การตรวจสอบสิทธิ์
การตรวจสอบสิทธิ์จะยืนยันข้อมูลประจำตัวของผู้ใช้ ทุกคนที่ต้องการเข้าถึง Tableau Server ไม่ว่าจะเพื่อจัดการเซิร์ฟเวอร์หรือเผยแพร่ เรียกดู หรือดูแลจัดการเนื้อหา จะต้องแสดงเป็นผู้ใช้ในที่เก็บของ Tableau Server วิธีการตรวจสอบสิทธิ์อาจดำเนินการโดย Tableau Server (“การตรวจสอบสิทธิ์ภายในเครื่อง”) หรืออาจดำเนินการตรวจสอบสิทธิ์โดยกระบวนการภายนอก ในกรณีหลัง คุณต้องกำหนดค่า Tableau Server สำหรับเทคโนโลยีการตรวจสอบสิทธิ์ภายนอก เช่น Kerberos, SAML หรือ OpenID ในทุกกรณี ไม่ว่าการตรวจสอบสิทธิ์จะเกิดขึ้นภายในหรือภายนอก ข้อมูลประจำตัวของผู้ใช้แต่ละรายจะต้องแสดงในที่เก็บของ Tableau Server ที่เก็บจะจัดการข้อมูลเมตาการตรวจสอบสิทธิ์สำหรับข้อมูลประจำตัวผู้ใช้
กำลังมองหา Tableau Server สำหรับ Windows อยู่ใช่ไหม โปรดดูการตรวจสอบสิทธิ์(ลิงก์จะเปิดในหน้าต่างใหม่)
แม้ว่าข้อมูลประจำตัวผู้ใช้ทั้งหมดจะแสดงในที่สุดและจัดเก็บไว้ในที่เก็บของ Tableau Server คุณต้องจัดการบัญชีผู้ใช้สำหรับ Tableau Server ในที่เก็บข้อมูลประจำตัว มีสองตัวเลือกสำหรับที่เก็บข้อมูลประจำตัวแบบพิเศษร่วมกันคือ LDAP และภายใน Tableau Server รองรับไดเรกทอรี LDAP แบบกำหนดเองแต่ได้รับการปรับให้เหมาะสมสำหรับการใช้ LDAP ของ Active Directory หรือหากคุณไม่ได้เรียกใช้ไดเรกทอรี LDAP คุณสามารถใช้ที่เก็บข้อมูลประจำตัวภายในของ Tableau Server ได้ หากต้องการข้อมูลเพิ่มเติม โปรดดูที่เก็บข้อมูลประจำตัว
ตามที่แสดงไว้ในตารางต่อไปนี้ ประเภทของที่เก็บข้อมูลประจำตัวที่คุณนำไปใช้บางส่วนจะกำหนดตัวเลือกการตรวจสอบสิทธิ์ของคุณ
ข้อมูลประจำตัว ที่เก็บ | กลไกการตรวจสอบสิทธิ์ | ||||||||
---|---|---|---|---|---|---|---|---|---|
ขั้นพื้นฐาน | SAML | SAML ไซต์ | Kerberos | (เฉพาะ Windows) ระบบอัตโนมัติ เข้าสู่ระบบ (Microsoft SSPI) | OpenID เชื่อมต่อ | แอปที่เชื่อมต่อ | เชื่อถือได้ รับรองสิทธิ์ | ร่วมกัน SSL | |
ในเครื่อง | X | X | X | X | X | X | X | ||
ใช้งานอยู่ ไดเรกทอรี | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
สิทธิ์การเข้าถึงและสิทธิ์การจัดการจะถูกนำไปใช้ผ่านบทบาทของไซต์ บทบาทของไซต์จะกำหนดว่าผู้ใช้รายใดเป็นผู้ดูแล และผู้ใช้รายใดเป็นผู้บริโภคเนื้อหาและผู้เผยแพร่บนเซิร์ฟเวอร์ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับผู้ดูแล บทบาทของไซต์ กลุ่ม ผู้ใช้ที่ไม่ได้ลงทะเบียน และทาสก์การดูแลระบบที่เกี่ยวข้องกับผู้ใช้ โปรดดู ผู้ใช้และบทบาทของไซต์สำหรับผู้ใช้
