驗證

驗證將驗證使用者的身分。需要存取 Tableau 的任何人(無論是管理伺服器,還是發佈、瀏覽或管理內容)都必須表示為 Tableau Server 存放庫中的使用者。驗證方法可由 Tableau Server 來執行(「本機驗證」),或者可以由外部處理序執行驗證。在後者一種情況下,您必須為外部驗證技術(例如 Kerberos、SSPI、SAML 或 OpenID)設定 Tableau Server。在所有情況下,無論是在本機還是在外部進行驗證,都必須在 Tableau Server 中表示每個使用者身分。存放庫會管理使用者識別的授權中繼資料。

雖然所有使用者識別都是在 Tableau Server 存放庫中表示和儲存,但是您必須在識別身份存放區中管理 Tableau Server 的使用者帳戶。有兩個互斥的識別身分選項:LDAP 和本機。Tableau Server 支援任意 LDAP 目錄,但已針對 Active Directory LDAP 實作進行最佳化。或者,如果您不執行 LDAP 目錄,則可以使用 Tableau Server 本機識別身份存放區。有關詳情,請參閱識別身分存放區

如下表所示,您所實作的識別身份存放區類型將部份決定您的驗證選項。

識別身分 

存放區

驗證機制
基本 SAML 網站 SAML Kerberos

自動

登入

Windows

(SSPI)

OpenID

Connect

受信任的

驗證

相互

SSL

本機 X X X     X X X

Active

Directory

X X   X X   X X
LDAP X X         X X

存取和管理權限透過站台角色來實現。站台角色定義哪些使用者是管理員,以及哪些使用者是伺服器上的內容使用者和發行者。有關管理員、站台角色、群組、來賓使用者以及使用者相關的管理工作的詳情,請參閱「使用者」以及「使用者的站台角色」

附註:在驗證時,請務必瞭解使用者未透過取得伺服器帳戶,獲得授權透過 Tableau Server 存取外部資料來源。換句話說,在預設設定中,Tableau Server 不作為外部資料來源的代理。此類存取需要在 Tableau Server 上額外設定資料來源,或者在使用者從 Tableau Desktop 連線時在資料來源中進行驗證。

附加元件驗證相容性

某些驗證方法可以搭配一起使用。下表顯示可以合併使用的驗證方法。標示為「X」的儲存格表示相容的驗證組。空白儲存格表示不相容的驗證組。

  受信任的驗證 全伺服器 SAML 網站 SAML Kerberos

自動登入 Windows (SSPI)

相互 SSL

OpenID Connect

受信任的驗證 不可用 X X X   X X
全伺服器 SAML X 不可用 X        
網站 SAML X X 不可用        
Kerberos X     不可用      
自動登入 Windows (SSPI)         不可用    
相互 SSL X         不可用  
OpenID Connect X           不可用

用戶端驗證相容性

用戶端

驗證機制
基本 SAML 網站 SAML Kerberos

自動

登入

Windows

(SSPI)

OpenID

Connect

受信任的

驗證

相互

SSL

Tableau Desktop X X X X X X   X

Tableau Prep

X X X X X X   X
Tableau Mobile X X X X

(僅限 iOS)

X

*

X   X
Tabcmd X              
Web 瀏覽器 X X X X X X X X

* SSPI 與 Tableau 行動應用程式的 Workspace ONE 版本不相容。

本機驗證

如果將伺服器設定為使用本機驗證,則 Tableau Server 將對使用者進行驗證。當使用者登入並輸入其認證時,Tableau Server 將透過 Tableau Desktop、tabcmd、API 或 Web 用戶端來驗證認證。

若要啟用此方案,必須首先為每個使用者建立身分識別。若要建立身分識別,您可以指定使用者名和密碼。若要存取伺服器上的內容或者與其進行交互,還必須為使用者指派站台角色。可使用 tabcmd 命令或使用 REST API(Link opens in a new window) 在伺服器 UI 中將使用者身分識別新增到 Tableau Server。

您還可以在 Tableau Server 中建立群組,以幫助管理以及將角色指派給大批相關使用者群組(例如,「市場行銷」)。

為本機驗證設定 Tableau Server 時,您可以針對失敗的密碼嘗試設定密碼原則和帳戶鎖定。請參閱本機驗證

外部驗證解決方案

Tableau Server 可以設定為使用一些外部驗證解決方案。

NTLM 和 SSPI

如果您在安裝期間將 Tableau Server 設定為使用 Active Directory,則 NTLM 將為預設的使用者驗證方法。

當使用者從 Tableau Desktop 或 Web 用戶端登入到 Tableau Server 時,認證被傳遞到 Active Directory,然後 Active Directory 驗證這些認證並將存取權杖傳送到 Tableau Server。然後 Tableau Server 將根據存儲在存放庫中的站台角色來管理使用者對 Tableau 資源的存取。

