身份验证
身份验证将验证用户的身份。需要访问 Tableau 的任何人(无论是管理服务器,还是发布、浏览或管理内容)都必须表示为 Tableau Server 存储库中的用户。身份验证方法可由 Tableau Server 来执行(“本地身份验证”),或者可以由外部进程执行身份验证。在后一种情况下,您必须为外部身份验证技术(例如 Kerberos、、SAML 或 OpenID)配置 Tableau Server。在所有情况下,无论是在本地还是在外部进行身份验证,都必须在 Tableau Server 存储库中表示每个用户身份。存储库管理用户身份的授权元数据。
期望使用 Windows 版 Tableau Server?请参见身份验证(链接在新窗口中打开)。
尽管所有用户身份最终都会表示并存储在 Tableau Server 存储库中,但您必须在身份存储中管理 Tableau Server 的用户帐户。有两种相互排斥的身份存储选项:LDAP 和本地。Tableau Server 支持任意 LDAP 目录,但它已针对 Active Directory LDAP 实施进行了优化。或者,如果您未运行 LDAP 目录,则可以使用 Tableau Server 本地身份存储。有关详细信息,请参见身份存储。
如下表中所示,您实施的身份存储的类型将在某种程度上确定您的身份验证选项。
身份 存储 | 身份验证机制 | ||||||||
---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 站点 SAML | Kerberos | (仅限 Windows) 自动 登录 (Microsoft SSPI) | OpenID 连接 | 已连接应用 | 受信任的 身份验证 | 相互 SSL | |
本地 | X | X | X | X | X | X | X | ||
Active Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
访问和管理权限通过站点角色来实现。站点角色定义哪些用户是管理员,以及哪些用户是服务器上的内容使用者和发布者。有关管理员、站点角色、组、来宾用户以及用户相关的管理任务的详细信息,请参阅“用户”以及“用户的站点角色”。
注意:在身份验证上下文中,一定要知道用户无权通过在服务器上获得帐户从而经 Tableau Server 访问外部数据源。换句话说,在默认配置中,Tableau Server 不作为外部数据源的代理。此类访问需要在 Tableau Server 上额外配置数据源,或者在用户从 Tableau Desktop 连接时在数据源中进行身份验证。
加载项身份验证兼容性
某些身份验证方法可一起使用。下表显示了可结合使用的身份验证方法。标有“X”的单元格指明兼容的身份验证集合。空白单元格指明不兼容的身份验证集合。
已连接应用 | 受信任的身份验证 | 服务器范围 SAML | 站点 SAML | Kerberos | (仅限 Windows) 自动登录 (Microsoft SSPI) | 相互 SSL | OpenID Connect | |
Tableau 已连接应用 | 不可用 | X | X | X | X | X | ||
受信任的身份验证 | 不可用 | X | X | X | X | X | ||
服务器范围 SAML | X | X | 不可用 | X | ||||
站点 SAML | X | X | X | 不可用 | ||||
Kerberos | X | X | 不可用 | |||||
自动登录(Microsoft SSPI) | 不可用 | |||||||
相互 SSL | X | X | 不可用 | |||||
OpenID Connect | X | X | 不可用 | |||||
个人访问令牌 (PAT) | * | * | * | * | * | * | * | * |
*根据设计,PAT 不直接使用这些列中列出的身份验证机制来对 REST API 进行身份验证。相反,PAT 使用 Tableau Server 用户帐户凭据对 REST API 进行身份验证。
客户端身份验证兼容性
通过用户界面 (UI) 处理的身份验证
客户端 | 身份验证机制 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 站点 SAML | Kerberos | (仅限 Windows) 自动 登录 (Microsoft SSPI) | OpenID 连接 | 已连接应用 | 受信任的 身份验证 | 相互 SSL | 个人访问令牌 (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (仅限 iOS*) | X ** | X | X | |||
Web 浏览器 | X | X | X | X | X | X | X *** | X | X |
* Android 不支持 Kerberos SSO,但可以回退为使用用户名和密码。有关详细信息,请参见注释 5:Android 平台。
** SSPI 与 Tableau Mobile 应用软件的 Workspace ONE 版本不兼容。
*** 仅在嵌入工作流程中。
以编程方式处理的身份验证
客户端 | 身份验证机制 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 站点 SAML | Kerberos | (仅限 Windows) 自动 登录 (Microsoft SSPI) | OpenID 连接 | 已连接应用 | 受信任的 身份验证 | 相互 SSL | 个人访问令牌 (PAT) | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
本地身份验证
