Authentifizierung
Die Authentifizierung bezieht sich darauf, wie Benutzer sich bei ihrer Tableau Cloud-Site anmelden können und wie sie nach der erstmaligen Anmeldung darauf zugreifen können. Bei der Authentifizierung wird die Identität eines Benutzers überprüft.
Tableau Cloud unterstützt mehrere Authentifizierungstypen, die Sie auf der Seite Authentifizierung konfigurieren können.
Dieses Thema richtet sich an Site-Administratoren, die die Authentifizierung für eine Site konfigurieren. Informationen für Cloud-Administratoren, die die Authentifizierung für Tableau Cloud Manager konfigurieren, gibt es unter Authentifizierung in Tableau Cloud Manager.
Unabhängig vom Authentifizierungstyp, den Sie für Ihre Site konfigurieren, ist beim Zugriff auf Tableau Cloud eine Multi-Faktor-Authentifizierung (MFA) erforderlich. Diese vertragliche Anforderung trat am 1. Februar 2022 in Kraft. Weitere Informationen finden Sie unter Informationen zur Multi-Faktor-Authentifizierung und Tableau Cloud unten.
Tableau mit MFA: Dies ist der integrierte und standardmäßige Authentifizierungstyp. Benutzer müssen zur Bestätigung eine Kombination aus 1) Tableau-Anmeldeinformationen (auch TableauID genannt), bestehend aus einem Benutzernamen und einem Passwort, die in Tableau Cloud gespeichert werden, und 2) einer MFA-Überprüfungsmethode, z. B. einer Authentifizierungs-App oder einem Sicherheitsschlüssel, angeben, um die Identität eines Benutzers zu bestätigen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung und Tableau Cloud.
- Tableau: Wenn Tableau Ihre Site noch nicht so aktualisiert hat, dass Tableau mit MFA erforderlich ist, können Sie diesen Authentifizierungstyp vorübergehend weiterhin verwenden. Benutzer geben ihre TableauID-Anmeldeinformationen direkt auf der Tableau Cloud-Anmeldeseite ein.
Google: Wenn Ihre Organisation Google-Anwendungen verwendet, können Sie Tableau Cloud aktivieren, um Google-Konten für die einmalige Anmeldung (SSO) mit MFA über OpenID Connect (OIDC) zu verwenden. Wenn Sie Google-Authentifizierung aktivieren, werden Benutzer auf die Google-Anmeldeseite weitergeleitet, damit sie dort ihre Anmeldeinformationen eingeben, die bei Google gespeichert sind.
OIDC: Eine andere Möglichkeit, SSO zu verwenden, ist über generisches OpenID Connect (OIDC). Verwenden Sie dafür einen Drittanbieter-Identitätsanbieter (IdP) mit MFA und konfigurieren Sie die Site, um eine vertrauenswürdige Beziehung mit dem IdP einzurichten. Beim Aktivieren von OIDC werden Benutzer zur Anmeldeseite des IdPs umgeleitet, wo sie ihre SSO-Anmeldeinformationen eingeben, die bereits beim IdP gespeichert sind.
Salesforce: Wenn Ihre Organisation Salesforce verwendet, können Sie Tableau Cloud aktivieren, um Salesforce-Konten für die einmalige Anmeldung (SSO) mit MFA über OpenID Connect (OIDC) zu verwenden. Wenn Sie die Salesforce-Authentifizierung aktivieren, werden die Benutzer auf die Salesforce-Anmeldeseite geleitet, um ihre in Salesforce gespeicherten Anmeldeinformationen einzugeben. Möglicherweise ist eine minimale Konfiguration erforderlich. Weitere Informationen finden Sie unter Salesforce-Authentifizierung.
SAML: Eine andere Möglichkeit, SSO zu verwenden, ist über die Security Assertion Markup Language (SAML). Verwenden Sie dafür einen Drittanbieter-Identitätsanbieter (IdP) mit MFA und konfigurieren Sie die Site, um eine vertrauenswürdige Beziehung mit dem IdP einzurichten. Beim Aktivieren von SAML werden Benutzer zur Anmeldeseite des IdPs umgeleitet, wo sie ihre SSO-Anmeldeinformationen eingeben, die bereits beim IdP gespeichert sind.
