身份验证
身份验证是指用户如何登录到其 Tableau Cloud 站点以及如何在第一次登录后访问站点的选项。身份验证将验证用户的身份。
Tableau Cloud 支持您可以在“身份验证”页面上配置的多种身份验证类型。
本主题适用于配置站点身份验证的站点管理员。对于为 Tableau Cloud Manager 配置身份验证的云管理员,请参见Tableau Cloud Manager 身份验证。
无论您为站点配置哪种身份验证类型,访问 Tableau Cloud 时都需要多重身份验证 (MFA)。此合同要求于 2022 年 2 月 1 日生效。有关详细信息,请参见下面的关于多重身份验证和 Tableau Cloud。
带有 MFA 的 Tableau:这是内置的默认身份验证类型。它要求用户提供以下各项的组合:1) Tableau 凭据(也称为 TableauID),其中包含通过 Tableau Cloud 存储的用户名和密码,以及 2) MFA 验证方法(例如身份验证器应用程序或安全密钥),用于确认用户的身份。有关详细信息,请参见多重身份验证和 Tableau Cloud。
- Tableau:如果 Tableau 尚未更新您的站点以要求带有 MFA 的 Tableau,您可以继续暂时使用此身份验证类型。用户可以直接在 Tableau Cloud 登录页面中输入其 TableauID 凭据。
Google:如果您的组织使用 Google 应用程序,则您可以启用 Tableau Cloud 以使用 Google 帐户通过 OpenID Connect (OIDC) 进行使用 MFA 的单点登录 (SSO)。当您启用 Google 身份验证时,系统会将用户定向到 Google 登录页面,以便输入由 Google 存储的凭据。
OIDC:另一种使用 SSO 的方式是通过通用 OpenID Connect (OIDC)。为此,您可以使用带有 MFA 的第三方身份提供程序 (IdP),并将站点配置为与 IdP 建立信任关系。当您启用 OIDC 时,用户被定向到 IdP 登录页面,他们将在此页面中输入已通过 IdP 存储的 SSO 凭据。
Salesforce:如果您的组织使用 Salesforce,则您可以启用 Tableau Cloud 以使用 Salesforce 帐户通过 OpenID Connect (OIDC) 进行使用 MFA 的单点登录 (SSO)。当您启用 Salesforce 身份验证时,系统会将用户定向到 Salesforce 登录页面,以便输入在 Salesforce 中存储和管理的凭据。可能需要最少的配置。有关详细信息,请参见Salesforce 身份验证。
SAML:另一种使用 SSO 的方式是通过安全断言标记语言 (SAML)。为此,您可以使用带有 MFA 的第三方身份提供程序 (IdP),并将站点配置为与 IdP 建立信任关系。当您启用 SAML 时,用户被定向到 IdP 登录页面,他们将在此页面中输入已通过 IdP 存储的 SSO 凭据。
注意:
- 访问和管理权限通过站点角色来实现。站点角色定义哪些用户是管理员,以及哪些用户是站点上的内容使用者和发布者。有关管理员、站点角色、组、来宾用户以及用户相关的管理任务的详细信息,请参阅管理用户和组以及设置用户的站点角色。
- 在身份验证上下文中,一定要知道用户无权通过获得帐户从而经 Tableau Cloud 访问外部数据源。换句话说,在默认配置中,Tableau Cloud 作为外部数据源的代理。此类访问需要在 Tableau Cloud 上额外配置数据源,或者在用户从 Tableau Desktop 连接时在数据源中进行身份验证。
关于多重身份验证和 Tableau Cloud
为了提前应对可能削弱组织的不断增长和不断演变的安全威胁,从 2022 年 2 月 1 日起,MFA 身份验证成为 Tableau Cloud 要求。MFA 是增强登录安全性和保护组织及其数据免受安全威胁的有效工具。有关详细信息,请参见 Salesforce 帮助中的 Salesforce 多重身份验证常见问题(链接在新窗口中打开) 。
多重身份验证 (MFA) 是一种身份验证方法,必须与上述其他身份验证方法之一结合使用,以增强帐户安全性。可以通过以下两种方式之一来实施 MFA:
SSO 和 MFA(推荐方法):为了满足 MFA 要求,请通过 SSO 身份提供程序 (IdP) 启用 MFA。
