Authentifizierung

Die Authentifizierung prüft die Identität eines Benutzers. Jeder Benutzer, der auf Tableau Server zugreifen muss, sei es, um den Server zu verwalten oder um Inhalte zu veröffentlichen, zu durchsuchen oder zu verwalten, muss im Tableau Server-Repository als Benutzer angelegt sein. Die Methode der Authentifizierung kann vom Tableau Server selbst durchgeführt werden ("lokale Authentifizierung") oder durch einen externen Prozess. In letzterem Fall müssen Sie Tableau Server für externe Authentifizierungstechnologien wie Kerberos, SSPI, SAML oder OpenID konfigurieren. In allen Fällen, ob die Authentifizierung lokal oder extern durchgeführt wird, muss jede Benutzeridentität im Tableau Server-Repository angelegt sein. Das Repository verwaltet die Autorisierungs-Metadaten für Benutzeridentitäten.

Obwohl alle Benutzeridentitäten letztendlich im Tableau Server-Repository dargestellt und gespeichert werden, müssen Sie Benutzerkonten für Tableau Server in einem Identitätsspeicher verwalten. Es gibt zwei Identitätsspeicher-Optionen, die sich gegenseitig ausschließen: LDAP und lokal. Tableau Server unterstützt beliebige LDAP-Verzeichnisse, wurde jedoch für die Active Directory-LDAP-Implementierung optimiert. Wenn Sie kein LDAP-Verzeichnis ausführen, können Sie alternativ den lokalen Identitätsspeicher von Tableau Server verwenden. Weitere Informationen dazu finden Sie unter Identitätsspeicher.

Wie in der folgenden Tabelle dargestellt, bestimmt die Art des implementierten Identitätsspeichers teilweise Ihre Authentifizierungsoptionen mit.

Identitäts- 

speicher

Authentifizierungsmechanismus
GrundlegendSAMLSite-SAMLKerberos(nur Windows)

Automatisch

Einloggen

(Microsoft

SSPI)

OpenID

Verbinden

Verbundene AppsTrusted

Auth

Mutual

SSL

LokalXXX  XXXX
Active

Verzeichnis

XX XX XXX
LDAPXX    XXX

Zugriff- und Verwaltungsberechtigungen werden über Site-Rollen implementiert. Site-Rollen definieren, welche Benutzer Administratoren und welche Benutzer Inhaltskonsumenten und Publisher am Server sind. Weitere Informationen zu Administratoren, Site-Rollen, Gruppen, Gastbenutzer und benutzerbezogene Verwaltungsaufgaben finden Sie unter Benutzer und Site-Rollen für Benutzer.

Hinweis: Im Kontext der Authentifizierung ist es wichtig zu verstehen, dass Benutzer nicht autorisiert sind, aufgrund ihres Kontos am Server über Tableau Server auf externe Datenquellen zuzugreifen. Mit anderen Worten: In der Standardkonfiguration fungiert Tableau Server nicht als Proxy für externe Datenquellen. Für diese Art von Zugriff ist eine zusätzliche Konfiguration der Datenquelle unter Tableau Server erforderlich oder eine Authentifizierung bei der Datenquelle, wenn der Benutzer eine Verbindung von Tableau Desktop aus herstellt.

Kompatibilität der Add-On-Authentifizierung

Einige Authentifizierungsmethoden können zusammen verwendet werden. Die folgende Tabelle zeigt Authentifizierungsmethoden, die kombiniert werden können. Die mit einem "X" markierten Felder zeigen einen kompatiblen Authentifizierungssatz an. Leere Zellen zeigen inkompatible Authentifizierungssätze an.

 Verbundene AppsVertrauenswürdige AuthentifizierungServerweite SAMLSite-SAMLKerberos(nur Windows)

Automatische Anmeldung (Microsoft

SSPI)

Gegenseitiges SSLOpenID Connect
Mit Tableau verbundene Appsk. A. XXX XX
Vertrauenswürdige Authentifizierung k. A.XXX XX
Serverweite SAMLXXk. A.X    
Site-SAMLXXXk. A.    
KerberosXX  k. A.   
Automatische Anmeldung (Microsoft SSPI)     k. A.  
Gegenseitiges SSLXX    k. A. 
OpenID ConnectXX     k. A.
Persönliches Zugangstoken (PAT)********

* PATs arbeiten konstruktionsbedingt nicht direkt mit dem Authentifizierungsmechanismus, der in diesen Spalten aufgeführt ist, um eine Authentifizierung in der REST API durchzuführen. Stattdessen verwenden PATs zur Authentifizierung bei der REST API die Anmeldeinformationen des Tableau Server-Benutzerkontos.

