Verificatie
Met verificatie wordt de identiteit van een gebruiker gecontroleerd. Iedereen die toegang nodig heeft tot Tableau Server (of het nu gaat om het beheren van de server, of om inhoud te publiceren, door te bladeren of te beheren), moet als gebruiker worden weergegeven in het Tableau Server-opslagplaats. De verificatiemethode kan worden uitgevoerd door Tableau Server (lokale verificatie), of de verificatie kan worden uitgevoerd door een extern proces. In het laatste geval moet u Tableau Server configureren voor externe verificatietechnologieën zoals Kerberos,
Zoeken naar Tableau Server in Linux? Zie Verificatie(Link wordt in een nieuw venster geopend).
Hoewel alle gebruikersidentiteiten uiteindelijk worden weergegeven en opgeslagen in de Tableau Server-opslagplaats, moet u gebruikersaccounts voor Tableau Server beheren in een identiteitenarchief. Er zijn twee, elkaar uitsluitende, identiteitenarchiefopties: LDAP en lokaal. Tableau Server ondersteunt willekeurige LDAP-directory's, maar is geoptimaliseerd voor de LDAP-implementatie van Active Directory. Als alternatief kunt u, als u geen LDAP-directory gebruikt, het lokale identiteitenarchief van Tableau Server gebruiken. Zie Identiteitenarchief voor meer informatie.
Zoals u in de onderstaande tabel kunt zien, bepaalt het type identiteitenarchief dat u implementeert, deels uw verificatieopties.
Identiteit Archief | Verificatiemechanisme | ||||||||
---|---|---|---|---|---|---|---|---|---|
Basis | SAML | Site-SAML | Kerberos | (alleen Windows) Automatisch Aanmelden (Microsoft SSPI) | OpenID Verbinding maken | Verbonden apps | Vertrouwd Verif. | Wederzijds SSL | |
Lokaal | X | X | X | X | X | X | X | ||
Actief Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
Toegangs- en beheermachtigingen worden geïmplementeerd via siterollen. Siterollen bepalen welke gebruikers beheerders zijn en welke gebruikers consumenten en uitgevers van inhoud op de server zijn. Zie Gebruikers en Siterollen voor gebruikers voor meer informatie over beheerders, siterollen, groepen, gastgebruikers en gebruikergerelateerde beheertaken.
Opmerking: in de context van verificatie is het belangrijk om te begrijpen dat gebruikers geen toegang hebben tot externe databronnen via Tableau Server op grond van het feit dat ze een account op de server hebben. Met andere woorden: in de standaardconfiguratie fungeert Tableau Server niet als proxy voor externe databronnen. Voor dergelijke toegang is aanvullende configuratie van de databron op Tableau Server of verificatie bij de databron vereist wanneer the gebruiker via Tableau Desktop verbinding maakt.
Compatibiliteit met add-on-verificatie
Sommige verificatiemethoden kunnen gecombineerd worden gebruikt. In de onderstaande tabel staan de verificatiemethoden die kunnen worden gecombineerd. Cellen gemarkeerd met een X geven aan dat er sprake is van een compatibele combinatie van verificatiemethoden. Lege cellen geven aan dat de verificatiecombinatie niet compatibel is.
Verbonden apps | Vertrouwde verificatie | Serverbrede SAML | Site-SAML | Kerberos | (alleen Windows) Automatisch aanmelden (Microsoft SSPI) | Wederzijdse SSL | OpenID Connect | |
Met Tableau verbonden apps | N.v.t. | X | X | X | X | X | ||
Vertrouwde verificatie | N.v.t. | X | X | X | X | X | ||
Serverbrede SAML | X | X | N.v.t. | X | ||||
Site-SAML | X | X | X | N.v.t. | ||||
Kerberos | X | X | N.v.t. | |||||
Automatisch aanmelden (Microsoft SSPI) | N.v.t. | |||||||
Wederzijdse SSL | X | X | N.v.t. | |||||
OpenID Connect | X | X | N.v.t. | |||||
Persoonlijk toegangstoken (PAT) | * | * | * | * | * | * | * | * |
* Persoonlijke toegangstokens werken per definitie niet rechtstreeks met het verificatiemechanisme dat in deze kolommen wordt vermeld om te verifiëren bij de REST API. In plaats daarvan gebruiken persoonlijke toegangstokens de gebruikersaccountdata van Tableau Server om zich te verifiëren bij de REST API.
Compatibiliteit van clientverificatie
Verificatie afgehandeld via een gebruikersinterface (UI)
Clients | Verificatiemechanisme | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Basis | SAML | Site-SAML | Kerberos | (alleen Windows) Automatisch Aanmelden (Microsoft SSPI) | OpenID Verbinding maken | Verbonden apps | Vertrouwd Verif. | Wederzijds SSL | Persoonlijk toegangstoken (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (alleen iOS *) | X ** | X | X | |||
Webbrowsers | X | X | X | X | X | X | X *** | X | X |
* Kerberos SSO wordt niet ondersteund voor Android, maar het is mogelijk om terug te vallen op gebruikersnaam en wachtwoord. Zie Opmerking 5: Android-platform voor meer informatie.
