WIXLIB

Tableau Server-Sicherheits4Für externe Bereitstellungen oder in Fällen, in denenhohe Sicherheitsanforderungen bestehen, kann Ticketseine zusätzliche Einschränkung hinzugefügt werden: siekönnen nur von einer angegebenen IP-Adresse eingelöstwerden. Das bedeutet, dass die Ticketanforderung vomvertrauenswürdigen Webserver die IP-Adresse desClients (Webbrowser) enthalten muss. Der TableauServer betrachtet das Ticket nur als gültig, wenn esvon der korrekten Client-IP-Adresse eingelöst wird.Die Einrichtung von vertrauenswürdiger Authentifizierungist einfach. Kunden benötigen zur Einrichtung vonvertrauenswürdiger Authentifizierung in ihrer Umgebungi. d. R. nur eine oder zwei Stunden. Im Rahmen derInstallation von Tableau Server werden einigeBeispiele für gängige Anwendungsserver-Frameworksbereitgestellt. Ausführlichere Informationen sind imAdministratorhandbuch zu Tableau Server zu finden.Gastbenutzer oder anonym (nicht authentifiziert)Hinweis: Diese Option ist nur bei Verwendung einercore-basierten Serverlizenz verfügbar.Tableau Server kann so eingerichtet werden, dass überein Gastkonto ein anonymer Zugriff auf Ansichten erlaubtwird. Dies ist hilfreich, wenn Inhalte für unbekannteBenutzercommunities wie das öffentliche Web oderfür Communities bereitgestellt werden, bei denen derBenutzer keine Identität angeben muss, etwa in einemgroßen Intranet. Die „Gastlizenz“ ist verfügbar, um esBenutzern ohne Konto auf dem Server zu ermöglichen,eine eingebettete Ansicht anzuzeigen und damit zuinteragieren. Um versehentlichen anonymen Zugriff aufsensible Daten zu verhindern, ist die Option, als Gastauf den Tableau Server zuzugreifen, standardmäßigdeaktiviert. Wenn sie aktiviert wird, wird die Gastlizenzeinem automatisch generierten Gastbenutzer zugewiesen.Da Gastbenutzer anonym sind und deren Identitätentsprechend nicht identifiziert werden kann, bietetTableau einen einzelnen Gastbenutzer. DemGastbenutzer können mithilfe des im Tableau Serververfügbaren vollen Rollenumfangs, der Berechtigungenund der Datensicherheit Berechtigungen zugewiesenwerden, um auf Inhalte zuzugreifen und mit diesen zuinteragieren. Anonyme Benutzer können Webseiten miteingebetteten Grafiken ohne Anmeldung laden. AnonymeBenutzer können nicht das Repository durchsuchen; siekönnen nur auf eingebettete Ansichten zugreifen (URLs,bei denen der Parameter „embed“ auf „true“ festgelegt ist).Der Einfachheit halber interpretiert Tableau Server eineAnsichtsanforderung eines anonymen Benutzers, welchedie Markierung „eingebettet“ nicht enthält, als eineAnforderung einer eingebetteten Ansicht. Das bedeutet,dass über E-Mails geteilte URLs oder Links auf anderenWebseiten bei anonymen Benutzern ordnungsgemäßverarbeitet werden.Wenn der Tableau Server eine Anforderung einereingebetteten Ansicht erhält, wird zuerst überprüft, ob derBenutzer angemeldet ist (d. h. die Anforderung wird voneinem Anmeldesitzungscookie für eine Anmeldung begleitet,die nicht abgelaufen ist). Wenn der Benutzer nicht aktivangemeldet ist, wird die Anforderung als Gastbenutzerverarbeitet.Aufgrund der Mehrdeutigkeit bei der Verarbeitung ungültigerAnmeldeinformationen kann der Gastbenutzer nichtverwendet werden, wenn Active Directory-Authentifizierungauf „Automatische Anmeldung aktivieren“ festgelegt ist.AbmeldenEin häufig vernachlässigter Bereich der Authentifizierungist das Beenden einer Sitzung. Tableau Server bietetbasierend auf einem Inaktivitätszeitraum (Leerlauf)automatische Zeitüberschreitungen für Anmeldungen.Die standardmäßige Leerlaufdauer der Anmeldungkann von Administratoren geändert werden.Bei Verwendung der „Active Directory-Authentifizierung“ mitaktivierter automatischer