驗證
驗證會驗證使用者的身分。需要存取 Tableau 的任何人(無論是管理伺服器,還是發佈、瀏覽或管理內容)都必須表示為 Tableau Server 存放庫中的使用者。驗證方法可由 Tableau Server 來執行(「本機驗證」),或者可以由外部處理序執行驗證。在後一種情況下,必須為外部驗證技術(例如 Kerberos、
期望使用 Linux 版 Tableau Server?請參閱驗證(連結在新視窗開啟)。
雖然所有使用者識別都是在 Tableau Server 存放庫中表示和儲存,但是您必須在識別身份存放區中管理 Tableau Server 的使用者帳戶。有兩個互斥的識別身分選項:LDAP 和本機。Tableau Server 支援任意 LDAP 目錄,但已針對 Active Directory LDAP 實作進行最佳化。或者,如果您不執行 LDAP 目錄,則可以使用 Tableau Server 本機識別身份存放區。有關詳情,請參閱身分存放區。
如下表所示,您所實作的識別身份存放區類型將部份決定您的驗證選項。
識別身分 存放區 | 驗證機制 | ||||||||
---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 網站 SAML | Kerberos | (僅限 Windows) 自動 登入 (Microsoft SSPI) | OpenID Connect | 已連線應用程式 | 受信任的 驗證 | 相互 SSL | |
本機 | X | X | X | X | X | X | X | ||
Active Directory | X | X | X | X | X | X | X | ||
LDAP | X | X | X | X | X |
存取和管理權限透過站台角色來實現。站台角色定義哪些使用者是管理員,以及哪些使用者是伺服器上的內容使用者和發行者。有關管理員、站台角色、群組、來賓使用者以及使用者相關的管理工作的詳情,請參閱「使用者」以及「使用者的站台角色」。
附註:在驗證時,請務必瞭解使用者未透過取得伺服器帳戶,獲得授權透過 Tableau Server 存取外部資料來源。換句話說,在預設設定中,Tableau Server 不作為外部資料來源的代理。此類存取需要在 Tableau Server 上額外設定資料來源,或者在使用者從 Tableau Desktop 連線時在資料來源中進行驗證。
附加元件驗證相容性
某些驗證方法可以搭配一起使用。下表顯示可以合併使用的驗證方法。標示為「X」的儲存格表示相容的驗證組。空白儲存格表示不相容的驗證組。
已連線應用程式 | 受信任的驗證 | 全伺服器 SAML | 網站 SAML | Kerberos | (僅限 Windows) 自動登入 (Microsoft SSPI) | 相互 SSL | OpenID Connect | |
Tableau 已連線應用程式 | 不適用 | X | X | X | X | X | ||
受信任的驗證 | 不適用 | X | X | X | X | X | ||
全伺服器 SAML | X | X | 不適用 | X | ||||
網站 SAML | X | X | X | 不適用 | ||||
Kerberos | X | X | 不適用 | |||||
自動登入 (Microsoft SSPI) | 不適用 | |||||||
相互 SSL | X | X | 不適用 | |||||
OpenID Connect | X | X | 不適用 | |||||
個人存取權杖 (PAT) | * | * | * | * | * | * | * | * |
* 根據設計,PAT 不會直接使用這些欄中列出的驗證機制來對 REST API 進行驗證。相反,PAT 會使用 Tableau Server 使用者帳戶認證對 REST API 進行驗證。
用戶端驗證相容性
透過使用者介面 (UI) 處理驗證
用戶端 | 驗證機制 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 網站 SAML | Kerberos | (僅限 Windows) 自動 登入 (Microsoft SSPI) | OpenID Connect | 已連線應用程式 | 受信任的 驗證 | 相互 SSL | 個人存取權杖 (PAT) | |
