Overzicht van beveiligingsopties op rijniveau in Tableau

Soms wilt u data filteren op basis van de gebruiker die de data opvraagt. Bijvoorbeeld:

  • U wilt dat regionale verkopers alleen verkoopcijfers voor hun regio zien.
  • U wilt dat salesmanagers alleen statistieken zien van verkopers die aan hen rapporteren.
  • U wilt dat studenten visualisaties zien die uitsluitend gebaseerd zijn op hun eigen testscores.

Een manier om data op deze manier te filteren, wordt beveiliging op rijniveau (RLS - Row-level security) genoemd. Er zijn verschillende methoden om beveiliging op rijniveau te realiseren, zowel binnen als buiten Tableau, elk met zijn eigen voor- en nadelen.

Een gebruikersfilter maken en gebruikers handmatig toewijzen aan waarden

De eenvoudigste manier om beveiliging op rijniveau te realiseren in Tableau is via een gebruikersfilter, waarbij u gebruikers handmatig aan waarden toewijst. U kunt bijvoorbeeld handmatig een gebruiker met de naam 'Alice' toewijzen aan de waarde 'Oost', zodat zij alleen rijen in de databron ziet waarvan de kolom 'Regio' 'Oost' is.

Deze methode is handig, maar vergt veel onderhoud en er moet aandacht worden besteed aan de beveiliging. Dit moet per werkmap worden gedaan en u moet het filter bijwerken en de databron opnieuw publiceren naarmate uw gebruikersbestand verandert. Wanneer u een asset publiceert met dit type gebruikersfilter, moet u machtigingen instellen zodat gebruikers de asset niet kunnen opslaan of downloaden of het filter kunnen verwijderen en zo toegang tot alle data krijgen.

Zie Een gebruikersfilter maken en gebruikers handmatig toewijzen aan waarden(Link wordt in een nieuw venster geopend) in de Help van Tableau Desktop en Web Authoring voor meer informatie.

Een dynamisch gebruikersfilter maken met behulp van een beveiligingsveld in de data

Met deze methode maakt u een berekend veld waarmee u automatisch gebruikers aan datawaarden kunt toewijzen. Voor deze methode is het vereist dat in de onderliggende data de beveiligingsinformatie is opgenomen die u wilt gebruiken voor het filteren. U kunt bijvoorbeeld met behulp van een berekend veld, de functie USERNAME() en een kolom 'Manager' in de databron bepalen of de gebruiker die de weergave aanvraagt manager is en de data in de weergave dienovereenkomstig aanpassen.

Omdat het filteren op dataniveau wordt gedefinieerd en wordt geautomatiseerd door het berekende veld, is deze methode minder foutgevoelig dan het handmatig toewijzen van gebruikers aan datawaarden. Wanneer u een asset publiceert met dit type gebruikersfilter, moet u machtigingen instellen zodat gebruikers de asset niet kunnen opslaan of downloaden of het filter kunnen verwijderen en zo toegang tot alle data krijgen.

Zie Een dynamisch filter maken met behulp van een beveiligingsveld in de data(Link wordt in een nieuw venster geopend) in de Help van Tableau Desktop en Web Authoring voor meer informatie.

Databeleid gebruiken

Vanaf Tableau 2021.4, wanneer Databeheer is ingeschakeld in Tableau Server of Tableau Cloud, kunnen gebruikers met een Creator-licentie beveiliging op rijniveau implementeren via databeleid bij virtuele verbindingen. Omdat virtuele verbindingen gecentraliseerd en herbruikbaar zijn, kunt u de beveiliging op rijniveau voor elke verbinding op één plek veilig beheren voor alle inhoud die van die verbinding gebruikmaakt.

In tegenstelling tot de bovenstaande beveiligingsoplossingen op rijniveau in Tableau, brengt deze methode niet het risico met zich mee dat informatie wordt blootgesteld als een auteur nalaat om de machtigingen voor de werkmap of databron goed te beveiligen, omdat het beleid voor elke query op de server wordt afgedwongen.

