Autenticação
A autenticação verifica a identidade de um usuário. Todos que precisam acessar o Tableau Server, seja para gerenciar o servidor ou para publicar, navegar ou administrar conteúdo, deverão ser representados como um usuário no repositório do Tableau Server. O método de autenticação pode ser executado pelo Tableau Server (“autenticação local”) ou a autenticação pode ser executada por um processo externo. No último caso, é necessário configurar o Tableau Server para tecnologias de autenticação externa, como Kerberos,
Procurando o Tableau Server no Linux? Consulte Autenticação(O link abre em nova janela).
Embora todas as identidades de usuários estejam representadas e armazenadas no repositório do Tableau Server, você deve gerencias as contas de usuários do Tableau Server em um armazenamento de identidades. Há duas opções de armazenamento de identidades: LDAP e local. Tableau Server suporta diretórios LDAP arbitrários, mas foi otimizado para a implementação LDAP do Active Directory LDAP. Como alternativa, se não estiver executando um diretório LDAP, use o armazenamento de identidades local do Tableau Server. Para obter mais informações, consulte Repositório de identidades.
Conforme mostrado na seguinte tabela, o tipo do armazenamento de identidades implementado determinará, em parte, suas opções de autenticação.
Armazenamento De identidade | Mecanismo de autenticação | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML do site | Kerberos | (Somente Windows) Automático Logon (Microsoft SSPI) | OpenID Conectar | Aplicativos conectados | Trusted Auth | Mútuo SSL | |
| Local | X | X | X | X | X | X | X | ||
| Active Diretório | X | X | X | X | X | X | X | ||
| LDAP | X | X | X | X | X | ||||
As permissões de acesso e de gerenciamento são implementadas por meio de funções no site. As funções no site definem quais usuários são administradores e quais usuários são consumidores e publicadores de conteúdo no servidor. Para obter mais informações sobre administradores, funções de site, grupos, Usuário convidado e tarefas administrativas relacionadas ao usuário, consulte Usuários e Funções de site para usuários.
Observação: no contexto de autenticação, é importante entender que os usuários não estão autorizados a acessar fontes de dados externas pelo Tableau Server somente pelo fato de possuírem uma conta no servidor. Em outras palavras, na configuração padrão, o Tableau Server não funciona como proxy para fontes de dados externas. Esse tipo de acesso exige configuração adicional da fonte de dados no Tableau Server ou autenticação na fonte de dados quando o usuário se conecta pelo Tableau Desktop.
Compatibilidade de autenticação complementar
Alguns métodos de autenticação podem ser usados juntos. A tabela a seguir mostra os métodos de autenticação que podem ser combinados. As células marcadas com um "X" indicam um conjunto de autenticação compatível. Células em branco indicam conjuntos de autenticação incompatíveis.
| Aplicativos conectados | Autenticação confiável | SAML de servidor | SAML do site | Kerberos | (Somente Windows) Logon automático (Microsoft SSPI) | SSL mútuo | OpenID Connect | |
| Aplicativos conectados do Tableau | N/A | X | X | X | X | X | ||
| Autenticação confiável | N/A | X | X | X | X | X | ||
| SAML de servidor | X | X | N/A | X | ||||
| SAML do site | X | X | X | N/A | ||||
| Kerberos | X | X | N/A | |||||
| Logon automático (Microsoft SSPI) | N/A | |||||||
| SSL mútuo | X | X | N/A | |||||
| OpenID Connect | X | X | N/A | |||||
| Token de acesso pessoal (PAT) | * | * | * | * | * | * | * | * |
* Os PATs, por design, não funcionam diretamente com o mecanismo de autenticação listado nessas colunas para autenticação na API REST. Em vez disso, os PATs usam credenciais de conta de usuário do Tableau Server para autenticação na API REST.
Compatibilidade de autenticação do cliente
Autenticação manipulada por meio de uma interface de usuário (IU)
Clientes | Mecanismo de autenticação | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML do site | Kerberos | (Somente Windows) Automático Logon (Microsoft SSPI) | OpenID Conectar | Aplicativos conectados | Trusted Auth | Mútuo SSL | Token de acesso pessoal (PAT) | |
| Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
| Tableau Mobile | X | X | X | X (somente no iOS *) | X ** | X | X | |||
| Navegadores da Web | X | X | X | X | X | X | X *** | X | X | |
* O Kerberos SSO não é compatível com Android, mas é possível usar o nome de usuário e a senha. Para obter mais informações, veja Observação 5: plataforma Android.