Tableau Desktop | X | X | X | X | X | X | X | |||
Tableau Prep Builder | X | X | X | X | X | X | X | |||
Tableau Mobile | X | X | X | X (僅限 iOS*) | X ** | X | X | |||
Web 瀏覽器 | X | X | X | X | X | X | X *** | X | X |
* Android 不支援 Kerberos SSO,但可以回退到使用者名稱與密碼。有關更多資訊,請參閱附註 5:Android 平台。
** SSPI 與 Tableau 行動應用程式的 Workspace ONE 版本不相容。
*** 僅在內嵌工作流程中。
以程式控制方式處理驗證
用戶端 | 驗證機制 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
基本 | SAML | 網站 SAML | Kerberos | (僅限 Windows) 自動 登入 (Microsoft SSPI) | OpenID Connect | 已連線應用程式 | 受信任的 驗證 | 相互 SSL | 個人存取權杖 (PAT) | |
REST API | X | X | X | |||||||
tabcmd 2.0 | X | X | ||||||||
tabcmd | X |
本機驗證
如果將伺服器設定為使用本機驗證,則 Tableau Server 將對使用者進行驗證。當使用者登入並輸入其認證時,Tableau Server 將透過 Tableau Desktop、tabcmd、API 或 Web 用戶端來驗證認證。
若要啟用此方案,必須首先為每個使用者建立身分識別。若要建立身分識別,您可以指定使用者名和密碼。若要存取伺服器上的內容或者與其進行交互,還必須為使用者指派站台角色。可使用 tabcmd 命令或使用 REST API(連結在新視窗開啟) 在伺服器 UI 中將使用者身分識別新增到 Tableau Server。
您還可以在 Tableau Server 中建立群組,以幫助管理以及將角色指派給大批相關使用者群組(例如,「市場行銷」)。
為本機驗證設定 Tableau Server 時,您可以針對失敗的密碼嘗試設定密碼原則和帳戶鎖定。請參閱本機驗證。
附註:具有多重要素 (MFA) 身份驗證的 Tableau 僅可用於 Tableau Cloud。
外部驗證解決方案
Tableau Server 可以設定為使用一些外部驗證解決方案。
NTLM 和 SSPI
如果您在安裝期間將 Tableau Server 設定為使用 Active Directory,則 NTLM 將為預設的使用者驗證方法。
當使用者從 Tableau Desktop 或 Web 用戶端登入到 Tableau Server 時,認證被傳遞到 Active Directory,然後 Active Directory 驗證這些認證並將存取權杖傳送到 Tableau Server。然後 Tableau Server 將根據存儲在存放庫中的站台角色來管理使用者對 Tableau 資源的存取。
如果 Tableau Server 安裝在 Active Directory 中的 Windows 電腦上,可以選擇性地啟用自動登入。在這種情況下,Tableau Server 將使用 Microsoft SSPI 根據其 Windows 使用者名稱和密碼自動登入您的使用者。這將建立類似於單一登入 (SSO) 的體驗。
如果您預計要將 Tableau Server 設定為使用 SAML、受信任驗證、負載平衡器或 Proxy 伺服器,請勿啟用 SSPI。SSPI 在這些情況下不受支援。請參閱 tsm authentication sspi <commands>。
Kerberos
對於 Active Directory,可以將 Tableau Server 設定為使用 Kerberos。請參閱 Kerberos。
SAML
您可以將 Tableau Server 設定為使用 SAML(安全判斷提示標記語言)驗證。利用 SAML,外部身分識別提供者 (IdP) 驗證使用者的認證,然後將一個安全判斷提示傳送到 Tableau Server,該安全判斷提示提供有關使用者身分識別的資訊。