如果将服务器配置为使用本地身份验证,则 Tableau Server 将对用户进行身份验证。当用户登录并输入其凭据时,Tableau Server 将通过 Tableau Desktop、tabcmd、API 或 Web 客户端来验证凭据。
若要启用此方案,必须首先为每个用户创建标识。若要创建标识,您可以指定用户名和密码。若要访问服务器上的内容或者与其进行交互,还必须为用户分配站点角色。可使用 tabcmd 命令或使用 REST API(链接在新窗口中打开) 在服务器 UI 中将用户标识添加到 Tableau Server。
您还可以在 Tableau Server 中创建组,以帮助管理以及将角色分配给大批相关用户组(例如,“市场营销”)。
为本地身份验证配置 Tableau Server 时,您可以针对失败的密码尝试设置密码策略和帐户锁定。请参见本地身份验证。
注意:具有多重 (MFA) 身份验证的 Tableau 仅适用于 Tableau Cloud。
外部身份验证解决方案
可以将 Tableau Server 配置为使用许多外部身份验证解决方案。
Kerberos
针对 Active Directory,您可以将 Tableau Server 配置为使用 Kerberos。请参见Kerberos。
SAML
您可以将 Tableau Server 配置为使用 SAML(安全断言标记语言)身份验证。利用 SAML,外部身份提供程序 (IdP) 验证用户的凭据,然后将一个安全断言发送到 Tableau Server,该安全断言提供有关用户标识的信息。
有关详细信息,请参见SAML。
OpenID Connect
OpenID Connect (OIDC) 是一种标准身份验证协议,它使用户能够登录到诸如 Google 等身份提供程序 (IdP)。用户成功登录到其 IdP 后,将会自动登录到 Tableau Server。若要在 Tableau Server 上使用 OIDC,必须将服务器配置为使用本地身份存储。Active Directory 或 LDAP 身份存储不支持与 OIDC 一起使用。有关详细信息,请参见OpenID Connect。
相互 SSL
使用相互 SSL,您可以为 Tableau Desktop、Tableau Mobile 和其他认可的 Tableau 客户端的用户提供安全的 Tableau Server 直接访问体验。借助相互 SSL,当具有有效 SSL 证书的客户端连接到 Tableau Server 时, 将确认存在客户端证书,并基于客户端证书中的用户名对用户进行身份验证。如果客户端没有有效的 SSL 证书,则 Tableau Server 会拒绝连接。有关详细信息,请参见配置相互 SSL 身份验证。
已连接应用
直接信任
Tableau 已连接应用通过促进您的 Tableau Server 站点与嵌入 Tableau 内容的自定义应用程序之间建立明确的信任关系,实现无缝且安全的身份验证体验。使用已连接应用还支持以编程方式授权使用 JSON Web 令牌 (JWT) 访问 Tableau REST API。有关详细信息,请参见使用 Tableau 已连接应用进行应用程序集成。
EAS 或 OAuth 2.0 信任
您可以使用 OAuth 2.0 标准协议向 Tableau Server 注册外部授权服务器 (EAS),以在 Tableau Server 和 EAS 之间建立信任关系。信任关系通过您的 IdP 为您的用户提供到嵌入式 Tableau 内容的单点登录体验。此外,注册 EAS 支持以编程方式使用 JSON Web 令牌 (JWT) 授权对 Tableau REST API 的访问。有关详细信息,请参见使用 OAuth 2.0 信任配置已连接应用。
受信任的身份验证
受信任的身份验证(也称为“受信任票证”)使您能在 Tableau Server 与一个或多个 Web 服务器之间建立受信任的关系。当 Tableau Server 收到来自受信任 Web 服务器的请求时,它会假设该 Web 服务器已处理必要的身份验证。Tableau Server 接收带有可兑现令牌或票证的请求,并向用户显示考虑进用户的角色与权限的个性化视图。有关详细信息,请参见受信任的身份验证。
LDAP
您也可以将 Tableau Server 配置为使用 LDAP 进行用户身份验证。用户通过将其凭据提交到 Tableau Server 来进行身份验证,后者随后将尝试使用用户凭据绑定到 LDAP 实例。如果绑定成功,则凭据有效,并且 Tableau Server 将为用户授予一个会话。
“绑定”是指客户端尝试访问 LDAP 服务器时发生的握手/身份验证步骤。Tableau Server 会在进行各种非身份验证相关查询(例如导入用户和组)时自行执行此操作。
您可以配置希望 Tableau Server 在验证用户凭据时使用的绑定类型。Tableau Server 支持 GSSAPI 和简单绑定。简单绑定会将凭据直接传递至 LDAP 实例。我们建议您配置 SSL 以便对绑定通信进行加密。此方案中的身份验证可通过原生 LDAP 解决方案或使用外部进程(如 SAML)提供。
有关规划和配置 LDAP 的详细信息,请参见身份存储和外部身份识存储配置参考。
其他身份验证方案
REST API:登录和注销(身份验证)(链接在新窗口中打开)
注意:REST API 不支持 SAML 单点登录 (SSO)。
移动设备身份验证:Tableau Mobile 单点登录(链接在新窗口中打开)
TSM 客户端的证书信任:连接 TSM 客户端
用于 TSM 管理的 PAM 集成:TSM 身份验证
数据访问和来源身份验证
您可以将 Tableau Server 配置为支持多种不同的身份验证协议以适应各种不同的数据源。数据连接身份验证可能独立于 Tableau Server 身份验证。
例如,您可以配置为使用本地身份验证向 Tableau Server 进行用户身份验证,同时对特定数据源配置 OAuth 或 SAML 身份验证。请参见数据连接身份验证。