Tableau-Clientunterstützung für die einmalige Anmeldung über Kerberos
In diesem Artikel werden einige Anforderungen für und Nuancen bei der Verwendung der einmaligen Kerberos-Anmeldung (Single Sign-on, SSO) mit Tableau Server beschrieben, die vom jeweiligen Tableau-Client und Betriebssystem abhängig sind. Die Clients in diesem Artikel beinhalten allgemeine Webbrowser, Tableau Desktop und die Tableau Mobile-App.
Allgemeine Clientunterstützung des Browsers
Um die browsergestützte einmalige Anmeldung (Single Sign-on (SSO)) per Kerberos verwenden zu können, müssen die folgenden Bedingungen erfüllt sein:
Kerberos muss in Tableau Server aktiviert sein.
Der Benutzer muss über einen Benutzernamen und ein Kennwort für die Anmeldung bei Tableau Server verfügen.
Hinweis: Wenn Kerberos SSO (einmaliges Anmelden über Kerberos) fehlschlägt, können Benutzer wieder zurück auf ihre Anmeldeinformationen – Benutzername und Kennwort – gesetzt werden, sofern ein Zurücksetzen eingerichtet ist.
Der Benutzer muss sich über Kerberos auf dem Clientcomputer oder Mobilgerät bei Active Directory authentifizieren. Genauer gesagt verfügt er demnach über ein Kerberos Ticket Granting Ticket (TGT).
Tableau Desktop und Browser-Clients
Unter Windows oder auf dem Mac können Sie die einmalige Kerberos-Anmeldung verwenden, um sich mithilfe der folgenden Tableau Desktop- oder Browser-Versionen bei Tableau Server anzumelden. Bei entsprechender Angabe ist eine zusätzliche Konfiguration erforderlich.
Windows
- Tableau Desktop 10.3 oder höher wird unterstützt.
- Internet Explorer – wird unterstützt, muss möglicherweise konfiguriert werden, siehe Hinweis 1
- Chrome – wird unterstützt, muss möglicherweise konfiguriert werden, siehe Hinweis 1
- Firefox – Konfiguration erforderlich, siehe Hinweis 2
- Safari – nicht unterstützt
Mac OS X
- Tableau Desktop 10.3 oder neuer
- Safari – unterstützt
- Chrome – siehe Hinweis 3
- Firefox – siehe Hinweis 2
- Internet Explorer – nicht unterstützt
Clients für die Tableau Mobile-App
Auf einem iOS- oder Android-Gerät können Sie die folgenden Tableau Mobile- oder mobilen Browser-Versionen verwenden, um die Kerberos-Authentifizierung für Tableau Server anzuwenden:
iOS
Android – siehe Hinweis 5
- Tableau Mobile-App
- Chrome
Betriebssystem- und Browser-spezifische Hinweise
Die folgenden Hinweise beschreiben die Konfigurationsanforderungen oder Probleme bei bestimmten Betriebssystem- und Client-Kombinationen.
Hinweis 1: Internet Explorer oder Chrome auf Windows-Desktop
Die einmalige Kerberos-Anmeldung wird sowohl in Internet Explorer als auch in Chrome unterstützt, muss jedoch über die Windows-Internetoptionen konfiguriert werden:
Aktivieren Sie die integrierte Windows-Authentifizierung.
Überprüfen Sie, ob sich die Tableau Server-URL in der lokalen Intranetzone befindet.
Internet Explorer kann mitunter Intranetzonen erkennen und diese Einstellung konfigurieren. Wenn die Tableau Server-URL nicht ermittelt und konfiguriert wurde, müssen Sie die URL der lokalen Intranetzone manuell hinzufügen.
So aktivieren Sie die integrierte Windows-Authentifizierung:
Öffnen Sie Internetoptionen in der Windows-Systemsteuerung.
Blättern Sie auf der Registerkarte Erweitert nach unten zum Abschnitt Sicherheit.