Anmeldung wird Benutzern anstattder Abmeldeoption die Option zum Ändern des Benutzersangezeigt. Wenn sie sich abmelden würden, würden sienämlich automatisch erneut angemeldet. Bei Verwendunganderer Authentifizierungsmethoden wird Benutzern dieAbmeldeschaltfläche angezeigt, sodass sie sich manuellabmelden können, wenn sie mit ihrer Sitzung fertig sind.In integrierten Umgebungen, etwa bei Ansichten, die in einPortal eingebettet sind, ist es hilfreich, eine Abmeldung aufdem Tableau Server programmgesteuert zu erzwingen,wenn sich der Benutzer am Portal abmeldet. Dazu kann aufdem Client einfach eine Abmelde-URL aufgerufen werden:http:// Tableau Server / manual/auth/logout2Rollen undBerechtigungen:ObjektsicherheitSobald ein Benutzer ordnungsgemäß authentifiziert wurdeund Zugriff zum System erhalten hat, kann mithilfe vonBerechtigungen – oder einer Zugriffssteuerungsliste –festgelegt werden, auf welche Inhalte oder Objekte einBenutzer zugreifen kann und welche Aktionen ein Benutzeroder eine Gruppe für diese Inhalte ausführen kann. EineRolle ist in Tableau ein Standardsatz von Berechtigungen,die für Benutzer, denen diese Rolle zugewiesen wurde, aufInhalte angewendet werden. Rollen werden Benutzern fürbestimmte Inhalte zugewiesen und stellen keine allgemeinenRechte dar, die Benutzern für alle Inhalte im Systemzugewiesen werden. So wird z. B. einem Benutzer die Rolle„Interactor“ lediglich für eine bestimmte Ansicht und nicht füralle Inhalte zugewiesen.

Der maximale Satz von Berechtigungen, die einBenutzer besitzen kann, hängt von der Lizenzebeneund den Lizenzrechten des Benutzers ab. So kann z. B.ein Benutzer mit der Lizenzebene „Viewer“ keine Filterverwenden, unabhängig davon, welche Rolle oderGruppenmitgliedschaft er besitzt oder ob ihm dieNutzung dieser Funktion in einer Ansicht gewährt wird.Das Gewähren von „Viewer“-Rechten bedeutet indiesem Beispiel nicht, dass der Benutzer Zugriff aufalle Inhalte erhält.Gemeinsam erlauben diese Funktionen eine detaillierteSteuerung der Inhalte, welche den Zugriff von Benutzernund Gruppen sowie die Aktionen umfasst, die für dieseInhalte ausgeführt werden können. Noch einmal zurVerdeutlichung: Mit Berechtigungen wird gesteuert, aufwelche Projekte, Arbeitsmappen und Ansichten BenutzerZugriff haben, und welche Aktionen sie für diese Objektedurchführen können. Berechtigungen steuern allerdingsnicht, welche Daten in einer Ansicht angezeigt werden.Welche Daten Benutzern angezeigt werden, wird imnächsten Abschnitt behandelt: Daten: Datensicherheit.Berechtigungen werden auf der Inhaltsebene gesteuert undbewertet. Anfängliche Berechtigungen werden über einenVorlagemechanismus festgelegt. Die anfänglichenBerechtigungen für ein Projekt werden aus demStandardprojekt kopiert. Die anfänglichen Berechtigungenfür eine Arbeitsmappe werden aus den Berechtigungendes zugehörigen Projekts kopiert. Die anfänglichenBerechtigungen für eine Ansicht werden aus denBerechtigungen der zugehörigen Arbeitsmappe kopiert.Die Berechtigungen des übergeordneten Elements werdennur einmal kopiert. Änderungen an den Berechtigungendes übergeordneten Elements werden nicht automatischauf die untergeordneten Elemente angewendet. Siewerden nur angewendet, wenn die neuen Berechtigungenausdrücklich den betreffenden Inhalten „zugewiesen“werden. Ein Element kann „Zulassen“- oder „Verweigern“Berechtigungen aufweisen, die vom übergeordnetenElement abweichen. Beispiel: Es kann sein, dass Benutzeroder Gruppen keine Berechtigung zum Anzeigen einesProjekts besitzen, aber zum Anzeigen einer im Projektveröffentlichten Anzeige berechtigt sind. Tableau Serverunterstützt keine hierarchischen Objektberechtigungen,stellt jedoch ein