有關詳情,請參閱 SAML。
OpenID Connect
OpenID Connect (OIDC) 是一種標準驗證通訊協定,它使使用者能夠登入到諸如 Google 等身分識別提供者 (IdP)。使用者成功登入到其 IdP 後,將會自動登入到 Tableau Server。若要在 Tableau Server 上使用 OIDC,必須將伺服器設定為使用本機識別身分存放庫。OIDC 不支援 Active Directory 或 LDAP 識別身分存放庫。有關詳情,請參閱 OpenID Connect。
相互 SSL
使用相互 SSL,您可以為 Tableau Desktop、Tableau Mobile 和其他認可的 Tableau 用戶端的使用者提供安全的 Tableau Server 直接存取體驗。借助相互 SSL,具有有效 SSL 認證的用戶端連線到 Tableau Server 時, 將確認存在用戶端認證,並基於用戶端認證中的使用者名稱對使用者進行驗證。如果用戶端沒有有效的 SSL 憑證,則 Tableau Server 會拒絕連線。有關詳情,請參閱設定相互 SSL 驗證。
已連線應用程式
直接信任
Tableau 已連線應用程式可促使 Tableau 伺服器 站台與內嵌 Tableau Server 內容的外部應用程式之間建立明確的信任關係,從而實現無縫且安全的驗證體驗。使用已連線應用程式還支援以程式設計方式授權使用 JSON Web 權杖 (JWT) 存取 Tableau REST API。有關詳情,請參閱使用 Tableau 已連線應用程式進行應用程式整合。
EAS 或 OAuth 2.0 信任
可以使用 OAuth 2.0 標準協定在 Tableau Server 中註冊外部授權伺服器(EAS),以建立 Tableau Server 和 EAS 之間的信任關係。信任關係為使用者提供單一登入體驗,使用 IdP 存取內嵌式 Tableau 內容。此外,註冊 EAS 支援以程式設計方式使用 JSON Web 權杖 (JWT) 授權對 Tableau REST API 的存取。有關更多資訊,請參閱使用 OAuth 2.0 信任設定已連線應用程式。
受信任的驗證
受信任的驗證(也稱為「受信任的票證」)使您能在 Tableau Server 與一個或多個 Web 伺服器之間建立受信任的關係。當 Tableau Server 收到來自受信任 Web 伺服器的請求時,它會假設該 Web 伺服器已處理必要的驗證。Tableau Server 接收帶有可兌現權杖或票證的請求,並向使用者顯示考慮進使用者的角色與權限的個性化檢視。有關詳情,請參閱受信任的驗證。
LDAP
您也可以將 Tableau Server 設定為使用 LDAP 進行使用者驗證。使用者可透過將其認證提交至 Tableau Server 進行驗證,其將嘗試使用使用者認證繫結至 LDAP 執行個體。如果繫結運作正常,則認證有效,Tableau Server 將授予使用者工作階段。
「繫結」是用戶端嘗試存取 LDAP 伺服器時發生的交握/驗證步驟。當 Tableau Server 進行各種非驗證相關查詢(例如,匯入使用者和群組)時,其會自行執行此操作。
您可以設定要在驗證使用者認證時希望 Tableau Server 使用的繫結類型。Tabaleau Server 支援 GSSAPI 和簡單繫結。Simple 繫結會將認證直接傳遞至 LDAP 執行個體。建議您將 SSL 設定為加密繫結通訊。在此情況下,驗證可能由原生 LDAP 解決方案或外部程序(如 SAML)提供。
有關計劃和設定 LDAP 的詳情,請參閱身分存放區和 外部識別身分存放區設定參考資料。
其他驗證方案
REST API:登入和登出(驗證)(連結在新視窗開啟)
附註:REST API 不支援 SAML 單一登入 (SSO)。
TSM 用戶端的憑證信任:連接 TSM 用戶端
資料存取和來源驗證
您可以將 Tableau Server 設定為支援多種不同的驗證協定以適應各種不同的資料來源。資料連線驗證可能獨立於 Tableau Server 驗證。
例如,您可以設定為使用本機驗證向 Tableau Server 進行使用者驗證,同時對特定資料來源設定 OAuth 或 SAML 驗證。請參閱資料連線驗證。