Overzicht van beveiligingsopties op rijniveau in Tableau
Soms wilt u data filteren op basis van de gebruiker die de data opvraagt. Bijvoorbeeld:
- U wilt dat regionale verkopers alleen verkoopcijfers voor hun regio zien.
- U wilt dat salesmanagers alleen statistieken zien van verkopers die aan hen rapporteren.
- U wilt dat studenten visualisaties zien die uitsluitend gebaseerd zijn op hun eigen testscores.
Een manier om data op deze manier te filteren, wordt beveiliging op rijniveau (RLS - Row-level security) genoemd. Er zijn verschillende methoden om beveiliging op rijniveau te realiseren, zowel binnen als buiten Tableau, elk met zijn eigen voor- en nadelen.
Een gebruikersfilter maken en gebruikers handmatig toewijzen aan waarden
De eenvoudigste manier om beveiliging op rijniveau te realiseren in Tableau is via een gebruikersfilter, waarbij u gebruikers handmatig aan waarden toewijst. U kunt bijvoorbeeld handmatig een gebruiker met de naam 'Alice' toewijzen aan de waarde 'Oost', zodat zij alleen rijen in de databron ziet waarvan de kolom 'Regio' 'Oost' is.
Deze methode is handig, maar vergt veel onderhoud en er moet aandacht worden besteed aan de beveiliging. Dit moet per werkmap worden gedaan en u moet het filter bijwerken en de databron opnieuw publiceren naarmate uw gebruikersbestand verandert. Wanneer u een asset publiceert met dit type gebruikersfilter, moet u machtigingen instellen zodat gebruikers de asset niet kunnen opslaan of downloaden of het filter kunnen verwijderen en zo toegang tot alle data krijgen.
Zie Een gebruikersfilter maken en gebruikers handmatig toewijzen aan waarden(Link wordt in een nieuw venster geopend) in de Help van Tableau Desktop en Web Authoring voor meer informatie.
Een dynamisch gebruikersfilter maken met behulp van een beveiligingsveld in de data
Met deze methode maakt u een berekend veld waarmee u automatisch gebruikers aan datawaarden kunt toewijzen. Voor deze methode is het vereist dat in de onderliggende data de beveiligingsinformatie is opgenomen die u wilt gebruiken voor het filteren. U kunt bijvoorbeeld met behulp van een berekend veld, de functie USERNAME() en een kolom 'Manager' in de databron bepalen of de gebruiker die de weergave aanvraagt manager is en de data in de weergave dienovereenkomstig aanpassen.
Omdat het filteren op dataniveau wordt gedefinieerd en wordt geautomatiseerd door het berekende veld, is deze methode minder foutgevoelig dan het handmatig toewijzen van gebruikers aan datawaarden. Wanneer u een asset publiceert met dit type gebruikersfilter, moet u machtigingen instellen zodat gebruikers de asset niet kunnen opslaan of downloaden of het filter kunnen verwijderen en zo toegang tot alle data krijgen.
Zie Een dynamisch filter maken met behulp van een beveiligingsveld in de data(Link wordt in een nieuw venster geopend) in de Help van Tableau Desktop en Web Authoring voor meer informatie.
Databeleid gebruiken
Vanaf Tableau 2021.4, wanneer Databeheer is ingeschakeld in Tableau Server of Tableau Cloud, kunnen gebruikers met een Creator-licentie beveiliging op rijniveau implementeren via databeleid bij virtuele verbindingen. Omdat virtuele verbindingen gecentraliseerd en herbruikbaar zijn, kunt u de beveiliging op rijniveau voor elke verbinding op één plek veilig beheren voor alle inhoud die van die verbinding gebruikmaakt.
In tegenstelling tot de bovenstaande beveiligingsoplossingen op rijniveau in Tableau, brengt deze methode niet het risico met zich mee dat informatie wordt blootgesteld als een auteur nalaat om de machtigingen voor de werkmap of databron goed te beveiligen, omdat het beleid voor elke query op de server wordt afgedwongen.
Beveiliging op rijniveau via beleid voor virtuele verbindingsdata is ontwikkeld om de tekortkomingen van andere beveiligingsoplossingen op rijniveau aan te pakken. Wij raden deze oplossing in de meeste situaties aan waarin dit een optie is.
Zie Over virtuele verbindingen en databeleid voor meer informatie over beveiliging op rijniveau met behulp van databeleid bij virtuele verbindingen.
Bestaande RLS in de database gebruiken
Veel databronnen hebben ingebouwde mechanismen voor RLS. Als uw organisatie al moeite heeft gestoken in het opbouwen van beveiliging op rijniveau in een databron, kunt u mogelijk profiteren van uw bestaande RLS.
Het is niet per se gemakkelijker of beter om een ingebouwd RLS-model te implementeren dan om het op te bouwen met Tableau in gedachten. Deze technieken worden over het algemeen toegepast wanneer een organisatie al in deze technologieën heeft geïnvesteerd en van die investering wil profiteren, of wanneer ze naast Tableau dezelfde beveiligingsbeleidsregels moeten toepassen op andere databaseclients.
Het belangrijkste voordeel van het gebruik van ingebouwde RLS is dat beheerders hun databeveiligingsbeleid op één plek kunnen implementeren en beheren: in hun databases.
Zie Beveiliging op rijniveau in de database voor meer informatie.
Vergelijking van de opties voor beveiliging op rijniveau
RLS-optie | Nuttig als | Pluspunten | Nadelen |
---|---|---|---|
Handmatig gebruikersfilter |
|
|
|
Dynamisch gebruikersfilter |
|
|
|
Databeleid |
|
|
|
RLS in de database |
|
|
|
Welke beveiligingsoptie op rijniveau moet ik gebruiken?
Heeft uw organisatie een voorkeursoplossing voor RLS in de database die geschikt is voor dit project? | → Ja → | Zie Beveiliging op rijniveau in de database |
↓ Nee ↓ | ||
Hebt u een Databeheer-licentie? | → Ja → | Zie Over virtuele verbindingen en databeleid |
↓ Nee ↓ | ||
Is dit een proof of concept, een eenvoudige gebruikersfiltertest of een statische werkmap met onveranderlijke gebruikers? | → Ja → | Zie Een handmatig gebruikersfilter gebruiken(Link wordt in een nieuw venster geopend) |
↓ Nee ↓ | ||
Zie Een dynamisch gebruikersfilter gebruiken(Link wordt in een nieuw venster geopend) |