Datatoegang met het ’Uitvoeren als service’-account
Wanneer Windows-verificatie is geconfigureerd, heeft het ’Uitvoeren als service’-account lees- en querymachtigingen nodig voor de databases die door Tableau Server worden geopend. Zoals ontworpen, resulteren de machtigingen voor ’Uitvoeren als service’-account in toegang tot dezelfde databases door Tableau Server-gebruikers met de rol Creator of Explorer (kan publiceren). Gebruikers met deze rollen kunnen de databases openen en bekijken met hetzelfde toegangsniveau als het ’Uitvoeren als service’-account wanneer ze verbinding maken met de databases via de optie Windows-verificatie in Tableau Server.
Een gebruiker met de rol Creator kan bijvoorbeeld alle databases bekijken waaraan toegang is verleend tot het ’Uitvoeren als service’-account.
Als de Creator-gebruiker de hostnaam van de database opgeeft en Windows-verificatie selecteert bij het maken van een nieuwe databron via een webbrowser, kan de gebruiker de databases bekijken die zijn gemachtigd voor het ’Uitvoeren als service’-account.
De weergaverechten voor databaseassets zijn niet beperkt tot gebruikers die verbinding maken met Tableau Server via een webbrowser. Geavanceerde gebruikers met dezelfde rollen hebben als hierboven vermeld en met kennis van namen van databaseservers, kunnen ook werkmappen maken met Tableau Desktop waarmee ze de databases kunnen bekijken waarvoor machtigingen zijn verleend voor het ’Uitvoeren als service’-account.
De hier beschreven functionaliteit is universeel voor alle databronnen die toegankelijk zijn via het ’Uitvoeren als service’-account. Ongeacht hoe gebruikers zich verifiëren bij Tableau Server. Zelfs als gebruikers zich bijvoorbeeld met Kerberos of SAML bij Tableau Server verifiëren, hebben ze nog steeds dezelfde toegang tot alle databronnen die zijn geconfigureerd met ’Uitvoeren als service’. Gebruikers met de machtiging Creator of Explorer (kan publiceren) hebben toegang tot alle data die zijn gemachtigd voor het ’Uitvoeren als service’-account.
Aanbevelingen
Of gebruikerstoegang tot databases in deze scenario's acceptabel is, moet door uw organisatie worden beoordeeld. Door het gebruik en de reikwijdte van het ’Uitvoeren als service’-account te beperken, wordt de kans op onbedoelde toegang van gebruikers tot database-inhoud over het algemeen kleiner. Als u het gebruik en de reikwijdte van het ’Uitvoeren als service’-account beperkt, betekent dit echter mogelijk ook dat u en uw gebruikers meer referentiebeheer moeten uitvoeren.
Evalueer de volgende aanbevelingen in de context van uw zakelijke behoeften en beleidsregels voor datatoegang.
- Zorg er allereerst voor dat u alle gebruikers vertrouwt die de rol Creator of Explorer (kan publiceren) hebben. U vertrouwt erop dat deze gebruikers op integere wijze acties in Tableau uitvoeren.
- Als u niet alle gebruikers kunt vertrouwen die publicatierechten hebben voor databronnen die toegankelijk zijn via het ’Uitvoeren als service’-account, kunt u overwegen om referenties voor die databronnen in te sluiten.
- Als een databron niet is ingesteld voor automatische extractvernieuwingen, dat wil zeggen dat de databron primair wordt benaderd via een live verbinding, kunt u mogelijk Kerberos-delegatie gebruiken. Zie Kerberos-delegatie inschakelen voor vereisten.