehmen. Wenn Benutzerattributfunktionen dann in eingebetteten Inhalten verwendet werden, überprüft Tableau den Kontext des authentifizierten Benutzers und stellt fest, welche Daten zur Laufzeit angezeigt werden können.

    Hinweise:

Beispiel-JWTs

Hier sind Beispiel-JWTs in den Sprachen Java und Python. Die Java- und Python-Beispiele verwenden die Bibliothek "nimbus-jose-jwt" bzw. die Bibliothek "PyJWT".

Java

import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.*;
import com.nimbusds.jwt.*;

import java.util.*;

...

String secret = "secretvalue";
	String kid = "connectedAppSecretId";
	String clientId = "connectedAppClientId";
	List<String> scopes = new
ArrayList<>(Arrays.asList("tableau:views:embed"));
	String username = "user@domain.com";
	JWSSigner signer = new MACSigner(secret);
	JWSHeader header = new
JWSHeader.Builder(JWSAlgorithm.HS256).keyID(kid).customParam("iss", clientId).build();
	JWTClaimsSet claimsSet = new JWTClaimsSet.Builder()
		.issuer(clientId)
		.expirationTime(new Date(new Date().getTime() + 60 * 1000)) //expires in 1 minute
		.jwtID(UUID.randomUUID().toString())
		.audience("tableau")
		.subject("username")
		.claim("scp", scopes)
		.claim("https://tableau.com/oda", "true")
		.claim("https://tableau.com/groups", "Contractors", "Team C", "Group1", "Group2")
		.claim("Region", "East")
		.build();
	SignedJWT signedJWT = new SignedJWT(header, claimsSet);
	signedJWT.sign(signer);
	model.addAttribute("token", signedJWT.serialize());

Python

import jwt

token = jwt.encode(
	{
		"iss": connectedAppClientId,
		"exp": datetime.datetime.utcnow() + datetime.timedelta(minutes=5),
		"jti": str(uuid.uuid4()),
		"aud": "tableau",
		"sub": user,
		"scp": ["tableau:views:embed", "tableau:metrics:embed"],
		"https://tableau.com/oda":"true",
		"https://tableau.com/groups": ["Contractors", "Team C", "Group1", "Group2"],
		"Region": "East"
	},
		connectedAppSecretKey,
		algorithm = "HS256",
		headers = {
		'kid': connectedAppSecretId,
		'iss': connectedAppClientId
        }
  )

Nachdem Sie das JWT konfiguriert haben, wird bei der Ausführung des Codes durch Ihre externe Anwendung ein Token erzeugt.

Schritt 4: Nächste Schritte

Für Einbettungs-Workflows

Nachdem Sie das JWT konfiguriert haben, müssen Sie Ihrer externen Anwendung einen Einbettungscode hinzufügen. Stellen Sie sicher, dass Sie das gültige JWT, das Sie in Schritt 3 oben konfiguriert haben, in die Webkomponente aufnehmen, die Ihre externe Anwendung aufruft.

Weitere Informationen zum Einbetten von Tableau-Inhalten finden Sie in einem oder beiden der folgenden Abschnitte:

Hinweis: Damit Benutzer beim Zugriff auf eingebettete Inhalte erfolgreich authentifiziert werden, müssen Browser so konfiguriert sein, dass sie Cookies von Drittanbietern zulassen.

Für REST API-Autorisierungs-Workflows

Nachdem das JWT konfiguriert wurde, müssen Sie das gültige JWT der REST API-Anmeldeanforderung für autorisierten Zugriff hinzufügen. Weitere Informationen finden Sie unter Zugriffsbereiche für verbundene Apps.

Für Metadaten-API-Workflows

Nachdem das JWT konfiguriert wurde, müssen Sie das gültige JWT der REST API-Anmeldeanforderung hinzufügen. Weitere Informationen finden Sie unter Zugriffsbereiche für verbundene Apps.

Verwalten einer verbundenen App

Auf der Seite "Verbundene Apps" können Sie alle verbundenen Apps für Ihre Site verwalten. Sie können Aufgaben wie das Erstellen, Löschen und Deaktivieren verbundener Anwendungen sowie das Widerrufen oder Erstellen neuer Geheimnisse durchführen, wenn bestehende Geheimnisse kompromittiert wurden.

