Autenticazione
L’autenticazione consente di verificare l’identità di un utente. Chiunque abbia bisogno di accedere a Tableau Server, sia per gestire il server, sia per pubblicare, sfogliare o amministrare i contenuti, deve essere rappresentato come utente nel repository di Tableau Server. Come metodo di autenticazione è possibile utilizzare Tableau Server ("autenticazione locale") oppure un processo esterno. Nell’ultimo caso, devi configurare Tableau Server per tecnologie di autenticazione esterne come Kerberos,
Stai cercando Tableau Server su Linux? Consulta Autenticazione(Il collegamento viene aperto in una nuova finestra).
Sebbene tutte le identità utente siano rappresentate e memorizzate nel repository di Tableau Server, è necessario che tu gestisca gli account utente di Tableau Server in un archivio di identità. Sono due le opzioni di archivio di identità che si escludono a vicenda: LDAP e locale. Tableau Server supporta directory LDAP arbitrarie, ma è stato ottimizzato per l’implementazione LDAP di Active Directory. In alternativa, se esegui una directory LDAP, puoi utilizzare l’archivio delle identità locali di Tableau Server. Per maggiori informazioni, consulta Archivio di identità.
Come illustrato nella tabella seguente, il tipo di archivio identità implementato, in parte, determinerà le opzioni di autenticazione.
Identità Archivio | Meccanismo di autenticazione | ||||||||
---|---|---|---|---|---|---|---|---|---|
Di base | SAML | Sito SAML | Kerberos | (solo Windows) Automatico Accesso (Microsoft SSPI) | OpenID Connetti | App connesse | Affidabile Autenticazione | Reciproco SSL | |
Locale | X | X | X | X | X | X | X | ||
Attivo Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
Le autorizzazioni di accesso e di gestione vengono implementate tramite i ruoli del sito. I ruoli del sito definiscono quali utenti sono amministratori e quali utenti sono consumer e publisher sul server. Per maggiori informazioni sugli amministratori, sui ruoli del sito, sui gruppi, sull’utente Guest e sulle attività amministrative, consulta Utenti e Ruoli del sito per utenti.
Nota: nel contesto dell’autenticazione è importante capire che gli utenti non sono autorizzati ad accedere a fonti di dati esterne attraverso Tableau Server in virtù di un account sul server. In altre parole, nella configurazione predefinita, Tableau Server non funge da proxy per le origini dati esterne. Tale accesso richiede un’ulteriore configurazione dell’origine dati su Tableau Server o l’autenticazione all’origine dati quando l’utente si connette da Tableau Desktop.
Compatibilità con l’autenticazione dei componenti aggiuntivi
Alcuni metodi di autenticazione possono essere usati insieme. La tabella seguente mostra i metodi di autenticazione che possono essere combinati. Le celle contrassegnate con una "X" indicano un insieme di autenticazione compatibile. Le celle vuote indicano insiemi di autenticazione non compatibili.
App connesse | Autenticazione attendibile | SAML a livello di server | Sito SAML | Kerberos | (solo Windows) Accesso automatico (Microsoft SSPI) | Autenticazione SSL reciproca | OpenID Connect | |
App connesse di Tableau | Non applicabile | X | X | X | X | X | ||
Autenticazione attendibile | Non applicabile | X | X | X | X | X | ||
SAML a livello di server | X | X | Non applicabile | X | ||||
Sito SAML | X | X | X | Non applicabile | ||||
Kerberos | X | X | Non applicabile | |||||
Accesso automatico (Microsoft SSPI) | Non applicabile | |||||||
Autenticazione SSL reciproca | X | X | Non applicabile | |||||
OpenID Connect | X | X | Non applicabile | |||||
Token di accesso personale (PAT) | * | * | * | * | * | * | * | * |
* I PAT, in base alla progettazione, non funzionano direttamente con il meccanismo di autenticazione elencato in queste colonne per l’autenticazione con l’API REST. I PAT utilizzano invece le credenziali dell’account utente di Tableau Server per l’autenticazione con l’API REST.