Hinweise:
- Zugriff- und Verwaltungsberechtigungen werden über Site-Rollen implementiert. Site-Rollen definieren, welche Benutzer Administratoren und welche Benutzer Inhaltskonsumenten und Publisher auf der Site sind. Weitere Informationen zu Administratoren, Site-Rollen, Gruppen, Gastbenutzern und benutzerbezogenen Verwaltungsaufgaben finden Sie unter Verwalten von Benutzern und Gruppen und Festlegen der Site-spezifischen Rollen von Benutzern.
- Im Zusammenhang mit der Authentifizierung ist es wichtig zu verstehen, dass Benutzer nicht durch den Besitz eines Kontos zum Zugriff auf externe Datenquellen über Tableau Cloud berechtigt sind. Mit anderen Worten: In der Standardkonfiguration fungiert Tableau Cloud nicht als Proxy für externe Datenquellen. Für diese Art von Zugriff ist eine zusätzliche Konfiguration der Datenquelle unter Tableau Cloud oder eine Authentifizierung bei der Datenquelle erforderlich, wenn der Benutzer eine Verbindung von Tableau Desktop aus herstellt.
Informationen zur Multi-Faktor-Authentifizierung und Tableau Cloud
Um den steigenden und sich ständig weiterentwickelnden Sicherheitsbedrohungen, die ein Unternehmen lahmlegen können, einen Schritt voraus zu sein, MFA-Authentifizierung ist seit dem 1. Februar 2022 eine Voraussetzung für Tableau Cloud. MFA ist ein effektives Werkzeug, um die Anmeldesicherheit zu erhöhen und Ihr Unternehmen und seine Daten vor Sicherheitsbedrohungen zu schützen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Salesforce Multi-Faktor-Authentifizierung(Link wird in neuem Fenster geöffnet) in der Salesforce-Hilfe.
Die Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, die in Verbindung mit einer der anderen oben beschriebenen Authentifizierungsmethoden verwendet wird, um die Kontosicherheit zu verbessern. MFA kann auf eine von zwei Arten implementiert werden:
SSO und MFA (empfohlene Methode): Um die MFA-Anforderung zu erfüllen, aktivieren Sie MFA bei Ihrem SSO-Identitätsanbieter (IdP).
Tableau mit MFA (alternative Methode): Wenn Sie nicht direkt mit einem SSO-IdP arbeiten, können Sie stattdessen eine Kombination aus 1) TableauID-Anmeldeinformationen, die mit Tableau Cloud gespeichert werden, und 2) einer zusätzlichen Überprüfungsmethode aktivieren, bevor Sie und Ihre Benutzer auf die Site zugreifen können. Wir empfehlen Benutzern außerdem, Wiederherstellungscodes als Backup-Überprüfungsmethode nur für Notfälle einzurichten. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung und Tableau Cloud.
Über Google, OIDC, Salesforce oder SAML
Wenn Sie die externe Authentifizierung für Ihre Site aktivieren, können Sie auswählen, welche Benutzer sich mithilfe von externen Anmeldeinformationen und welche sich mithilfe von Tableau-Anmeldeinformationen (Tableau ID) anmelden können. Sie können Tableau ID und einen externen Anbieter für eine Site erlauben. Jeder Benutzer muss jedoch so festgelegt werden, dass er den einen oder anderen Typ verwendet. Optionen für die Benutzerauthentifizierung können Sie auf der Seite „Benutzer“ konfigurieren.
Wichtig: Zusätzlich zu den oben beschriebenen Authentifizierungsanforderungen wird empfohlen, ein Site-Administratorkonto zuzuweisen, das für Tableau mit MFAkonfiguriert ist. Bei einem Problem mit SAML oder dem IdP wird durch ein dediziertes Tableau MFA-Konto sichergestellt, dass Sie Zugriff auf Ihre Site haben.
Hinweise zur Konfiguration zusätzlicher Authentifizierungsmethoden
Ab November 2024 (Tableau 2024.3) können Sie eine oder mehrere Authentifizierungsmethoden für Ihre Site konfigurieren.
Für jede Authentifizierungskonfiguration muss ein Name festgelegt werden. Vorhandene Konfigurationen, die vor November 2024 erstellt wurden, erhalten automatisch einen Namen. Wenn SAML beispielsweise vor November 2024 für Ihre Site konfiguriert wurde, lautet der Konfigurationsname „Initial SAML“. Namen für bestehende Konfigurationen können nicht geändert werden.
