Autenticazione

L'autenticazione verifica l'identità di un utente. Chiunque abbia bisogno di accedere a Tableau Server, sia per gestire il server, sia per pubblicare, sfogliare o amministrare i contenuti, deve essere rappresentato come utente nel repository di Tableau Server. Il metodo di autenticazione può essere eseguito da un server di autenticazione ("autenticazione locale") oppure può essere eseguito tramite un processo esterno. Nell'ultimo caso, devi configurare Tableau Server per le tecnologie di autenticazione esterne come Kerberos, SSPI, SAML o OpenID. In tutti i casi, sia che l'autenticazione avvenga in locale o che sia esterna, ogni identità utente deve essere rappresentata nel repository di Tableau Server. Il repository gestisce i metadati per le identità utente.

Sebbene tutte le identità utente siano rappresentate e memorizzate nel repository di Tableau Server, è necessario che tu gestisca gli account utente di Tableau Server in un archivio di identità. Sono due le opzioni di archivio di identità che si escludono a vicenda: LDAP e locale. Tableau Server supporta directory LDAP arbitrarie, ma è stato ottimizzato per l'implementazione LDAP di Active Directory. In alternativa, se esegui una directory LDAP, puoi utilizzare l'archivio delle identità locali di Tableau Server. Per maggiori informazioni, consulta Archivio di identità.

Come illustrato nella tabella seguente, il tipo di archivio identità implementato, in parte, determinerà le opzioni di autenticazione.

Identità 

Archivio

Meccanismo di autenticazione
Di base SAML Sito SAML Kerberos

Automatico

Login

Windows

(SSPI)

OpenID

Connetti

Affidabile

Autenticazione

Reciproco

SSL

Locale X X X     X X X

Attivo

Directory

X X   X X   X X
LDAP X X         X X

Le autorizzazioni di accesso e di gestione vengono implementate tramite i ruoli del sito. I ruoli del sito definiscono quali utenti sono amministratori e quali utenti sono consumer e publisher sul server. Per maggiori informazioni sugli amministratori, sui ruoli del sito, sui gruppi, sull'utente Guest e sulle attività amministrative, consulta Utenti e Ruoli del sito per utenti.

Nota: nel contesto dell'autenticazione è importante capire che gli utenti non sono autorizzati ad accedere a fonti di dati esterne attraverso Tableau Server in virtù di un account sul server. In altre parole, nella configurazione predefinita, Tableau Server non funge da proxy per le origini dati esterne. Tale accesso richiede un'ulteriore configurazione dell'origine dati su Tableau Server o l'autenticazione all'origine dati quando l'utente si connette da Tableau Desktop.

Compatibilità con l'autenticazione dei componenti aggiuntivi

Alcuni metodi di autenticazione possono essere usati insieme. La tabella seguente mostra i metodi di autenticazione che possono essere combinati. Le celle contrassegnate con una "X" indicano un insieme di autenticazione compatibile. Le celle vuote indicano insiemi di autenticazione non compatibili.

  Autenticazione attendibile SAML a livello di server Sito SAML Kerberos

Finestre di accesso automatico (SSPI)

Autenticazione SSL reciproca

OpenID Connect

Autenticazione attendibile n/d X X X   X X
SAML a livello di server X n/d X        
Sito SAML X X n/d        
Kerberos X     n/d      
Finestre di accesso automatico (SSPI)         n/d    
Autenticazione SSL reciproca X         n/d  
OpenID Connect X           n/d

Compatibilità dell'autenticazione client

Client

Meccanismo di autenticazione
Di base SAML Sito SAML Kerberos

Automatico

Login

Windows

(SSPI)

OpenID

Connetti

Affidabile

Autenticazione

Reciproco

SSL

Tableau Desktop X X X X X X   X

Tableau Prep

X X X X X X   X
Tableau Mobile X X X X

(Solo iOS)

X

*

X   X
Tabcmd X              
Web Browser X X X X X X X X

* SSPI non è compatibile con la versione Workspace ONE dell'app Tableau Mobile.

Autenticazione locale

Se il server è configurato per l'utilizzo dell'autenticazione locale, Tableau Server autentica gli utenti. Quando gli utenti accedono e immettono le proprie credenziali, tramite Tableau Desktop, tabcmd, API o client Web, Tableau Server verifica le credenziali.

Per abilitare questo scenario, devi innanzitutto creare un'identità per ogni utente. Per creare un'identità, specifica un nome utente e una password. Per accedere o interagire con il contenuto del server, è inoltre necessario assegnare agli utenti un ruolo del sito. Le identità utente possono essere aggiunte a Tableau Server nell'interfaccia utente del server utilizzando i Comandi tabcmd o l'API REST(Link opens in a new window).

Puoi anche creare gruppi in Tableau Server per gestire e assegnare ruoli a insiemi di utenti di grandi dimensioni (ad esempio, "Marketing").

Quando configuri Tableau Server per l'autenticazione locale, puoi impostare i criteri password e il blocco dell'account in caso di tentativi password non riusciti. Consulta Autenticazione locale.

