内容:

安全性-身份验证

  • 版本 :2022.1 及更高版本

身份验证将验证用户的身份。需要访问 Tableau 的任何人(无论是管理服务器,还是发布、浏览或管理内容)都必须表示为 Tableau Server 存储库中的用户。

身份验证将验证用户的身份。需要访问 Tableau 的任何人(无论是管理服务器,还是发布、浏览或管理内容)都必须表示为 Tableau Server 存储库中的用户。身份验证方法可由 Tableau Server 来执行(“本地身份验证”),或者可以由外部进程执行身份验证。在后一种情况下,您必须为外部身份验证技术(例如 Kerberos、SSPI、SAML 或 OpenID)配置 Tableau Server。在所有情况下,无论是在本地还是在外部进行身份验证,都必须在 Tableau Server 存储库中表示每个用户身份。存储库管理用户身份的授权元数据。

尽管所有用户身份最终都会表示并存储在 Tableau Server 存储库中,但您必须在身份存储中管理 Tableau Server 的用户帐户。有两种相互排斥的身份存储选项:LDAP 和本地。Tableau Server 支持任意 LDAP 目录,但它已针对 Active Directory LDAP 实施进行了优化。或者,如果您未运行 LDAP 目录,则可以使用 Tableau Server 本地身份存储。有关详细信息,请参见身份存储

如下表中所示,您实施的身份存储的类型将在某种程度上确定您的身份验证选项。

身份

存储

身份验证机制
基本SAML站点 SAMLKerberos

(仅限 Windows)

自动

登录

Windows

(SSPI)

OpenID

连接

受信任的

身份验证

相互

SSL

本地XXX

XXX

Active

Directory

XX
XX
XX
LDAPXX



XX

访问和管理权限通过站点角色来实现。站点角色定义哪些用户是管理员,以及哪些用户是服务器上的内容使用者和发布者。有关管理员、站点角色、组、来宾用户以及用户相关的管理任务的详细信息,请参阅“用户”以及“用户的站点角色”

注意:在身份验证上下文中,一定要知道用户无权通过在服务器上获得帐户从而经 Tableau Server 访问外部数据源。换句话说,在默认配置中,Tableau Server 不作为外部数据源的代理。此类访问需要在 Tableau Server 上额外配置数据源,或者在用户从 Tableau Desktop 连接时在数据源中进行身份验证。

加载项身份验证兼容性

某些身份验证方法可一起使用。下表显示了可结合使用的身份验证方法。标有“X”的单元格指明兼容的身份验证集合。空白单元格指明不兼容的身份验证集合。

受信任的身份验证服务器范围 SAML站点 SAMLKerberos

(仅限 Windows)

自动登录 Windows (SSPI)

相互 SSL

OpenID Connect

受信任的身份验证不可用XXX
XX
服务器范围 SAMLX不可用X



站点 SAMLXX不可用



KerberosX

不可用


自动登录 Windows (SSPI)



不可用

相互 SSLX



不可用
OpenID ConnectX




不可用

客户端身份验证兼容性

客户端

身份验证机制
基本SAML站点 SAMLKerberos

(仅限 Windows)

自动

登录

Windows

(SSPI)

OpenID

连接

受信任的

身份验证

相互

SSL

Tableau DesktopXXXXXX
X

Tableau Prep

XXXXXX
X
Tableau MobileXXXX

(仅限 iOS)

X

*

X
X
TabcmdX






Web 浏览器XXXXXXXX

* SSPI 与 Tableau Mobile 应用软件的 Workspace ONE 版本不兼容。

本地身份验证

如果将服务器配置为使用本地身份验证,则 Tableau Server 将对用户进行身份验证。当用户登录并输入其凭据时,Tableau Server 将通过 Tableau Desktop、tabcmd、API 或 Web 客户端来验证凭据。

若要启用此方案,必须首先为每个用户创建标识。若要创建标识,您可以指定用户名和密码。若要访问服务器上的内容或者与其进行交互,还必须为用户分配站点角色。可使用 tabcmd 命令或使用 REST API(链接在新窗口中打开) 在服务器 UI 中将用户标识添加到 Tableau Server。

