Autentisering

Autentisering verifierar en användares identitet. Alla som behöver tillgång till Tableau Server – oavsett om det är för att hantera servern eller för att publicera, bläddra i eller administrera innehåll – måste finnas som en användare i Tableau Server-lagringsplatsen. Autentiseringen kan utföras av Tableau Server (lokal autentisering) eller av en extern process. I det senare fallet måste du konfigurera Tableau Server för extern autentisering med en teknik som Kerberos, SSPI, SAML eller OpenID. Oavsett om autentiseringen sker lokalt eller externt så måste varje användaridentitet finnas i Tableau Server-lagringsplatsen. Lagringsplatsen hanterar auktoriseringsmetadata för användaridentiteter.

Även om alla användaridentiteter i slutänden finns med och lagras i Tableau Server-lagringsplatsen måste du hantera användarkonton för Tableau Server i ett identitetsregister. Det finns två ömsesidigt uteslutande alternativ för identitetsregister: LDAP och lokalt. Tableau Server har stöd för godtyckliga LDAP-kataloger, men har optimerats för LDAP via Active Directory. Om du inte använder en LDAP-katalog kan du använda det lokala identitetsregistret i Tableau Server. Mer information finns i Identitetsregister.

Som följande tabell visar avgör det identitetsregister du använder till viss del vilka autentiseringsalternativ som är tillgängliga.

Identitets- 

Arkiv

Autentiseringsmekanism
GrundläggandeSAMLPlats-SAMLKerberos(Endast Windows)

Automatisk

Inloggning

(Microsoft

SSPI)

OpenID

Connect

Anslutna programBetrodd

autentisering

Ömsesidig

SSL

LokaltXXX  XXXX
Active

Directory

XX XX XXX
LDAPXX    XXX

Åtkomst- och administrationsbehörigheter implementeras via platsroller. Platsrollerna definierar vilka användare som är administratörer och vilka användare som är innehållskonsumenter och publicerar på serven. Mer information om administratörer, platsroller, grupper, gästanvändare och användarrelaterade administrationsuppgifter finns i Användare och Platsroller för användare.

Obs! När det gäller autentisering är det viktigt att förstå att användarna inte är auktoriserade att komma åt externa datakällor via Tableau Server bara för att de har ett konto på servern. Med andra ord fungerar Tableau Server i standardkonfigurationen inte som proxyserver för externa datakällor. Den här typen av åtkomst kräver ytterligare konfiguration av datakällan i Tableau Server eller autentisering vid datakällan när användaren ansluter från Tableau Desktop.

Kompatibilitet för extra autentisering

Vissa autentiseringsmetoder kan användas tillsammans. I följande tabell ser du vilka autentiseringsmetoder som kan kombineras. Celler med ett kryss anger att metoderna är kompatibla. Tomma celler betyder att metoderna inte är kompatibla.

 Anslutna programBetrodd autentiseringServeromfattande SAMLPlats-SAMLKerberos(Endast Windows)

Automatisk inloggning (Microsoft

SSPI)

Ömsesidig SSLOpenID Connect
Tableau-anslutna apparEj tillämpligt XXX XX
Betrodd autentisering Ej tillämpligtXXX XX
Serveromfattande SAMLXXEj tillämpligtX    
Plats-SAMLXXXEj tillämpligt    
KerberosXX  Ej tillämpligt   
Automatisk inloggning (Microsoft SSPI)     Ej tillämpligt  
Ömsesidig SSLXX    Ej tillämpligt 
OpenID ConnectXX     Ej tillämpligt
Personlig åtkomsttoken********

* Personliga åtkomsttoken fungerar inte direkt med autentiseringsmekanismen som anges i dessa kolumner för att autentisera till REST API. Istället använder personliga åtkomsttoken Tableau Server-användarkontouppgifter för att autentisera till REST API.