หมายเหตุ: ในบริบทของการตรวจสอบสิทธิ์ เป็นสิ่งสำคัญที่จะต้องเข้าใจว่าผู้ใช้ไม่ได้รับอนุญาตให้เข้าถึงแหล่งข้อมูลภายนอกผ่าน Tableau Server โดยใช้บัญชีในเซิร์ฟเวอร์ กล่าวอีกนัยหนึ่งในการกำหนดค่าเริ่มต้น Tableau Server จะไม่ทำหน้าที่เป็นพร็อกซีไปยังแหล่งข้อมูลภายนอก การเข้าถึงดังกล่าวจำเป็นต้องมีการกำหนดค่าเพิ่มเติมของแหล่งข้อมูลบน Tableau Server หรือการตรวจสอบสิทธิ์ที่แหล่งข้อมูลเมื่อผู้ใช้เชื่อมต่อจาก Tableau Desktop
ความเข้ากันได้กับการตรวจสอบสิทธิ์ของส่วนเสริม
สามารถใช้วิธีการตรวจสอบสิทธิ์บางอย่างร่วมกันได้ ตารางต่อไปนี้แสดงวิธีการตรวจสอบสิทธิ์ที่สามารถใช้ร่วมกันได้ เซลล์ที่มีเครื่องหมาย "X" ระบุถึงชุดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันได้ เซลล์ที่ว่างระบุชุดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันไม่ได้
แอปที่เชื่อมต่อ | การตรวจสอบสิทธิ์ที่เชื่อถือได้ | SAML ระดับเซิร์ฟเวอร์ | SAML ไซต์ | Kerberos | (เฉพาะ Windows) การเข้าสู่ระบบอัตโนมัติ (Microsoft SSPI) | SSL ร่วมกัน | OpenID Connect | |
แอปที่เชื่อมต่อของ Tableau | ไม่ระบุ | X | X | X | X | X | ||
การตรวจสอบสิทธิ์ที่เชื่อถือได้ | ไม่ระบุ | X | X | X | X | X | ||
SAML ระดับเซิร์ฟเวอร์ | X | X | ไม่ระบุ | X | ||||
SAML ไซต์ | X | X | X | ไม่ระบุ | ||||
Kerberos | X | X | ไม่ระบุ | |||||
การเข้าสู่ระบบอัตโนมัติ (Microsoft SSPI) | ไม่ระบุ | |||||||
SSL ร่วมกัน | X | X | ไม่ระบุ | |||||
OpenID Connect | X | X | ไม่ระบุ | |||||
โทเค็นการเข้าถึงส่วนบุคคล (PAT) | * | * | * | * | * | * | * | * |
* โดยการออกแบบ PAT จะไม่ทำงานโดยตรงกับกลไกการตรวจสอบสิทธิ์ที่แสดงในคอลัมน์เหล่านี้เพื่อตรวจสอบสิทธิ์กับ REST API PAT ใช้ข้อมูลเข้าสู่ระบบของบัญชีผู้ใช้ Tableau Server เพื่อตรวจสอบสิทธิ์กับ REST API แทน
ความเข้ากันได้ในการตรวจสอบสิทธิ์ของไคลเอ็นต์
การตรวจสอบสิทธิ์ที่จัดการผ่านอินเทอร์เฟซผู้ใช้ (UI)
ไคลเอ็นต์ | กลไกการตรวจสอบสิทธิ์ | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
ขั้นพื้นฐาน | SAML | SAML ไซต์ | Kerberos | (เฉพาะ Windows) ระบบอัตโนมัติ เข้าสู่ระบบ (Microsoft SSPI) | OpenID เชื่อมต่อ | แอปที่เชื่อมต่อ | เชื่อถือได้ รับรองสิทธิ์ | ร่วมกัน SSL | โทเค็นการเข้าถึงส่วนบุคคล (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (iOS เท่านั้น*) | X ** | X | X | |||
เว็บเบราว์เซอร์ | X | X | X | X | X | X | X *** | X | X |
* Android ไม่รองรับ Kerberos SSO แต่สามารถย้อนกลับไปใช้ชื่อผู้ใช้และรหัสผ่านได้ หากต้องการข้อมูลเพิ่มเติม โปรดดู หมายเหตุที่ 5: แพลตฟอร์ม Android
