使用运行身份服务帐户访问数据

配置 Windows 身份验证后,运行身份服务帐户需要 Tableau Server 访问的数据库的读取和查询权限。按照设计,运行身份服务帐户使具有“Creator”角色或“Explorer(可发布)”角色的 Tableau Server 用户能够访问相同的数据库。在 Tableau Server 上使用 Windows 身份验证选项连接到数据库时,具有这些角色的用户可以访问和查看与运行身份服务帐户具有相同访问级别的数据库。

例如,具有 Creator 角色的用户可以查看已被授予运行身份服务帐户访问权限的所有数据库。

如果 Creator 用户指定数据库主机名并在从 Web 浏览器创建新数据源时选择 Windows 身份验证,则该用户将能够查看已针对运行身份服务帐户许可的数据库。

对数据库资产的视图访问权限不限于使用 Web 浏览器连接到 Tableau Server 的用户。具有上述相同角色且知道数据库服务器名称的成熟用户还可以使用 Tableau Desktop 编写工作簿,这些工作簿可以查看已针对运行身份服务帐户许可的数据库。

此处描述的功能对于运行身份服务帐户访问的所有数据源都是通用的,无论用户如何向 Tableau Server 进行身份验证。例如,即使用户使用 Kerberos 或 SAML 向 Tableau Server 进行身份验证,他们对所有运行身份配置数据源的访问权限也将相同。具有“Creator”或“Explorer(可发布)”角色的用户可以访问针对运行身份服务帐户许可的所有数据。

推荐配置

在这些情形下,用户对数据库的访问是否可接受必须由您的组织进行评估。通常,减少运行身份服务帐户的使用和范围将减少用户无意中访问数据库内容的可能性。但是,减少运行身份服务帐户的使用和范围也可能对您和您的用户施加更多的凭据管理。

根据业务需求和数据访问策略评估以下建议。

  • 首先,请确保您信任具有“Creator”角色或“Explorer(可发布)”角色的所有用户。您将依靠这些用户在 Tableau 中诚信地执行操作。
  • 如果无法信任对运行身份服务帐户访问的数据源具有发布权限的所有用户,则应考虑为这些数据源嵌入凭据。
  • 如果未为自动数据提取刷新设置数据源,也就是说,数据源主要以实时连接形式进行访问,则可以使用 Kerberos 委派。有关要求,请参见启用 Kerberos 委派
感谢您的反馈!