您还可以在 Tableau Server 中创建组,以帮助管理以及将角色分配给大批相关用户组(例如,“市场营销”)。

为本地身份验证配置 Tableau Server 时,您可以针对失败的密码尝试设置密码策略和帐户锁定。请参见本地身份验证

注意:具有多重 (MFA) 身份验证的 Tableau 仅适用于 Tableau Online。

外部身份验证解决方案

可以将 Tableau Server 配置为使用许多外部身份验证解决方案。

NTLM 和 SSPI

如果在安装期间将 Tableau Server 配置为使用 Active Directory,则 NTLM 将是默认用户身份验证方法。

当用户从 Tableau Desktop 或 Web 客户端登录到 Tableau Server 时,凭据被传递到 Active Directory,然后 Active Directory 验证这些凭据并将访问令牌发送到 Tableau Server。然后 Tableau Server 将根据存储在存储库中的站点角色来管理用户对 Tableau 资源的访问。

如果 Tableau Server 安装在 Active Directory 中的 Windows 计算机上,则您可以根据需要启用自动登录。在此方案中,Tableau Server 将使用 Microsoft SSPI 根据其 Windows 用户名和密码自动使用户登录。这将创建类似于单点登录 (SSO) 的体验。

如果计划将 Tableau Server 配置为使用 SAML、受信任身份验证、负载平衡器或代理服务器,请不要启用 SSPI。在这些情况下不支持 SSPI。请参见tsm authentication sspi

Kerberos

针对 Active Directory,您可以将 Tableau Server 配置为使用 Kerberos。请参见Kerberos

SAML

您可以将 Tableau Server 配置为使用 SAML(安全断言标记语言)身份验证。利用 SAML,外部身份提供程序 (IdP) 验证用户的凭据,然后将一个安全断言发送到 Tableau Server,该安全断言提供有关用户标识的信息。

有关详细信息,请参见SAML

OpenID Connect

OpenID Connect 是一种标准身份验证协议,它使用户能够登录到诸如 Google 等身份提供程序 (IdP)。用户成功登录到其 IdP 后,将会自动登录到 Tableau Server。若要在 Tableau Server 上使用 OpenID Connect (OIDC),必须将服务器配置为使用本地身份存储。Active Directory 或 LDAP 身份存储不支持与 OIDC 一起使用。有关详细信息,请参见OpenID Connect

相互 SSL

使用相互 SSL,您可以为 Tableau Desktop、Tableau Mobile 和其他认可的 Tableau 客户端的用户提供安全的 Tableau Server 直接访问体验。借助相互 SSL,当具有有效 SSL 证书的客户端连接到 Tableau Server 时, 将确认存在客户端证书,并基于客户端证书中的用户名对用户进行身份验证。如果客户端没有有效的 SSL 证书,则 Tableau Server 会拒绝连接。有关详细信息,请参见配置相互 SSL 身份验证

受信任的身份验证

受信任的身份验证(也称为“受信任票证”)使您能在 Tableau Server 与一个或多个 Web 服务器之间建立受信任的关系。当 Tableau Server 收到来自受信任 Web 服务器的请求时,它会假设该 Web 服务器已处理必要的身份验证。Tableau Server 接收带有可兑现令牌或票证的请求,并向用户显示考虑进用户的角色与权限的个性化视图。有关详细信息,请参见受信任的身份验证

LDAP

您也可以将 Tableau Server 配置为使用 LDAP 进行用户身份验证。用户通过将其凭据提交到 Tableau Server 来进行身份验证,后者随后将尝试使用用户凭据绑定到 LDAP 实例。如果绑定成功,则凭据有效,并且 Tableau Server 将为用户授予一个会话。

“绑定”是指客户端尝试访问 LDAP 服务器时发生的握手/身份验证步骤。Tableau Server 会在进行各种非身份验证相关查询(例如导入用户和组)时自行执行此操作。

您可以配置希望 Tableau Server 在验证用户凭据时使用的绑定类型。Tableau Server 支持 GSSAPI 和简单绑定。简单绑定会将凭据直接传递至 LDAP 实例。我们建议您配置 SSL 以便对绑定通信进行加密。此方案中的身份验证可通过原生 LDAP 解决方案或使用外部进程(如 SAML)提供。

有关规划和配置 LDAP 的详细信息,请参见身份存储外部身份识存储配置参考

其他身份验证方案

数据访问和来源身份验证

您可以将 Tableau Server 配置为支持多种不同的身份验证协议以适应各种不同的数据源。数据连接身份验证可能独立于 Tableau Server 身份验证。

例如,您可以配置为使用本地身份验证向 Tableau Server 进行用户身份验证,同时对特定数据源配置 Kerberos 委派、OAuth 或 SAML 身份验证。请参见数据连接身份验证

此部分中的其他文章