Die maximale Anzahl an Konfigurationen, die eine Site haben kann, hängt davon ab, wann die Site erstellt wurde und ob SAML oder OIDC konfiguriert wurde.
Für Sites, die vor dem Upgrade im November 2024 erstellt wurden:
Wenn Sie vor dem Upgrade im November 2024 nur SAML oder nur OIDC konfiguriert haben, können Sie bis zu 19 Konfigurationen erstellen.
Wenn Sie vor dem Upgrade im November 2024 SAML und dann OIDC oder OIDC und dann SAML konfiguriert haben, können Sie bis zu 18 Konfigurationen erstellen.
Für Sites, die nach dem Upgrade vom November 2024 erstellt wurden, können Sie bis zu 20 Konfigurationen erstellen.
Hinweis: Konfigurationen können aktiviert, deaktiviert und gelöscht werden. Die mit SCIM verknüpfte SAML-Konfiguration kann jedoch erst deaktiviert oder gelöscht werden, wenn die SCIM-Funktion deaktiviert wird. Weitere Informationen zu SCIM finden Sie unter Automatisieren der Benutzerbereitstellung und Gruppensynchronisierung über einen externen Identitätsanbieter.
Erlauben des direkten Zugriffs über mit Tableau verbundene Clients
Standardmäßig können Benutzer, nachdem sie ihre Anmeldeinformationen zum Anmelden bei einer Site angegeben haben, direkt über einen verbundenen Tableau-Client auf die Tableau Cloud-Site zugreifen. Weitere Informationen finden Sie unter Zugriff auf Sites von verbundenen Clients aus.
Hinweis: Optional müssen Sie möglicherweise *.salesforce.com
hinzufügen, wenn MFA mit Tableau-Authentifizierung für Ihre Site aktiviert ist und Ihre Umgebung Proxys verwendet, die Clients am Zugriff auf andere erforderliche Dienste hindern.
Andere Authentifizierungsszenarien: Einbettung und Integration
Sie können Analysen direkt in die Arbeitsabläufe Ihrer Benutzer integrieren, indem Sie Tableau in benutzerdefinierte Webportale, Anwendungen und kundenorientierte Produkte integrieren und einbetten. Für die Integration externer Anwendungen in Tableau Cloud und das Einbetten von Tableau Cloud-Inhalten gibt es je nach beabsichtigtem Arbeitsablauf zusätzliche Mechanismen zum Authentifizieren von Benutzern, die auf Tableau zugreifen:
Einbetten mit verbundenen Tableau-Apps:
Direktes Vertrauen – Mit Tableau verbundene Apps ermöglichen eine nahtlose und sichere Authentifizierung, indem eine explizite Vertrauensbeziehung zwischen Ihrer Tableau Online-Site und benutzerdefinierten Anwendungen, in die Tableau-Inhalte eingebettet sind, hergestellt wird. Die Vertrauensbeziehung ermöglicht Ihren Benutzern eine einmalige Anmeldung (Single-Sign-On, SSO), ohne dass eine Integration mit einem Identitätsanbieter erforderlich ist. Die Verwendung verbundener Apps ermöglicht auch eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Konfigurieren von verbundenen Apps mit direkter Vertrauensstellung.
OAuth 2.0-Vertrauensstellung Sie können einen externen Autorisierungsserver (External Authorization Server, EAS) registrieren, um mithilfe des OAuth 2.0-Standardprotokolls eine Vertrauensbeziehung zwischen Ihrer Site und dem EAS herzustellen. Die Vertrauensbeziehung ermöglicht Ihren Benutzern über Ihren Identitätsanbieter eine einmalige Anmeldung (SSO) für eingebettete Tableau-Inhalte. Darüber hinaus ermöglicht die Registrierung eines EAS eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Konfigurieren von verbundenen Apps mit OAuth 2.0-Vertrauensstellung.
Salesforce-Integration: Erweitern Sie Ihre Datenanalyse durch maschinelle Lernmodelle und umfassende statistische Analysen mit Einstein Discovery. Weitere Informationen dazu finden Sie unter Konfigurieren der Einstein Discovery-Integration.
Slack-Integration: Machen Sie Tableau-Benachrichtigungen für lizenzierte Tableau-Benutzer in ihrem Slack-Arbeitsbereich verfügbar. Weitere Informationen finden Sie unter Integrieren von Tableau in einen Slack-Workspace.