Acesso aos dados com a conta de serviço Run As
Quando a Autenticação do Windows é configurada, a conta de serviço Run As requer permissões de leitura e consulta para os bancos de dados acessados pelo Tableau Server. Conforme projetado, as permissões da conta de serviço Run As resultam no acesso aos mesmos bancos de dados pelos usuários do Tableau Server com a função Creator ou Explorer (pode publicar). Os usuários com essas funções podem acessar e visualizar os bancos de dados com o mesmo nível de acesso que a conta de serviço Run As, ao se conectar aos bancos de dados usando a opção de Autenticação do Windows no Tableau Server.
Por exemplo, um usuário com a função Creator pode visualizar todos os bancos de dados com acesso concedido à conta de serviço Run As.
Se o usuário do Creator especificar o nome de host do banco de dados e selecionar a Autenticação do Windows ao criar uma nova fonte de dados em um navegador da Web, o usuário poderá visualizar os bancos de dados que têm permissão para a conta de serviço Run As.
O acesso de exibição aos ativos do banco de dados não se restringe aos usuários que se conectam ao Tableau Server com um navegador da Web. Usuários bem informados, com as mesmas funções observadas acima e conhecimento sobre os nomes de servidores do banco de dados, também podem criar pastas de trabalho com o Tableau Desktop que podem visualizar os bancos de dados que têm permissão para a conta de serviço Run As.
A funcionalidade descrita aqui é universal para todas as fontes de dados acessadas pela conta de serviço Run As, independentemente de como os usuários autenticam com o Tableau Server. Por exemplo, mesmo que os usuários autentiquem o Tableau Server com Kerberos ou SAML, o acesso deles a todas as fontes de dados configuradas pelo Run As será o mesmo. Os usuários do Creator ou Explorer (pode publicar) podem acessar todos os dados que têm permissão para a conta de serviço Run As.
Recomendações
A organização deve avaliar se o acesso do usuário aos bancos de dados nesses cenários é aceitável. Geralmente, reduzir o uso e o escopo da conta de serviço Run As reduzirá a probabilidade de acesso inadvertido do usuário ao conteúdo do banco de dados. No entanto, reduzir o uso e o escopo da conta de serviço Run As também pode impor mais gerenciamento de credenciais para você e seus usuários.
Avalie as recomendações a seguir no contexto das necessidades da sua empresa e das políticas de acesso aos dados.
- Em primeiro lugar, você deve confiar em todos os usuários que têm funções de Creator ou Explorer (pode publicar). Você dependerá desses usuários para realizar as ações no Tableau com integridade.
- Se você não puder confiar em todos os usuários que têm direitos de publicação nas fontes de dados acessadas pela conta de serviço Run As, você deve considerar o uso de credenciais inseridas para essas fontes de dados.
- Se uma fonte de dados não for configurada para atualizações de extração automáticas, ou seja, a fonte de dados é acessada principalmente como uma conexão em tempo real, você pode utilizar a Delegação Kerberos. Para obter os requisitos, consulte Habilitar a Delegação do Kerberos.