** SSPI is niet compatibel met de Workspace ONE-versie van de Tableau Mobile-app.
*** Alleen in ingesloten workflows.
Verificatie wordt programmatisch afgehandeld
Clients | Verificatiemechanisme | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
Basis | SAML | Site-SAML | Kerberos | (alleen Windows) Automatisch Aanmelden (Microsoft SSPI) | OpenID Verbinding maken | Verbonden apps | Vertrouwd Verif. | Wederzijds SSL | Persoonlijk toegangstoken (PAT) | |
REST-API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
Lokale verificatie
Als de server is geconfigureerd om een lokale verificatie te gebruiken, verifieert Tableau Server gebruikers. Wanneer gebruikers zich aanmelden en hun referenties invoeren, via Tableau Desktop, tabcmd, API of webclient, verifieert Tableau Server de referenties.
Om dit scenario mogelijk te maken, moet u eerst voor elke gebruiker een identiteit maken. Om een identiteit te maken, moet u een gebruikersnaam en wachtwoord opgeven. Om toegang te krijgen tot de inhoud van de server of ermee te kunnen werken, moet aan gebruikers ook een siterol worden toegewezen. Gebruikersidentiteiten kunnen worden toegevoegd aan Tableau Server in de gebruikersinterface van de server, met behulp van tabcmd-opdrachten of met behulp van de REST-API(Link wordt in een nieuw venster geopend).
U kunt ook groepen maken in Tableau Server om grote groepen aan elkaar verwante gebruikers te beheren en rollen toe te wijzen (bijvoorbeeld 'Marketing').
Wanneer u Tableau Server configureert voor lokale verificatie, kunt u wachtwoordbeleid en accountvergrendeling instellen voor mislukte wachtwoordinvoer. Zie Lokale verificatie.
Opmerking: Tableau met meervoudige verificatie is alleen beschikbaar voor Tableau Cloud.
Externe verificatieoplossingen
Tableau Server kan worden geconfigureerd om met een aantal externe verificatieoplossingen te werken.
NTLM en SSPI
Als u Tableau Server configureert om Active Directory te gebruiken tijdens de installatie, wordt NTLM de standaardmethode voor gebruikersverificatie.
Wanneer een gebruiker zich via Tableau Desktop of een webclient aanmeldt bij Tableau Server, worden de referenties doorgegeven aan Active Directory. Active Directory verifieert de referenties en stuurt een toegangstoken naar Tableau Server. Tableau Server beheert vervolgens de toegang van gebruikers tot Tableau-resources op basis van de siterollen die in de opslagplaats zijn opgeslagen.
Als Tableau Server op een Windows-computer in Active Directory is geïnstalleerd, kunt u optioneel automatische aanmelding inschakelen. In dit scenario maakt Tableau Server gebruik van Microsoft SSPI om uw gebruikers automatisch aan te melden op basis van hun Windows-gebruikersnaam en -wachtwoord. Hierdoor ontstaat een ervaring die vergelijkbaar is met Single Sign-On (SSO).
Schakel SSPI niet in als u Tableau Server wilt configureren voor SAML, vertrouwde verificatie, een werkverdeler (load balancer) of een proxyserver. SSPI wordt in deze scenario's niet ondersteund. Zie tsm-verificatie sspi <commands>.
Kerberos
U kunt Tableau Server configureren om Kerberos te gebruiken voor Active Directory. Zie Kerberos.
SAML
U kunt Tableau Server configureren om SAML-verificatie (Security Assertion Markup Language) te gebruiken. Bij SAML verifieert een externe identiteitsprovider (IdP) de referenties van de gebruiker en stuurt deze methode vervolgens een beveiligingsbevestiging naar Tableau Server met informatie over de identiteit van de gebruiker.
Zie SAML voor meer informatie.
OpenID Connect
OpenID Connect (OIDC) is een standaard verificatieprotocol waarmee gebruikers zich kunnen aanmelden bij een identiteitsprovider (IdP) zoals Google. Nadat gebruikers zich hebben aangemeld bij hun IdP, worden ze automatisch aangemeld bij Tableau Server. Om OIDC op Tableau Server te gebruiken, moet de server zijn geconfigureerd om het lokale identiteitenarchief te gebruiken. Active Directory of LDAP-identiteitenarchieven worden niet ondersteund met OIDC. Zie OpenID Connect voor meer informatie.
