Översikt över säkerhetsalternativ på radnivå i Tableau


Ibland vill man filtrera data baserat på den användare som begär det. Till exempel:

  • Du vill att regionala säljare ska se försäljningssiffror endast för sin region.
  • Du vill att försäljningschefer ska se statistik endast för säljare som rapporterar till dem.
  • Du vill att eleverna ska se visualiseringar baserade endast på deras egna testresultat.

En metod för att filtrera data på detta sätt kallas radnivåsäkerhet (RLS). Det finns flera metoder för att uppnå radnivåsäkerhet både inom och utanför Tableau, var och en med sina egna fördelar och nackdelar.

Skapa ett användarfilter och mappa användare till värden manuellt

Det enklaste sättet att uppnå radnivåsäkerhet i Tableau är genom ett användarfilter där du manuellt mappar användare till värden. Du kan till exempel manuellt mappa en användare som heter ”Alice” till värdet ”Öst” så att hon bara ser rader i datakällan där kolumnen ”Region” är ”Öst”.

Denna metod är bekväm men kräver mycket underhåll, och man måste hålla koll på säkerheten. Detta måste göras per arbetsbok och du måste uppdatera filtret och publicera datakällan på nytt när användarbasen ändras. När du publicerar en resurs med den här typen av användarfilter måste du ange behörigheter så att användarna inte kan spara eller ladda ner den och ta bort filtret, vilket ger dem åtkomst till alla data.

För mer information, se Skapa ett användarfilter och mappa användare till värden manuellt(Länken öppnas i ett nytt fönster) i hjälp för Tableau Desktop och webbredigering.

Skapa ett dynamiskt användarfilter med hjälp av ett datasäkerhetsfält

Med den här metoden skapar du ett beräknat fält som automatiserar processen för att mappa användare till datavärden. Den här metoden kräver att underliggande data inkluderar säkerhetsinformationen som du vill använda för filtrering. Om du till exempel använder ett beräknat fält, kan funktionen ANVÄNDARNAMN() och kolumnen ”Manager” i datakällan avgöra om den användare som begär vyn är en chef och justera data i vyn i enlighet med detta.

Eftersom filtrering definieras på datanivå och automatiseras av det beräknade fältet ger denna metod mindre antal fel än när man mappar användare till datavärden manuellt. När du publicerar en resurs med den här typen av användarfilter måste du ange behörigheter så att användarna inte kan spara eller ladda ner den och ta bort filtret, vilket ger dem åtkomst till alla data.

För mer information, se Skapa ett dynamiskt med hjälp av ett datasäkerhetsfält(Länken öppnas i ett nytt fönster) i hjälp för Tableau Desktop och webbredigering.

Använd en datapolicy

Från och med Tableau 2021.4: när Datahantering är aktiverat i Tableau Server eller Tableau Cloud kan användare med en Creator-licens implementera radnivåsäkerhet genom datapolicyer på virtuella anslutningar. Eftersom virtuella anslutningar är centraliserade och återanvändbara kan man hantera radnivåsäkerhet för varje anslutning på ett ställe, säkert och tryggt, över allt innehåll som använder den anslutningen.

Till skillnad från ovanstående lösningar för radnivåsäkerhet i Tableau innebär denna metod inte samma risk för att exponera information om en konstruktör misslyckas med att säkra behörigheter för arbetsboken eller datakällan på rätt sätt, eftersom policyn tillämpas på servern för varje fråga.

Policyer för radnivåsäkerhet genom virtuella anslutningsdata utvecklades för att åtgärda brister i andra lösningar för radnivåsäkerhet. Vi rekommenderar denna lösning i de flesta situationer där det finns som alternativ.

Mer information om säkerhet på radnivå med hjälp av datapolicyer på virtuella anslutningar finns i Om virtuella anslutningar och datapolicyer.

Använd befintlig RLS i databasen

Många datakällor har inbyggda mekanismer för RLS. Om din organisation redan har ansträngt sig för att bygga radnivåsäkerhet i en datakälla kan du dra nytta av din befintliga RLS.

Det är inte nödvändigtvis enklare eller bättre att implementera en inbyggd RLS-modell jämfört med att bygga den med Tableau i åtanke. Dessa tekniker utnyttjas i allmänhet när en organisation redan har investerat i dessa tekniker och de vill dra nytta av den investeringen, eller när de behöver tillämpa samma säkerhetspolicyer på andra databasklienter utöver Tableau.

Den största fördelen med att använda inbyggd RLS är att administratörer kan implementera och styra sina datasäkerhetsprinciper på ett och samma ställe: sina databaser.

Auktorisera användarattribut

Du kan auktorisera användarattribut som ingår i en JSON Web Token (JWT) för att anpassa och kontrollera åtkomst till data i inbäddade arbetsflöden i Tableau Cloud. Se hjälpavsnittet Embedding v3 API(Länken öppnas i ett nytt fönster) för mer information.

Jämförelse av säkerhetsalternativ på radnivå

RLS-alternativAnvändbar närFördelarNackdelar
Manuellt användarfilter
  • Du bevisar konceptet eller testar funktionaliteten på användarfiltrering
  • Du skapar en statisk arbetsbok att använda med en oföränderlig grupp av användare
  • Du förstår att felaktigt inställda behörigheter innebär en datasäkerhetsrisk
  • Enkelt i liten skala
  • Lättförståelig kartläggning
  • Bra för testning
  • Högt underhåll
  • Filter måste uppdateras och publiceras igen när användarbasen ändras
  • Behörigheter måste skyddas för att förhindra att användare ser ofiltrerade data
  • Måste replikeras i varje arbetsbok
Dynamiskt användarfilter
  • Du har ingen Datahantering-licens
  • Data innehåller information som du kan använda för att filtrera dem
  • Du förstår att felaktigt inställda behörigheter innebär en datasäkerhetsrisk
  • Relativt enkelt att ställa in
  • Behörigheter måste skyddas för att förhindra att användare ser ofiltrerade data
  • Måste replikeras i varje arbetsbok eller datakälla
Datapolicy
  • Du har enDatahantering-licens
  • Data innehåller information som du kan använda för att filtrera dem
  • Lätthet i datasäkerheten är ett stort problem
  • Centraliserad
  • Säker
  • Lågt underhåll
  • Ansvaret för säkerhet och analys kan separeras
  • Datahantering-licens krävs
RLS i databasen
  • Din databas har en befintlig RLS-säkerhet inbyggd i databasen
  • Du använder inte extrakt
  • Kan redan vara inbyggd i din organisations databas
  • Policyer kan tillämpas på andra databasklienter än Tableau
  • Måste använda live-frågor
  • Kan ha begränsningar eller krav. IT-teamet kan identifiera dem
Användarattribut
  • Hantera policyer för dataåtkomst på samma plats som andra policyer och anpassningar hanteras för dina användare

 

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!