如果 Tableau Server 安裝在 Active Directory 中的 Windows 電腦上,您可以選擇性地啟用自動登入。在這種情況下,Tableau Server 將使用 Microsoft SSPI 根據其 Windows 使用者名稱和密碼自動登入您的使用者。這將建立類似於單一登入 (SSO) 的體驗。

如果您預計要將 Tableau Server 設定為使用 SAML、受信任驗證、負載平衡器或 Proxy 伺服器,請勿啟用 SSPI。SSPI 在這些情況下不受支援。請參閱 tsm authentication sspi <commands>

Kerberos

對於 Active Directory,可以將 Tableau Server 設定為使用 Kerberos。請參閱 Kerberos

SAML

您可以將 Tableau Server 設定為使用 SAML(安全判斷提示標記語言)驗證。利用 SAML,外部身分識別提供者 (IdP) 驗證使用者的認證,然後將一個安全判斷提示傳送到 Tableau Server,該安全判斷提示提供有關使用者身分識別的資訊。

有關詳情,請參閱 SAML

OpenID Connect

OpenID Connect 是一種標準驗證通訊協定,它使使用者能夠登入到諸如 Google 等身分識別提供者 (IdP)。使用者成功登入到其 IdP 後,將會自動登入到 Tableau Server。若要在 Tableau Server 上使用 OpenID Connect (OIDC),必須將伺服器設定為使用本機識別身分存放庫。OIDC 不支援 Active Directory 或 LDAP 識別身分存放庫。有關詳情,請參閱 OpenID Connect

相互 SSL

使用相互 SSL,您可以為 Tableau Desktop、Tableau Mobile 和其他認可的 Tableau 用戶端的使用者提供安全的 Tableau Server 直接存取體驗。借助相互 SSL,當具有有效 SSL 憑證的用戶端連線到 Tableau Server 時, 將確認存在用戶端憑證,並基於用戶端憑證中的使用者名對使用者進行驗證。如果用戶端沒有有效的 SSL 憑證,則 Tableau Server 會拒絕連線。有關詳情,請參閱設定相互 SSL 驗證

受信任的驗證

受信任的驗證(也稱為「受信任的票證」)使您能在 Tableau Server 與一個或多個 Web 伺服器之間建立受信任的關係。當 Tableau Server 收到來自受信任 Web 伺服器的請求時,它會假設該 Web 伺服器已處理必要的驗證。Tableau Server 接收帶有可兌現權杖或票證的請求,並向使用者顯示考慮進使用者的角色與權限的個性化檢視。有關詳情,請參閱受信任的驗證

LDAP

您也可以將 Tableau Server 設定為使用 LDAP 進行使用者驗證。使用者可透過將其認證提交至 Tableau Server 進行驗證,其將嘗試使用使用者認證繫結至 LDAP 執行個體。如果繫結運作正常,則認證有效,Tableau Server 將授予使用者工作階段。

「繫結」是用戶端嘗試存取 LDAP 伺服器時發生的交握/驗證步驟。當 Tableau Server 進行各種非驗證相關查詢(例如,匯入使用者和群組)時,其會自行執行此操作。

您可以設定要在驗證使用者認證時希望 Tableau Server 使用的繫結類型。Tabaleau Server 支援 GSSAPI 和簡單的繫結。Simple 繫結會將認證直接傳遞至 LDAP 執行個體。建議您將 SSL 設定為加密繫結通訊。在此情況下,驗證可能由原生 LDAP 解決方案或外部程序(如 SAML)提供。

有關計劃和設定 LDAP 的詳情,請參閱識別身分存放區外部識別身分存放區設定參考資料

其他驗證方案

資料存取和來源驗證

您可以將 Tableau Server 設定為支援多種不同的驗證協定以適應各種不同的資料來源。資料連線驗證可能獨立於 Tableau Server 驗證。

例如,您可以設定為使用本機驗證向 Tableau Server 進行使用者驗證,同時對特定資料來源設定 Kerberos 委派、OAuth 或 SAML 驗證。請參閱資料連線驗證

此區段的其他文章

感謝您的意見回饋! 提交意見回饋時發生錯誤。重試或傳送訊息給我們