Översikt över säkerhetsalternativ på radnivå i Tableau
Ibland vill man filtrera data baserat på den användare som begär det. Till exempel:
- Du vill att regionala säljare ska se försäljningssiffror endast för sin region.
- Du vill att försäljningschefer ska se statistik endast för säljare som rapporterar till dem.
- Du vill att eleverna ska se visualiseringar baserade endast på deras egna testresultat.
En metod för att filtrera data på detta sätt kallas radnivåsäkerhet (RLS). Det finns flera metoder för att uppnå radnivåsäkerhet både inom och utanför Tableau, var och en med sina egna fördelar och nackdelar.
Skapa ett användarfilter och mappa användare till värden manuellt
Det enklaste sättet att uppnå radnivåsäkerhet i Tableau är genom ett användarfilter där du manuellt mappar användare till värden. Du kan till exempel manuellt mappa en användare som heter ”Alice” till värdet ”Öst” så att hon bara ser rader i datakällan där kolumnen ”Region” är ”Öst”.
Denna metod är bekväm men kräver mycket underhåll, och man måste hålla koll på säkerheten. Detta måste göras per arbetsbok och du måste uppdatera filtret och publicera datakällan på nytt när användarbasen ändras. När du publicerar en resurs med den här typen av användarfilter måste du ange behörigheter så att användarna inte kan spara eller ladda ner den och ta bort filtret, vilket ger dem åtkomst till alla data.
För mer information, se Skapa ett användarfilter och mappa användare till värden manuellt(Länken öppnas i ett nytt fönster) i hjälp för Tableau Desktop och webbredigering.
Skapa ett dynamiskt användarfilter med hjälp av ett datasäkerhetsfält
Med den här metoden skapar du ett beräknat fält som automatiserar processen för att mappa användare till datavärden. Den här metoden kräver att underliggande data inkluderar säkerhetsinformationen som du vill använda för filtrering. Om du till exempel använder ett beräknat fält, kan funktionen ANVÄNDARNAMN() och kolumnen ”Manager” i datakällan avgöra om den användare som begär vyn är en chef och justera data i vyn i enlighet med detta.
Eftersom filtrering definieras på datanivå och automatiseras av det beräknade fältet ger denna metod mindre antal fel än när man mappar användare till datavärden manuellt. När du publicerar en resurs med den här typen av användarfilter måste du ange behörigheter så att användarna inte kan spara eller ladda ner den och ta bort filtret, vilket ger dem åtkomst till alla data.
För mer information, se Skapa ett dynamiskt med hjälp av ett datasäkerhetsfält(Länken öppnas i ett nytt fönster) i hjälp för Tableau Desktop och webbredigering.
Använd en datapolicy
Från och med Tableau 2021.4: när Datahantering är aktiverat i Tableau Server eller Tableau Cloud kan användare med en Creator-licens implementera radnivåsäkerhet genom datapolicyer på virtuella anslutningar. Eftersom virtuella anslutningar är centraliserade och återanvändbara kan man hantera radnivåsäkerhet för varje anslutning på ett ställe, säkert och tryggt, över allt innehåll som använder den anslutningen.
Till skillnad från ovanstående lösningar för radnivåsäkerhet i Tableau innebär denna metod inte samma risk för att exponera information om en konstruktör misslyckas med att säkra behörigheter för arbetsboken eller datakällan på rätt sätt, eftersom policyn tillämpas på servern för varje fråga.
Policyer för radnivåsäkerhet genom virtuella anslutningsdata utvecklades för att åtgärda brister i andra lösningar för radnivåsäkerhet. Vi rekommenderar denna lösning i de flesta situationer där det finns som alternativ.
Mer information om säkerhet på radnivå med hjälp av datapolicyer på virtuella anslutningar finns i Om virtuella anslutningar och datapolicyer.
Använd befintlig RLS i databasen
Många datakällor har inbyggda mekanismer för RLS. Om din organisation redan har ansträngt sig för att bygga radnivåsäkerhet i en datakälla kan du dra nytta av din befintliga RLS.
Det är inte nödvändigtvis enklare eller bättre att implementera en inbyggd RLS-modell jämfört med att bygga den med Tableau i åtanke. Dessa tekniker utnyttjas i allmänhet när en organisation redan har investerat i dessa tekniker och de vill dra nytta av den investeringen, eller när de behöver tillämpa samma säkerhetspolicyer på andra databasklienter utöver Tableau.
Den största fördelen med att använda inbyggd RLS är att administratörer kan implementera och styra sina datasäkerhetsprinciper på ett och samma ställe: sina databaser.
Auktorisera användarattribut
Du kan auktorisera användarattribut som ingår i en JSON Web Token (JWT) för att anpassa och kontrollera åtkomst till data i inbäddade arbetsflöden i Tableau Cloud. Se hjälpavsnittet Embedding v3 API(Länken öppnas i ett nytt fönster) för mer information.
Jämförelse av säkerhetsalternativ på radnivå
RLS-alternativ | Användbar när | Fördelar | Nackdelar |
---|---|---|---|
Manuellt användarfilter |
|
|
|
Dynamiskt användarfilter |
|
|
|
Datapolicy |
|
|
|
RLS i databasen |
|
|
|
Användarattribut |
|
|
|