身份验证

身份验证是指用户如何登录到其 Tableau Cloud 站点以及如何在第一次登录后访问站点的选项。身份验证将验证用户的身份。

Tableau Cloud 支持您可以在“身份验证”页面上配置的多种身份验证类型。

本主题适用于配置站点身份验证的站点管理员。对于为 Tableau Cloud Manager 配置身份验证的云管理员,请参见Tableau Cloud Manager 身份验证

无论您为站点配置哪种身份验证类型,访问 Tableau Cloud 时都需要多重身份验证 (MFA)。此合同要求于 2022 年 2 月 1 日生效。有关详细信息,请参见下面的关于多重身份验证和 Tableau Cloud

  • 带有 MFA 的 Tableau:这是内置的默认身份验证类型。它要求用户提供以下各项的组合:1) Tableau 凭据(也称为 TableauID),其中包含通过 Tableau Cloud 存储的用户名和密码,以及 2) MFA 验证方法(例如身份验证器应用程序或安全密钥),用于确认用户的身份。有关详细信息,请参见多重身份验证和 Tableau Cloud

    • Tableau:如果 Tableau 尚未更新您的站点以要求带有 MFA 的 Tableau,您可以继续暂时使用此身份验证类型。用户可以直接在 Tableau Cloud 登录页面中输入其 TableauID 凭据。
  • Google:如果您的组织使用 Google 应用程序,则您可以启用 Tableau Cloud 以使用 Google 帐户通过 OpenID Connect (OIDC) 进行使用 MFA 的单点登录 (SSO)。当您启用 Google 身份验证时,系统会将用户定向到 Google 登录页面,以便输入由 Google 存储的凭据。

  • OIDC:另一种使用 SSO 的方式是通过通用 OpenID Connect (OIDC)。为此,您可以使用带有 MFA 的第三方身份提供程序 (IdP),并将站点配置为与 IdP 建立信任关系。当您启用 OIDC 时,用户被定向到 IdP 登录页面,他们将在此页面中输入已通过 IdP 存储的 SSO 凭据。

  • Salesforce:如果您的组织使用 Salesforce,则您可以启用 Tableau Cloud 以使用 Salesforce 帐户通过 OpenID Connect (OIDC) 进行使用 MFA 的单点登录 (SSO)。当您启用 Salesforce 身份验证时,系统会将用户定向到 Salesforce 登录页面,以便输入在 Salesforce 中存储和管理的凭据。可能需要最少的配置。有关详细信息,请参见Salesforce 身份验证

  • SAML:另一种使用 SSO 的方式是通过安全断言标记语言 (SAML)。为此,您可以使用带有 MFA 的第三方身份提供程序 (IdP),并将站点配置为与 IdP 建立信任关系。当您启用 SAML 时,用户被定向到 IdP 登录页面,他们将在此页面中输入已通过 IdP 存储的 SSO 凭据。

注意:

  • 访问和管理权限通过站点角色来实现。站点角色定义哪些用户是管理员,以及哪些用户是站点上的内容使用者和发布者。有关管理员、站点角色、组、来宾用户以及用户相关的管理任务的详细信息,请参阅管理用户和组以及设置用户的站点角色
  • 在身份验证上下文中,一定要知道用户无权通过获得帐户从而经 Tableau Cloud 访问外部数据源。换句话说,在默认配置中,Tableau Cloud 作为外部数据源的代理。此类访问需要在 Tableau Cloud 上额外配置数据源,或者在用户从 Tableau Desktop 连接时在数据源中进行身份验证。

关于多重身份验证和 Tableau Cloud

为了提前应对可能削弱组织的不断增长和不断演变的安全威胁,从 2022 年 2 月 1 日起,MFA 身份验证成为 Tableau Cloud 要求。MFA 是增强登录安全性和保护组织及其数据免受安全威胁的有效工具。有关详细信息,请参见 Salesforce 帮助中的 Salesforce 多重身份验证常见问题(链接在新窗口中打开)