** SSPI não é compatível com a versão Workspace ONE do aplicativo Tableau Mobile.
*** Somente na inserção de fluxos de trabalho.
Autenticação manipulada programaticamente
Clientes | Mecanismo de autenticação | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Básico | SAML | SAML do site | Kerberos | (Somente Windows) Automático Logon (Microsoft SSPI) | OpenID Conectar | Aplicativos conectados | Trusted Auth | Mútuo SSL | Token de acesso pessoal (PAT) | |
| API REST | X | X | X | |||||||
| tabcmd 2.0 | X | X | ||||||||
| tabcmd | X | |||||||||
Autenticação local
Se o servidor estiver configurado para usar autenticação local, o Tableau Server autenticará os usuários. Quando os usuários fazem logon e inserem suas credenciais, pelo Tableau Desktop, tabcmd, API ou cliente Web, o Tableau Server verifica as credenciais.
Para habilitar esse cenário, primeiro é necessário criar uma identidade para cada usuário. Para criar uma identidade, especifique um nome de usuário e uma senha. Para acessar ou interagir com conteúdo no servidor, também é necessário atribuir uma função no site aos usuários. As identidades de usuário podem ser adicionadas ao Tableau Server na interface de usuário do servidor, com os Comandos tabcmd ou a API REST(O link abre em nova janela).
Também é possível criar grupos no Tableau Server para ajudar a gerenciar e a atribuir funções a grandes conjuntos de grupos de usuários relacionados (ex., “Marketing”).
Ao configurar o Tableau Server para a autenticação local, é possível definir políticas de senha e bloqueio de conta no caso de tentativas de senha mal sucedidas. Consulte Autenticação local.
Observação: o Tableau com autenticação multifatorial (MFA) está disponível apenas para Tableau Cloud.
Soluções de autenticação externa
O Tableau Server pode ser configurado para funcionar com uma série de soluções de autenticação externa.
NTLM e SSPI
Se você configurar o Tableau Server para usar o Active Directory durante a instalação, o NTLM será o método de autenticação padrão do usuário.
Quando um usuário faz logon no Tableau Server pelo Tableau Desktop ou por um cliente da Web, as credenciais são enviadas para o Active Directory, que então as verifica e envia um token de acesso para o Tableau Server. O Tableau Server gerenciará o acesso de usuário aos recursos do Tableau com base nas funções no site armazenadas no repositório.
Se o Tableau Server estiver instalado em um computador com Windows no Active Directory, opcionalmente, será possível habilitar o logon automático. Nesse cenário, o Tableau Server usará o SSPI da Microsoft para fazer logon dos usuários automaticamente com base no nome de usuário e na senha do Windows. Isso cria uma experiência semelhante à de logon único (SSO).
Não habilite o SSPI se planeja configurar o Tableau Server para SAML, autenticação confiável, uma balanceador de carga ou servidor proxy. O SSPI não é compatível com esses cenários. Consulte tsm authentication sspi <commands>.
Kerberos
É possível configurar o Tableau Server para usar o Kerberos para o Active Directory. Consulte Kerberos.
SAML
É possível configurar o Tableau Server para usar a autenticação SAML (Security Assertion Markup Language). Com o SAML, um provedor de identidade externo (IdP) autentica as credenciais do usuário e depois envia uma asserção de segurança ao Tableau Server, que fornece as informações sobre a identidade do usuário.
Para obter mais informações, consulte SAML.
OpenID Connect
O OpenID Connect (OIDC) é um protocolo de autenticação padrão que permite aos usuários fazer logon em um provedor de identidade (IdP) como o Google. Após fazerem logon com sucesso no IdP, eles entram automaticamente no Tableau Server. Para usar o OIDC no Tableau Server, o servidor deve ser configurado para usar o armazenamento de identidades local. Os armazenamentos de identidades Active Directory ou LDAP não são suportados com OIDC. Para obter mais informações, consulte OpenID Connect.