Beveiliging op rijniveau via beleid voor virtuele verbindingsdata is ontwikkeld om de tekortkomingen van andere beveiligingsoplossingen op rijniveau aan te pakken. Wij raden deze oplossing in de meeste situaties aan waarin dit een optie is.

Zie Over virtuele verbindingen en databeleid voor meer informatie over beveiliging op rijniveau met behulp van databeleid bij virtuele verbindingen.

Bestaande RLS in de database gebruiken

Veel databronnen hebben ingebouwde mechanismen voor RLS. Als uw organisatie al moeite heeft gestoken in het opbouwen van beveiliging op rijniveau in een databron, kunt u mogelijk profiteren van uw bestaande RLS.

Het is niet per se gemakkelijker of beter om een ingebouwd RLS-model te implementeren dan om het op te bouwen met Tableau in gedachten. Deze technieken worden over het algemeen toegepast wanneer een organisatie al in deze technologieën heeft geïnvesteerd en van die investering wil profiteren, of wanneer ze naast Tableau dezelfde beveiligingsbeleidsregels moeten toepassen op andere databaseclients.

Het belangrijkste voordeel van het gebruik van ingebouwde RLS is dat beheerders hun databeveiligingsbeleid op één plek kunnen implementeren en beheren: in hun databases.

Gebruikerskenmerken doorgeven

U kunt gebruikerskenmerken die zijn opgenomen in een JSON Web Token (JWT) doorgeven om de toegang tot data in Tableau Cloud-insluitingsworkflows aan te passen en te beheren. Zie de Help van v3-API insluiten(Link wordt in een nieuw venster geopend) voor meer informatie.

Vergelijking van de opties voor beveiliging op rijniveau

RLS-optieNuttig alsPluspuntenNadelen
Handmatig gebruikersfilter
  • U voert een proof of concept uit of test de functionaliteit voor het filteren van gebruikers
  • U maakt een statische werkmap voor gebruik met een onveranderlijke groep gebruikers
  • U begrijpt het risico op databeveiliging als de machtigingen onjuist zijn ingesteld
  • Eenvoudig op kleine schaal
  • Toewijzing is gemakkelijk te begrijpen
  • Goed te testen
  • Veel onderhoud nodig
  • Filter moet worden bijgewerkt en opnieuw worden gepubliceerd naarmate de gebruikersbasis verandert
  • Machtigingen moeten worden beveiligd om te voorkomen dat gebruikers ongefilterde data zien
  • Moet in elke werkmap worden gerepliceerd
Dynamisch gebruikersfilter
  • U hebt geen Databeheer-licentie
  • De data bevatten informatie die u kunt gebruiken om te filteren
  • U begrijpt het risico op databeveiliging als de machtigingen onjuist zijn ingesteld
  • Relatief eenvoudig in te stellen
  • Machtigingen moeten worden beveiligd om te voorkomen dat gebruikers ongefilterde data zien
  • Moet in elke werkmap of databron worden gerepliceerd
Databeleid
  • U hebt een Databeheer-licentie
  • De data bevatten informatie die u kunt gebruiken om te filteren
  • Het gemak van databeveiliging is belangrijk
  • Gecentraliseerd
  • Veilig
  • Weinig onderhoud
  • De verantwoordelijkheden voor beveiliging en analyse kunnen worden gescheiden
  • Databeheer-licentie vereist
RLS in de database
  • In uw database is een bestaande RLS-beveiliging ingebouwd
  • U maakt geen gebruik van extracten
  • Mogelijk al ingebouwd in de database van uw organisatie
  • Beleid kan worden toegepast op andere databaseclients dan Tableau
  • Moet live query's gebruiken
  • Er kunnen beperkingen of vereisten zijn. Uw IT-team kan ze identificeren
Gebruikerskenmerken
  • U beheert datatoegangsbeleid op dezelfde plaats waar u andere beleidsregels en personalisatie voor uw gebruikers beheert

 

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.