多重身份验证 (MFA) 是一种身份验证方法,必须与上述其他身份验证方法之一结合使用,以增强帐户安全性。可以通过以下两种方式之一来实施 MFA:

  • SSO 和 MFA(推荐方法):为了满足 MFA 要求,请通过 SSO 身份提供程序 (IdP) 启用 MFA。

  • 带有 MFA 的 Tableau(替代方法):如果您不直接使用 SSO IdP,则可以启用 1) TableauID 凭据(与 Tableau Cloud 一起存储)和 2) 其他验证方法的组合,然后您和您的用户才能访问站点。我们还建议用户设置恢复代码作为仅在紧急情况下的备份验证方法。有关详细信息,请参见多重身份验证和 Tableau Cloud

关于 Google、OIDC、Salesforce 或 SAML

如果在站点上启用外部身份验证,则可以选择想要使用外部凭据登录的用户,以及想要使用 Tableau 凭据 (TableauID) 的用户。可以在站点上允许使用 Tableau ID 和一个外部提供程序,但每个用户必须设置为使用其中一种类型。您可以在“用户”页面上配置用户身份验证选项。

重要信息:除了上述身份验证要求之外,我们建议您专门指定一个始终为“带有 MFA 的 Tableau”身份验证配置的站点管理员帐户。如果 SAML 或 IdP 出现问题,专门的带有 MFA 的 Tableau 帐户可确保您能够访问站点。

允许从连接的 Tableau 客户端直接访问

默认情况下,在用户提供其凭据以登录到站点之后,他们以后可以直接从连接的 Tableau 客户端访问 Tableau Cloud 站点。若要了解详细信息,请参见从连接的客户端中访问站点

注意:(可选)如果为您的站点启用了带有 Tableau 身份验证的 MFA,并且您的环境正在使用阻止客户端访问其他必要服务的代理,您可能需要添加 *.salesforce.com

其他身份验证方案:嵌入和集成

通过将 Tableau 集成并嵌入到自定义 Web 门户、应用程序和面向客户的产品中,您可以将分析直接置于用户的工作流中。为了将外部应用程序与 Tableau Cloud 集成并嵌入 Tableau Cloud 内容,还有其他机制可以根据预期的工作流程对访问 Tableau 的用户进行身份验证:

  • 与 Tableau 已连接应用一起嵌入:

    • 直接信任 —Tableau 已连接应用通过促进您的 Tableau Online 站点与嵌入 Tableau 内容的自定义应用程序之间建立明确的信任关系,实现无缝且安全的身份验证体验。信任关系为您的用户提供单点登录 (SSO) 体验,而无需与身份提供程序集成。使用已连接应用还支持以编程方式授权使用 JSON Web 令牌 (JWT) 访问 Tableau REST API。有关详细信息,请参见使用直接信任配置已连接应用

    • OAuth 2.0 信任 — 您可以使用 OAuth 2.0 标准协议向 Tableau Cloud 注册外部授权服务器 (EAS),以在站点和 EAS 之间建立信任关系。信任关系通过您的 IdP 为您的用户提供到嵌入式 Tableau 内容的单点登录体验 (SSO)。此外,注册 EAS 支持以编程方式使用 JSON Web 令牌 (JWT) 授权对 Tableau REST API 的访问。有关详细信息,请参见使用 OAuth 2.0 信任配置已连接应用

  • Salesforce 集成:通过机器学习模型和使用 Einstein Discovery 的全面统计分析来增强您的数据分析。有关详细信息,请参见配置 Einstein Discovery 集成

  • Slack 集成:让获得许可的 Tableau 用户在他们的 Slack 工作区中可以使用 Tableau 通知。有关详细信息,请参见将 Tableau 与 Slack 工作区集成

感谢您的反馈!您的反馈已成功提交。谢谢!