** SSPI ไม่สามารถใช้งานร่วมกับแอป Tableau Mobile เวอร์ชัน Workspace ONE ได้
*** ในเวิร์กโฟลว์การฝังเท่านั้น
การตรวจสอบสิทธิ์ที่จัดการทางโปรแกรม
ไคลเอ็นต์ | กลไกการตรวจสอบสิทธิ์ | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
ขั้นพื้นฐาน | SAML | SAML ไซต์ | Kerberos | (เฉพาะ Windows) ระบบอัตโนมัติ เข้าสู่ระบบ (Microsoft SSPI) | OpenID เชื่อมต่อ | แอปที่เชื่อมต่อ | เชื่อถือได้ รับรองสิทธิ์ | ร่วมกัน SSL | โทเค็นการเข้าถึงส่วนบุคคล (PAT) | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
การตรวจสอบสิทธิ์ภายใน
หากเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้การตรวจสอบสิทธิ์ภายใน Tableau Server จะตรวจสอบสิทธิ์ผู้ใช้ เมื่อผู้ใช้เข้าสู่ระบบและป้อนข้อมูลเข้าสู่ระบบ ไม่ว่าจะผ่าน Tableau Desktop, tabcmd, API หรือเว็บไคลเอ็นต์ Tableau Server จะตรวจสอบข้อมูลเข้าสู่ระบบ
หากต้องการเปิดใช้งานสถานการณ์นี้ คุณต้องสร้างข้อมูลประจำตัวสำหรับผู้ใช้แต่ละรายก่อน หากต้องการสร้างข้อมูลประจำตัว คุณต้องระบุชื่อผู้ใช้และรหัสผ่าน หากต้องการเข้าถึงหรือโต้ตอบกับเนื้อหาบนเซิร์ฟเวอร์ ผู้ใช้จะต้องได้รับมอบหมายบทบาทของไซต์ คุณสามารถเพิ่มข้อมูลประจำตัวผู้ใช้ลงใน Tableau Server ได้ใน UI ของเซิร์ฟเวอร์โดยใช้คำสั่ง tabcmd หรือใช้ REST API(ลิงก์จะเปิดในหน้าต่างใหม่)
คุณยังสามารถสร้างกลุ่มใน Tableau Server เพื่อช่วยจัดการและมอบหมายบทบาทให้กับกลุ่มผู้ใช้จำนวนมากที่เกี่ยวข้อง (เช่น “การตลาด ”)
เมื่อคุณกำหนดค่า Tableau Server สำหรับการตรวจสอบสิทธิ์ภายใน คุณสามารถตั้งค่านโยบายรหัสผ่านและการล็อคบัญชีเมื่อใช้รหัสผ่านไม่สำเร็จ โปรดดูการตรวจสอบสิทธิ์ในเครื่อง
หมายเหตุ: สามารถใช้Tableau ที่มีการตรวจสอบสิทธิ์หลายปัจจัย (MFA) สำหรับ Tableau Cloud เท่านั้น
โซลูชันการตรวจสอบสิทธิ์ภายนอก
Tableau Server สามารถกำหนดค่าให้ทำงานร่วมกับโซลูชันการตรวจสอบสิทธิ์ภายนอกได้หลายโซลูชัน
Kerberos
คุณสามารถกำหนดค่า Tableau Server ให้ใช้ Kerberos สำหรับ Active Directory ได้ โปรดดู Kerberos
SAML
คุณสามารถกำหนดค่า Tableau Server ให้ใช้การตรวจสอบสิทธิ์ของ SAML (ภาษามาร์กอัปการยืนยันความปลอดภัย) ด้วย SAML ผู้ให้บริการข้อมูลประจำตัวภายนอก (IdP) จะตรวจสอบสิทธิ์ข้อมูลเข้าสู่ระบบของผู้ใช้ จากนั้นจะส่งการยืนยันความปลอดภัยไปยัง Tableau Serve rที่ให้ข้อมูลเกี่ยวกับข้อมูลประจำตัวของผู้ใช้
หากต้องการข้อมูลเพิ่มเติม โปรดดู SAML
OpenID Connect
