Wir zeigen, wie MFA für Tableau Cloud unkompliziert eingerichtet werden kann
Für Tableau und Salesforce hat die Sicherheit der eigenen Produkte höchsten Stellenwert. Deshalb wird zwischen dem 31. Oktober und dem 28. November die Multi-Faktor-Authentifizierung (MFA) für alle User verpflichtend notwendig. Ab diesem Zeitraum ist die Anmeldung nur per Benutzername und Passwort nicht mehr möglich. Ebenso wird MFA bei der Verwendung von Single Sign-On (SSO) ebenfalls obligatorisch. Sofern noch kein MFA eingerichtet ist, raten wir deshalb dazu, diese Anforderung zu einem von Ihnen selbst gewählten Zeitpunkt vor dem Stichtag 31.10.2022 zu erfüllen. In diesem Beitrag erklären wir, was Sie in beiden Szenarien tun müssen und beantworten die wichtigsten Fragen zur Umstellung.
Szenario 1: Benutzer melden sich aktuell mit Benutzername und Passwort an
Um für die Anmeldung Ihrer Benutzer die Multi-Faktor-Authentifizierung anzufordern, können Sie als Administrator im Menüpunkt Benutzer die betreffenden Konten auswählen und dann auf Aktionen > Authentifizierung klicken. Hier haben Sie die Auswahl zwischen Tableau MFA – Benutzer können sich mit Tableau-Anmeldeinformationen und Multi-Faktor-Authentifizierung bei Tableau Online anmelden und Tableau – Benutzer können einen Benutzernamen und ein Kennwort erstellen, um sich bei Tableau Online anzumelden. Wählen Sie Tableau MFA aus, die ausgewählten Konten sollten nun eine Aufforderung erhalten, MFA für ihren Login einzurichten.
Beim nächsten Login Ihrer Benutzer sollte dann nach Eingabe von Benutzername und Passwort diese Aufforderung auftauchen, in der der Benutzer seine präferierte Methode zur Multi-Faktor-Authentifizierung auswählen kann:
An diesem Punkt bestehen folgende Möglichkeiten:
- Salesforce Authenticator
Installieren Sie den Salesforce Authenticator auf Ihrem Smartphone. Nach Auswahl dieser Option werden zwei Wörter angezeigt, die in der App eingegeben werden müssen. Nach Eingabe sollte die App eingerichtet sein und kann fortan als zweiter Authentifizierung-Faktor bei der Anmeldung verwendet werden. - Generator für Einmal-Kennwörter
Benutzer, die bereits eine andere Authentifikator-App (z.B. den Google- oder Microsoft Authenticator oder Authy) auf ihrem Telefon installiert haben, sollten diese Option nutzen. Wenn Sie diese Option wählen, wird ein QR-Code angezeigt. Dieser wird dann über die App der Wahl gescannt, um Tableau Cloud hierfür einzurichten. Fortan melden Sie sich dann über die App als zweiten Faktor an. - Wiederherstellungscodes
Diese Option generiert mehrere Codes, die nur einmalig sichtbar sind. Benutzer sollten diese Codes sicher speichern und sie verwenden, wenn sie sich nicht mehr mit den oben genannten Methoden anmelden können. Diese Methode ist also mehr Fallback als zweite Authentifizierungsmethode. Wir empfehlen vor allem Administratoren, zusätzlich zur Verwendung von MFA ebenso Wiederherstellungscodes zu erstellen. Auf diese Weise können Sie auch nach dem Verlust Ihres Smartphones auf Ihr Konto zugreifen, ohne Ihre Identität manuell durch Tableau verifizieren zu müssen.
Szenario 2: Benutzer melden sich über einen Identity Provider mittels SSO/SAML an
Auch wenn sich Ihre Benutzer über einen externen Identity Provider anmelden, erfordert Tableau Cloud von Ihnen, dass MFA für diesen aktiviert ist. Stellen Sie also sicher, dass MFA für den von Ihnen verwendeten Identity Provider zwingend für die betreffenden Benutzer aktiviert ist.
Da es viele verschiedene Identity Provider gibt (Google, Okta, OneLogin, Azure AD usw.), variieren die Schritte zum Aktivieren dieser Funktion je nach Anbieter. Arbeiten Sie mit dem Administrator des Identity Provider zusammen, um MFA für alle Tableau Cloud-Benutzer obligatorisch zu machen. Die Benutzer müssen dann einen zusätzlichen Authentifizierungsschritt mit dem Identity Provider durchlaufen, bevor sie sich bei Tableau Cloud anmelden können. Sobald dies festgelegt ist, sind keine weiteren Änderungen an der Tableau Cloud-Konfiguration erforderlich.
Künftig erfordert Tableau Cloud also für alle User und Instanzen zwingend eine Multi-Faktor-Authentifizierung. Wenden Sie sich für Hilfe bei der Einrichtung gerne an Ihren Ansprechpartner bei The Information Lab oder schreiben Sie uns direkt hier.
Damit Ihre User bei der Einrichtung Ihrer Zugänge nicht verloren gehen, können Sie sich zudem hier eine Anleitung von uns herunterladen, wie man MFA als User einrichtet. Zur Einrichtung können Sie sich auch an diesen Hilfestellungen aus der offiziellen Knowledgebase von Tableau orientieren. Unser Kollege Tim Ngwena hat zudem ein Video veröffentlicht, was das Thema nochmal beleuchtet. Wir haben die wichtigsten Fragen und Antworten allerdings auch nachfolgend einmal für Sie zusammengefasst.
