Autenticazione

L’autenticazione consente di verificare l’identità di un utente. Chiunque abbia bisogno di accedere a Tableau Server, sia per gestire il server, sia per pubblicare, sfogliare o amministrare i contenuti, deve essere rappresentato come utente nel repository di Tableau Server. Come metodo di autenticazione è possibile utilizzare Tableau Server ("autenticazione locale") oppure un processo esterno. Nell’ultimo caso, devi configurare Tableau Server per tecnologie di autenticazione esterne come Kerberos, SSPI, SAML o OpenID. In tutti i casi, sia che l’autenticazione avvenga in locale o che sia esterna, ogni identità utente deve essere rappresentata nel repository di Tableau Server. Il repository gestisce i metadati per le identità utente.

Sebbene tutte le identità utente siano rappresentate e memorizzate nel repository di Tableau Server, è necessario che tu gestisca gli account utente di Tableau Server in un archivio di identità. Sono due le opzioni di archivio di identità che si escludono a vicenda: LDAP e locale. Tableau Server supporta directory LDAP arbitrarie, ma è stato ottimizzato per l’implementazione LDAP di Active Directory. In alternativa, se esegui una directory LDAP, puoi utilizzare l’archivio delle identità locali di Tableau Server. Per maggiori informazioni, consulta Archivio di identità.

Come illustrato nella tabella seguente, il tipo di archivio identità implementato, in parte, determinerà le opzioni di autenticazione.

Identità 

Archivio

Meccanismo di autenticazione
Di baseSAMLSito SAMLKerberos(solo Windows)

Automatico

Accesso

(Microsoft

SSPI)

OpenID

Connetti

App connesseAffidabile

Autenticazione

Reciproco

SSL

LocaleXXX  XXXX
Attivo

Directory

XX XX XXX
LDAPXX    XXX

Le autorizzazioni di accesso e di gestione vengono implementate tramite i ruoli del sito. I ruoli del sito definiscono quali utenti sono amministratori e quali utenti sono consumer e publisher sul server. Per maggiori informazioni sugli amministratori, sui ruoli del sito, sui gruppi, sull’utente Guest e sulle attività amministrative, consulta Utenti e Ruoli del sito per utenti.

Nota: nel contesto dell’autenticazione è importante capire che gli utenti non sono autorizzati ad accedere a fonti di dati esterne attraverso Tableau Server in virtù di un account sul server. In altre parole, nella configurazione predefinita, Tableau Server non funge da proxy per le origini dati esterne. Tale accesso richiede un’ulteriore configurazione dell’origine dati su Tableau Server o l’autenticazione all’origine dati quando l’utente si connette da Tableau Desktop.

Compatibilità con l’autenticazione dei componenti aggiuntivi

Alcuni metodi di autenticazione possono essere usati insieme. La tabella seguente mostra i metodi di autenticazione che possono essere combinati. Le celle contrassegnate con una "X" indicano un insieme di autenticazione compatibile. Le celle vuote indicano insiemi di autenticazione non compatibili.

 App connesseAutenticazione attendibileSAML a livello di serverSito SAMLKerberos(solo Windows)

Accesso automatico (Microsoft

SSPI)

Autenticazione SSL reciprocaOpenID Connect
App connesse di TableauNon applicabile XXX XX
Autenticazione attendibile Non applicabileXXX XX
SAML a livello di serverXXNon applicabileX    
Sito SAMLXXXNon applicabile    
KerberosXX  Non applicabile   
Accesso automatico (Microsoft SSPI)     Non applicabile  
Autenticazione SSL reciprocaXX    Non applicabile 
OpenID ConnectXX     Non applicabile
Token di accesso personale (PAT)********

* I PAT, in base alla progettazione, non funzionano direttamente con il meccanismo di autenticazione elencato in queste colonne per l’autenticazione con l’API REST. I PAT utilizzano invece le credenziali dell’account utente di Tableau Server per l’autenticazione con l’API REST.