带有 MFA 的 Tableau(替代方法):如果您不直接使用 SSO IdP,则可以启用 1) TableauID 凭据(与 Tableau Cloud 一起存储)和 2) 其他验证方法的组合,然后您和您的用户才能访问站点。我们还建议用户设置恢复代码作为仅在紧急情况下的备份验证方法。有关详细信息,请参见多重身份验证和 Tableau Cloud。
关于 Google、OIDC、Salesforce 或 SAML
如果在站点上启用外部身份验证,则可以选择想要使用外部凭据登录的用户,以及想要使用 Tableau 凭据 (TableauID) 的用户。可以在站点上允许使用 Tableau ID 和一个外部提供程序,但每个用户必须设置为使用其中一种类型。您可以在“用户”页面上配置用户身份验证选项。
重要信息:除了上述身份验证要求之外,我们建议您专门指定一个始终为“带有 MFA 的 Tableau”身份验证配置的站点管理员帐户。如果 SAML 或 IdP 出现问题,专门的带有 MFA 的 Tableau 帐户可确保您能够访问站点。
有关配置其他身份验证方法的说明
从 2024 年 11 月(Tableau 2024.3)开始,您可以为站点配置一种或多种身份验证方法。
每个身份验证配置都需要一个名称。2024 年 11 月之前创建的现有配置将自动命名。例如,如果您的站点在 2024 年 11 月之前配置了 SAML,则配置名称为“初始 SAML”。现有配置的名称不能更改。
站点可拥有的最大配置数量取决于站点的创建时间以及是否配置了 SAML 或 OIDC。
对于 2024 年 11 月升级之前创建的站点:
如果您在 2024 年 11 月升级之前仅配置了 SAML 或仅 OIDC,则最多可以创建 19 个配置。
如果您在 2024 年 11 月升级之前配置了 SAML,然后配置了 OIDC,或者先配置了 OIDC,然后配置了 SAML,则最多可以创建 18 个配置。
对于 2024 年 11 月升级后创建的站点,您最多可以创建 20 个配置。
注意:可以启用、禁用和删除配置。但是,在关闭 SCIM 功能之前,无法停用或删除与 SCIM 关联的 SAML 配置。有关 SCIM 的详细信息,请参见通过外部身份提供程序自动进行用户配置和组同步。
允许从连接的 Tableau 客户端直接访问
默认情况下,在用户提供其凭据以登录到站点之后,他们以后可以直接从连接的 Tableau 客户端访问 Tableau Cloud 站点。若要了解详细信息,请参见从连接的客户端中访问站点。
注意:(可选)如果为您的站点启用了带有 Tableau 身份验证的 MFA,并且您的环境正在使用阻止客户端访问其他必要服务的代理,您可能需要添加 *.salesforce.com。
其他身份验证方案:嵌入和集成
通过将 Tableau 集成并嵌入到自定义 Web 门户、应用程序和面向客户的产品中,您可以将分析直接置于用户的工作流中。为了将外部应用程序与 Tableau Cloud 集成并嵌入 Tableau Cloud 内容,还有其他机制可以根据预期的工作流程对访问 Tableau 的用户进行身份验证:
与 Tableau 已连接应用一起嵌入:
直接信任 —Tableau 已连接应用通过促进您的 Tableau Online 站点与嵌入 Tableau 内容的自定义应用程序之间建立明确的信任关系,实现无缝且安全的身份验证体验。信任关系为您的用户提供单点登录 (SSO) 体验,而无需与身份提供程序集成。使用已连接应用还支持以编程方式授权使用 JSON Web 令牌 (JWT) 访问 Tableau REST API。有关详细信息,请参见使用直接信任配置已连接应用。
OAuth 2.0 信任 — 您可以使用 OAuth 2.0 标准协议向 Tableau Cloud 注册外部授权服务器 (EAS),以在站点和 EAS 之间建立信任关系。信任关系通过您的 IdP 为您的用户提供到嵌入式 Tableau 内容的单点登录体验 (SSO)。此外,注册 EAS 支持以编程方式使用 JSON Web 令牌 (JWT) 授权对 Tableau REST API 的访问。有关详细信息,请参见使用 OAuth 2.0 信任配置已连接应用。
Salesforce 集成:通过机器学习模型和使用 Einstein Discovery 的全面统计分析来增强您的数据分析。有关详细信息,请参见配置 Einstein Discovery 集成。
Slack 集成:让获得许可的 Tableau 用户在他们的 Slack 工作区中可以使用 Tableau 通知。有关详细信息,请参见将 Tableau 与 Slack 工作区集成。