Compatibilità dell’autenticazione client
Autenticazione gestita tramite un’interfaccia utente
Client | Meccanismo di autenticazione | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Di base | SAML | Sito SAML | Kerberos | (solo Windows) Automatico Accesso (Microsoft SSPI) | OpenID Connetti | App connesse | Affidabile Autenticazione | Reciproco SSL | Token di accesso personale (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (solo iOS *) | X ** | X | X | |||
Web Browser | X | X | X | X | X | X | X *** | X | X |
* Kerberos SSO non è supportato per Android, ma è possibile tornare a nome utente e password. Per maggiori informazioni, consulta Nota 5: piattaforma Android.
** SSPI non è compatibile con la versione Workspace ONE dell’app Tableau Mobile.
*** Solo nell’incorporamento di flussi di lavoro.
Autenticazione gestita a livello di programmazione
Client | Meccanismo di autenticazione | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Di base | SAML | Sito SAML | Kerberos | (solo Windows) Automatico Accesso (Microsoft SSPI) | OpenID Connetti | App connesse | Affidabile Autenticazione | Reciproco SSL | Token di accesso personale (PAT) | |
API REST | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
Autenticazione locale
Se il server è configurato per l’utilizzo dell’autenticazione locale, Tableau Server autentica gli utenti. Quando gli utenti accedono e immettono le proprie credenziali, tramite Tableau Desktop, tabcmd, API o client Web, Tableau Server verifica le credenziali.
Per abilitare questo scenario, devi innanzitutto creare un’identità per ogni utente. Per creare un’identità, specifica un nome utente e una password. Per accedere o interagire con il contenuto del server, è inoltre necessario assegnare agli utenti un ruolo del sito. Le identità utente possono essere aggiunte a Tableau Server nell’interfaccia utente del server utilizzando i Comandi tabcmd o l’API REST(Il collegamento viene aperto in una nuova finestra).
Puoi anche creare gruppi in Tableau Server per gestire e assegnare ruoli a insiemi di utenti di grandi dimensioni (ad esempio, "Marketing").
Quando configuri Tableau Server per l’autenticazione locale, puoi impostare i criteri password e il blocco dell’account in caso di tentativi password non riusciti. Consulta Autenticazione locale.
Nota: Tableau con l’autenticazione a più fattori (MFA) è disponibile solo per Tableau Cloud.
Soluzioni di autenticazione esterne
Tableau Server può essere configurato per lavorare con una serie di soluzioni di autenticazione esterne.
NTLM e SSPI
Se configuri Tableau Server per utilizzare Active Directory durante l’installazione, NTLM sarà il metodo di autenticazione utente predefinito.
Quando un utente accede a Tableau Server da Tableau Desktop o da un client Web, le credenziali vengono passate tramite Active Directory che le verifica e invia un token di accesso a Tableau Server. Tableau Server gestirà quindi l’accesso degli utenti alle risorse Tableau in base ai ruoli del sito archiviati nel repository.
Se Tableau Server è installato su un computer Windows in Active Directory, puoi abilitare l’accesso automatico. In questo scenario, Tableau Server utilizzerà Microsoft SSPI per accedere automaticamente agli utenti in base al nome utente e alla password di Windows. In questo modo viene creata un’esperienza simile a quella dell’accesso Single Sign-On (SSO).
Non abilitare SSPI se prevedi di configurare Tableau Server per SAML, autenticazione attendibile, un servizio di bilanciamento del carico o per un server proxy. SSPI non è supportato in questi scenari. Vedi tsm authentication sspi <comandi>.
Kerberos
Puoi configurare Tableau Server per l’utilizzo di Kerberos per Active Directory. Vedi Kerberos.
SAML
Puoi configurare Tableau Server per l’autenticazione SAML (Security assertion markup language). Con SAML, un provider di identità esterna (IdP) autentica le credenziali dell’utente e quindi invia un’asserzione di sicurezza a Tableau Server che fornisce informazioni sull’identità dell’utente.
Per maggiori informazioni, consulta SAML.
OpenID Connect
OpenID Connect (OIDC) è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google. Dopo aver effettuato correttamente l’accesso al tuo IdP, l’accesso a Tableau Server è automatico. Per utilizzare OIDC su Tableau Server, il server deve essere configurato per l’utilizzo dell’archivio identità locale. Gli archivi di identità Active Directory o LDAP non sono supportati con OIDC. Per maggiori informazioni, consulta OpenID Connect.
