将自定义域与 Tableau Cloud 配合使用
从 2025 年 8 月开始,您可以使用自定义域将流量重定向到您的 Tableau Cloud 站点。自定义域允许站点管理员配置子域(如 analytics.example.com),使您能够嵌入和访问已发布的内容,而不会暴露 Tableau 站点详细信息。使用自定义域,您可以高效地将利益相关者路由到内容,提供特定于组织的 URL,引入品牌标识。
本主题介绍如何在 Tableau Cloud 站点设置中配置自定义域。有关使用 Tableau REST API 配置自定义域的信息,请参见 Tableau REST API OpenAPI 端点(链接在新窗口中打开)。
开始之前
若要将自定义域添加到 Tableau Cloud,您必须满足以下用户和 TLS 证书要求。
用户要求
Tableau Cloud 站点的管理员访问权限。您必须对要添加自定义域的 Tableau Cloud 站点具有管理员访问权限。
父域的 DNS 配置的管理员权限。您必须具有管理员权限才能将 CNAME 记录添加到父域的 DNS 配置中。
父域是 DNS 层次结构顶部的主域,包含其下方的子域。例如,“example.com”是父域,并连接了诸如“abc.example.com”或“xyz.example.com”之类的子域。
TLS 证书要求
从受信任的颁发机构(例如 Verisign、Thawte、Comodo、GoDaddy)获取有效的 TLS 证书链文件和私钥。您无法使用您的公司颁发的内部证书。
获取自定义域的 TLS 证书时,请遵循以下准则和要求:
包含完整证书链的 TLS 证书。TLS 证书必须按身份证书 > 中间证书 > 根证书的顺序包括完整的证书链。
有效的 PEM 编码 x509 证书。所有证书文件必须是有效的 PEM 编码 x509 证书。
SHA-256 用作签名算法。证书文件必须使用 SHA-2(256 位或 512 位)签名哈希。
RSA 用作加密算法。证书文件必须使用 RSA 加密算法。
与自定义域匹配的公用名称。证书公用名称 (CN) 必须与在 Tableau Cloud 的“设置”页面上输入的自定义域匹配。Tableau 不会检查“使用者备用名称 (SAN)”字段。
90 天至 365 天内过期。证书到期日期必须在颁发之日起 90 天到 365 天内。
有效的 RSA 私钥文件。除了证书文件外,您还必须上载对应的 TLS 证书密钥文件。密钥文件必须是扩展名为
.key的有效 RSA 私钥,并且位长度为 2048 位或更高。
PEM 编码文件示例
以下是 PEM 编码的证书和私钥文件的格式示例。出于说明目的,内容已缩短,您的文件将更长。
重要信息: 证书链文件必须以 -----BEGIN CERTIFICATE----- 开头。此外,不要在证书链文件的 -----END 和 -----BEGIN 部分之间包含注释。
证书链文件
-----BEGIN CERTIFICATE----- MIIGiTCCBHGgAwIBAgIIY5dpPr2gQjowDQYJKoZIhvcNAQENBQAwgYsxCzAJBgNV ... A7jcIyoWtoPP1rZ3VjP4LIVVro8pce7MNtD9CzUYN8kQk1iftBKWjcCd20Km -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIGqzCCBJOgAwIBAgIIYifB1rX/1pAwDQYJKoZIhvcNAQELBQAwgYUxCzAJBgNV ... g+qyDLoAy/td0D8ha8SlWt5ee2cAF9Xu7Y9jNe21Ug== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDpjCCAyugAwIBAgIQDTYMRISRziTtCzVA2HCg3TAKBggqhkjOPQQDAzBhMQsw ... 7LX35CV+ypuVTbKZkjATTvROgmL5AgTbsAg= -----END CERTIFICATE-----
私钥文件
-----BEGIN PRIVATE KEY----- MIIEpAIBAAKCAQEAgN9TePjxsgvjZ8QERQILf3YbofaBHGks5E3k9dRP0cx7sw1O ... xpAh+dRkr0vjsj/ZnJyYfaUQDcV4wslFcn6eKoINEQrtBj40P1iqig== -----END PRIVATE KEY-----
