Autentisering
Autentisering verifierar en användares identitet. Alla som behöver tillgång till Tableau Server – oavsett om det är för att hantera servern eller för att publicera, bläddra i eller administrera innehåll – måste finnas som en användare i Tableau Server-lagringsplatsen. Autentiseringen kan utföras av Tableau Server (lokal autentisering) eller av en extern process. I det senare fallet måste du konfigurera Tableau Server för extern autentisering med en teknik som Kerberos, SAML eller OpenID. Oavsett om autentiseringen sker lokalt eller externt så måste varje användaridentitet finnas i Tableau Server-lagringsplatsen. Lagringsplatsen hanterar auktoriseringsmetadata för användaridentiteter.
Letar du efter Tableau Server i Windows? Läs mer i Autentisering(Länken öppnas i ett nytt fönster).
Även om alla användaridentiteter i slutänden finns med och lagras i Tableau Server-lagringsplatsen måste du hantera användarkonton för Tableau Server i ett identitetsregister. Det finns två ömsesidigt uteslutande alternativ för identitetsregister: LDAP och lokalt. Tableau Server har stöd för godtyckliga LDAP-kataloger, men har optimerats för LDAP via Active Directory. Om du inte använder en LDAP-katalog kan du använda det lokala identitetsregistret i Tableau Server. Mer information finns i Identitetsregister.
Som följande tabell visar avgör det identitetsregister du använder till viss del vilka autentiseringsalternativ som är tillgängliga.
Identitets- Arkiv | Autentiseringsmekanism | ||||||||
---|---|---|---|---|---|---|---|---|---|
Grundläggande | SAML | Plats-SAML | Kerberos | (Endast Windows) Automatisk Inloggning (Microsoft SSPI) | OpenID Connect | Anslutna program | Betrodd autentisering | Ömsesidig SSL | |
Lokalt | X | X | X | X | X | X | X | ||
Active Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
Åtkomst- och administrationsbehörigheter implementeras via platsroller. Platsrollerna definierar vilka användare som är administratörer och vilka användare som är innehållskonsumenter och publicerar på serven. Mer information om administratörer, platsroller, grupper, gästanvändare och användarrelaterade administrationsuppgifter finns i Användare och Platsroller för användare.
Obs! När det gäller autentisering är det viktigt att förstå att användarna inte är auktoriserade att komma åt externa datakällor via Tableau Server bara för att de har ett konto på servern. Med andra ord fungerar Tableau Server i standardkonfigurationen inte som proxyserver för externa datakällor. Den här typen av åtkomst kräver ytterligare konfiguration av datakällan i Tableau Server eller autentisering vid datakällan när användaren ansluter från Tableau Desktop.
Kompatibilitet för extra autentisering
Vissa autentiseringsmetoder kan användas tillsammans. I följande tabell ser du vilka autentiseringsmetoder som kan kombineras. Celler med ett kryss anger att metoderna är kompatibla. Tomma celler betyder att metoderna inte är kompatibla.
Anslutna program | Betrodd autentisering | Serveromfattande SAML | Plats-SAML | Kerberos | (Endast Windows) Automatisk inloggning (Microsoft SSPI) | Ömsesidig SSL | OpenID Connect | |
Tableau-anslutna appar | Ej tillämpligt | X | X | X | X | X | ||
Betrodd autentisering | Ej tillämpligt | X | X | X | X | X | ||
Serveromfattande SAML | X | X | Ej tillämpligt | X | ||||
Plats-SAML | X | X | X | Ej tillämpligt | ||||
Kerberos | X | X | Ej tillämpligt | |||||
Automatisk inloggning (Microsoft SSPI) | Ej tillämpligt | |||||||
Ömsesidig SSL | X | X | Ej tillämpligt | |||||
OpenID Connect | X | X | Ej tillämpligt | |||||
Personlig åtkomsttoken | * | * | * | * | * | * | * | * |
* Personliga åtkomsttoken fungerar inte direkt med autentiseringsmekanismen som anges i dessa kolumner för att autentisera till REST API. Istället använder personliga åtkomsttoken Tableau Server-användarkontouppgifter för att autentisera till REST API.