  1. Melden Sie sich als Site--Administrator bei Tableau Cloud an.

  2. Wählen Sie im linken Bereich Einstellungen > Verbundene Apps aus.

  3. Aktivieren Sie das Kontrollkästchen neben der verbundenen App, die Sie verwalten möchten, und führen Sie einen oder mehrere der folgenden Schritte aus:

    • Generieren Sie ein neues Geheimnis gemäß der von den Sicherheitsrichtlinien Ihres Unternehmens festgelegten Rotationszeit. Um ein zusätzliches Geheimnis zu generieren, klicken Sie auf den Namen der verbundenen App und dann auf die Schaltfläche Neues Geheimnis generieren. Eine verbundene App kann maximal über zwei Geheimnisse verfügen. Beide Geheimnisse können gleichzeitig aktiv sein, laufen nicht ab und bleiben gültig, bis sie gelöscht werden.

    • Überprüfen Sie die Details der verbundenen App, indem Sie auf den Namen der verbundenen App klicken, um zu sehen, wann die verbundene App erstellt wurde, sowie ihre ID, Projekt- und Domänenbereiche und ihre Geheimnisse.

    • Ändern Sie Projektbereich oder -domäne, indem Sie im Aktionsmenü die Option Bearbeiten auswählen. Nehmen Sie die Änderungen vor und klicken Sie auf Aktualisieren.

      Hinweis: Wenn Sie den Projekt- oder Domänenbereich ändern und der eingebettete Inhalt weder im neuen Projekt noch in der neuen Domäne vorhanden ist, kann die eingebettete Ansicht oder Metrik nicht angezeigt werden und die Benutzer erhalten beim Zugriff auf den eingebetteten Inhalt eine Fehlermeldung.

    • Löschen Sie ein Geheimnis, indem Sie auf den Namen der verbundenen App klicken. Klicken Sie auf der Seite der verbundenen App neben dem Geheimnis auf Aktionen und wählen Sie Löschen aus. Wählen Sie im Bestätigungsdialogfenster erneut Löschen aus.

      Hinweis: Wenn das Geheimnis der verbundenen App von einer externen Anwendung verwendet wird, kann die eingebettete Ansicht oder Metrik nicht mehr angezeigt werden, nachdem das Geheimnis gelöscht wurde. Weitere Informationen finden Sie unten unter Auswirkungen des Deaktivierens oder Löschens einer verbundenen App oder des Löschens eines Geheimnisses.

    • Deaktivieren Sie eine verbundene App, indem Sie im Aktionsmenü die Option Deaktivieren auswählen. Wenn die verbundene App von einer externen Anwendung verwendet wird, kann die eingebettete Ansicht oder Metrik nicht mehr angezeigt werden, nachdem die verbundene App deaktiviert wurde. Weitere Informationen finden Sie unten unter Auswirkungen des Deaktivierens oder Löschens einer verbundenen App oder des Löschens eines Geheimnisses.

Auswirkungen des Deaktivierens oder Löschens einer verbundenen App oder des Löschens eines Geheimnisses

Um Ihrem Nutzer eingebettete Inhalte anzuzeigen oder den REST-API-Zugriff über eine verbundene App zu ermöglichen, muss die verbundene App aktiviert und ihr Geheimnis generiert werden. Wenn die verbundene App in Ihrer externen Anwendung verwendet wird und entweder deaktiviert oder gelöscht wird oder ihr Geheimnis gelöscht oder ersetzt wird, erhalten die Benutzer einen 403-Fehler.

Um dieses Problem zu vermeiden, stellen Sie sicher, dass die verbundene App aktiviert ist und das JWT die richtige Geheimnis-ID und den richtigen Geheimniswert verwendet.

Zugriffsebene (nur Einbettungs-Workflows)

Sie können einen von zwei Projekttypen auswählen, wenn Sie die Zugriffsebene einer verbundenen Anwendung konfigurieren. Die Zugriffsebene steuert, welche Inhalte eingebettet werden können.