Soluzioni di autenticazione esterne

Tableau Server può essere configurato per lavorare con una serie di soluzioni di autenticazione esterne.

NTLM e SSPI

Se configuri Tableau Server per utilizzare Active Directory durante l'installazione, NTLM sarà il metodo di autenticazione utente predefinito.

Quando un utente accede a Tableau Server da Tableau Desktop o da un client Web, le credenziali vengono passate tramite Active Directory che le verifica e invia un token di accesso a Tableau Server. Tableau Server gestirà quindi l'accesso degli utenti alle risorse Tableau in base ai ruoli del sito archiviati nel repository.

Se Tableau Server è installato su un computer Windows in Active Directory, puoi abilitare l'accesso automatico. In questo scenario, Tableau Server utilizzerà Microsoft SSPI per accedere automaticamente agli utenti in base al nome utente e alla password di Windows. In questo modo viene creata un'esperienza simile a quella dell'accesso Single Sign-On (SSO).

Non abilitare SSPI se prevedi di configurare Tableau Server per SAML, autenticazione attendibile, un servizio di bilanciamento del carico o per un server proxy. SSPI non è supportato in questi scenari. Vedi Autenticazione SSPI Tableau Services Manager <comandi>.

Kerberos

Puoi configurare Tableau Server per l'utilizzo di Kerberos per Active Directory. Vedi Kerberos.

SAML

Puoi configurare Tableau Server per l'autenticazione SAML (Security assertion markup language). Con SAML, un provider di identità esterna (IdP) autentica le credenziali dell'utente e quindi invia un'asserzione di sicurezza a Tableau Server che fornisce informazioni sull'identità dell'utente.

Per maggiori informazioni, consulta SAML.

OpenID Connect

OpenID Connect è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google. Dopo aver effettuato correttamente l'accesso al tuo IdP, l'accesso a Tableau Server è automatico. Per utilizzare OpenID Connect (OIDC) su Tableau Server, il server deve essere configurato per usare l'archivio di identità locale. Gli archivi di identità Active Directory o LDAP non sono supportati con OIDC. Per maggiori informazioni, consulta OpenID Connect.

Autenticazione SSL reciproca

Utilizzando l'autenticazione SSL reciproca, puoi fornire agli utenti di Tableau Desktop, Tableau Mobile e altri client Tableau approvati un'esperienza di accesso diretto e sicuro a Tableau Server. Con l'autenticazione SSL reciproca, quando un client con un certificato SSL valido si connette a Tableau, questo conferma l'esistenza del certificato client e autentica l'utente, in base al nome utente nel certificato client. Se il client non dispone di un certificato SSL valido, Tableau Server può rifiutare la connessione. Per maggiori informazioni, consulta Configurare l'autenticazione SSL reciproca.

Autenticazione attendibile

L'autenticazione attendibile (nota anche come "Ticket attendibili") consente di impostare una relazione di fiducia tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste da un server Web attendibile, presuppone che il server Web abbia già gestito qualsiasi tipo di autenticazione necessaria. Tableau Server riceve la richiesta con un token o ticket riscattabile e presenta all'utente una vista personalizzata che tiene conto del ruolo e delle autorizzazioni dell'utente. Per maggiori informazioni, consulta Autenticazione attendibile.

LDAP

Puoi inoltre configurare Tableau Server per l'utilizzo dell'autenticazione utente LDAP. Gli utenti vengono autenticati inviando le loro credenziali a Tableau Server, che tenterà quindi di associarli effettuare il binding all'istanza LDAP utilizzando le credenziali dell'utente. Se il binding ha esito positivo, le credenziali sono valide e Tableau Server concede all'utente una sessione.

Il "binding" è il passaggio di handshake/autenticazione che avviene quando un client tenta di accedere a un server LDAP. Tableau Server esegue questa operazione da solo quando esegue varie query non legate all'autenticazione (come l'importazione di utenti e gruppi).

Puoi configurare il tipo di binding che desideri che Tableau Server utilizzi per verificare le credenziali dell'utente. Tableau Server supporta GSSAPI e il binding semplice. Il binding semplice passa le credenziali direttamente all'istanza LDAP. Ti raccomandiamo di configurare SSL per crittografare la comunicazione di binding. L'autenticazione in questo scenario deve essere fornita dalla soluzione LDAP nativa o con un processo esterno, come SAML.

Per maggiori informazioni sulla pianificazione e la configurazione di LDAP, consulta Archivio di identità e Riferimento per configurazione LDAP.

Altri scenari di autenticazione

Accesso ai dati e autenticazione dell'origine

Puoi configurare Tableau Server per supportare diversi protocolli di autenticazione a diverse origini dati. L'autenticazione della connessione dati può essere indipendente dall'autenticazione di Tableau Server.

Ad esempio, puoi configurare l'autenticazione utente su Tableau Server con autenticazione locale, mentre puoi configurare la delegazione Kerberos, l'autenticazione OAuth o SAML a specifiche origini dati. Vedi Autenticazione connessione dati.

Altri articoli in questa sezione

Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.