Kompatibilitet med klientautentisering
Autentisering hanteras via ett användargränssnitt (UI)
Klienter | Autentiseringsmekanism | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Grundläggande | SAML | Plats-SAML | Kerberos | (Endast Windows) Automatisk Inloggning (Microsoft SSPI) | OpenID Connect | Anslutna program | Betrodd autentisering | Ömsesidig SSL | Personlig åtkomsttoken | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (endast iOS *) | X ** | X | X | |||
Webbläsare | X | X | X | X | X | X | X *** | X | X |
* Enkel inloggning med Kerberos stöds inte för Android, men det går att återgå till användarnamn och lösenord. Mer information finns i Anmärkning 5: Android-plattform.
** SSPI är inte kompatibelt med Workspace ONE-versionen av Tableau Mobile-appen.
*** Endast i inbäddningsarbetsflöden.
Autentisering hanteras programmatiskt
Klienter | Autentiseringsmekanism | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Grundläggande | SAML | Plats-SAML | Kerberos | (Endast Windows) Automatisk Inloggning (Microsoft SSPI) | OpenID Connect | Anslutna program | Betrodd autentisering | Ömsesidig SSL | Personlig åtkomsttoken | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
Lokal autentisering
Om servern är konfigurerad för att använda lokal autentisering autentiseras användarna av Tableau Server. När användare loggar in och anger sina inloggningsuppgifter via Tableau Desktop, tabcmd, API eller en webbklient, så verifierar Tableau Server inloggningsuppgifterna.
Om du vill aktivera det här scenariot måste du först skapa en identitet för varje användare. Du skapar en identitet genom att ange ett användarnamn och ett lösenord. För att komma åt eller interagera med innehåll på servern måste användarna också tilldelas en platsroll. Du kan lägga till användaridentiteter i Tableau Server i serverns gränssnitt med tabcmd-kommandon eller med REST API(Länken öppnas i ett nytt fönster).
Du kan också skapa grupper i Tableau Server för att hantera och tilldela roller till större uppsättningar med relaterade användargrupper (till exempel ”Marknadsföring”).
När du konfigurerar Tableau Server för lokal autentisering kan du ange lösenordspolicyer och kontoutelåsning när fel lösenord anges. Läs mer i Lokal autentisering.
Obs! Tableau-inloggning med flerfaktorsautentisering finns bara för Tableau Cloud.
Externa autentiseringslösningar
Du kan konfigurera Tableau Server med ett flertal externa autentiseringslösningar.
Kerberos
Du kan konfigurera Tableau Server att använda Kerberos för Active Directory. Läs mer i avsnittet om Kerberos.
SAML
Du kan konfigurera Tableau Server att använda SAML-autentisering (Security Assertion Markup Language). Med SAML autentiserar en extern identitetsprovider användarens inloggningsuppgifter och skickar sedan en säkerhetsförsäkran till Tableau Server med information om användarens identitet.
Mer information finns i SAML.
OpenID Connect
OpenID Connect (OIDC) är ett standardautentiseringsprotokoll med vilket användare kan logga in hos en identitetsprovider som Google. När de har loggat in hos sin identitetsprovider loggas de automatiskt in på Tableau Server. Om OIDC ska användas med Tableau Server måste servern konfigureras att använda det lokala identitetsregistret. Active Directory- eller LDAP-identitetsregister stöds inte med OIDC. Mer information finns i OpenID Connect.
Ömsesidig SSL
Med ömsesidig SSL kan du ge användare av Tableau Desktop, Tableau Mobile och andra godkända Tableau-klienter säker och direkt tillgång till Tableau Server. När du använder ömsesidig SSL och en klient med ett giltigt SSL-certifikat ansluter till Tableau Server bekräftar Tableau Server klientcertifikatet och autentiserar användaren baserat på användarnamnet i klientcertifikatet. Om klienten saknar ett giltigt SSL-certifikat kan Tableau Server neka anslutningen. Mer information finns i Konfigurera ömsesidig SSL-autentisering.
