Authentifizierung
Die Authentifizierung prüft die Identität eines Benutzers. Jeder Benutzer, der auf Tableau Server zugreifen muss, sei es, um den Server zu verwalten oder um Inhalte zu veröffentlichen, zu durchsuchen oder zu verwalten, muss im Tableau Server-Repository als Benutzer angelegt sein. Die Methode der Authentifizierung kann vom Tableau Server selbst durchgeführt werden ("lokale Authentifizierung") oder durch einen externen Prozess. In letzterem Fall müssen Sie Tableau Server für externe Authentifizierungstechnologien wie Kerberos,
Suchen Sie nach Tableau Server für Linux? Weitere Informationen finden Sie unter Authentifizierung(Link wird in neuem Fenster geöffnet).
Obwohl alle Benutzeridentitäten letztendlich im Tableau Server-Repository dargestellt und gespeichert werden, müssen Sie Benutzerkonten für Tableau Server in einem Identitätsspeicher verwalten. Es gibt zwei Identitätsspeicher-Optionen, die sich gegenseitig ausschließen: LDAP und lokal. Tableau Server unterstützt beliebige LDAP-Verzeichnisse, wurde jedoch für die Active Directory-LDAP-Implementierung optimiert. Wenn Sie kein LDAP-Verzeichnis ausführen, können Sie alternativ den lokalen Identitätsspeicher von Tableau Server verwenden. Weitere Informationen dazu finden Sie unter Identitätsspeicher.
Wie in der folgenden Tabelle dargestellt, bestimmt die Art des implementierten Identitätsspeichers teilweise Ihre Authentifizierungsoptionen mit.
Identitäts- speicher | Authentifizierungsmechanismus | ||||||||
---|---|---|---|---|---|---|---|---|---|
Grundlegend | SAML | Site-SAML | Kerberos | (nur Windows) Automatisch Einloggen (Microsoft SSPI) | OpenID Verbinden | Verbundene Apps | Trusted Auth | Mutual SSL | |
Lokal | X | X | X | X | X | X | X | ||
Active Verzeichnis | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
Zugriff- und Verwaltungsberechtigungen werden über Site-Rollen implementiert. Site-Rollen definieren, welche Benutzer Administratoren und welche Benutzer Inhaltskonsumenten und Publisher am Server sind. Weitere Informationen zu Administratoren, Site-Rollen, Gruppen, Gastbenutzer und benutzerbezogene Verwaltungsaufgaben finden Sie unter Benutzer und Site-Rollen für Benutzer.
Hinweis: Im Kontext der Authentifizierung ist es wichtig zu verstehen, dass Benutzer nicht autorisiert sind, aufgrund ihres Kontos am Server über Tableau Server auf externe Datenquellen zuzugreifen. Mit anderen Worten: In der Standardkonfiguration fungiert Tableau Server nicht als Proxy für externe Datenquellen. Für diese Art von Zugriff ist eine zusätzliche Konfiguration der Datenquelle unter Tableau Server erforderlich oder eine Authentifizierung bei der Datenquelle, wenn der Benutzer eine Verbindung von Tableau Desktop aus herstellt.
Kompatibilität der Add-On-Authentifizierung
Einige Authentifizierungsmethoden können zusammen verwendet werden. Die folgende Tabelle zeigt Authentifizierungsmethoden, die kombiniert werden können. Die mit einem "X" markierten Felder zeigen einen kompatiblen Authentifizierungssatz an. Leere Zellen zeigen inkompatible Authentifizierungssätze an.
Verbundene Apps | Vertrauenswürdige Authentifizierung | Serverweite SAML | Site-SAML | Kerberos | (nur Windows) Automatische Anmeldung (Microsoft SSPI) | Gegenseitiges SSL | OpenID Connect | |
Mit Tableau verbundene Apps | k. A. | X | X | X | X | X | ||
Vertrauenswürdige Authentifizierung | k. A. | X | X | X | X | X | ||
Serverweite SAML | X | X | k. A. | X | ||||
Site-SAML | X | X | X | k. A. | ||||
Kerberos | X | X | k. A. | |||||
Automatische Anmeldung (Microsoft SSPI) | k. A. | |||||||
Gegenseitiges SSL | X | X | k. A. | |||||
OpenID Connect | X | X | k. A. | |||||
Persönliches Zugangstoken (PAT) | * | * | * | * | * | * | * | * |
* PATs arbeiten konstruktionsbedingt nicht direkt mit dem Authentifizierungsmechanismus, der in diesen Spalten aufgeführt ist, um eine Authentifizierung in der REST API durchzuführen. Stattdessen verwenden PATs zur Authentifizierung bei der REST API die Anmeldeinformationen des Tableau Server-Benutzerkontos.