  • Alle Projekte: Diese Option ermöglicht das Einbetten der Inhalte in allen Projekten.
  • Nur ein Projekt: Diese Option ermöglicht nur das Einbetten der Inhalte im angegebenen Projekt. Wenn das angegebene Projekt verschachtelte Projekte enthält, ist das Einbetten von Inhalten in diese verschachtelten Projekte nicht aktiviert.

Über mehrere Projekte

Ab Februar 2024 (Tableau 2024.1) können Sie den Inhalt in mehreren Projekten für eine verbundene Anwendung nur mithilfe der Tableau-REST API aktivieren. Zum Angeben der Projekte verwenden Sie die „Projekt-IDs“ in entweder der Methode Erstellen einer verbundenen App(Link wird in neuem Fenster geöffnet) oder Aktualisieren einer verbundenen App(Link wird in neuem Fenster geöffnet).

Hinweis: Wenn für Ihre verbundene App mehrere Projekte konfiguriert sind, zeigt Tableau als Zugriffsebene der verbundenen App Mehrere Projekte an. Wenn Sie entweder Nur ein Projekt oder Alle Projekte auswählen und die verbundene App aktualisieren, wird die Option „Mehrere Projekte“ nicht mehr angezeigt. Wenn Sie die verbundene App wieder für mehrere Projekte konfigurieren möchten, müssen Sie die REST API verwenden.

Regeln für die Domänenzulassungsliste (nur beim Einbetten von Workflows)

Mit der Domänenzulassungsliste der verbundenen App können Sie den Zugriff auf eingebettete Tableau-Inhalte auf alle Domänen oder einige Domänen beschränken oder einige Domänen ausschließen oder alle Domänen blockieren.

Wichtig: Zur Sicherheit empfehlen wir als Best Practice die Verwendung der Domänen-Zulassungsliste, um sicherzustellen, dass Tableau-Inhalte nur an Stellen eingebettet werden, die Sie erlauben.

Domänenoptionen

Sie können eine von zwei Optionen wählen, wenn Sie die Domänenzulassungsliste einer verbundenen App konfigurieren:

  • Alle Domänen: Als Standardoption ermöglicht diese Option den uneingeschränkten Zugriff auf eingebettete Inhalte.
  • Nur bestimmte Domänen: Mit dieser Option können Sie den Zugriff auf eingebettete Inhalte einschränken. Wenn Sie diese Option verwenden, befolgen Sie die Formatierungsregeln, die im folgenden Abschnitt Domänenformatierung angegeben sind.

Domänenformatierung

In das Textfeld für die Domänenzulassungsliste können Sie eine oder mehrere Domänen unter Verwendung der nachstehenden Formatierungsbeispiele eingeben.

Hinweis: Die Regeln für die Domänenformatierung gelten auch bei der Verwendung der Methoden für verbundene Apps(Link wird in neuem Fenster geöffnet) in der Tableau REST API.

Hier sind einige Formatierungsbeispiele, die auf gängigen Szenarien basieren:

Spezifizieren von ...BeispielEinbettungszugriff
Domänenbereich*.myco.comEingebettete Inhalte sind von allen Subdomänen unter myco.com zugänglich.
Alle Portsmyco.com:*Eingebettete Inhalte sind von allen Ports unter myco.com zugänglich.
Spezifischer Portmyco.com:8080Eingebettete Inhalte sind nur vom Port 8080 unter myco.com zugänglich.
Mehrere diskrete Domänenmyco.com
events.myco.com
ops.myco.com

Die eingebetteten Inhalte sind von allen drei Domänen aus zugänglich.

Hinweis: Wenn Sie mehrere Domänen angeben, geben Sie jede Domäne in einer neuen Zeile ein oder trennen Sie die Domänen durch ein Leerzeichen. Für die REST-API müssen Domänen durch ein Leerzeichen getrennt werden.

Nur sicherer Datenverkehrhttps:Eingebettete Inhalte sind unabhängig von der Domäne sicher zugänglich.
Sicherer Datenverkehr zu allen Ports für einen Bereich von Domänenhttps:*myco.com:*Eingebettete Inhalte sind von allen Ports in allen Subdomänen unter myco.com sicher zugänglich.
Keine Domänen[no domains]Der Zugriff auf eingebettete Inhalte ist gesperrt.