Autenticazione SSL reciproca
Utilizzando l’autenticazione SSL reciproca, puoi fornire agli utenti di Tableau Desktop, Tableau Mobile e altri client Tableau approvati un’esperienza di accesso diretto e sicuro a Tableau Server. Con l’autenticazione SSL reciproca, quando un client con un certificato SSL valido si connette a Tableau Server, questo conferma l’esistenza del certificato client e autentica l’utente, in base al nome utente nel certificato client. Se il client non dispone di un certificato SSL valido, Tableau Server può rifiutare la connessione. Per maggiori informazioni, consulta Configurare l’autenticazione SSL reciproca.
App connesse
Trust diretto
Le app connesse di Tableau consentono un’esperienza di autenticazione semplice e sicura, facilitando una relazione di trust esplicita tra il sito Tableau Server e le applicazioni esterne in cui è incorporato il contenuto di Tableau. L’utilizzo delle app connesse consente anche di definire a livello di programmazione un modo per autorizzare l’accesso all’API REST di Tableau utilizzando token Web JSON (JWT). Per maggiori informazioni, consulta Utilizzare le app connesse di Tableau per l’integrazione delle applicazioni.
Trust EAS o OAuth 2.0
Puoi registrare un server di autorizzazione esterno (EAS) con Tableau Server per stabilire una relazione di trust tra la tua istanza di Tableau Server e un EAS utilizzando il protocollo standard OAuth 2.0. La relazione di trust offre ai tuoi utenti un’esperienza Single Sign-On al contenuto di Tableau incorporato tramite il tuo IdP. Inoltre, la registrazione di un EAS consente di definire a livello di programmazione un modo per autorizzare l’accesso all’API REST di Tableau utilizzando token Web JSON (JWT). Per maggiori informazioni, consulta Configurare le app connesse con Trust OAuth 2.0.
Autenticazione attendibile
L’autenticazione attendibile (nota anche come "Ticket attendibili") consente di impostare una relazione di fiducia tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste da un server Web attendibile, presuppone che il server Web abbia già gestito qualsiasi tipo di autenticazione necessaria. Tableau Server riceve la richiesta con un token o ticket riscattabile e presenta all’utente una vista personalizzata che tiene conto del ruolo e delle autorizzazioni dell’utente. Per maggiori informazioni, consulta Autenticazione attendibile.
LDAP
Puoi inoltre configurare Tableau Server per l’utilizzo dell’autenticazione utente LDAP. Gli utenti vengono autenticati inviando le loro credenziali a Tableau Server, che tenterà quindi di associarli effettuare il binding all’istanza LDAP utilizzando le credenziali dell’utente. Se il binding ha esito positivo, le credenziali sono valide e Tableau Server concede all’utente una sessione.
Il "binding" è il passaggio di handshake/autenticazione che avviene quando un client tenta di accedere a un server LDAP. Tableau Server esegue questa operazione da solo quando esegue varie query non legate all’autenticazione (come l’importazione di utenti e gruppi).
Puoi configurare il tipo di binding che desideri che Tableau Server utilizzi per verificare le credenziali dell’utente. Tableau Server supporta GSSAPI e il binding semplice. Il binding semplice passa le credenziali direttamente all’istanza LDAP. Ti raccomandiamo di configurare SSL per crittografare la comunicazione di binding. L’autenticazione in questo scenario deve essere fornita dalla soluzione LDAP nativa o con un processo esterno, come SAML.
Per maggiori informazioni sulla pianificazione e la configurazione di LDAP, consulta Archivio di identità e Informazioni di riferimento sulla configurazione dell’archivio di identità esterno.
Altri scenari di autenticazione
API REST: Accesso e disconnessione (autenticazione)(Il collegamento viene aperto in una nuova finestra)
Nota: l’API REST non supporta l’autenticazione SAML SSO.
Autenticazione dei dispositivi mobili: Accesso Single Sign-on per Tableau Mobile(Il collegamento viene aperto in una nuova finestra)
Attendibilità del certificato per i client TSM: Connettere i client TSM
Accesso ai dati e autenticazione dell’origine
Puoi configurare Tableau Server per supportare diversi protocolli di autenticazione a diverse origini dati. L’autenticazione della connessione dati può essere indipendente dall’autenticazione di Tableau Server.
Ad esempio, puoi configurare l’autenticazione utente su Tableau Server con autenticazione locale, mentre puoi configurare l’autenticazione OAuth o SAML a specifiche origini dati. Vedi Autenticazione connessione dati.