Kompatibilität der Kunden-Authentifizierung
Über eine Benutzeroberfläche (UI) durchgeführte Authentifizierung
Clients | Authentifizierungsmechanismus | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Grundlegend | SAML | Site-SAML | Kerberos | (nur Windows) Automatisch Einloggen (Microsoft SSPI) | OpenID Verbinden | Verbundene Apps | Trusted Auth | Mutual SSL | Persönliches Zugangstoken (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (nur iOS *) | X ** | X | X | |||
Webbrowser | X | X | X | X | X | X | X *** | X | X |
* Kerberos SSO wird für Android nicht unterstützt, aber ein Fallback auf Benutzername und Passwort ist möglich. Weitere Informationen finden Sie unter Hinweis 5: Android-Plattform.
** SSPI ist mit der Workspace ONE-Version der Tableau Mobile-App nicht kompatibel.
*** Nur in Einbettungs-Workflows.
Programmgesteuert durchgeführte Authentifizierung
Clients | Authentifizierungsmechanismus | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Grundlegend | SAML | Site-SAML | Kerberos | (nur Windows) Automatisch Einloggen (Microsoft SSPI) | OpenID Verbinden | Verbundene Apps | Trusted Auth | Mutual SSL | Persönliches Zugangstoken (PAT) | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
Lokale Authentifizierung
Wenn der Server für die Verwendung der lokalen Authentifizierung konfiguriert ist, werden Benutzer über Tableau Server authentifiziert. Wenn sich Benutzer anmelden und ihre Anmeldeinformationen eingeben, entweder über Tableau Desktop, tabcmd, API oder einen Webclient, dann prüft Tableau Server die Anmeldeinformationen.
Zur Aktivierung dieses Szenarios müssen Sie zunächst eine Identität für jeden Benutzer erstellen. Zur Erstellung einer Identität geben Sie einen Benutzernamen und ein Kennwort an. Benutzern muss auch eine Site-Rolle zugewiesen werden, damit sie auf Inhalte am Server zugreifen und damit interagieren können. Benutzeridentitäten können Tableau Server auf der Serverbenutzeroberfläche anhand von tabcmd-Befehlen oder mithilfe der REST API(Link wird in neuem Fenster geöffnet) hinzugefügt werden.
Sie können auch Gruppen in Tableau Server erstellen, um große Sets von entsprechenden Benutzergruppen (z. B. "Marketing") zu verwalten und ihnen Rollen zuzuweisen.
Wenn Sie den Tableau-Server für die lokale Authentifizierung konfigurieren, können Sie Kennwortrichtlinien und eine Kontosperre bei fehlgeschlagenen Kennwortversuchen festlegen. Informationen finden Sie unter Lokale Authentifizierung.
Hinweis: Tableau mit Multi-Faktor-Authentifizierung (MFA) ist nur für Tableau Cloud verfügbar.
Externe Authentifizierungslösungen
Tableau Server kann für verschiedene externe Authentifizierungslösungen konfiguriert werden.
NTLM und SSPI
Wenn Sie Tableau Server während der Installation für die Verwendung von Active Directory konfigurieren, ist NTLM die Standardmethode für die Benutzerauthentifizierung.
Wenn sich ein Benutzer bei Tableau Server von Tableau Desktop oder einem Webclient aus anmeldet, dann werden die Anmeldeinformationen zu Active Directory weitergeleitet, wo sie geprüft werden und von wo aus ein Zugangstoken an Tableau Server gesendet wird. Tableau Server verwaltet dann den Benutzerzugriff auf Tableau-Ressourcen auf Basis der Site-spezifischen Rollen, die im lokalen Repository gespeichert sind.
Wenn Tableau Server auf einem Windows-Computer in Active Directory installiert wird, können Sie optional die automatische Anmeldung aktivieren. In diesem Szenario verwendet Tableau Server Microsoft SSPI, um Benutzer automatisch auf Basis ihres für Windows verwendeten Benutzernamens und Kennworts anzumelden. Dieser Vorgang ähnelt dem SSO-Verfahren für die einmalige Anmeldung.
Aktivieren Sie SSPI nicht, wenn Sie Tableau Server für SAML, die vertrauenswürdige Authentifizierung, einen Lastausgleich oder einen Proxyserver konfigurieren möchten. SSPI wird in diesen Szenarien nicht unterstützt. Siehe tsm authentication sspi <commands>.
Kerberos
Sie können Tableau Server für die Verwendung von Kerberos Active Directory konfigurieren. Siehe Kerberos.
SAML
Sie können Tableau Server für die Verwendung von SAML (Security Assertion Markup Language) konfigurieren. Bei SAML authentifiziert ein externer Identitätsanbieter (IdP) die Anmeldeinformationen des Benutzers und sendet dann eine Sicherheitserklärung an Tableau Server, die Informationen zur Identität des Benutzers enthält.
Weitere Informationen finden Sie unter SAML.
OpenID Connect
OpenID Connect (OIDC) ist ein Standard-Authentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie Google anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind sie automatisch bei Tableau Server angemeldet. Zur Verwendung von OIDC auf Tableau Server muss der Server für die Verwendung des lokalen Identitätsspeichers konfiguriert sein. Active Directory oder LDAP-Identitätsspeicher werden für OIDC nicht unterstützt. Weitere Informationen finden Sie unter OpenID Connect.