与自定义 OAuth 连接的兼容性
配置新的 OAuth 客户端时,请为“重定向 URL”使用自定义域。举例来说,如果自定义域为“analytics.example.com”,则重定向 URL 将为“https://analytics.example.com/auth/add_oauth_token”。无论您的自定义域配置如何,现有工作簿都将继续按预期运行。有关自定义 OAuth 客户端的详细信息,请参见OAuth 连接。
为您的站点添加自定义域
若要将自定义域添加到 Tableau Cloud 站点,请使用以下部分中的步骤。
添加域名
以管理员身份登录到 Tableau Cloud 站点,然后选择“设置”。
在“常规”选项卡上,滚动到“自定义域”。
为您的站点输入域名。值必须是子域。Tableau不支持为自定义域使用父域,例如“example.com”。
单击“保存”。
验证 CNAME
使用步骤 1 中显示的“Tableau 创建域” ,在 DNS 配置中创建 CNAME 记录。此步骤在外部 Tableau Cloud 执行,并且需要组织中的网络管理员访问权限。CNAME 验证在添加自定义域 24 小时后过期,此时您必须重新启动该过程。
提示:我们建议 CNAME 记录的生存时间 (TTL) 值为 30-60 分钟。
选中该复选框以确认您已创建了从所选自定义域到 DNS 配置中的 Tableau CNAME 的 CNAME 记录。
单击“验证”。
上载 TLS 证书和私钥
上载与自定义域关联的完整证书链和私钥文件。证书链必须包括根证书、中间证书和最终用户证书。有关证书要求的详细信息,请参见 TLS 证书要求。
单击“保存”。
成功上载文件后,预置域最多可能需要 60 分钟。Tableau Cloud UI 在预置时显示状态通知,并在自定义域可用时消失。
使用自定义域时应该做什么
使用自定义域时,需要考虑一些用户界面更改,即点击自定义域链接到 Tableau Cloud 站点并与内容交互。
地址栏中的 URL 显示自定义域,而不是托管您站点的 Tableau Cloud pod。此更改不会影响登录,因为用户仍然可以通过 https://online.tableau.com(链接在新窗口中打开) 访问站点。
“共享”对话框链接和嵌入代码指向自定义域,而不是托管您站点的 Tableau Cloud pod。当对话框使用当前 URL 中的信息填充字段时,此更改是意料之中的。对于之前共享或嵌入的内容,URL 将继续引用 Tableau Cloud pod。若要改用自定义域,您必须使用新的“共享”对话框值手动更新以前的链接。有关共享 Tableau 内容的详细信息,请参见 Tableau Desktop 帮助中的共享 Web 内容(链接在新窗口中打开)。
对于属于多个站点的用户,在访问具有自定义域的内容时,站点选择器不可用。若要切换站点,请注销并向所需站点进行身份验证。
替换或更新 TLS 证书
您最终必须替换 TLS 证书和密钥文件,因为它们即将过期或根据组织中的操作更改的要求进行替换。证书到期日期显示在“设置”页面的“自定义域”部分。
替换 TLS 证书和私钥文件:
以管理员身份登录到 Tableau Cloud 站点,然后选择“设置”。
在“常规”选项卡上,滚动到“自定义域”。
选择“替换证书”,然后按照“上载 TLS 证书”中列出的步骤操作。
移除自定义域
移除自定义域时,用于共享和嵌入内容的 URL 将不再可用。为了减轻影响,用户可以在移除自定义域之前更新书签和嵌入内容的 URL,以使用托管其站点的 Tableau Cloud pod 的名称。有关 Tableau Cloud pod 的列表,请参见 Salesforce 信任(链接在新窗口中打开)。
若要从站点中移除自定义域,请执行以下操作:
以管理员身份登录到 Tableau Cloud 站点,然后选择“设置”。
在“常规”选项卡上,滚动到“自定义域”。
选择“移除域”>“移除”。
疑难解答
添加 CNAME 记录时延迟 DNS 传播
如果在将 CNAME 记录添加到 DNS 配置时遇到延迟,请确保 CNAME 反映预期的映射。您可以使用诸如 dig 和 nslookup 之类的命令行工具来验证 CNAME 映射。
证书错误
若要更正证书错误,请按照屏幕上的说明进行操作,并验证证书是否符合 TLS 证书要求。