Übersicht über Optionen für Sicherheit auf Zeilenebene in Tableau

Manchmal möchten Sie Daten basierend auf dem Benutzer filtern, der sie anfordert. Beispiel:

  • Sie möchten, dass regionale Vertriebsmitarbeiter nur die Verkaufszahlen für ihre Region sehen.
  • Sie möchten, dass Vertriebsmanager Statistiken nur für Vertriebsmitarbeiter sehen, die ihnen Bericht erstatten.
  • Sie möchten, dass Schüler Visualisierungen nur basierend auf ihren eigenen Testergebnissen sehen.

Ein Ansatz zum Filtern von Daten auf diese Weise wird als "Sicherheit auf Zeilenebene" (Row-Level Security, RLS) bezeichnet. Es gibt mehrere Methoden, um Sicherheit auf Zeilenebene sowohl innerhalb als auch außerhalb von Tableau zu realisieren – jede davon mit ihren eigenen Vor- und Nachteilen.

Erstellen eines Benutzerfilters und manuelles Zuweisen von Benutzern zu Werten

Am einfachsten lässt sich Sicherheit auf Zeilenebene in Tableau mittels eines Benutzerfilters realisieren, in dem Sie Benutzer manuell Werten zuordnen. So können Sie beispielsweise einen Benutzer namens "Alice" manuell dem Wert "Ost" zuordnen – dann sieht dieser Benutzer nur Zeilen in der Datenquelle, in denen die Spalte "Region" den Wert "Ost" hat.

Diese Methode ist praktisch, bringt jedoch einen hohen Wartungsaufwand mit sich, und auf Sicherheit muss besonders geachtet werden. Die Sicherheit muss hier pro Arbeitsmappe implementiert werden, und wenn sich Ihre Benutzerbasis ändert, müssen Sie den Filter aktualisieren und die Datenquelle neu veröffentlichen. Wenn Sie ein Asset mit diesem Typ von Benutzerfilter veröffentlichen, müssen Sie Berechtigungen festlegen, damit Benutzer es nicht speichern oder herunterladen können, um dann den Filter zu entfernen und so Zugriff auf alle Daten zu erhalten.

Weitere Informationen finden Sie unter Erstellen eines Benutzerfilters und manuelles Zuweisen von Benutzern zu Werten(Link wird in neuem Fenster geöffnet) in der Hilfe zu Tableau Desktop und zur Webdokumenterstellung.

Erstellen eines dynamischen Filters mithilfe eines Sicherheitsfelds in den Daten

Mit dieser Methode erstellen Sie ein berechnetes Feld, das den Prozess der Zuordnung von Benutzern zu Datenwerten automatisiert. Für diese Methode ist es erforderlich, dass die zugrunde liegenden Daten die Sicherheitsinformationen enthalten, die Sie für die Filterung verwenden möchten. So könnten Sie beispielsweise mithilfe eines berechneten Felds, der Funktion USERNAME() und einer Spalte namens "Manager" in der Datenquelle ermitteln, ob der Benutzer, der die Ansicht anfordert, ein Manager ist, und die Daten in der Ansicht entsprechend anpassen.

Da die Filterung auf Datenebene definiert ist und durch das berechnete Feld automatisiert wird, ist diese Methode sicherer als das manuelle Zuordnen von Benutzern zu Datenwerten. Wenn Sie ein Asset mit diesem Typ von Benutzerfilter veröffentlichen, müssen Sie Berechtigungen festlegen, damit Benutzer es nicht speichern oder herunterladen können, um dann den Filter zu entfernen und so Zugriff auf alle Daten zu erhalten.

Weitere Informationen finden Sie unter Erstellen eines dynamischen Filters mithilfe eines Sicherheitsfelds in den Daten(Link wird in neuem Fenster geöffnet) in der Hilfe zu Tableau Desktop und zur Webdokumenterstellung.

Verwenden einer Datenrichtlinie

Ab Tableau 2021.4 können Benutzer mit einer Creator-Lizenz – wenn Tableau Data Management in Tableau Server oder Tableau Cloud aktiviert ist – Sicherheit auf Zeilenebene über Datenrichtlinien für virtuelle Verbindungen implementieren. Da virtuelle Verbindungen zentralisiert und wiederverwendbar sind, können Sie Sicherheit auf Zeilenebene für jede Verbindung an einer einzigen Stelle sicher und geschützt für alle Inhalte verwalten, die diese Verbindung verwenden.

Im Gegensatz zu den oben genannten Lösungen für Sicherheit auf Zeilenebene in Tableau birgt diese Methode nicht das gleiche Risiko, dass Informationen offen gelegt werden könnten, wenn ein Autor es versäumt, die Berechtigungen für die Arbeitsmappe oder Datenquelle ordnungsgemäß abzusichern, da die Richtlinie auf dem Server für jede Abfrage durchgesetzt wird.