On-Demand-Zugriff (nur Einbettungsworkflows)

Seit Oktober 2023 können Sie, wenn Ihre Website mit dem nutzungsbasierten Modell von Eingebettete Analytics(Link wird in neuem Fenster geöffnet) lizenziert ist, mithilfe des On-Demand-Zugriffs den Zugriff auf Ihre eingebetteten Tableau-Inhalte auf mehr Benutzer erweitern. Mit dem On-Demand-Zugriff ermöglichen Sie Ihren Benutzern die Interaktion mit eingebetteten Tableau-Inhalten, die über Ihre verbundene Anwendung authentifiziert werden, ohne diese Benutzer auf Ihrer Tableau Cloud-Site bereitstellen zu müssen. Durch den On-Demand-Zugriff müssen Sie keine Benutzer mehr in Tableau Cloud hinzufügen und verwalten, um den Zugriff auf eingebettete Inhalte zu unterstützen.

So funktioniert der On-Demand-Zugriff

Der Zugriff auf eingebettete Inhalte von Tableau über den On-Demand-Zugriff wird durch Berechtigungen auf Gruppenebene bestimmt, die entweder vom Inhalt geerbt (z. B. auf Projektebene) oder direkt auf den Inhalt angewendet werden. Benutzer wie Site-Administratoren, Projektbesitzer oder -leiter sowie Inhaltsbesitzer können Inhalten Berechtigungen auf Gruppenebene zuweisen. Wenn Benutzer auf den eingebetteten Inhalt zugreifen, der über die On-Demand-Zugriffsfunktion aktiviert wurde, überprüft Tableau, ob das JWT die richtigen Gruppenmitgliedschaftsansprüche enthält, bevor der Inhalt angezeigt wird.

Voraussetzungen

Die folgenden Kriterien müssen erfüllt sein, um den On-Demand-Zugriff auf eingebettete Inhalte zu ermöglichen:

  1. Die Website ist mit dem nutzungsbasierten Modell von Eingebettete Analytics(Link wird in neuem Fenster geöffnet) lizenziert
  2. Für die Gruppe ist die On-Demand-Zugriffsfunktion aktiviert
  3. Für die Inhalte von Tableau sind Gruppenberechtigungen festgelegt
  4. Die mit Tableau verbundene App wurde erstellt
  5. Das von der verbundenen App verwendete JWT umfasst die https://tableau.com/oda und https://tableau.com/groups
  6. Inhalte von Tableau sind in eine externe Anwendung eingebettet

Wenn diese Kriterien erfüllt sind, können Ihre Benutzer mit eingebetteten Inhalten von Tableau interagieren, die über die On-Demand-Zugriffsfunktion aktiviert wurden.

Aktivieren der On-Demand-Zugriffsfunktion

Um die On-Demand-Zugriffsfunktion für eine Gruppe zu aktivieren, müssen Sie beim Erstellen oder Bearbeiten einer Gruppe das Kontrollkästchen On-Demand-Zugriff erlauben markieren. Weitere Informationen zum Erstellen von Gruppen finden Sie unter Erstellen einer Gruppe und Hinzufügen von Benutzern zu dieser Gruppe.

Sie können diese Funktion auch über die Tableau REST-API aktivieren. Weitere Informationen finden Sie unter den Methoden Gruppe erstellen(Link wird in neuem Fenster geöffnet) und Gruppe aktualisieren(Link wird in neuem Fenster geöffnet) in der Tableau REST-API-Hilfe.

Funktionen, wenn der On-Demand-Zugriff aktiviert ist

Benutzer, die auf eingebettete Tableau-Inhalte zugreifen, verfügen über Ansichtsfunktionen(Link wird in neuem Fenster geöffnet) für die Inhalte. Benutzer verfügen unabhängig von der ausgewählten Vorlage oder den benutzerdefinierten Funktionen, die möglicherweise für die Gruppe konfiguriert sind, über Ansichtsfunktionen (ein Benutzer mit der Rolle „Viewer“ kann beispielsweise niemals eine Datenquelle herunterladen, selbst wenn ihm diese Funktion explizit für eine spezifische Datenquelle gewährt wird)

Überwachen des On-Demand-Zugriffs

Wenn Sie Tableau Cloud mit Advanced Management(Link wird in neuem Fenster geöffnet) haben, können Sie das Aktivitätsprotokoll verwenden, um die Nutzung des On-Demand-Zugriffs zu überwachen. Zu den Ereignissen im Aktivitätsprotokoll, die den On-Demand-Zugriff erfassen, gehören unter anderem: Zugriffsansicht Und Anmeldung. Weitere Informationen zu diesen Ereignissen finden Sie in der Referenz zu Ereignistypen im Aktivitätsprotokoll.

