Datenzugriff mit dem Konto "Als Dienst ausführen"
Wenn die Windows-Authentifizierung konfiguriert ist, erfordert das Konto "Als Dienst ausführen" Lese- und Abfrageberechtigungen für die Datenbanken, auf die Tableau Server zugreift. Wie vorgesehen erhalten Tableau Server-Benutzer mit der Rolle Creator oder Explorer (Can Publish) durch Berechtigungen für das Konto "Als Dienst ausführen" Zugriff zu denselben Datenbanken. Benutzer mit diesen Rollen können mit derselben Zugriffsebene auf die Datenbanken zugreifen und diese anzeigen wie das Konto "Als Dienst ausführen", wenn sie über die Windows-Authentifizierungsoption eine Verbindung mit den Datenbanken in Tableau Server herstellen.
Beispielsweise kann ein Benutzer mit der Rolle "Creator" alle Datenbanken anzeigen, denen Zugriff auf das Konto "Als Dienst ausführen" gewährt wurde.
Wenn der Benutzer mit der Rolle "Creator" den Datenbankhostnamen festlegt und die Windows-Authentifizierung beim Erstellen einer neuen Datenquelle aus einem Webbrowser auswählt, kann der Benutzer die Datenbanken anzeigen, die für das Konto "Als Dienst ausführen" berechtigt sind.
Der Ansichtszugriff auf Datenbankelemente ist nicht auf Benutzer beschränkt, die über einen Webbrowser eine Verbindung zu Tableau Server herstellen. Fortgeschrittene Benutzer, die über die oben genannten Rollen sowie über Kenntnisse der Datenbankservernamen verfügen, können auch Arbeitsmappen mit Tableau Desktop erstellen, die die Datenbanken anzeigen können, welche für das Konto "Als Dienst ausführen" berechtigt sind.
Die hier beschriebene Funktionalität ist universell für alle Datenquellen, auf die das Konto "Als Dienst ausführen" zugreift, unabhängig davon, wie sich Benutzer bei Tableau Server authentifizieren. Selbst wenn sich Benutzer beispielsweise mit Kerberos oder SAML bei Tableau Server authentifizieren, ist ihr Zugriff auf alle für das Konto "Als Dienst ausführen" konfigurierten Datenquellen identisch. Benutzer mit den Rollen "Creator" oder "Explorer (kann veröffentlichen)" können auf alle Daten zugreifen, die für das Konto "Als Dienst ausführen" berechtigt sind.
Empfehlungen
Ob der Benutzerzugriff auf Datenbanken in diesen Szenarien akzeptabel ist, obliegt der Beurteilung durch Ihre Organisation. Im Allgemeinen verringert die Reduzierung der Nutzung und des Umfangs des Kontos "Als Dienst ausführen" die Wahrscheinlichkeit eines unbeabsichtigten Benutzerzugriffs auf Datenbankinhalte. Die Reduzierung der Nutzung und des Umfangs des Dienstkontos "Als Dienst ausführen" kann jedoch auch zu einer aufwändigeren Anmeldeinformationsverwaltung für Sie und Ihre Benutzer führen.
Beurteilen Sie die folgenden Empfehlungen im Zusammenhang mit Ihren Geschäftsanforderungen und Datenzugriffsrichtlinien.
- Stellen Sie zunächst sicher, dass alle Benutzer mit den Rollen "Creator" oder "Explorer (kann veröffentlichen)" vertrauenswürdig sind. Sie müssen sich darauf verlassen können, dass diese Benutzer Aktionen in Tableau mit Integrität ausführen.
- Wenn nicht alle Benutzer vertrauenswürdig sind, die über Veröffentlichungsrechte für Datenquellen verfügen, auf die das Konto "Als Dienst ausführen" Zugriff hat, sollten Sie das Einbetten von Anmeldeinformationen für diese Datenquellen in Betracht ziehen.
- Wenn eine Datenquelle nicht für automatisierte Extraktaktualisierungen eingerichtet ist, d. h., auf die Datenquelle in erster Linie als Live-Verbindung zugegriffen wird, können Sie möglicherweise die Kerberos-Delegierung verwenden. Informationen zu Anforderungen finden Sie unter Aktivieren der Kerberos-Delegierung.