Kompatibilität der Kunden-Authentifizierung

Über eine Benutzeroberfläche (UI) durchgeführte Authentifizierung

Clients

Authentifizierungsmechanismus 
GrundlegendSAMLSite-SAMLKerberos(nur Windows)

Automatisch

Einloggen

(Microsoft

SSPI)

OpenID

Verbinden

Verbundene AppsTrusted

Auth

Mutual

SSL

Persönliches Zugangstoken (PAT)
Tableau DesktopXXXXXX  X 

Tableau Prep Builder

XXXXXX  X 
Tableau MobileXXXX

(nur iOS)

X

*

X  X 
WebbrowserXXXXXXX

**

XX 

* SSPI ist mit der Workspace ONE-Version der Tableau Mobile-App nicht kompatibel.

** Nur in Einbettungs-Workflows.

Programmgesteuert durchgeführte Authentifizierung

Clients

Authentifizierungsmechanismus 
GrundlegendSAMLSite-SAMLKerberos(nur Windows)

Automatisch

Einloggen

(Microsoft

SSPI)

OpenID

Verbinden

Verbundene AppsTrusted

Auth

Mutual

SSL

Persönliches Zugangstoken (PAT)
REST APIX     X  X
tabcmd 2.0X        X
tabcmdX         

Lokale Authentifizierung

Wenn der Server für die Verwendung der lokalen Authentifizierung konfiguriert ist, werden Benutzer über Tableau Server authentifiziert. Wenn sich Benutzer anmelden und ihre Anmeldeinformationen eingeben, entweder über Tableau Desktop, tabcmd, API oder einen Webclient, dann prüft Tableau Server die Anmeldeinformationen.

Zur Aktivierung dieses Szenarios müssen Sie zunächst eine Identität für jeden Benutzer erstellen. Zur Erstellung einer Identität geben Sie einen Benutzernamen und ein Kennwort an. Benutzern muss auch eine Site-Rolle zugewiesen werden, damit sie auf Inhalte am Server zugreifen und damit interagieren können. Benutzeridentitäten können Tableau Server auf der Serverbenutzeroberfläche anhand von tabcmd-Befehlen oder mithilfe der REST API(Link wird in neuem Fenster geöffnet) hinzugefügt werden.

Sie können auch Gruppen in Tableau Server erstellen, um große Sets von entsprechenden Benutzergruppen (z. B. "Marketing") zu verwalten und ihnen Rollen zuzuweisen.

Wenn Sie den Tableau-Server für die lokale Authentifizierung konfigurieren, können Sie Kennwortrichtlinien und eine Kontosperre bei fehlgeschlagenen Kennwortversuchen festlegen. Informationen finden Sie unter Lokale Authentifizierung.

Hinweis: Tableau mit Multi-Faktor-Authentifizierung (MFA) ist nur für Tableau Cloud verfügbar.

Externe Authentifizierungslösungen

Tableau Server kann für verschiedene externe Authentifizierungslösungen konfiguriert werden.

NTLM und SSPI

Wenn Sie Tableau Server während der Installation für die Verwendung von Active Directory konfigurieren, ist NTLM die Standardmethode für die Benutzerauthentifizierung.

Wenn sich ein Benutzer bei Tableau Server von Tableau Desktop oder einem Webclient aus anmeldet, dann werden die Anmeldeinformationen zu Active Directory weitergeleitet, wo sie geprüft werden und von wo aus ein Zugangstoken an Tableau Server gesendet wird. Tableau Server verwaltet dann den Benutzerzugriff auf Tableau-Ressourcen auf Basis der Site-spezifischen Rollen, die im lokalen Repository gespeichert sind.

Wenn Tableau Server auf einem Windows-Computer in Active Directory installiert wird, können Sie optional die automatische Anmeldung aktivieren. In diesem Szenario verwendet Tableau Server Microsoft SSPI, um Benutzer automatisch auf Basis ihres für Windows verwendeten Benutzernamens und Kennworts anzumelden. Dieser Vorgang ähnelt dem SSO-Verfahren für die einmalige Anmeldung.

Aktivieren Sie SSPI nicht, wenn Sie Tableau Server für SAML, die vertrauenswürdige Authentifizierung, einen Lastausgleich oder einen Proxyserver konfigurieren möchten. SSPI wird in diesen Szenarien nicht unterstützt. Siehe tsm authentication sspi <commands>.

Kerberos

Sie können Tableau Server für die Verwendung von Kerberos Active Directory konfigurieren. Siehe Kerberos.

SAML

Sie können Tableau Server für die Verwendung von SAML (Security Assertion Markup Language) konfigurieren. Bei SAML authentifiziert ein externer Identitätsanbieter (IdP) die Anmeldeinformationen des Benutzers und sendet dann eine Sicherheitserklärung an Tableau Server, die Informationen zur Identität des Benutzers enthält.