Einschränkungen

Da die On-Demand-Zugriffsworkflows es bestimmten Benutzern, die auf eingebettete Tableau-Inhalte zugreifen, ermöglichen, dass dies für Tableau Cloud anonym und kurzlebig geschieht, sind die folgenden Funktionen für Benutzer, die auf eingebettete Inhalte zugreifen, welche durch die On-Demand-Zugriffsfunktion aktiviert wurden, nicht verfügbar:

  • Erstellen einer benutzerdefinierten Ansicht
  • Teilen von Inhalten über die Schaltfläche „Teilen“ des Inhalts
  • Abonnieren von Inhalten, um Informations-Schnappschüsse per E-Mail zu erhalten

Hinweis: Ab Februar 2024 (Tableau 2024.1) können Tableau-REST-API-Anfragen als Benutzer mit On-Demand-Zugriff gestellt werden.

Dynamische Gruppenmitgliedschaft (nur Einbettungs-Workflows)

Ab Juni 2024 (Tableau 2024.2) können Sie, wenn verbundene Apps konfiguriert sind und die Einstellung der Funktion aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die in dem von der externen Anwendung gesendeten JWT enthalten sind.

Wenn konfiguriert, sendet die externe Anwendung während der Benutzerauthentifizierung das JWT, das zwei benutzerdefinierte Ansprüche für die Gruppenmitgliedschaft enthält: Gruppe (https://tableau.com/groups) und Gruppennamen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert das JWT und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen.

Bekannte Probleme (nur Einbettungs-Workflows)

Bei der Verwendung von verbundenen Apps gibt es einige bekannte Probleme, die in einer zukünftigen Version behoben werden.

  • Symbolleistenfeatures: Wenn für eingebettete Inhalte der Symbolleistenparameter definiert ist, funktionieren manche Symbolleistenfeatures nicht. Um dieses Problem zu umgehen, empfehlen wir Ihnen, den Symbolleistenparameter (wie im folgenden Beispiel gezeigt) auszublenden.

    <tableau-viz id='tab-viz' src='https://online.tableau.com/t/<your_site>/...'
    	toolbar='hidden'>
    </tableau-viz>

  • Veröffentlichte Datenquellen: Veröffentlichte Datenquellen, für die festgelegt ist, dass Benutzer Datenbankanmeldeinformationen eingeben müssen, werden nicht angezeigt. Um dieses Problem zu umgehen, empfehlen wir, dass Datenquellenbesitzer stattdessen ihre eigenen Datenbankanmeldeinformationen einbetten (sofern möglich).

  • "Frag die Daten"-Objekte in eingebetteten Dashboards: "Frag die Daten"-Objekte in eingebetteten Dashboards werden nicht geladen. (Im Februar 2024 (Tableau 2024.1) wurde „Frag die Daten“ (Ask Data) von Tableau eingestellt.)

  • Metriken und Domain-Zulassungslisten: Eingebettete Metrikansichten werden trotz Zugriffsbeschränkungen angezeigt, die möglicherweise in den Domain-Zulassungslisten der verbundenen Apps angegeben sind. Hinweis: Metrikdaten, auf die über Symbolleisten eingebetteter Ansichten zugegriffen wird, funktionieren wie erwartet. (In Oktober 2023 (Tableau 2023.3) hat Tableau die Möglichkeit zum Einbetten von Metriken eingestellt.)

Problembehebung

Weitere Informationen finden Sie unter Fehlerbehebung bei verbundenen Apps – Direkte Vertrauensstellung für Fehler, die möglicherweise mit der verbundenen App zusammenhängen können, und Vorschläge für Schritte zur Fehlerbehebung.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.