使用运行身份服务帐户进行数据访问

  • 版本 :2022.1 及更高版本

配置 Windows 身份验证后,运行身份服务帐户需要对 Tableau Server 访问的数据库具有读取和查询权限。按照设计,运行身份服务帐户权限可让具有“创建者”角色或“资源管理器(可以发布)”角色的 Tableau Server 用户访问相同的数据库。具有这些角色的用户在使用 Tableau Server 上的“Windows 身份验证”选项连接到数据库时,可以访问和查看与运行身份服务帐户具有相同级别的数据库。

例如,具有“创建者”角色的用户可以查看已被授予对运行身份服务帐户的访问权限的所有数据库。

如果创建者用户在从 Web 浏览器创建新数据源时指定数据库主机名并选择“Windows 身份验证”,则用户将能够查看已获得运行身份服务帐户权限的数据库。

对数据库资产的查看访问权限不仅限于使用 Web 浏览器连接到 Tableau Server 的用户。具有上述相同角色且了解数据库服务器名称的高级用户还可以使用 Tableau Desktop 制作工作簿,这些工作簿可以查看已获得运行身份服务帐户权限的数据库。

此处介绍的功能对于运行身份服务帐户访问的所有数据源都是通用的,无论用户如何使用 Tableau Server 进行身份验证。例如,即使用户使用 Kerberos 或 SAML 向 Tableau Server 进行身份验证,他们对所有运行方式配置的数据源的访问权限也将相同。具有创建程序或资源管理器(可以发布)的用户能够访问运行身份服务帐户的所有权限数据。

建议

在这些情况下,用户对数据库的访问是否可以接受,必须由您的组织进行评估。通常,减少运行身份服务帐户的使用和范围将减少用户无意中访问数据库内容的可能性。但是,减少运行身份服务帐户的使用和范围也可能对你和你的用户施加更多的凭据管理。

根据业务需求和数据访问策略评估以下建议。

  • 首先,请确保您信任具有创建者角色或资源管理器(可以发布)角色的所有用户。您将依靠这些用户在 Tableau 中完整地执行操作。

  • 如果无法信任对运行身份服务帐户访问的数据源具有发布权限的所有用户,则应考虑为这些数据源嵌入凭据。

  • 如果未为自动数据提取刷新设置数据源,也就是说,数据源主要作为实时连接进行访问,则可以使用 Kerberos 委派。有关要求,请参阅启用 Kerberos 委派