Authentifizierung

Die Authentifizierung prüft die Identität eines Benutzers. Jeder Benutzer, der auf Tableau Server zugreifen muss, sei es, um den Server zu verwalten oder um Inhalte zu veröffentlichen, zu durchsuchen oder zu verwalten, muss im Tableau Server-Repository als Benutzer angelegt sein. Die Methode der Authentifizierung kann vom Tableau Server selbst durchgeführt werden ("lokale Authentifizierung") oder durch einen externen Prozess. In letzterem Fall müssen Sie Tableau Server für externe Authentifizierungstechnologien wie Kerberos, SSPI, SAML oder OpenID konfigurieren. In allen Fällen, ob die Authentifizierung lokal oder extern durchgeführt wird, muss jede Benutzeridentität im Tableau Server-Repository angelegt sein. Das Repository verwaltet die Autorisierungs-Metadaten für Benutzeridentitäten.

Obwohl alle Benutzeridentitäten letztendlich im Tableau Server-Repository dargestellt und gespeichert werden, müssen Sie Benutzerkonten für Tableau Server in einem Identitätsspeicher verwalten. Es gibt zwei Identitätsspeicher-Optionen, die sich gegenseitig ausschließen: LDAP und lokal. Tableau Server unterstützt beliebige LDAP-Verzeichnisse, wurde jedoch für die Active Directory-LDAP-Implementierung optimiert. Wenn Sie kein LDAP-Verzeichnis ausführen, können Sie alternativ den lokalen Identitätsspeicher von Tableau Server verwenden. Weitere Informationen dazu finden Sie unter Identitätsspeicher.

Wie in der folgenden Tabelle dargestellt, bestimmt die Art des implementierten Identitätsspeichers teilweise Ihre Authentifizierungsoptionen mit.

Identitäts- 

speicher

Authentifizierungsmechanismus
Grundlegend SAML Site-SAML Kerberos

Automatisch

Login

Windows

(SSPI)

OpenID

Verbinden

Trusted

Auth

Mutual

SSL

Lokal X X X     X X X

Active

Verzeichnis

X X   X X   X X
LDAP X X         X X

Zugriff- und Verwaltungsberechtigungen werden über Site-Rollen implementiert. Site-Rollen definieren, welche Benutzer Administratoren und welche Benutzer Inhaltskonsumenten und Publisher am Server sind. Weitere Informationen zu Administratoren, Site-Rollen, Gruppen, Gastbenutzer und benutzerbezogene Verwaltungsaufgaben finden Sie unter Benutzer und Site-Rollen für Benutzer.

Hinweis: Im Kontext der Authentifizierung ist es wichtig zu verstehen, dass Benutzer nicht autorisiert sind, aufgrund ihres Kontos am Server über Tableau Server auf externe Datenquellen zuzugreifen. Mit anderen Worten: In der Standardkonfiguration fungiert Tableau Server nicht als Proxy für externe Datenquellen. Für diese Art von Zugriff ist eine zusätzliche Konfiguration der Datenquelle unter Tableau Server erforderlich oder eine Authentifizierung bei der Datenquelle, wenn der Benutzer eine Verbindung von Tableau Desktop aus herstellt.

Kompatibilität der Add-On-Authentifizierung

Einige Authentifizierungsmethoden können zusammen verwendet werden. Die folgende Tabelle zeigt Authentifizierungsmethoden, die kombiniert werden können. Die mit einem "X" markierten Felder zeigen einen kompatiblen Authentifizierungssatz an. Leere Zellen zeigen inkompatible Authentifizierungssätze an.

  Vertrauenswürdige Authentifizierung Serverweite SAML Site-SAML Kerberos

Automatische Anmeldefenster (SSPI)

Gegenseitiges SSL

OpenID Connect

Vertrauenswürdige Authentifizierung k. A. X X X   X X
Serverweite SAML X k. A. X        
Site-SAML X X k. A.        
Kerberos X     k. A.      
Automatische Anmeldefenster (SSPI)         k. A.    
Gegenseitiges SSL X         k. A.  
OpenID Connect X           k. A.