Die wichtigsten Fragen (und Antworten) zur MFA in Tableau Cloud im Überblick
Wo finde ich offizielle Informationen über die Tableau Cloud MFA-Anfoderungen?
Antwort: Die wichtigsten öffentlich Informationen von Tableau und Salesforce finden Sie nachfolgend. Die meisten Fragen werden bereits in diesen Dokumenten beantwortet. Wenn Sie Kunde von The Information Lab sind zögern Sie aber bitte nicht, sich bei Fragen auch an unseren Support oder Ihren Ansprechpartner bei uns zu wenden.
- Salesforce Multi-Faktor-Authentifizierung FAQ
- Tableau Cloud Produkt-Hilfe: Multi-Faktor-Authentifizierung und Tableau Cloud
- Tableau Community-Seite: Benachrichtigung für Tableau Cloud Site Admins
- Tableau Knowledge Base: Aktivieren der Multi-Faktor-Authentifizierung (MFA) für Tableau Cloud nicht möglich
Woher wissen wir, ob die MFA-Anforderung erfüllt sind?
Antwort: Für die SSO-Authentifizierung (Anmeldung z. B. über SAML, Google, Azure AD) aktivieren Sie die MFA-Funktion für Ihren Identitätsanbieter. Bitte wenden Sie sich hierzu an Ihr IT-Team oder Ihren Identitätsanbieter. Für die integrierte Authentifizierung (Benutzername und Passwort) können Sie die unter Szenario 1 stehenden Schritte anwenden, um Ihre Benutzerkonten auf „Tableau mit MFA“ umzustellen.
Ist MFA auch für SSO-Anmeldungen erforderlich?
Antwort: Ja, die Multi-Faktor-Authentifizierung ist auch für die Anmeldung mittels eines externen Identityproviders erforderlich.
Können wir SMS, E-Mail oder eine Telefonnummer als zweiten Faktor hinterlegen?
Antwort: Keine der obengenannten Methoden wird unterstützt, Sie müssen als zweiten Faktor bei der Anmeldung eine Authtenticator-App wie die von Salesforce oder eine von Ihrem SSO-Anbieter bereitgestellte Methode verwenden.
Wir haben keine Mobiltelefone, können wir Desktop- oder browserbasierte TOTP-Authentifikatoren verwenden?
Antwort: Desktop- oder browserbasierte TOTP-Authentifikatoren sind zulässig. Als Best Practice wird jedoch die Verwendung von mobilen Authentifikator-Apps empfohlen. Wenn allerdings eine TOTP-Desktop-Authentifikator-App oder eine Browsererweiterung die einzige Option ist, die für Ihre Benutzer funktioniert, können Sie die MFA-Anforderung mit diesen Arten von Methoden erfüllen.
Wie verwende ich die Wiederherstellungscodes, um mich bei Tableau Cloud anzumelden?
Antwort: Falls Sie den Salesforce Authenticator benutzen, können Sie einfach auf „Ich habe die Benachrichtigung nicht erhalten“ > „Eine andere Authentifizierungsmethode auswählen“ > „Wiederherstellungscode“ klicken. Verwenden Sie dann für die Anmeldung einen ungenutzten Code.
Was passiert, wenn wir die Deadline zur Einrichtung von MFA nicht einhalten?
Antwort: Im Laufe des nächsten Jahres wird Salesforce den einfachen Authentifizierungstyp „Tableau“ schrittweise aus Tableau Cloud entfernen, so dass Kunden ab dann gezwungen sein werden, MFA zu verwenden, wenn sie die integrierten Identitäts-/Authentifizierungsfunktionen (Benutzername und Passwort) nutzen. Mehr über Deadlines erfahren Sie in der MFA-Roadmap von Salesforce. Wir empfehlen, rechtzeitig und zu einem von Ihnen gewählten Zeitpunkt mit den Vorbereitungen für die Einführung von MFA zu beginnen, und ermutigen Kunden, sich bei Fragen an ihren Ansprechpartner bei The Information Lab oder direkt an uns zu wenden.
Inwiefern sind externe User z.B. bei eingebetteten Dashboards betroffen?
Antwort: MFA ist nicht erforderlich für externe Tableau Online-Benutzer, die Visualisierungen in eingebetteten Kontexten verwenden, oder für externe Benutzer einer Tableau Online-Website.
Was muss ich mit anderen Tableau-Produkten tun, um den neuen Authentifizierungstyp „Tableau mit MFA“ zu verwenden?
Antwort:
- Tableau Desktop, Tableau Prep Builder, Tableau Bridge
Bitte aktualisieren Sie auf die Versionen 2021.1+ - tabcmd
Bitte verwenden Sie einen PAT (Personal Access Token) im tabcmd Kommandozeilenprogramm Version 2.0. - Tableau Prep Builder Befehlszeile
Unseres Wissenstands nach arbeitet das Tableau-Entwicklungsteam derzeit aktiv an einer Lösung. Wenn Sie den Authentifizierungstyp des Benutzerkontos (das in Skripten verwendet wird) in „Tableau mit MFA“ ändern, können sich diese Skripte nicht bei der Tableau Cloud anmelden, was zu einem Fehler bei der Ausführung führt. - REST API
Bitte verwenden Sie einen PAT (Personal Access Token) für die Anmeldung bei Tableau Cloud.