Wederzijdse SSL
Door wederzijdse SSL te gebruiken, kunt u gebruikers van Tableau Desktop, Tableau Mobile en andere goedgekeurde Tableau-clients een veilige ervaring met directe toegang tot Tableau Server bieden. Met wederzijdse SSL bevestigt Tableau Server, wanneer een client met een geldig SSL-certificaat verbinding maakt met Tableau Server, het bestaan van het clientcertificaat en verifieert de gebruiker op basis van de gebruikersnaam in het clientcertificaat. Als de client niet over een geldig SSL-certificaat beschikt, kan Tableau Server de verbinding weigeren. Zie Wederkerige SSL-verificatie configureren voor meer informatie.
Verbonden apps
Directe vertrouwensrelatie
Via Tableau verbonden apps zorgen voor een naadloze en veilige verificatie-ervaring dankzij een expliciete vertrouwensrelatie tussen uw Tableau Server-site en externe toepassingen waarin Tableau-inhoud is ingesloten. Door gebruik te maken van verbonden apps kunt u ook op een programmatische manier toegang met behulp van JSON Web Tokens (JWT's) verlenen tot de Tableau REST API. Zie Met Tableau verbonden apps gebruiken voor toepassingsintegratie.
EAS- of de OAuth 2.0-vertrouwensrelatie
U kunt een externe autorisatieserver (EAS) registreren bij Tableau Server om met behulp van het OAuth 2.0-standaardprotocol een vertrouwensrelatie tot stand te brengen tussen uw Tableau Server en een EAS. Dankzij de vertrouwensrelatie kunnen uw gebruikers zich via uw IdP met SSO aanmelden bij ingesloten Tableau-inhoud. Bovendien kan dankzij de registratie van een EAS op een programmatische manier met behulp van JSON Web Tokens (JWT's) toegang worden verleend tot de Tableau REST API. Zie Verbonden apps configureren met OAuth 2.0-vertrouwensrelatie.
Vertrouwde verificatie
Met vertrouwde verificatie (ook wel 'vertrouwde tickets' genoemd) kunt u simpelweg een vertrouwde relatie opzetten tussen Tableau Server en een of meer webservers. Wanneer Tableau Server aanvragen ontvangt van een vertrouwde webserver, gaat het ervan uit dat the webserver de noodzakelijke verificatie heeft afgehandeld. Tableau Server ontvangt de aanvraag met een inwisselbaar token of ticket en geeft de gebruiker een gepersonaliseerd overzicht waarin rekening is gehouden met de rol en machtigingen van de gebruiker. Zie Vertrouwde verificatie voor meer informatie.
LDAP
U kunt Tableau Server ook configureren om LDAP te gebruiken voor gebruikersverificatie. Gebruikers worden geverifieerd doordat ze hun referenties indienen bij Tableau Server. Tableau Server probeert vervolgens met behulp van de referenties van de gebruiker een binding tot stand te brengen met de LDAP-instantie. Als de binding tot stand komt, zijn de referenties geldig en verleent Tableau Server de gebruiker een sessie.
'Binding' is de handshake-/verificatiestap die plaatsvindt wanneer een client toegang probeert te krijgen tot een LDAP-server. Tableau Server doet dit voor zichzelf wanneer het verschillende query's uitvoert die niets met verificatie te maken hebben (zoals het importeren van gebruikers en groepen).
U kunt het type binding configureren dat Tableau Server moet gebruiken bij het verifiëren van gebruikersreferenties. Tableau Server ondersteunt GSSAPI en eenvoudige bindingen. Met eenvoudige bindingen worden referenties rechtstreeks aan de LDAP-instantie doorgegeven. Wij raden aan SSL te configureren om de communicatie van de binding te versleutelen. Verificatie kan in dit scenario worden uitgevoerd door de systeemeigen LDAP-oplossing of door een extern proces, zoals SAML.
Zie Identiteitenarchief en Referentie configuratie van het externe identiteitenarchief voor meer informatie over het plannen en configureren van LDAP.
Andere verificatiescenario's
REST-API: Aan- en afmelden (verificatie)(Link wordt in een nieuw venster geopend)
Opmerking: de REST API biedt geen ondersteuning voor eenmalige aanmelding (SSO) via SAML.
Verificatie via mobiele apparaten: Eenmalige aanmelding voor Tableau Mobile(Link wordt in een nieuw venster geopend)
Certificaatvertrouwen voor TSM-clients: TSM-clients verbinden
Datatoegang en bronverificatie
U kunt Tableau Server configureren om een aantal verschillende verificatieprotocollen voor verschillende databronnen te ondersteunen. Verificatie van de dataverbinding kan onafhankelijk functioneren van Tableau Server-verificatie.
U kunt gebruikersverificatie voor Tableau Server bijvoorbeeld configureren met lokale verificatie, terwijl u OAuth- of SAML-verificatie voor specifieke databronnen configureert. Zie Verificatie van dataverbindingen.