Kompatibilitet med klientautentisering

Autentisering hanteras via ett användargränssnitt (UI)

Klienter

Autentiseringsmekanism 
GrundläggandeSAMLPlats-SAMLKerberos(Endast Windows)

Automatisk

Inloggning

(Microsoft

SSPI)

OpenID

Connect

Anslutna programBetrodd

autentisering

Ömsesidig

SSL

Personlig åtkomsttoken
Tableau DesktopXXXXXX  X 

Tableau Prep Builder

XXXXXX  X 
Tableau MobileXXXX

(endast iOS *)

X

**

X  X 
WebbläsareXXXXXXX

***

XX 

* Enkel inloggning med Kerberos stöds inte för Android, men det går att återgå till användarnamn och lösenord. Mer information finns i Anmärkning 5: Android-plattform.

** SSPI är inte kompatibelt med Workspace ONE-versionen av Tableau Mobile-appen.

*** Endast i inbäddningsarbetsflöden.

Autentisering hanteras programmatiskt

Klienter

Autentiseringsmekanism 
GrundläggandeSAMLPlats-SAMLKerberos(Endast Windows)

Automatisk

Inloggning

(Microsoft

SSPI)

OpenID

Connect

Anslutna programBetrodd

autentisering

Ömsesidig

SSL

Personlig åtkomsttoken
REST APIX     X  X
tabcmd 2.0X        X
tabcmdX         

Lokal autentisering

Om servern är konfigurerad för att använda lokal autentisering autentiseras användarna av Tableau Server. När användare loggar in och anger sina inloggningsuppgifter via Tableau Desktop, tabcmd, API eller en webbklient, så verifierar Tableau Server inloggningsuppgifterna.

Om du vill aktivera det här scenariot måste du först skapa en identitet för varje användare. Du skapar en identitet genom att ange ett användarnamn och ett lösenord. För att komma åt eller interagera med innehåll på servern måste användarna också tilldelas en platsroll. Du kan lägga till användaridentiteter i Tableau Server i serverns gränssnitt med tabcmd-kommandon eller med REST API(Länken öppnas i ett nytt fönster).

Du kan också skapa grupper i Tableau Server för att hantera och tilldela roller till större uppsättningar med relaterade användargrupper (till exempel ”Marknadsföring”).

När du konfigurerar Tableau Server för lokal autentisering kan du ange lösenordspolicyer och kontoutelåsning när fel lösenord anges. Läs mer i Lokal autentisering.

Obs! Tableau-inloggning med flerfaktorsautentisering finns bara för Tableau Cloud.

Externa autentiseringslösningar

Du kan konfigurera Tableau Server med ett flertal externa autentiseringslösningar.

NTLM och SSPI

Om du konfigurerar Tableau Server att använda Active Directory under installationen används NTLM som standard för användarautentisering.

När en användare loggar in på Tableau Server från Tableau Desktop eller en webbklient skickas inloggningsuppgifterna till Active Directory, som kontrollerar dem och skickar tillbaka en åtkomsttoken till Tableau Server. Tableau Server hanterar sedan användaråtkomsten till Tableau-resurserna baserat på de platsroller som finns i lagringsplatsen.

Om Tableau Server är installerat på en Windows-dator med Active Directory kan du även aktivera automatisk inloggning. I så fall använder Tableau Server Microsoft SSPI för att logga in användarna automatiskt baserat på deras Windows-användarnamn och -lösenord. Detta skapar en upplevelse som påminner om enkel inloggning (SSO).

Aktivera inte SSPI om du tänker konfigurera Tableau Server för SAML, betrodd autentisering, en belastningsutjämnare eller en proxyserver. SSPI stöds inte i de här fallen. Läs mer i tsm authentication sspi <kommandon>.

Kerberos

Du kan konfigurera Tableau Server att använda Kerberos för Active Directory. Läs mer i avsnittet om Kerberos.

SAML

Du kan konfigurera Tableau Server att använda SAML-autentisering (Security Assertion Markup Language). Med SAML autentiserar en extern identitetsprovider användarens inloggningsuppgifter och skickar sedan en säkerhetsförsäkran till Tableau Server med information om användarens identitet.

Mer information finns i SAML.

OpenID Connect

OpenID Connect (OIDC) är ett standardautentiseringsprotokoll med vilket användare kan logga in hos en identitetsprovider som Google. När de har loggat in hos sin identitetsprovider loggas de automatiskt in på Tableau Server. Om OIDC ska användas med Tableau Server måste servern konfigureras att använda det lokala identitetsregistret. Active Directory- eller LDAP-identitetsregister stöds inte med OIDC. Mer information finns i OpenID Connect.