OpenID Connect (OIDC) เป็นโปรโตคอลการตรวจสอบสิทธิ์มาตรฐานที่ช่วยให้ผู้ใช้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว (IdP) เช่น Google หลังจากที่ผู้ใช้เข้าสู่ระบบ IdP ของตนเรียบร้อยแล้ว ผู้ใช้จะเข้าสู่ระบบ Tableau Server โดยอัตโนมัติ หากต้องการใช้ OIDC บน Tableau Server เซิร์ฟเวอร์ต้องได้รับการกำหนดค่าให้ใช้ที่เก็บข้อมูลประจำตัวภายในเครื่อง OIDC ไม่รองรับที่เก็บข้อมูลประจำตัวของ Active Directory หรือ LDAP หากต้องการข้อมูลเพิ่มเติม โปรดดู OpenID Connect
SSL ร่วมกัน
ด้วยการใช้ SSL ร่วมกัน คุณสามารถให้ผู้ใช้ Tableau Desktop, Tableau Mobile และไคลเอ็นต์ Tableau อื่นๆ ที่ได้รับการอนุมัติ ซึ่งเป็นประสบการณ์การเข้าถึง Tableau Server โดยตรงที่ปลอดภัย เมื่อไคลเอ็นต์ที่มีใบรับรอง SSL ที่ถูกต้องเชื่อมต่อกับ Tableau Server ด้วย SSL ร่วมกัน Tableau Server จะยืนยันการมีอยู่ของใบรับรองไคลเอ็นต์และตรวจสอบสิทธิ์ผู้ใช้ตามชื่อผู้ใช้ในใบรับรองไคลเอ็นต์ หากไคลเอ็นต์ไม่มีใบรับรอง SSL ที่ถูกต้อง Tableau Server สามารถปฏิเสธการเชื่อมต่อได้ หากต้องการข้อมูลเพิ่มเติม โปรดดู กำหนดค่าการตรวจสอบสิทธิ SSL ร่วม
แอปที่เชื่อมต่อ
ความเชื่อถือโดยตรง
แอปที่เชื่อมต่อของ Tableau จะช่วยสร้างประสบการณ์การตรวจสอบสิทธิ์ที่ราบรื่นและปลอดภัยโดยลดความยุ่งยากสำหรับความสัมพันธ์ที่เชื่อถือได้อย่างชัดเจนระหว่างไซต์ Tableau Server และแอปพลิเคชันภายนอกซึ่งมีเนื้อหาของ Tableau ฝังไว้ การใช้แอปที่เชื่อมต่อยังช่วยให้ใช้วิธีทางโปรแกรมเพื่ออนุญาตการเข้าถึง Tableau REST API โดยใช้ JSON Web Tokens (JWT) หากต้องการข้อมูลเพิ่มเติม โปรดดูใช้แอปที่เชื่อมต่อของ Tableau สำหรับการผสานรวมแอปพลิเคชัน
ความน่าเชื่อถือ EAS หรือ OAuth 2.0
คุณสามารถลงทะเบียนเซิร์ฟเวอร์การให้สิทธิ์ภายนอก (EAS) ด้วย Tableau Server เพื่อสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่าง Tableau Server และ EAS โดยใช้โปรโตคอลมาตรฐานของ OAuth 2.0 ความสัมพันธ์ที่เชื่อถือได้ช่วยให้ผู้ใช้ของคุณได้รับประสบการณ์การลงชื่อเพียงครั้งเดียวผ่าน IdP ของคุณไปยังเนื้อหาแบบฝังของ Tableau นอกจากนี้ การลงทะเบียน EAS ยังช่วยให้ใช้วิธีทางโปรแกรมเพื่ออนุญาตการเข้าถึง Tableau REST API โดยใช้ JSON Web Tokens (JWT) หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่าแอปที่เชื่อมต่อกับการพิทักษ์ OAuth 2.0
การตรวจสอบสิทธิ์ที่เชื่อถือได้
การตรวจสอบสิทธิ์ที่เชื่อถือได้ (หรือที่เรียกว่า “ทิกเก็ตที่เชื่อถือได้”) ช่วยให้คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่าง Tableau Server และเว็บเซิร์ฟเวอร์อย่างน้อยหนึ่งรายการ เมื่อ Tableau Server ได้รับคำขอจากเว็บเซิร์ฟเวอร์ที่เชื่อถือได้ จะถือว่าเว็บเซิร์ฟเวอร์ได้จัดการกับการตรวจสอบสิทธิ์ที่จำเป็นแล้ว Tableau Server ได้รับคำขอพร้อมกับโทเค็นหรือทิกเก็ตที่สามารถแลกรับได้และนำเสนอมุมมองส่วนบุคคลให้กับผู้ใช้โดยคำนึงถึงบทบาทและสิทธิ์ของผู้ใช้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การตรวจสอบสิทธิ์ที่เชื่อถือได้