Sicherheit auf Zeilenebene durch Datenrichtlinien für virtuelle Verbindungen wurde entwickelt, um die Schwächen anderer Sicherheitslösungen auf Zeilenebene zu beheben. Wir empfehlen diese Lösung in den meisten Situationen, in denen sie eine Option darstellt.

Weitere Informationen zu Sicherheit auf Zeilenebene mithilfe von Datenrichtlinien für virtuelle Verbindungen finden Sie unter Informationen zu virtuellen Verbindungen und Datenrichtlinien.

Verwenden von vorhandenen RLS-Mechanismen in der Datenbank

Viele Datenquellen verfügen über integrierte Mechanismen für RLS. Wenn Ihre Organisation bereits Anstrengungen unternommen hat, um RLS in einer Datenquelle zu implementieren, können Sie möglicherweise die Vorteile Ihrer vorhandenen RLS-Lösung nutzen.

Es ist nicht notwendigerweise einfacher oder besser, ein integriertes RLS-Modell zu implementieren, anstatt eines speziell für Tableau ausgelegt neu zu erstellen. Diese Techniken werden meist genutzt, wenn eine Organisation bereits in diese Technologien investiert hat und die Investition bestmöglich ausnutzen möchte, oder wenn die gleichen Sicherheitsrichtlinien außer in Tableau auch auf andere Datenbankclients angewendet werden sollen.

Der Hauptvorteil der Verwendung von integrierter RLS besteht darin, dass die Administratoren ihre Datensicherheitsrichtlinie an einem zentralen Ort implementieren und steuern können: in ihren Datenbanken.

Übergeben von Benutzerattributen

Sie können Benutzerattribute übergeben, die in einem JSON-Webtoken (JWT) enthalten sind, um den Zugriff auf Daten in Tableau Cloud-Einbettungs-Workflows anzupassen und zu steuern. Weitere Informationen finden Sie in der Hilfe zur Embedding v3 API(Link wird in neuem Fenster geöffnet).

Vergleich der Optionen für Sicherheit auf Zeilenebene

RLS-OptionIst nützlich, wennVorteileNachteile
Manueller Benutzerfilter
  • Sie einen Machbarkeitsnachweis durchführen oder die Benutzerfilterfunktionalität testen
  • Sie eine statische Arbeitsmappe erstellen, die von einer sich nicht ändernden Benutzergruppe verwendet wird
  • Sie wissen, welche Risiken falsch festgelegte Berechtigungen für die Sicherheit Ihrer Daten darstellen
  • Einfach im kleinen Maßstab
  • Leicht verständliche Zuordnung
  • Gut für Testzwecke
  • Hoher Wartungsaufwand
  • Wenn sich die Benutzerbasis ändert, müssen Sie Filter aktualisieren und erneut veröffentlichen
  • Berechtigungen müssen sicher gestaltet werden, um zu verhindern, dass Benutzer ungefilterte Daten sehen
  • Muss in jeder Arbeitsmappe repliziert werden
Dynamischer Benutzerfilter
  • Sie haben keine Tableau Data Management-Lizenz
  • Die Daten Informationen enthalten, die Sie zum Filtern verwenden können
  • Sie wissen, welche Risiken falsch festgelegte Berechtigungen für die Sicherheit Ihrer Daten darstellen
  • Relativ einfach einzurichten
  • Berechtigungen müssen sicher gestaltet werden, um zu verhindern, dass Benutzer ungefilterte Daten sehen
  • Muss in jeder Arbeitsmappe oder Datenquelle repliziert werden
Datenrichtlinie
  • Sie haben eine Tableau Data Management-Lizenz
  • Die Daten Informationen enthalten, die Sie zum Filtern verwenden können
  • Es wichtig ist, dass die Datensicherheit leicht und einfach ist
  • Zentralisiert
  • Sicher
  • Geringer Wartungsaufwand
  • Die Zuständigkeiten für Sicherheit und Analysen voneinander getrennt werden können
  • Tableau Data Management-Lizenz erforderlich
RLS in der Datenbank
  • Ihre Datenbank verfügt über einen vorhandenen RLS-Mechanismus, der in die Datenbank integriert ist
  • Sie keine Extrakte verwenden
  • Kann bereits in die Datenbank Ihres Unternehmens integriert sein
  • Richtlinien können auf andere Datenbankclients als Tableau angewendet werden
  • Muss Live-Abfragen verwenden
  • Kann Einschränkungen oder Erfordernisse haben. Ihr IT-Team diese identifizieren kann
Benutzerattribute
  • Datenzugriffsrichtlinien an derselben Stelle verwalten, an der Sie andere Richtlinien und Personalisierungen für Ihre Benutzer verwalten

 

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.