Gegenseitiges SSL
Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop, Tableau Mobile und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen SSL-Authentifizierung.
Verbundene Apps
Direkte Vertrauensstellung
Mit Tableau verbundene Apps ermöglichen eine nahtlose und sichere Authentifizierung, indem eine explizite Vertrauensbeziehung zwischen Ihrer Tableau Server-Site und externen Anwendungen, in die Tableau-Inhalte eingebettet sind, hergestellt wird. Die Verwendung verbundener Apps ermöglicht auch eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Verwenden von mit Tableau verbundenen Apps für die Anwendungsintegration
EAS- oder OAuth 2.0-Vertrauen
Sie können einen externen Autorisierungsserver (External Authorization Server, EAS) registrieren, um mithilfe des OAuth 2.0-Standardprotokolls eine Vertrauensbeziehung zwischen Ihrem Tableau Server und dem EAS herzustellen. Die Vertrauensbeziehung ermöglicht Ihren Benutzern über Ihren Identitätsanbieter eine einmalige Anmeldung für eingebettete Tableau-Inhalte. Darüber hinaus ermöglicht die Registrierung eines EAS eine programmgesteuerte Autorisierung des Zugriffs auf die Tableau-REST-API mithilfe von JSON Web Tokens (JWTs). Weitere Informationen finden Sie unter Konfigurieren von verbundenen Apps mit OAuth 2.0-Vertrauensstellung.
Vertrauenswürdige Authentifizierung
Mit der auch als "vertrauenswürdige Tickets" bezeichneten vertrauenswürdigen Authentifizierung können Sie eine vertrauenswürdige Beziehung zwischen Tableau Server und einem oder mehreren Webservern einrichten. Wenn Tableau Server Anforderungen von einem vertrauenswürdigen Webserver empfängt, wird davon ausgegangen, dass der Webserver die notwendige Authentifizierung durchgeführt hat. Tableau Server empfängt die Anforderung mit einem einlösbaren Token oder Ticket und präsentiert dem Benutzer eine personalisierte Ansicht, die die Rolle und Berechtigungen des Benutzers berücksichtigt. Weitere Informationen finden Sie unter Vertrauenswürdige Authentifizierung.
LDAP
Sie können Tableau Server auch für die Verwendung von LDAP bei der Benutzerauthentifizierung konfigurieren. Benutzer werden authentifiziert, indem sie ihre Anmeldeinformationen an Tableau Server senden. Dort wird versucht, die LDAP-Instanz mithilfe der Anmeldeinformationen zu binden. Wenn die Bindung funktioniert, sind die Anmeldeinformationen gültig, und Tableau Server gewährt dem Benutzer eine Sitzung.
Die "Bindung" ist der Handshake/Authentifizierungsschritt, der erfolgt, wenn ein Client versucht, auf einen LDAP-Server zuzugreifen. Tableau Server unternimmt diesen Schritt für sich selbst im Rahmen zahlreicher Abfragen, die nicht mit der Authentifizierung in Zusammenhang stehen (z. B. das Importieren von Benutzern und Gruppen).
Sie können den Bindungstyp konfigurieren, den Tableau Server beim Überprüfen der Anmeldeinformationen verwenden soll. Tableau Server unterstützt GSSAPI und die einfache Bindung. Bei der einfachen Bindung werden die Anmeldeinformationen direkt an die LDAP-Instanz übergeben. Es wird empfohlen, SSL für die Verschlüsselung der Bindungskommunikation zu konfigurieren. Die Authentifizierung kann in diesem Szenario durch die systemeigene LDAP-Lösung oder über einen externen Prozess wie SAML bereitgestellt werden.
Weitere Informationen zum Planen für und Konfigurieren von LDAP finden Sie unter Identitätsspeicher und Konfigurationsreferenz für externe Identitätsspeicher.
Weitere Authentifizierungsszenarien
REST API: An- und Abmelden (Authentifizierung)(Link wird in neuem Fenster geöffnet)
Hinweis: Die einmalige Anmeldung (Single Sign-on, SSO) per SAML wird von der REST-API nicht unterstützt.
Mobilgeräteauthentifizierung: Einmaliges Anmelden (Single Sign-on) für Tableau Mobile(Link wird in neuem Fenster geöffnet)
Zertifizieren der Vertrauenswürdigkeit von TSM-Clients: Verbinden von TSM-Clients
Datenzugriff und Quellenauthentifizierung
Sie können Tableau Server so konfigurieren, dass er eine Reihe unterschiedlicher Authentifizierungsprotokolle für verschiedene Datenquelle unterstützt. Die Datenverbindungsauthentifizierung ist möglicherweise unabhängig von der Tableau Server-Authentifizierung.
So können Sie beispielsweise für Tableau Server Benutzerauthentifizierung mittels lokaler Authentifizierung und für bestimmte Datenquellen OAuth- oder SAML-Authentifizierung konfigurieren. Informationen finden Sie unter Datenverbindungsauthentifizierung.