SSL mútuo
Ao usar o SSL mútuo, é possível fornecer uma experiência de acesso direto e segura ao Tableau Server para os usuários do Tableau Desktop, do Tableau Mobile e de outros clientes aprovados do Tableau. Com o SSL mútuo, quando um cliente com um certificado SSL válido se conecta ao Tableau Server, o Tableau Server confirma a existência do certificado do cliente e autentica o usuário, com base no nome do usuário no certificado do cliente. Se o cliente não tiver um certificado SSL válido, o Tableau Server pode recusar a conexão. Para obter mais informações, consulte Configurar autenticação do SSL mútuo.
Aplicativos conectados
Confiança direta
Os aplicativos conectados ao Tableau permitem uma experiência de autenticação contínua e segura, facilitando uma relação de confiança explícita entre o site do Tableau Server e os aplicativos externos onde o conteúdo do Tableau é inserido. O uso de aplicativos conectados também permite uma maneira programática de autorizar o acesso à API REST do Tableau usando JSON Web Tokens (JWTs). Para obter mais informações, consulte Uso de aplicativos conectados do Tableau para integração de aplicativos
Confiança de EAS ou OAuth 2.0
Você pode registrar um servidor de autorização externo (EAS) com o Tableau Server para estabelecer uma relação de confiança entre o Tableau Server e um EAS usando o protocolo padrão OAuth 2.0. A relação de confiança oferece a seus usuários uma experiência de logon único, por meio de seu IdP, para o conteúdo inserido do Tableau. Além disso, registrar um EAS permite uma maneira programática de autorizar o acesso à API REST do Tableau usando JSON Web Tokens (JWTs). Para obter mais informações, consulte Configurar aplicativos conectados com confiança OAuth 2.0.
Autenticação confiável
A autenticação confiável (também referida como "tíquetes confiáveis") permite a configuração de uma relação confiável entre o Tableau Server e um ou mais servidores da Web. Quando o Tableau Server recebe solicitações de um servidor Web confiável, ele supõe que o servidor Web já tratou de qualquer autenticação necessária. O Tableau Server recebe a solicitação com um token ou ticket resgatável e apresenta ao usuário uma exibição personalizada que leva em consideração a função e as permissões do usuário. Para obter mais informações, consulte Autenticação confiável.
LDAP
Você também pode configurar o Tableau Server para usar o LDAP para a autenticação do usuário. Os usuários são autenticados enviando suas credenciais ao Tableau Server, que tentará associar-se à instância do LDAP usando as credenciais do usuário. Se a associação funcionar, as credenciais serão válidas e o Tableau Server concederá uma sessão ao usuário.
A "associação" é a etapa de comunicação/autenticação que acontece quando um cliente tenta acessar um servidor LDAP. O Tableau Server faz isso sozinho ao realizar várias consultas relacionadas à não autenticação (como importar usuários e grupos).
Você pode configurar o tipo de associação que deseja que o Tableau Server use ao verificar as credenciais do usuário. O Tableau Server suporta associação GSSAPI e simples. As associações simples passam as credenciais diretamente para a instância do LDAP. Recomenda-se a configuração de SSL para criptografar a comunicação de associação. A autenticação nesse cenário pode ser fornecida pela solução LDAP nativa ou por um processo externo, como o SAML.
Para obter mais informações sobre como planejar e configurar o LDAP, consulte Repositório de identidades e Referência de configuração do armazenamento de identidades externo.
Outros cenários de autenticação
API REST: Entrar e sair (Autenticação)(O link abre em nova janela)
Observação: a REST API e o tabcmd não oferecem suporte ao logon único (SSO) do SAML.
Autenticação de dispositivo móvel: Logon único para o Tableau Mobile(O link abre em nova janela)
Confiança de certificado de clientes do TSM: Conexão de clientes do TSM
Autenticação de acesso a dados e de fonte de dados
É possível configurar o Tableau Server para oferecer suporte a uma série de protocolos de autenticação diferentes para várias fontes de dados distintas. A autenticação da conexão de dados pode ser independente da autenticação do Tableau Server.
Por exemplo, é possível configurar a autenticação do usuário no Tableau Server usando a autenticação local, enquanto a autenticação OAuth ou a do SAML estiver sendo configurada para fontes de dados específicas. Consulte Autenticação de conexões de dados.