Vererbungsmodell für Benutzer undGruppen bereit. Wenn für einen Benutzer eineBerechtigung nicht ausdrücklich festgelegt wurde, wirddie Einstellung von der Gruppe/den Gruppen übernommen,der/denen der Benutzer angehört.Wie Sie im Berechtigungsbewertungsdiagramm sehen können,wird einem Benutzer oder einer Gruppe eine Berechtigungverweigert, wenn sie nicht ausdrücklich gewährt wurde. Falls Siefür die Berechtigung die Einstellung „Vererbt“ beibehalten, wirddie Zugriffsberechtigung für die Ansicht für den Benutzer bzw.die Gruppe über die Berechtigungen der Gruppe oder desProjekts vererbt. Wie bereits erwähnt, wird die Berechtigungverweigert, wenn die Vererbungskette kein explizites„Zulassen“ enthält.Berechtigungen für ProjekteMit Projekten werden die Standardberechtigungen für alle imProjekt enthaltenen Arbeitsmappen und Ansichten festgelegt.Die Standardberechtigungen für jedes Inhaltsobjekt könnenvon Benutzern mit entsprechenden Berechtigungenüberschrieben werden. So können Publisher beispielsweiseihre veröffentlichten Inhalte vollständig steuern.Jedes neue Projekt beginnt mit einer Kopie der Berechtigungenaus dem Standardprojekt. Die Berechtigungen werden nureinmal kopiert – Änderungen an den Berechtigungen desStandardprojekts wirken sich nicht auf vorhandene Projekte aus.Daher ist es empfehlenswert, vor der Erstellung von Projekteneine geeignete Berechtigungsstrategie zu wählen.Nur Administratoren (sowohl System- als auch ContentAdministratoren) können Projekte und deren Berechtigungenerstellen und ändern. Benutzer mit der Berechtigung„Projektleiter“ können alle Inhalte im Projekt vollständig steuern.Berechtigungen für veröffentlichte InhalteVeröffentlichte Inhalte umfassen Datenquellen, Arbeitsmappenund Ansichten. Berechtigungen umfassen die herkömmlichenAktionen zur Inhaltsverwaltung, wie Anzeigen, Erstellen, Ändernund Löschen, legen aber auch fest, welche Interaktionen einBenutzer innerhalb einer Ansicht ausführen darf. Dies ist einBeispiel für die Berechtigungen, die für eine einzelne Ansichtverfügbar sind:Berechtigungen steuern allerdings nicht, welche Daten einBenutzer in einer Ansicht anzeigen kann. Datensicherheitwird im nächsten Abschnitt behandelt. Berechtigungen werdenangewendet, wenn ein Benutzer nach Inhalten sucht und überdie Benutzeroberfläche von Tableau Server navigiert.Tableau Server-Sicherheits5

Tableau Server-Sicherheits6Berechtigungen für Datenquellen bieten Benutzernvon Tableau Desktop und Tableau Server eineweitere Sicherheitsebene.Ein Benutzer, dem die Berechtigung „Verbinden“ für eineDatenquelle gewährt wurde, kann Tableau Desktopverwenden, um über die Datenserverkomponente desTableau Server Abfragen auszuführen. Das bedeutet,dass der Desktop-Benutzer auf seinem Computer keineDatenbanktreiber installieren, Daten herunterladen oder –optional – Anmeldeinformationen für die Datenbankbesitzen muss, um Liveabfragen des Data Warehouseoder Tableau-Datenextraktion auszuführen.Das StandardprojektDarüber hinaus können unter dem Tableau Serververöffentlichte Ansichten, die eine veröffentlichteDatenquelle verwenden, nur von Benutzern aufgerufenwerden, die über die Berechtigung zum Anzeigen derAnsicht und die Berechtigung zum Verwenden derDatenquelle verfügen (Berechtigung „Anzeigen“ oder„Verbinden“). Wenn der Publisher der Ansicht allerdingsseine Anmeldeinformationen in die Datenquelleeingebettet hat, stellen Benutzer mit der Berechtigungzum Anzeigen der Ansicht als Publisher eine Verbindungzur Datenquelle her.Wenn der Tableau Server in einer restriktivenUmgebung bereitgestellt wird, in der Datensicherheitund Zugriffssteuerung entscheidend sind, dann solltendie Berechtigungen für das Standardprojekt