Acceso a datos con la cuenta Ejecutar como servicio
Cuando la autenticación de Windows está configurada, la cuenta de servicio Ejecutar como requiere permisos de lectura y consulta a las bases de datos a las que accede Tableau Server. De forma predeterminada, los permisos de la cuenta de servicio Ejecutar como dan como resultado el acceso a las mismas bases de datos por parte de los usuarios de Tableau Server con el rol Creator o el rol Explorer (puede publicar). Los usuarios con estos roles pueden acceder y ver las bases de datos con el mismo nivel de acceso que la cuenta de servicio Ejecutar como al conectarse a las bases de datos mediante la opción Autenticación de Windows en Tableau Server.
Por ejemplo, un usuario con el rol Creator puede ver todas las bases de datos que tengan acceso a la cuenta de servicio Ejecutar como.
Si el usuario Creator especifica el nombre del host de la base de datos y selecciona Autenticación de Windows al crear una nueva fuente de datos desde un navegador web, el usuario podrá ver las bases de datos autorizadas para la cuenta de servicio Ejecutar como.
El acceso a los recursos de la base de datos no está restringido a los usuarios que se conectan a Tableau Server con un navegador web. Los usuarios sofisticados, que tienen los mismos roles mencionados anteriormente y que tienen conocimiento de los nombres de los servidores de las bases de datos, también pueden crear libros de trabajo con Tableau Desktop que pueden ver las bases de datos autorizadas para la cuenta de servicio Ejecutar como.
La funcionalidad descrita aquí es universal para todas las fuentes de datos a las que accede la cuenta de servicio Ejecutar como, independientemente de cómo se autentiquen los usuarios en Tableau Server. Por ejemplo, incluso si los usuarios se autentican en Tableau Server con Kerberos o SAML, su acceso a todas las fuentes de datos configuradas con Ejecutar como será el mismo. Los usuarios Creator o Explorer (puede publicar) pueden acceder a todos los datos con permisos para la cuenta de servicio Ejecutar como.
Recomendaciones
Su organización debe evaluar si el acceso de los usuarios a las bases de datos en estos casos es aceptable. Generalmente, la reducción del uso y alcance de la cuenta de servicio Ejecutar como reducirá la probabilidad de que el usuario acceda inadvertidamente al contenido de la base de datos. Sin embargo, reducir el uso y el alcance de la cuenta de servicio Ejecutar como también puede suponer una mayor gestión de credenciales para usted y sus usuarios.
Evalúe las siguientes recomendaciones según las necesidades y las políticas de acceso a los datos de su empresa.
- En primer lugar, compruebe que confía en todos los usuarios que tienen roles de Creator o Explorer (puede publicar). Usted confía en que estos usuarios llevarán a cabo las acciones de Tableau de la forma adecuada.
- Si no puede confiar en todos los usuarios que tienen derechos de publicación sobre fuentes de datos a las que accede la cuenta de servicio Ejecutar como, podría necesitar insertar credenciales para esas fuentes de datos.
- Si una fuente de datos no está configurada para realizar actualizaciones automáticas de extracciones, es decir, si se accede a la fuente de datos principalmente como una conexión en vivo, es posible que pueda utilizar Kerberos Delegation. Para conocer los requisitos, consulte Habilitar la delegación de Kerberos.