Ömsesidig SSL

Med ömsesidig SSL kan du ge användare av Tableau Desktop, Tableau Mobile och andra godkända Tableau-klienter säker och direkt tillgång till Tableau Server. När du använder ömsesidig SSL och en klient med ett giltigt SSL-certifikat ansluter till Tableau Server bekräftar Tableau Server klientcertifikatet och autentiserar användaren baserat på användarnamnet i klientcertifikatet. Om klienten saknar ett giltigt SSL-certifikat kan Tableau Server neka anslutningen. Mer information finns i Konfigurera ömsesidig SSL-autentisering.

Anslutna appar

Direkt förtroende

Tableau-anslutna appar har friktionsfri och säker autentisering tack vare ett explicit förtroende mellan Tableau Server-platsen och de externa program där Tableau-innehåll har bäddats in. De anslutna apparna gör det också möjligt att programmatiskt auktorisera åtkomst till Tableaus REST API med JSON-webbtoken (JWT). Mer information finns i Använda Tableau-anslutna appar för programintegrering.

EAS eller OAuth 2.0-förtroende

Du kan registrera en extern auktoriseringsserver (EAS) med Tableau Server för att skapa en förtroenderelation mellan Tableau Server och EAS med standardprotokollet OAuth 2.0. Tack vare förtroenderelationen kan användarna använda enkel inloggning, via er identitetsprovider, till inbäddat Tableau-innehåll. Genom att registrera en EAS kan ni dessutom auktorisera åtkomst till Tableaus REST API med JSON-webbtoken (JWT) programmatiskt. Mer information finns i Konfigurera anslutna program med OAuth 2.0-förtroende.

Betrodd autentisering

Med betrodda biljetter (som också kallas ”betrodda biljetter”) kan du konfigurera ett förtroende mellan Tableau Server och en eller flera webbservrar. När Tableau Server tar emot en begäran från en betrodd webbserver antar Tableau Server att webbservern redan har tagit hand om all nödvändig autentisering. Tableau Server tar emot begäran med en inlösningsbar token eller biljett och presenterar en individanpassad vy för användaren, med hänsyn till användarens roll och behörigheter. Mer information finns i Betrodd autentisering.

LDAP

Du kan också konfigurera Tableau Server att använda LDAP för användarautentisering. Användarna autentiseras genom att deras inloggningsuppgifter skickas till Tableau Server, som sedan försöker binda till LDAP-instansen med hjälp av uppgifterna. Om bindningen lyckas är inloggningsuppgifterna giltiga och Tableau Server tilldelar användaren en session.

Bindning är det handskaknings-/autentiseringssteg som sker när en klient försöker komma åt en LDAP-server. Tableau Server utför detta för sig själv när det skickar olika icke-autentiseringsrelaterade frågor (som import av användare och grupper).

Du kan konfigurera vilken typ av bindning du vill att Tableau Server ska använda för att kontrollera användarnas inloggningsuppgifter. Tableau Server har stöd för GSSAPI och enkel bindning. Med enkel bindning skickas uppgifterna direkt till LDAP-instansen. Du bör konfigurera SSL för att kryptera bindningskommunikationen. Autentiseringen kan i det här fallet tillhandahållas av den inbyggda LDAP-lösningen eller med en extern process, som SAML.

Mer information om att planera för och konfigurera LDAP finns i Identitetsregister och Konfigurationsreferens för externt identitetsregister.

Andra autentiseringsscenarier

Dataåtkomst och källautentisering

Du kan konfigurera Tableau Server med stöd för ett flertal olika autentiseringsprotokoll för olika datakällor. Autentiseringen av dataanslutningar kan ske oberoende av Tableau Server-autentiseringen.

Du kan till exempel konfigurera användarautentisering för Tableau Server med lokal autentisering samtidigt som du konfigurerar OAuth- eller SAML-autentisering för specifika datakällor. Läs mer i Autentisering av dataanslutningar.

Tack för din feedback!Din feedback har skickats in. Tack!