leer sein:Löschen Sie die Berechtigungen für alle Benutzer undGruppen. Den Benutzern und Gruppen müssen dannexplizit Berechtigungen zugewiesen werden, damit sieInhalte in neuen Projekten veröffentlichen und Inhalteaus neuen Projekten nutzen können.Hinweis zu Verbindungen:Während des Veröffentlichungsvorgangs fürArbeitsmappen und Datenquellen werden Verbindungenvon Tableau Server automatisch erstellt. Dies erlaubtAdministratoren, Verbindungsattribute wie dasAktualisieren von Datenbankanmeldeinformationen oderdie Migration zu einem neuen Datenbankserver zusteuern, ohne jede unter Tableau Server veröffentlichteArbeitsmappe manuell bearbeiten zu müssen. Außerdemkönnen mehrere Arbeitsmappen und Datenquellen diegleiche Verbindung verwenden. Das heißt, dass Cachesfür mehrere Arbeitsmappen verwendet werden können,um die Belastung Ihres Datenbankservers zu verringern.Viele Tableau-Kunden verwenden Gruppen und Projekte,um mehrere externe Parteien (Mandanten) auf einemeinzelnen Tableau Server zu unterstützen. Tableau Serverbietet ausreichend Sicherheit, um die Anforderungen fürBereitstellungen im Finanz- und Gesundheitsbereich undin anderen Situationen zu erfüllen, in denen ein Kundeunter keinen Umständen die Daten eines anderen Kundenanzeigen können darf.Berechtigungen und AdministratorenEs gibt zwei Arten von Administratoren:Websiteadministratoren und Systemadministratoren.Websiteadministratoren können Benutzer, Gruppen,Projekte, Arbeitsmappen und Datenverbindungenverwalten. Websiteadministratoren können Benutzer fürdelegierte Administrationsszenarios optional zur Websitehinzufügen. Systemadministratoren haben alle Rechte vonContent-Administratoren und können zudem den Serverselbst verwalten, einschließlich Websites,Wartungseinstellungen, Zeitplänen und des Suchindex.Administratorrechte können nur Benutzern mit derLizenzebene „Interactor“ zugewiesen werden. DieBerechtigung „Veröffentlichen“ wird allen Administratorenautomatisch zugewiesen. Administratoren sind berechtigt,zusätzliche Administratoren auf der gleichen Ebene zuerstellen.Wenn der Tableau Server in einer offenenUmgebung bereitgestellt wird, in der der Wissens- undInformationsaustausch entscheidend ist, dann sollten dieBerechtigungen für das Standardprojekt so festgelegtwerden, dass sie für die Gruppe „Alle Benutzer“ gelten undals Rolle „Interactor“ zugewiesen ist. Benutzer sind dannautomatisch in der Lage, Inhalte in neuen Projektenzu veröffentlichen und Inhalte aus neuen Projekten zunutzen, wenn die Standardberechtigungen nichtüberschrieben werden.Mandantenfähige BereitstellungenEs muss jedoch beachtet werden, dass Benutzer mitAdministrator- oder Publisher-Rechten auf dem TableauServer alle Benutzer des Tableau Server anzeigenkönnen. Darüber hinaus können Administratoren alle aufdem Tableau Server veröffentlichten Inhalte anzeigen.Dies bedeutet allerdings nicht, dass sie Zugriff auf allevom Tableau Server verwendeten Daten haben. DaDatenzugriff von Berechtigungen unabhängig ist, wirddieses Thema im nächsten Abschnitt behandelt.3 Daten: DatensicherheitDatensicherheit wird in jedem Unternehmen ein immerwichtigeres Thema. Dies gilt vor allem für Unternehmen,die regulatorische Anforderungen erfüllen müssen oderTableau Server extern bereitstellen. Es ist wichtig, dassTableau eine Reihe leistungsfähiger Funktionenbereitstellt, die Kunden erlauben, vorhandeneDatensicherheitsimplementierungen zu erweitern oderunzureichende Systeme zu verbessern. Das Ziel ist,Datensicherheit zentral durchzusetzen, unabhängig davon,ob Benutzer auf die Daten in veröffentlichten Ansichten imWeb oder auf Mobilgeräten zugreifen oder die Daten vonTableau Desktop aus aufrufen.

