Accès aux données avec le compte Exécuter en tant que service
Lorsque l’authentification Windows est configurée, le compte Exécuter en tant que service nécessite des autorisations de lecture et d’interrogation des bases de données accessibles par Tableau Server. Par défaut, les autorisations de compte Exécuter en tant que service permettent aux utilisateurs de Tableau Server d’accéder aux mêmes bases de données avec le rôle Creator ou Explorer (peut publier) . Les utilisateurs possédant ces rôles peuvent accéder aux bases de données et les visualiser avec le même niveau d’accès que le compte Exécuter en tant que service lorsqu’ils se connectent aux bases de données avec l’option Authentification Windows sur Tableau Server.
Par exemple, un utilisateur possédant le rôle Creator peut visualiser toutes les bases de données auxquelles l’accès au compte Exécuter en tant que service a été accordé.
Si l’utilisateur Creator spécifie le nom d’hôte de la base de données et sélectionne l’authentification Windows lors de la création d’une nouvelle source de données à partir d’un navigateur Web, il pourra visualiser les bases de données qui ont été autorisées pour le compte Exécuter en tant que service.
L’accès en affichage aux ressources de la base de données n’est pas limité aux utilisateurs qui se connectent à Tableau Server avec un navigateur Web. Les utilisateurs sophistiqués, qui ont les mêmes rôles que ceux mentionnés ci-dessus et qui connaissent les noms des serveurs de bases de données, peuvent également créer des classeurs avec Tableau Desktop avec affichage des bases de données qui ont été autorisées pour le compte Exécuter en tant que service.
La fonctionnalité décrite ici est universelle pour toutes les sources de données accessibles par le compte Exécuter en tant que service, indépendamment de la manière dont les utilisateurs s’authentifient avec Tableau Server. Par exemple, même si les utilisateurs s’authentifient à Tableau Server avec Kerberos ou SAML, leur accès à toutes les sources de données configurées avec le compte Exécuter en tant que service sera le même. Les utilisateurs dotés du rôle Creator ou Explorer (peut publier) peuvent accéder à toutes les données autorisées pour le compte Exécuter en tant que service.
Recommandations
Votre entreprise doit évaluer si l’accès des utilisateurs aux bases de données est acceptable dans ces cas de figure. En général, la réduction de l’utilisation et de la portée du compte Exécuter en tant que service réduira le risque d’accès par inadvertance des utilisateurs au contenu de la base de données. Cependant, cette réduction peut également vous imposer, à vous et à vos utilisateurs, une gestion plus poussée des informations d’identification.
Évaluez les recommandations suivantes dans le contexte des besoins de votre entreprise et de vos politiques d’accès aux données.
- Tout d’abord, assurez-vous que vous faites confiance à tous les utilisateurs dotés des rôles Creator ou Explorer (peut publier). Vous dépendrez de ces utilisateurs pour effectuer des actions dans Tableau avec intégrité.
- Si vous ne pouvez pas faire confiance à tous vos utilisateurs ayant des droits de publication sur des sources de données accessibles par le compte Exécuter en tant que service, vous devriez envisager d’intégrer des informations d’identification pour ces sources de données.
- Si une source de données n’est pas configurée pour les actualisations d’extraits automatiques, c’est-à-dire que l’accès à la source de données se fait principalement sous forme de connexion en direct, vous pouvez alors utiliser la délégation Kerberos. Pour connaître les exigences, consultez Activer la délégation Kerberos.