Compatibilità dell’autenticazione client

Autenticazione gestita tramite un’interfaccia utente

Client

Meccanismo di autenticazione 
Di baseSAMLSito SAMLKerberos(solo Windows)

Automatico

Accesso

(Microsoft

SSPI)

OpenID

Connetti

App connesseAffidabile

Autenticazione

Reciproco

SSL

Token di accesso personale (PAT)
Tableau DesktopXXXXXX  X 

Tableau Prep Builder

XXXXXX  X 
Tableau MobileXXXX

(solo iOS *)

X

**

X  X 
Web BrowserXXXXXXX

***

XX 

* Kerberos SSO non è supportato per Android, ma è possibile tornare a nome utente e password. Per maggiori informazioni, consulta Nota 5: piattaforma Android.

** SSPI non è compatibile con la versione Workspace ONE dell’app Tableau Mobile.

*** Solo nell’incorporamento di flussi di lavoro.

Autenticazione gestita a livello di programmazione

Client

Meccanismo di autenticazione 
Di baseSAMLSito SAMLKerberos(solo Windows)

Automatico

Accesso

(Microsoft

SSPI)

OpenID

Connetti

App connesseAffidabile

Autenticazione

Reciproco

SSL

Token di accesso personale (PAT)
API RESTX     X  X
tabcmd 2.0X        X
tabcmdX         

Autenticazione locale

Se il server è configurato per l’utilizzo dell’autenticazione locale, Tableau Server autentica gli utenti. Quando gli utenti accedono e immettono le proprie credenziali, tramite Tableau Desktop, tabcmd, API o client Web, Tableau Server verifica le credenziali.

Per abilitare questo scenario, devi innanzitutto creare un’identità per ogni utente. Per creare un’identità, specifica un nome utente e una password. Per accedere o interagire con il contenuto del server, è inoltre necessario assegnare agli utenti un ruolo del sito. Le identità utente possono essere aggiunte a Tableau Server nell’interfaccia utente del server utilizzando i Comandi tabcmd o l’API REST(Il collegamento viene aperto in una nuova finestra).

Puoi anche creare gruppi in Tableau Server per gestire e assegnare ruoli a insiemi di utenti di grandi dimensioni (ad esempio, "Marketing").

Quando configuri Tableau Server per l’autenticazione locale, puoi impostare i criteri password e il blocco dell’account in caso di tentativi password non riusciti. Consulta Autenticazione locale.

Nota: Tableau con l’autenticazione a più fattori (MFA) è disponibile solo per Tableau Cloud.

Soluzioni di autenticazione esterne

Tableau Server può essere configurato per lavorare con una serie di soluzioni di autenticazione esterne.

NTLM e SSPI

Se configuri Tableau Server per utilizzare Active Directory durante l’installazione, NTLM sarà il metodo di autenticazione utente predefinito.

Quando un utente accede a Tableau Server da Tableau Desktop o da un client Web, le credenziali vengono passate tramite Active Directory che le verifica e invia un token di accesso a Tableau Server. Tableau Server gestirà quindi l’accesso degli utenti alle risorse Tableau in base ai ruoli del sito archiviati nel repository.

Se Tableau Server è installato su un computer Windows in Active Directory, puoi abilitare l’accesso automatico. In questo scenario, Tableau Server utilizzerà Microsoft SSPI per accedere automaticamente agli utenti in base al nome utente e alla password di Windows. In questo modo viene creata un’esperienza simile a quella dell’accesso Single Sign-On (SSO).

Non abilitare SSPI se prevedi di configurare Tableau Server per SAML, autenticazione attendibile, un servizio di bilanciamento del carico o per un server proxy. SSPI non è supportato in questi scenari. Vedi tsm authentication sspi <comandi>.

Kerberos

Puoi configurare Tableau Server per l’utilizzo di Kerberos per Active Directory. Vedi Kerberos.

SAML

Puoi configurare Tableau Server per l’autenticazione SAML (Security assertion markup language). Con SAML, un provider di identità esterna (IdP) autentica le credenziali dell’utente e quindi invia un’asserzione di sicurezza a Tableau Server che fornisce informazioni sull’identità dell’utente.

Per maggiori informazioni, consulta SAML.

OpenID Connect

OpenID Connect (OIDC) è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google. Dopo aver effettuato correttamente l’accesso al tuo IdP, l’accesso a Tableau Server è automatico. Per utilizzare OIDC su Tableau Server, il server deve essere configurato per l’utilizzo dell’archivio identità locale. Gli archivi di identità Active Directory o LDAP non sono supportati con OIDC. Per maggiori informazioni, consulta OpenID Connect.