Kompatibilität der Kunden-Authentifizierung

Kunden

Authentifizierungsmechanismus
Grundlegend SAML Site-SAML Kerberos

Automatisch

Login

Windows

(SSPI)

OpenID

Verbinden

Trusted

Auth

Mutual

SSL

Tableau Desktop X X X X X X   X

Tableau Prep

X X X X X X   X
Tableau Mobile X X X

X

(nur iOS)

       
Tabcmd X              
Webbrowser X X X X X X X X

Lokale Authentifizierung

Wenn der Server für die Verwendung der lokalen Authentifizierung konfiguriert ist, werden Benutzer über Tableau Server authentifiziert. Wenn sich Benutzer anmelden und ihre Anmeldeinformationen eingeben, entweder über Tableau Desktop, tabcmd, API oder einen Webclient, dann prüft Tableau Server die Anmeldeinformationen.

Zur Aktivierung dieses Szenarios müssen Sie zunächst eine Identität für jeden Benutzer erstellen. Zur Erstellung einer Identität geben Sie einen Benutzernamen und ein Kennwort an. Benutzern muss auch eine Site-Rolle zugewiesen werden, damit sie auf Inhalte am Server zugreifen und damit interagieren können. Benutzeridentitäten können Tableau Server auf der Serverbenutzeroberfläche anhand von tabcmd-Befehlen oder mithilfe der REST API hinzugefügt werden.

Sie können auch Gruppen in Tableau Server erstellen, um große Sets von entsprechenden Benutzergruppen (z. B. "Marketing") zu verwalten und ihnen Rollen zuzuweisen.

Wenn Sie den Tableau-Server für die lokale Authentifizierung konfigurieren, können Sie Kennwortrichtlinien und eine Kontosperre bei fehlgeschlagenen Kennwortversuchen festlegen. Informationen finden Sie unter Lokale Authentifizierung.

Externe Authentifizierungslösungen

Tableau Server kann für verschiedene externe Authentifizierungslösungen konfiguriert werden.

NTLM und SSPI

Wenn Sie Tableau Server während der Installation für die Verwendung von Active Directory konfigurieren, ist NTLM die Standardmethode für die Benutzerauthentifizierung.

Wenn sich ein Benutzer bei Tableau Server von Tableau Desktop oder einem Webclient aus anmeldet, dann werden die Anmeldeinformationen zu Active Directory weitergeleitet, wo sie geprüft werden und von wo aus ein Zugriffstoken an Tableau Server gesendet wird. Tableau Server verwaltet dann den Benutzerzugriff auf Tableau-Ressourcen auf Basis der Site-spezifischen Rollen, die im lokalen Repository gespeichert sind.

Wenn Tableau Server auf einem Windows-Computer in Active Directory installiert wird, können Sie optional die automatische Anmeldung aktivieren. In diesem Szenario verwendet Tableau Server Microsoft SSPI, um Benutzer automatisch auf Basis ihres für Windows verwendeten Benutzernamens und Kennworts anzumelden. Dieser Vorgang ähnelt dem SSO-Verfahren für die einmalige Anmeldung.

Aktivieren Sie SSPI nicht, wenn Sie Tableau Server für SAML, die vertrauenswürdige Authentifizierung, einen Lastausgleich oder einen Proxyserver konfigurieren möchten. SSPI wird in diesen Szenarien nicht unterstützt. Siehe tsm authentication sspi <commands>.

Kerberos

Sie können Tableau Server für die Verwendung von Kerberos Active Directory konfigurieren. Siehe Kerberos.

SAML

Sie können Tableau Server für die Verwendung von SAML (Security Assertion Markup Language) konfigurieren. Bei SAML authentifiziert ein externer Identitätsanbieter (IdP) die Anmeldeinformationen des Benutzers und sendet dann eine Sicherheitserklärung an Tableau Server, die Informationen zur Identität des Benutzers enthält.