LDAP
คุณยังสามารถกำหนดค่า Tableau Server ให้ใช้ LDAP สำหรับการตรวจสอบสิทธิ์ผู้ใช้ได้ ผู้ใช้จะได้รับการตรวจสอบสิทธิ์โดยการส่งข้อมูลเข้าสู่ระบบของตนไปยัง Tableau Server ซึ่งจะพยายามผูกกับอินสแตนซ์ LDAP โดยใช้ข้อมูลเข้าสู่ระบบของผู้ใช้ หากการผูกทำงาน ข้อมูลเข้าสู่ระบบจะถูกต้องและ Tableau Server จะให้เซสชันแก่ผู้ใช้
“การผูก” เป็นขั้นตอนการผสานรวม/การตรวจสอบสิทธิ์ที่เกิดขึ้นเมื่อไคลเอ็นต์พยายามเข้าถึงเซิร์ฟเวอร์ LDAP Tableau Server จะทำสิ่งนี้ด้วยตัวเองเมื่อทำการค้นหาที่ไม่เกี่ยวข้องกับการตรวจสอบสิทธิ์ต่างๆ (เช่น การนำเข้าผู้ใช้และกลุ่ม)
คุณสามารถกำหนดค่าประเภทการผูกที่คุณต้องการให้ Tableau Server ใช้เมื่อตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้ Tableau Server จะรองรับ GSSAPI และ SIMPLE การผูกแบบง่ายจะส่งข้อมูลเข้าสู่ระบบไปยังอินสแตนซ์ LDAP โดยตรง เราขอแนะนำให้คุณกำหนดค่า SSL เพื่อเข้ารหัสการดำเนินการผูกไว้ การตรวจสอบสิทธิ์ในสถานการณ์นี้อาจกำหนดโดยโซลูชัน LDAP แบบเนทีฟหรือด้วยกระบวนการภายนอก เช่น SAML
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการวางแผนและการกำหนดค่า LDAP โปรดดู ที่เก็บข้อมูลประจำตัวและการอ้างอิงการกำหนดค่าที่เก็บข้อมูลประจำตัวภายนอก
สถานการณ์การตรวจสอบสิทธิ์อื่นๆ
REST API: การเข้าสู่ระบบและออกจากระบบ (การตรวจสอบสิทธิ์)(ลิงก์จะเปิดในหน้าต่างใหม่)
หมายเหตุ: REST API ไม่รองรับการลงชื่อเพียงครั้งเดียว (SSO) แบบ SAML
การตรวจสอบสิทธิ์ของอุปกรณ์มือถือ: การลงชื่อเพียงครั้งเดียวสำหรับ Tableau Mobile(ลิงก์จะเปิดในหน้าต่างใหม่)
คามน่าเชื่อถือของใบรับรองสำหรับไคลเอ็นต์ TSM: เชื่อมต่อไคลเอ็นต์ TSM
การผสานรวม PAM สำหรับการดูแลระบบ TSM: การตรวจสอบสิทธิ์ TSM
การเข้าถึงข้อมูลและการตรวจสอบสิทธิ์แหล่งที่มา
คุณสามารถกำหนดค่า Tableau Server ให้รองรับโปรโตคอลการตรวจสอบสิทธิ์ที่แตกต่างกันจำนวนมากไปยังแหล่งข้อมูลที่แตกต่างกันได้ การตรวจสอบสิทธิ์ของการเชื่อมต่อข้อมูลอาจเป็นอิสระจากการตรวจสอบสิทธิ์ของ Tableau Server
ตัวอย่างเช่น คุณสามารถกำหนดค่าการตรวจสอบสิทธิ์ของผู้ใช้สำหรับ Tableau Server ด้วยการตรวจสอบสิทธิ์ภายในขณะที่กำหนดค่าการมอบหมายการตรวจสอบสิทธิ์ OAuth หรือ SAML ไปยังแหล่งข้อมูลเฉพาะ โปรดดูการตรวจสอบสิทธิ์การเชื่อมต่อข้อมูล