L'autenticazione verifica l'identità di un utente. Chiunque abbia bisogno di accedere a Tableau Server, sia per gestire il server, sia per pubblicare, sfogliare o amministrare i contenuti, deve essere rappresentato come utente nel repository di Tableau Server. Come metodo di autenticazione è possibile utilizzare Tableau Server ("autenticazione locale") oppure un processo esterno. Nell'ultimo caso, devi configurare Tableau Server per tecnologie di autenticazione esterne come Kerberos, SAML o OpenID. In tutti i casi, sia che l'autenticazione avvenga in locale o che sia esterna, ogni identità utente deve essere rappresentata nel repository di Tableau Server. Il repository gestisce i metadati per le identità utente.
Stai cercando Tableau Server su Windows? Consulta Autenticazione(Il collegamento viene aperto in una nuova finestra).
Sebbene tutte le identità utente siano rappresentate e memorizzate nel repository di Tableau Server, è necessario che tu gestisca gli account utente di Tableau Server in un archivio di identità. Sono due le opzioni di archivio di identità che si escludono a vicenda: LDAP e locale. Tableau Server supporta directory LDAP arbitrarie, ma è stato ottimizzato per l'implementazione LDAP di Active Directory. In alternativa, se esegui una directory LDAP, puoi utilizzare l'archivio delle identità locali di Tableau Server. Per maggiori informazioni, consulta Archivio di identità.
Come illustrato nella tabella seguente, il tipo di archivio identità implementato, in parte, determinerà le opzioni di autenticazione.
Identità Archivio | Meccanismo di autenticazione | |||||||
---|---|---|---|---|---|---|---|---|
Di base | SAML | Sito SAML | Kerberos | (solo Windows) Automatico Login Windows (SSPI) | OpenID Connetti | Affidabile Autenticazione | Reciproco SSL | |
Locale | X | X | X | X | X | X | ||
Attivo Directory | X | X | X | X | X | X | ||
LDAP | X | X | X | X |
Le autorizzazioni di accesso e di gestione vengono implementate tramite i ruoli del sito. I ruoli del sito definiscono quali utenti sono amministratori e quali utenti sono consumer e publisher sul server. Per maggiori informazioni sugli amministratori, sui ruoli del sito, sui gruppi, sull'utente Guest e sulle attività amministrative, consulta Utenti e Ruoli del sito per utenti.
Nota: nel contesto dell'autenticazione è importante capire che gli utenti non sono autorizzati ad accedere a fonti di dati esterne attraverso Tableau Server in virtù di un account sul server. In altre parole, nella configurazione predefinita, Tableau Server non funge da proxy per le origini dati esterne. Tale accesso richiede un'ulteriore configurazione dell'origine dati su Tableau Server o l'autenticazione all'origine dati quando l'utente si connette da Tableau Desktop.
Compatibilità con l'autenticazione dei componenti aggiuntivi
Alcuni metodi di autenticazione possono essere usati insieme. La tabella seguente mostra i metodi di autenticazione che possono essere combinati. Le celle contrassegnate con una "X" indicano un insieme di autenticazione compatibile. Le celle vuote indicano insiemi di autenticazione non compatibili.
Autenticazione attendibile | SAML a livello di server | Sito SAML | Kerberos | (solo Windows) Accesso automatico in Windows (SSPI) | Autenticazione SSL reciproca | OpenID Connect | |
Autenticazione attendibile | n/d | X | X | X | X | X | |
SAML a livello di server | X | n/d | X | ||||
Sito SAML | X | X | n/d | ||||
Kerberos | X | n/d | |||||
Accesso automatico in Windows (SSPI) | n/d | ||||||
Autenticazione SSL reciproca | X | n/d | |||||
OpenID Connect | X | n/d |
Compatibilità dell'autenticazione client
Client | Meccanismo di autenticazione | |||||||
---|---|---|---|---|---|---|---|---|
Di base | SAML | Sito SAML | Kerberos | (solo Windows) Automatico Login Windows (SSPI) | OpenID Connetti | Affidabile Autenticazione | Reciproco SSL | |
Tableau Desktop | X | X | X | X | X | X | X | |
Tableau Prep | X | X | X | X | X | X | X | |
Tableau Mobile | X | X | X | X (Solo iOS) | X * | X | X | |
Tabcmd | X | |||||||
Web Browser | X | X | X | X | X | X | X | X |
* SSPI non è compatibile con la versione Workspace ONE dell'app Tableau Mobile.
Autenticazione locale
Se il server è configurato per l'utilizzo dell'autenticazione locale, Tableau Server autentica gli utenti. Quando gli utenti accedono e immettono le proprie credenziali, tramite Tableau Desktop, tabcmd, API o client Web, Tableau Server verifica le credenziali.
Per abilitare questo scenario, devi innanzitutto creare un'identità per ogni utente. Per creare un'identità, specifica un nome utente e una password. Per accedere o interagire con il contenuto del server, è inoltre necessario assegnare agli utenti un ruolo del sito. Le identità utente possono essere aggiunte a Tableau Server nell'interfaccia utente del server utilizzando i Comandi tabcmd o l'API REST(Il collegamento viene aperto in una nuova finestra).