Weitere Informationen finden Sie unter SAML.

OpenID Connect

OpenID Connect ist ein Standard-Authentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie Google anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind sie automatisch bei Tableau Server angemeldet. Zur Verwendung von OpenID Connect (OIDC) in Tableau Server muss der Server für die Verwendung des lokalen Identitätsspeichers konfiguriert sein. Active Directory oder LDAP-Identitätsspeicher werden für OIDC nicht unterstützt. Weitere Informationen finden Sie unter OpenID Connect.

Gegenseitiges SSL

Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop, Tableau Mobile und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung.

Vertrauenswürdige Authentifizierung

Mit der auch als "vertrauenswürdige Tickets" bezeichneten vertrauenswürdigen Authentifizierung können Sie eine vertrauenswürdige Beziehung zwischen Tableau Server und einem oder mehreren Webservern einrichten. Wenn Tableau Server Anforderungen von einem vertrauenswürdigen Webserver empfängt, wird davon ausgegangen, dass der Webserver die notwendige Authentifizierung durchgeführt hat. Tableau Server empfängt die Anforderung mit einem einlösbaren Token oder Ticket und präsentiert dem Benutzer eine personalisierte Ansicht, die die Rolle und Berechtigungen des Benutzers berücksichtigt. Weitere Informationen finden Sie unter Vertrauenswürdige Authentifizierung.

LDAP

Sie können Tableau Server auch für die Verwendung von LDAP bei der Benutzerauthentifizierung konfigurieren. Benutzer werden authentifiziert, indem sie ihre Anmeldeinformationen an Tableau Server senden. Dort wird versucht, die LDAP-Instanz mithilfe der Anmeldeinformationen zu binden. Wenn die Bindung funktioniert, sind die Anmeldeinformationen gültig, und Tableau Server gewährt dem Benutzer eine Sitzung.

Die "Bindung" ist der Handshake/Authentifizierungsschritt, der erfolgt, wenn ein Client versucht, auf einen LDAP-Server zuzugreifen. Tableau Server unternimmt diesen Schritt für sich selbst im Rahmen zahlreicher Abfragen, die nicht mit der Authentifizierung in Zusammenhang stehen (z. B. das Importieren von Benutzern und Gruppen).

Sie können den Bindungstyp konfigurieren, den Tableau Server beim Überprüfen der Anmeldeinformationen verwenden soll. Tableau Server unterstützt GSSAPI und die einfache Bindung. Bei der einfachen Bindung werden die Anmeldeinformationen direkt an die LDAP-Instanz übergeben. Es wird empfohlen, SSL für die Verschlüsselung der Bindungskommunikation zu konfigurieren. Die Authentifizierung kann in diesem Szenario durch die systemeigene LDAP-Lösung oder über einen externen Prozess wie SAML bereitgestellt werden.

Weitere Informationen zum Planen für und Konfigurieren von LDAP finden Sie unter Identitätsspeicher und LDAP-Konfigurationsreferenz.

Weitere Authentifizierungsszenarien

Datenzugriff und Quellenauthentifizierung

Sie können Tableau Server so konfigurieren, dass er eine Reihe unterschiedlicher Authentifizierungsprotokolle für verschiedene Datenquelle unterstützt. Die Datenverbindungsauthentifizierung ist möglicherweise unabhängig von der Tableau Server-Authentifizierung.

Beispielsweise können Sie konfigurieren, dass die Benutzerauthentifizierung bei Tableau Server mittels lokaler Authentifizierung erfolgt, während sie die Kerberos-Delegierung, OAuth oder SAML-Authentifizierung für spezifische Datenquellen konfigurieren. Informationen finden Sie unter Datenverbindungsauthentifizierung.

Andere Artikel in diesem Abschnitt

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.