Betrodd autentisering
När du integrerar Tableau Server-vyer på webbsidor måste alla som besöker sidan vara licensierade användare på Tableau Server. Användare som besöker sidan uppmanas att logga in på Tableau Server innan de kan se vyn. Om du redan kan autentisera användare på webbsidan eller i webbprogrammet, finns ett sätt att undvika den här uppmaningen och rädda användare från att behöva logga in två gånger genom att ställa in betrodd autentisering.
Betrodd autentisering innebär helt enkelt att du har skapat en betrodd relation mellan Tableau Server och en eller flera webbservrar. När Tableau Server tar emot begäran från dessa betrodda webbservrar antar det att webbservern har hanterat den autentisering som krävs.
Obs! Klientens webbläsare måste konfigureras för att tillåta cookies från tredje part för att använda betrodd autentisering med inbäddade vyer.
Så fungerar betrodd autentisering
Diagrammet nedan beskriver hur betrodd autentisering fungerar mellan klientens webbläsare, webbservern/webbservrarna och Tableau Server.
Användare besöker webbplatsen: När en användare besöker webbplatsen med den integrerade Tableau Server-vyn skickar den en GET-begäran till din webbserver för HTML som finns på den sidan.
Webbservern skickar en POST till Tableau Server: Webbservern skickar en POST-begäran till den betrodda Tableau Server (till exempel, https://<server_name>/trusted
och inte https://<server_name>
). Den POST-begäran måste ha en username
-parameter. username
-värdet måste vara användarnamnet för en licensierad Tableau Server-användare. Om Tableau Server är värd för flera olika platser, och vyn finns på en annan plats än standardplatsen, måste POST-begäran även innehålla en target_site
-parameter.
Tableau Server skapar en biljett: Tableau Server kontrollerar IP-adressen eller värdnamnet på webbservern (192.168.1.XXX i diagrammet ovan) som skickade POST-begäran. Om webbservern finns på listan som en betrodd värd skapar Tableau Server en biljett i form av en unik sträng. Biljetter måste lösas in inom tre minuter efter att de har utfärdats. Tableau Server svarar på POST-begäran med den biljetten. Om ett fel uppstår och biljetten inte kan skapas svarar dock Tableau Server med värdet -1
. Servern måste ha en IPv4-adress. IPv6-adresser stöds inte. Se Biljettvärde -1 returneras från Tableau Server för mer information.
Webbservern skickar URL:en till webbläsaren: Webbservern skapar URL:en för vyn och infogar den i HTML-koden på sidan. Biljetten ingår (till exempel https://<server_name>/trusted/<unique_ticket>/views/<view_name>
). Webbservern skickar tillbaka HTML-koden till klientens webbläsare.
Webbläsaren begär en vy från Tableau Server: Klientens webbläsare skickar en GET-begäran till Tableau Server som inkluderar URL:en med biljetten.
Tableau Server löser in biljetten: Tableau Server löser in biljetten, skapar en session, loggar in användaren, tar bort biljetten från URL:en och skickar sedan den slutliga URL:en, för den integrerade vyn, till klienten.
Sessionen låter användaren komma åt alla vyer som användaren skulle haft om denne loggade in på servern. I standardkonfigurationen har användare, som autentiseras med betrodda biljetter, begränsad åtkomst vilket innebär att endast vyer är tillgängliga. De har inte åtkomst till arbetsböcker, projektsidor eller annat innehåll som hanteras på servern.
Se alternativet wgserver.unrestricted_ticket
på Alternativ för tsm configuration set för att ändra det här beteendet.
Hur lagras en betrodd biljett?
Tableau Server lagrar betrodda biljetter på Tableau Server-lagringsplatsen med följande process:
- Tableau Server genererar en biljett i två delar: den första delen är ett Base64-kodat unikt ID (UUID) och den andra delen är en slumpmässig hemlig sträng med 24 tecken.
- Tableau Server hashar den hemliga strängen och lagrar den med sitt unika ID på lagringsplatsen. Hashen tar den hemliga strängen som indata och använder en algoritm för att beräkna en unik sträng. Den här unika strängen garanterar den hemliga strängens säkerhet från obehöriga användare.
- Tableau Server skickar Base64 UUID och den ursprungliga slumpmässiga strängen på 24 tecken till klienten.
- Klienten returnerar Base64 UUID och den ursprungliga hemliga strängen på 24 tecken till Tableau Server som en del av en vy-begäran.
- Tableau Server lokaliserar strängparet med Base64 UUID och hashar sedan den hemliga strängen för att verifiera att den matchar hashen som finns sparad på lagringsplatsen.
Den här processen garanterar att betrodd biljett som lagras på Tableau Server inte kan användas använda för att impersonera användare eller komma åt innehåll som skyddas av autentisering. Men då den fullständiga betrodd biljetten skickas över HTTP mellan Tableau Server och klienten är processen beroende av säker och krypterad överföring av HTTP-data. Vi rekommenderar därför att du endast driftsätter betrodda biljetter över SSL/TLS eller ett annat lager med nätverkskryptering.