Anslutna appar
Direkt förtroende
Tableau-anslutna appar har friktionsfri och säker autentisering tack vare ett explicit förtroende mellan Tableau Server-platsen och de externa program där Tableau-innehåll har bäddats in. De anslutna apparna gör det också möjligt att programmatiskt auktorisera åtkomst till Tableaus REST API med JSON-webbtoken (JWT). Mer information finns i Använda Tableau-anslutna appar för programintegrering.
EAS eller OAuth 2.0-förtroende
Du kan registrera en extern auktoriseringsserver (EAS) med Tableau Server för att skapa en förtroenderelation mellan Tableau Server och EAS med standardprotokollet OAuth 2.0. Tack vare förtroenderelationen kan användarna använda enkel inloggning, via er identitetsprovider, till inbäddat Tableau-innehåll. Genom att registrera en EAS kan ni dessutom auktorisera åtkomst till Tableaus REST API med JSON-webbtoken (JWT) programmatiskt. Mer information finns i Konfigurera anslutna program med OAuth 2.0-förtroende.
Betrodd autentisering
Med betrodda biljetter (som också kallas ”betrodda biljetter”) kan du konfigurera ett förtroende mellan Tableau Server och en eller flera webbservrar. När Tableau Server tar emot en begäran från en betrodd webbserver antar Tableau Server att webbservern redan har tagit hand om all nödvändig autentisering. Tableau Server tar emot begäran med en inlösningsbar token eller biljett och presenterar en individanpassad vy för användaren, med hänsyn till användarens roll och behörigheter. Mer information finns i Betrodd autentisering.
LDAP
Du kan också konfigurera Tableau Server att använda LDAP för användarautentisering. Användarna autentiseras genom att deras inloggningsuppgifter skickas till Tableau Server, som sedan försöker binda till LDAP-instansen med hjälp av uppgifterna. Om bindningen lyckas är inloggningsuppgifterna giltiga och Tableau Server tilldelar användaren en session.
Bindning är det handskaknings-/autentiseringssteg som sker när en klient försöker komma åt en LDAP-server. Tableau Server utför detta för sig själv när det skickar olika icke-autentiseringsrelaterade frågor (som import av användare och grupper).
Du kan konfigurera vilken typ av bindning du vill att Tableau Server ska använda för att kontrollera användarnas inloggningsuppgifter. Tableau Server har stöd för GSSAPI och enkel bindning. Med enkel bindning skickas uppgifterna direkt till LDAP-instansen. Du bör konfigurera SSL för att kryptera bindningskommunikationen. Autentiseringen kan i det här fallet tillhandahållas av den inbyggda LDAP-lösningen eller med en extern process, som SAML.
Mer information om att planera för och konfigurera LDAP finns i Identitetsregister och Konfigurationsreferens för externt identitetsregister.
Andra autentiseringsscenarier
REST API: Logga in och ut (autentisering)(Länken öppnas i ett nytt fönster)
Obs! REST API har inte stöd för enkel SAML-inloggning.
Autentisering på mobila enheter: Enkel inloggning för Tableau Mobile(Länken öppnas i ett nytt fönster)
Certifikatförtroende för TSM-klienter: Ansluta TSM-klienter
PAM-integrering för TSM-administration: TSM-autentisering
Dataåtkomst och källautentisering
Du kan konfigurera Tableau Server med stöd för ett flertal olika autentiseringsprotokoll för olika datakällor. Autentiseringen av dataanslutningar kan ske oberoende av Tableau Server-autentiseringen.
Du kan till exempel konfigurera användarautentisering för Tableau Server med lokal autentisering samtidigt som du konfigurerar OAuth- eller SAML-autentisering för specifika datakällor. Läs mer i Autentisering av dataanslutningar.