Für Datensicherheit gibt es im Grunde drei Ansätze:Sicherheit nur in der Datenbank it nur in Tableau implementierenEinen Hybridansatz erstellen, bei demBenutzerinformationen in Tableau Serverüber entsprechende Datenelemente in derDatenbank verfügenTableau Server bietet direkte Unterstützung für alle dreiArten von Sicherheit. Normalerweise wird aufgrund seinerEinfachheit und Flexibilität jedoch der Hybridansatzverwendet. Bei Verwendung von Datenbanksicherheitsollte beachtet werden, dass die Methode, die zurAuthentifizierung bei der Datenbank ausgewähltwird, von entscheidender Bedeutung ist. DieseAuthentifizierungsebene unterscheidet sich von der obenerläuterten Tableau Server-Authentifizierung. Wenn sichein Benutzer beim Tableau Server anmeldet, wird er nichtautomatisch bei der Datenbank angemeldet. Das bedeutet,dass sich Tableau Server-Benutzer erst bei der Datenbankanmelden müssen, um auf Daten zuzugreifen. Wenn dieBenutzerfilter von Tableau verwendet werden, benötigendie Benutzer keine zusätzlichen Anmeldeinformationen,um auf ihre sicheren Daten zuzugreifen.In sämtlichen Fällen ist das Ergebnis, dass eine zentraleAnsicht oder ein Dashboard veröffentlicht wird, dassichere, personalisierte Daten und Analysen für einebreite Palette von Benutzern bietet.In Tableau Server veröffentlichte Ansichten greifen dynamischauf die Datenbank zu, um aktuelle Daten abzurufen. Wenn eineAnsicht geöffnet wird und die entsprechende Datenquelle eineDatenbank ist, für die eine Anmeldung erforderlich ist (imGegensatz etwa zu einer Excel-Arbeitsmappe oder einerTextdatei), muss der Tableau Server wissen, mit welchemDatenbankbenutzernamen und -kennwort die Verbindunghergestellt werden soll, um die Daten abzurufen. Tableau Serverbietet mehrere Optionen und Einstellungen, die zusammenangeben, welcher Datenbankbenutzername und welchesKennwort für den Datenzugriff verwendet wird. Es ist wichtig,zwischen der Tableau Server-Anmeldetechnik, die für denZugriff auf den Tableau Server selbst verwendet wird, und derDatenbankanmeldung klar zu unterscheiden, die möglicherweisefür jede unter Tableau Server veröffentlichte Ansicht erforderlichist. Die folgende Tabelle bietet eine Übersicht über dieAlternativen. Die Spaltenköpfe beziehen sich auf die Techniken,die beim Erstellen und Veröffentlichen der Ansicht in TableauProfessional verwendet werden.IntegrierteSicherheitvon Windows(NT-Authentifizierung)Benutzernameund Kennwort(Aufforderung)Benutzername undKennwort beimVeröffentlicheneingebettetAnmelden desTableauServer bei derDatenbank als:„Run as User“(Als Benutzerausführen) vonTableau Server.Jeder Benutzerwird zurEingabe �r die erangeben kann,dass siegespeichertwerden.Die Datenbankanmeldeinformationen,die vom Autorangegebenwurden,als die Ansichtursprünglichveröffentlichtwurde. DerTableau ServerBenutzerwird nicht zurEingabe auSerververwendet diebestehendebenutzerbasierteSicherheit, diein meineDatenbankintegriert ist:Nein. AlleBenutzerverwendendie gleicheDatenbankanmeldung.Ja, die Datenbankkennt die Identitätder einzelnenBenutzer.Nein. Alle Benutzerverwendendie gleicheDatenbankanmeldungUm Ihre Daten stärker zu schützen, benötigen dieAnmeldeinformationen für den Datenbankzugriff nurLesezugriff. Dadurch wird vermieden, dass