Übersicht über Optionen für Sicherheit auf Zeilenebene in Tableau
Manchmal möchten Sie Daten basierend auf dem Benutzer filtern, der sie anfordert. Beispiel:
- Sie möchten, dass regionale Vertriebsmitarbeiter nur die Verkaufszahlen für ihre Region sehen.
- Sie möchten, dass Vertriebsmanager Statistiken nur für Vertriebsmitarbeiter sehen, die ihnen Bericht erstatten.
- Sie möchten, dass Schüler Visualisierungen nur basierend auf ihren eigenen Testergebnissen sehen.
Ein Ansatz zum Filtern von Daten auf diese Weise wird als "Sicherheit auf Zeilenebene" (Row-Level Security, RLS) bezeichnet. Es gibt mehrere Methoden, um Sicherheit auf Zeilenebene sowohl innerhalb als auch außerhalb von Tableau zu realisieren – jede davon mit ihren eigenen Vor- und Nachteilen.
Erstellen eines Benutzerfilters und manuelles Zuweisen von Benutzern zu Werten
Am einfachsten lässt sich Sicherheit auf Zeilenebene in Tableau mittels eines Benutzerfilters realisieren, in dem Sie Benutzer manuell Werten zuordnen. So können Sie beispielsweise einen Benutzer namens "Alice" manuell dem Wert "Ost" zuordnen – dann sieht dieser Benutzer nur Zeilen in der Datenquelle, in denen die Spalte "Region" den Wert "Ost" hat.
Diese Methode ist praktisch, bringt jedoch einen hohen Wartungsaufwand mit sich, und auf Sicherheit muss besonders geachtet werden. Die Sicherheit muss hier pro Arbeitsmappe implementiert werden, und wenn sich Ihre Benutzerbasis ändert, müssen Sie den Filter aktualisieren und die Datenquelle neu veröffentlichen. Wenn Sie ein Asset mit diesem Typ von Benutzerfilter veröffentlichen, müssen Sie Berechtigungen festlegen, damit Benutzer es nicht speichern oder herunterladen können, um dann den Filter zu entfernen und so Zugriff auf alle Daten zu erhalten.
Weitere Informationen finden Sie unter Erstellen eines Benutzerfilters und manuelles Zuweisen von Benutzern zu Werten(Link wird in neuem Fenster geöffnet) in der Hilfe zu Tableau Desktop und zur Webdokumenterstellung.
Erstellen eines dynamischen Filters mithilfe eines Sicherheitsfelds in den Daten
Mit dieser Methode erstellen Sie ein berechnetes Feld, das den Prozess der Zuordnung von Benutzern zu Datenwerten automatisiert. Für diese Methode ist es erforderlich, dass die zugrunde liegenden Daten die Sicherheitsinformationen enthalten, die Sie für die Filterung verwenden möchten. So könnten Sie beispielsweise mithilfe eines berechneten Felds, der Funktion USERNAME() und einer Spalte namens "Manager" in der Datenquelle ermitteln, ob der Benutzer, der die Ansicht anfordert, ein Manager ist, und die Daten in der Ansicht entsprechend anpassen.
Da die Filterung auf Datenebene definiert ist und durch das berechnete Feld automatisiert wird, ist diese Methode sicherer als das manuelle Zuordnen von Benutzern zu Datenwerten. Wenn Sie ein Asset mit diesem Typ von Benutzerfilter veröffentlichen, müssen Sie Berechtigungen festlegen, damit Benutzer es nicht speichern oder herunterladen können, um dann den Filter zu entfernen und so Zugriff auf alle Daten zu erhalten.
Weitere Informationen finden Sie unter Erstellen eines dynamischen Filters mithilfe eines Sicherheitsfelds in den Daten(Link wird in neuem Fenster geöffnet) in der Hilfe zu Tableau Desktop und zur Webdokumenterstellung.
Verwenden einer Datenrichtlinie
Ab Tableau 2021.4 können Benutzer mit einer Creator-Lizenz – wenn Datenverwaltung in Tableau Server oder Tableau Cloud aktiviert ist – Sicherheit auf Zeilenebene über Datenrichtlinien für virtuelle Verbindungen implementieren. Da virtuelle Verbindungen zentralisiert und wiederverwendbar sind, können Sie Sicherheit auf Zeilenebene für jede Verbindung an einer einzigen Stelle sicher und geschützt für alle Inhalte verwalten, die diese Verbindung verwenden.
Im Gegensatz zu den oben genannten Lösungen für Sicherheit auf Zeilenebene in Tableau birgt diese Methode nicht das gleiche Risiko, dass Informationen offen gelegt werden könnten, wenn ein Autor es versäumt, die Berechtigungen für die Arbeitsmappe oder Datenquelle ordnungsgemäß abzusichern, da die Richtlinie auf dem Server für jede Abfrage durchgesetzt wird.
Sicherheit auf Zeilenebene durch Datenrichtlinien für virtuelle Verbindungen wurde entwickelt, um die Schwächen anderer Sicherheitslösungen auf Zeilenebene zu beheben. Wir empfehlen diese Lösung in den meisten Situationen, in denen sie eine Option darstellt.
Weitere Informationen zu Sicherheit auf Zeilenebene mithilfe von Datenrichtlinien für virtuelle Verbindungen finden Sie unter Informationen zu virtuellen Verbindungen und Datenrichtlinien.
Verwenden von vorhandenen RLS-Mechanismen in der Datenbank
Viele Datenquellen verfügen über integrierte Mechanismen für RLS. Wenn Ihre Organisation bereits Anstrengungen unternommen hat, um RLS in einer Datenquelle zu implementieren, können Sie möglicherweise die Vorteile Ihrer vorhandenen RLS-Lösung nutzen.
Es ist nicht notwendigerweise einfacher oder besser, ein integriertes RLS-Modell zu implementieren, anstatt eines speziell für Tableau ausgelegt neu zu erstellen. Diese Techniken werden meist genutzt, wenn eine Organisation bereits in diese Technologien investiert hat und die Investition bestmöglich ausnutzen möchte, oder wenn die gleichen Sicherheitsrichtlinien außer in Tableau auch auf andere Datenbankclients angewendet werden sollen.
Der Hauptvorteil der Verwendung von integrierter RLS besteht darin, dass die Administratoren ihre Datensicherheitsrichtlinie an einem zentralen Ort implementieren und steuern können: in ihren Datenbanken.
Übergeben von Benutzerattributen
Sie können Benutzerattribute übergeben, die in einem JSON-Webtoken (JWT) enthalten sind, um den Zugriff auf Daten in Tableau Cloud-Einbettungs-Workflows anzupassen und zu steuern. Weitere Informationen finden Sie in der Hilfe zur Embedding v3 API(Link wird in neuem Fenster geöffnet).
Vergleich der Optionen für Sicherheit auf Zeilenebene
RLS-Option | Ist nützlich, wenn | Vorteile | Nachteile |
---|---|---|---|
Manueller Benutzerfilter |
|
|
|
Dynamischer Benutzerfilter |
|
|
|
Datenrichtlinie |
|
|
|
RLS in der Datenbank |
|
|
|
Benutzerattribute |
|
|
|