Weitere Informationen finden Sie unter SAML.

OpenID Connect

OpenID Connect (OIDC) ist ein Standard-Authentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie Google anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind sie automatisch bei Tableau Server angemeldet. Zur Verwendung von OIDC auf Tableau Server muss der Server für die Verwendung des lokalen Identitätsspeichers konfiguriert sein. Active Directory oder LDAP-Identitätsspeicher werden für OIDC nicht unterstützt. Weitere Informationen finden Sie unter OpenID Connect.

Gegenseitiges SSL

Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop, Tableau Mobile und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung.

Verbundene Apps

Direktes Vertrauen

Mit Tableau verbundene Apps ermöglichen eine nahtlose und sichere Authentifizierung, indem eine explizite Vertrauensbeziehung zwischen Ihrer Tableau Server-Site und externen Anwendungen, in die Tableau-Inhalte eingebettet sind, hergestellt wird. Die Verwendung verbundener Apps ermöglicht auch eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Konfigurieren von mit Tableau verbundenen Apps, um SSO für eingebettete Inhalte zu aktivieren

EAS- oder OAuth 2.0-Vertrauen

Sie können einen externen Autorisierungsserver (External Authorization Server, EAS) registrieren, um mithilfe des OAuth 2.0-Standardprotokolls eine Vertrauensbeziehung zwischen Ihrem Tableau Server und dem EAS herzustellen. Die Vertrauensbeziehung ermöglicht Ihren Benutzern über Ihren Identitätsanbieter eine einmalige Anmeldung für eingebettete Tableau-Inhalte. Darüber hinaus ermöglicht die Registrierung eines EAS eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Registrieren eines EAS, um SSO für eingebettete Inhalte zu ermöglichen .

Vertrauenswürdige Authentifizierung

Mit der auch als "vertrauenswürdige Tickets" bezeichneten vertrauenswürdigen Authentifizierung können Sie eine vertrauenswürdige Beziehung zwischen Tableau Server und einem oder mehreren Webservern einrichten. Wenn Tableau Server Anforderungen von einem vertrauenswürdigen Webserver empfängt, wird davon ausgegangen, dass der Webserver die notwendige Authentifizierung durchgeführt hat. Tableau Server empfängt die Anforderung mit einem einlösbaren Token oder Ticket und präsentiert dem Benutzer eine personalisierte Ansicht, die die Rolle und Berechtigungen des Benutzers berücksichtigt. Weitere Informationen finden Sie unter Vertrauenswürdige Authentifizierung.

LDAP

Sie können Tableau Server auch für die Verwendung von LDAP bei der Benutzerauthentifizierung konfigurieren. Benutzer werden authentifiziert, indem sie ihre Anmeldeinformationen an Tableau Server senden. Dort wird versucht, die LDAP-Instanz mithilfe der Anmeldeinformationen zu binden. Wenn die Bindung funktioniert, sind die Anmeldeinformationen gültig, und Tableau Server gewährt dem Benutzer eine Sitzung.

Die "Bindung" ist der Handshake/Authentifizierungsschritt, der erfolgt, wenn ein Client versucht, auf einen LDAP-Server zuzugreifen. Tableau Server unternimmt diesen Schritt für sich selbst im Rahmen zahlreicher Abfragen, die nicht mit der Authentifizierung in Zusammenhang stehen (z. B. das Importieren von Benutzern und Gruppen).

Sie können den Bindungstyp konfigurieren, den Tableau Server beim Überprüfen der Anmeldeinformationen verwenden soll. Tableau Server unterstützt GSSAPI und die einfache Bindung. Bei der einfachen Bindung werden die Anmeldeinformationen direkt an die LDAP-Instanz übergeben. Es wird empfohlen, SSL für die Verschlüsselung der Bindungskommunikation zu konfigurieren. Die Authentifizierung kann in diesem Szenario durch die systemeigene LDAP-Lösung oder über einen externen Prozess wie SAML bereitgestellt werden.

Weitere Informationen zum Planen für und Konfigurieren von LDAP finden Sie unter Identitätsspeicher und Konfigurationsreferenz für externe Identitätsspeicher.

Weitere Authentifizierungsszenarien

Datenzugriff und Quellenauthentifizierung

Sie können Tableau Server so konfigurieren, dass er eine Reihe unterschiedlicher Authentifizierungsprotokolle für verschiedene Datenquelle unterstützt. Die Datenverbindungsauthentifizierung ist möglicherweise unabhängig von der Tableau Server-Authentifizierung.

So können Sie beispielsweise für Tableau Server Benutzerauthentifizierung mittels lokaler Authentifizierung und für bestimmte Datenquellen OAuth- oder SAML-Authentifizierung konfigurieren. Informationen finden Sie unter Datenverbindungsauthentifizierung.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.