設定 Windows 驗證時,「執行身分」服務帳戶需要 Tableau Server 存取的資料庫的讀取和查詢權限。根據設計,「執行身分」服務帳戶權限會導致具有 Creator 角色或 Explorer (可發行) 角色的 Tableau Server 使用者存取相同的資料庫。使用 Tableau Server 上的 Windows 驗證選項連線到資料庫時,具有這些角色的使用者可以存取和檢視具有與「執行身分」服務帳戶相同的存取層級的資料庫。

例如,具有 Creator 角色的使用者可以檢視已被授予「執行身分」服務帳戶存取權限的所有資料庫。

如果 Creator 使用者指定資料庫主機名稱並在從 Web 瀏覽器建立新資料來源時選取 Windows 驗證,則使用者將能夠檢視已獲得「執行身分」服務帳戶授權的資料庫。

對資料庫資產的檢視存取不限於使用 Web 瀏覽器連線到 Tableau Server 的使用者。具有上述相同角色且瞭解資料庫伺服器名稱的成熟使用者還可以使用 Tableau Desktop 編寫工作簿,這些工作簿可以檢視已獲得「執行身分」服務帳戶授權的資料庫。

此處描述的功能對於「執行身分」服務帳戶存取的所有資料來源都是通用的,無論使用者如何使用 Tableau Server 進行驗證。例如,即使使用者使用 Kerberos 或 SAML 對 Tableau Server 進行驗證,他們對所有設定「執行身分」的資料來源的存取也將相同。具有 Creator 或 Explorer(可發佈)角色的使用者可以存取獲得「執行身分」服務帳戶授權的所有資料。

推薦設定

在這種情況下,使用者對資料庫的存取是否可接受,必須由您的組織進行評估。通常,減少「執行身分」服務帳戶的使用情況和範圍將減少使用者無意中存取資料庫內容的可能性。但是,減少「執行身分」服務帳戶的使用情況和範圍也可能對您和您的使用者施加更多的憑證管理。

根據業務需求和資料存取策略評估以下建議。

  • 首先,請確保您信任具有 Creator 角色或 Explorer(可以發行)角色的所有使用者。您將依靠這些使用者在 Tableau 中誠信地執行動作。
  • 如果無法信任在「執行身分」服務帳戶存取的資料來源上具有發行權利的所有使用者,則應考慮為這些資料來源內嵌憑證。
  • 如果未為自動擷取重新整理設定資料來源,也就是說,資料來源主要作為即時連線進行存取,則可以使用 Kerberos 委派。有關要求,請參閱啟用 Kerberos 委派
感謝您的意見回饋!