Autenticazione SSL reciproca

Utilizzando l’autenticazione SSL reciproca, puoi fornire agli utenti di Tableau Desktop, Tableau Mobile e altri client Tableau approvati un’esperienza di accesso diretto e sicuro a Tableau Server. Con l’autenticazione SSL reciproca, quando un client con un certificato SSL valido si connette a Tableau Server, questo conferma l’esistenza del certificato client e autentica l’utente, in base al nome utente nel certificato client. Se il client non dispone di un certificato SSL valido, Tableau Server può rifiutare la connessione. Per maggiori informazioni, consulta Configurare l’autenticazione SSL reciproca.

App connesse

Trust diretto

Le app connesse di Tableau consentono un’esperienza di autenticazione semplice e sicura, facilitando una relazione di trust esplicita tra il sito Tableau Server e le applicazioni esterne in cui è incorporato il contenuto di Tableau. L’utilizzo delle app connesse consente anche di definire a livello di programmazione un modo per autorizzare l’accesso all’API REST di Tableau utilizzando token Web JSON (JWT). Per maggiori informazioni, consulta Utilizzare le app connesse di Tableau per l’integrazione delle applicazioni.

Trust EAS o OAuth 2.0

Puoi registrare un server di autorizzazione esterno (EAS) con Tableau Server per stabilire una relazione di trust tra la tua istanza di Tableau Server e un EAS utilizzando il protocollo standard OAuth 2.0. La relazione di trust offre ai tuoi utenti un’esperienza Single Sign-On al contenuto di Tableau incorporato tramite il tuo IdP. Inoltre, la registrazione di un EAS consente di definire a livello di programmazione un modo per autorizzare l’accesso all’API REST di Tableau utilizzando token Web JSON (JWT). Per maggiori informazioni, consulta Configurare le app connesse con Trust OAuth 2.0.

Autenticazione attendibile

L’autenticazione attendibile (nota anche come "Ticket attendibili") consente di impostare una relazione di fiducia tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste da un server Web attendibile, presuppone che il server Web abbia già gestito qualsiasi tipo di autenticazione necessaria. Tableau Server riceve la richiesta con un token o ticket riscattabile e presenta all’utente una vista personalizzata che tiene conto del ruolo e delle autorizzazioni dell’utente. Per maggiori informazioni, consulta Autenticazione attendibile.

LDAP

Puoi inoltre configurare Tableau Server per l’utilizzo dell’autenticazione utente LDAP. Gli utenti vengono autenticati inviando le loro credenziali a Tableau Server, che tenterà quindi di associarli effettuare il binding all’istanza LDAP utilizzando le credenziali dell’utente. Se il binding ha esito positivo, le credenziali sono valide e Tableau Server concede all’utente una sessione.

Il "binding" è il passaggio di handshake/autenticazione che avviene quando un client tenta di accedere a un server LDAP. Tableau Server esegue questa operazione da solo quando esegue varie query non legate all’autenticazione (come l’importazione di utenti e gruppi).

Puoi configurare il tipo di binding che desideri che Tableau Server utilizzi per verificare le credenziali dell’utente. Tableau Server supporta GSSAPI e il binding semplice. Il binding semplice passa le credenziali direttamente all’istanza LDAP. Ti raccomandiamo di configurare SSL per crittografare la comunicazione di binding. L’autenticazione in questo scenario deve essere fornita dalla soluzione LDAP nativa o con un processo esterno, come SAML.

Per maggiori informazioni sulla pianificazione e la configurazione di LDAP, consulta Archivio di identità e Informazioni di riferimento sulla configurazione dell’archivio di identità esterno.

Altri scenari di autenticazione

Accesso ai dati e autenticazione dell’origine

Puoi configurare Tableau Server per supportare diversi protocolli di autenticazione a diverse origini dati. L’autenticazione della connessione dati può essere indipendente dall’autenticazione di Tableau Server.

Ad esempio, puoi configurare l’autenticazione utente su Tableau Server con autenticazione locale, mentre puoi configurare l’autenticazione OAuth o SAML a specifiche origini dati. Vedi Autenticazione connessione dati.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!