PublisherDaten aus Versehen ändern. Zudem führt dies in vielenFällen zu einer Steigerung der Abfrageleistung. Tableauempfiehlt, den Datenbankbenutzern Berechtigungen zurErstellung temporärer Tabellen zu gewähren.DatenbankauthentifizierungWenn die Daten mithilfe der schnellen Daten-Engine vonTableau extrahiert werden, werden Endbenutzern keineOptionen zur Datenbankauthentifizierung angezeigt.Wenn Extrakte automatisch aktualisiert oder inkrementiertwerden, wird ein einzelner Satz von Anmeldeinformationenverwendet, um für jede Datenquelle einen einzelnenExtrakt zu erstellen (entweder „Run as User“1(Als Benutzer ausführen) oder in die Arbeitsmappeeingebettete Anmeldeinformationen).Tableau Server-Sicherheits7

Tableau Server-Sicherheits8Wenn im Verwaltungsbereich des Tableau Server dieOption „Gespeicherte Kennwörter“ aktiviert ist, muss einTableau Server-Benutzer seine Anmeldeinformationenpro Datenquelle nur einmal eingeben. DieAnmeldeinformationen für die Datenquelle werden dannim Tableau Server gespeichert und erneut verwendet,wenn der Benutzer das nächste Mal eine Verbindung zurgleichen Datenquelle herstellt. Beachten Sie, dass dieseAnmeldeinformationen mit denen zur Anmeldung beimTableau Server nicht identisch sind. Tableauverschlüsselt stets alle Kennwörter, die im TableauServer-Repository gespeichert werden.Nähere Informationen zuAuthentifizierungsoptionenDie folgenden Erläuterungen beziehen sich aufdie Datenbanksicherheit selbst und haben keineAuswirkung auf die Möglichkeit, Benutzerfilter inTableau Server zu verwenden. Beim Veröffentlichenkönnen Authentifizierungsoptionen für jedeDatenquelle in der Arbeitsmappe festgelegt werden.Windows-AuthentifizierungDer Tableau Server verwendet die „Run As User“Anmeldeinformationen (Als Benutzer ausführen),um eine Verbindung zur Datenbank herzustellen.Alle Benutzer des Tableau Server verwenden dieseVerbindungsinformationen für die Datenbank. Es werdennicht die Anmeldeinformationen des Publishers oderdie Anmeldeinformationen des bei Tableau Serverangemeldeten Benutzers verwendet. Für diese Optionmuss die Datenbank die integrierte Sicherheit vonWindows verwenden. Dies ist bei SQL Server- oderSQL Server Analysis Services-Implementierungenallgemein üblich. Der Standardbenutzer „Run As User“(Als Benutzer ausführen) für den Tableau Serverist der Netzwerkautoritätsbenutzer. DiesesNetzwerkautoritätskonto ist definitionsgemäß nichtberechtigt, eine Verbindung zu einer Datenbankherzustellen.Benutzername und Kennwort (nicht eingebettet)Jeder Besucher des Tableau Server wirdaufgefordert, sich mit seinem datenbankspezifischenBenutzernamen und dem entsprechendenKennwort bei der Datenbank anzumelden. Wenn SieDatenbanksicherheit bereits eingerichtet haben, istdies eine gute Möglichkeit sicherzustellen, dass dieSicherheit vom Tableau Server gewährleistet wird. Esgibt eine optionale Einstellung, mit der Tableau Ser

Tableau Server . Zugriff auf das System. Als Business Intelligence-Plattform für Unternehmen bietet Tableau Server umfassende und zuverlässige Lösungen für alle Sicherheitsaspekte. Tableau erfüllt eine große Bandbreite anspruchsvoller Sicherheitsanforderungen und ist dabei dennoch einfach zu bedienen und zu implementieren. Das Ergebnis ist