Puoi anche creare gruppi in Tableau Server per gestire e assegnare ruoli a insiemi di utenti di grandi dimensioni (ad esempio, "Marketing").
Quando configuri Tableau Server per l'autenticazione locale, puoi impostare i criteri password e il blocco dell'account in caso di tentativi password non riusciti. Consulta Autenticazione locale.
Nota: Tableau con l'autenticazione a più fattori (MFA) è disponibile solo per Tableau Cloud.
Soluzioni di autenticazione esterne
Tableau Server può essere configurato per lavorare con una serie di soluzioni di autenticazione esterne.
Kerberos
Puoi configurare Tableau Server per l'utilizzo di Kerberos per Active Directory. Vedi Kerberos.
SAML
Puoi configurare Tableau Server per l'autenticazione SAML (Security assertion markup language). Con SAML, un provider di identità esterna (IdP) autentica le credenziali dell'utente e quindi invia un'asserzione di sicurezza a Tableau Server che fornisce informazioni sull'identità dell'utente.
Per maggiori informazioni, consulta SAML.
OpenID Connect
OpenID Connect è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google. Dopo aver effettuato correttamente l'accesso al tuo IdP, l'accesso a Tableau Server è automatico. Per utilizzare OpenID Connect (OIDC) su Tableau Server, il server deve essere configurato per usare l'archivio di identità locale. Gli archivi di identità Active Directory o LDAP non sono supportati con OIDC. Per maggiori informazioni, consulta OpenID Connect.
Autenticazione SSL reciproca
Utilizzando l'autenticazione SSL reciproca, puoi fornire agli utenti di Tableau Desktop, Tableau Mobile e altri client Tableau approvati un'esperienza di accesso diretto e sicuro a Tableau Server. Con l'autenticazione SSL reciproca, quando un client con un certificato SSL valido si connette a Tableau Server, questo conferma l'esistenza del certificato client e autentica l'utente, in base al nome utente nel certificato client. Se il client non dispone di un certificato SSL valido, Tableau Server può rifiutare la connessione. Per maggiori informazioni, consulta Configurare l'autenticazione SSL reciproca.
Autenticazione attendibile
L'autenticazione attendibile (nota anche come "Ticket attendibili") consente di impostare una relazione di fiducia tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste da un server Web attendibile, presuppone che il server Web abbia già gestito qualsiasi tipo di autenticazione necessaria. Tableau Server riceve la richiesta con un token o ticket riscattabile e presenta all'utente una vista personalizzata che tiene conto del ruolo e delle autorizzazioni dell'utente. Per maggiori informazioni, consulta Autenticazione attendibile.
LDAP
Puoi inoltre configurare Tableau Server per l'utilizzo dell'autenticazione utente LDAP. Gli utenti vengono autenticati inviando le loro credenziali a Tableau Server, che tenterà quindi di associarli effettuare il binding all'istanza LDAP utilizzando le credenziali dell'utente. Se il binding ha esito positivo, le credenziali sono valide e Tableau Server concede all'utente una sessione.
Il "binding" è il passaggio di handshake/autenticazione che avviene quando un client tenta di accedere a un server LDAP. Tableau Server esegue questa operazione da solo quando esegue varie query non legate all'autenticazione (come l'importazione di utenti e gruppi).
Puoi configurare il tipo di binding che desideri che Tableau Server utilizzi per verificare le credenziali dell'utente. Tableau Server supporta GSSAPI e il binding semplice. Il binding semplice passa le credenziali direttamente all'istanza LDAP. Ti raccomandiamo di configurare SSL per crittografare la comunicazione di binding. L'autenticazione in questo scenario deve essere fornita dalla soluzione LDAP nativa o con un processo esterno, come SAML.
Per maggiori informazioni sulla pianificazione e la configurazione di LDAP, consulta Archivio di identità e Informazioni di riferimento sulla configurazione dell'archivio di identità esterno.
Altri scenari di autenticazione
API REST: Accesso e disconnessione (autenticazione)(Il collegamento viene aperto in una nuova finestra)
Autenticazione dei dispositivi mobili: Accesso Single Sign-on per Tableau Mobile(Il collegamento viene aperto in una nuova finestra)
Attendibilità del certificato per i client TSM: Connettere i client TSM
Integrazione PAM per amministrazione TSM:Autenticazione di TSM
Accesso ai dati e autenticazione dell'origine
Puoi configurare Tableau Server per supportare diversi protocolli di autenticazione a diverse origini dati. L'autenticazione della connessione dati può essere indipendente dall'autenticazione di Tableau Server.
Ad esempio, puoi configurare l'autenticazione utente su Tableau Server con autenticazione locale, mentre puoi configurare la delegazione Kerberos, l'autenticazione OAuth o SAML a specifiche origini dati. Vedi Autenticazione connessione dati.