Wählen Sie die Option Integrierte Windows-Authentifizierung aktivieren aus.
Klicken Sie auf Übernehmen.
So prüfen oder fügen Sie die Tableau Server-URL zur lokalen Intranetzone hinzu:
Öffnen Sie Internetoptionen in der Windows-Systemsteuerung.
Wählen Sie auf der Registerkarte Sicherheit die Option Lokales Intranet aus, und klicken Sie dann auf Sites.
Klicken Sie im Dialogfeld Lokales Intranet auf Erweitert.
Suchen Sie im Feld Websites nach der internen Tableau Server-URL.
In einigen Organisationen verwenden IT-Administratoren einen Platzhalter (*) zum Angeben interner URLs. Beispielsweise schließt die folgende URL alle Server im internen
example.lan
-Namespace in der lokalen Intranetzone ein.https://*.example.lan
Die folgende Abbildung zeigt eine spezifische URL von
https://tableau.example.lan
.Wenn im Feld Websites weder die Tableau Server-URL noch ein Platzhalter angegeben ist, geben Sie die Tableau Server-URL in das Feld Diese Website zur Zone hinzufügen ein, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
Wenn die Tableau Server-URL bereits unter Websites aufgeführt ist, können Sie das Dialogfeld einfach schließen.
Hinweis 2: Firefox für Windows und Mac OS X Desktop
Sie können Firefox und die einmalige Kerberos-Anmeldung unter Windows oder auf einem Mac verwenden, um sich bei Tableau Server anzumelden. Dazu müssen Sie die folgenden Schritte durchführen, um Firefox für die Kerberos-Unterstützung zu konfigurieren:
Geben Sie in Firefox
about:config
in der Adressleiste ein.Klicken Sie auf Ich bin mir der Gefahren bewusst, wenn Sie hinsichtlich der Änderung erweiterter Einstellungen gewarnt werden.
Geben Sie
negotiate
in das Feld Suche ein.Doppelklicken Sie auf network.negotiate-auth.allow-non-fqdn, und legen Sie dann den Wert auf true fest.
- Doppelklicken Sie auf network.negotiate-auth.trusted-uris, und geben Sie den vollqualifizierten Tableau Server-Domänennamen (FQDN) ein. Beispiel:
tableau.example.com
.
Hinweis 3: Chrome auf Mac OS X Desktop
Gemäß der Chrome-Dokumentation funktioniert die einmalige Kerberos-Anmeldung auf einem Mac, wenn Sie Chrome mit dem folgenden Befehl über ein Terminalfenster starten:
open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"
tableauserver.example.com
ist hierbei die URL für Tableau Server in Ihrer Umgebung.
Bei unseren Tests sind jedoch inkonsistente Ergebnisse aufgetreten. Daher wird für die einmalige Kerberos-Anmeldung auf einem Mac empfohlen, Safari oder Firefox zu verwenden. Weitere Informationen finden Sie im Abschnitt Integrierte Authentifizierung unter HTTP-Authentifizierung(Link wird in neuem Fenster geöffnet) auf der Site "Chromium-Projekte".
Hinweis: Die Benutzer können sich weiterhin mit Chrome für Mac OS X bei Tableau Server anmelden. Sie werden jedoch möglicherweise aufgefordert, ihren Benutzernamen und ihr Kennwort einzugeben (die einmalige Anmeldung funktioniert möglicherweise nicht).
Hinweis 4: Mobile Safari oder Tableau Mobile für iOS
Die einmalige Anmeldung per Kerberos wird unterstützt, wenn iOS für Kerberos konfiguriert ist. Auf dem iOS-Gerät muss ein Konfigurationsprofil für die Kerberosauthentifizierung installiert sein. Dafür ist in der Regel die IT-Abteilung eines Unternehmens zuständig. Der Tableau-Support kann keine Unterstützung bei der Konfiguratione von iOS-Geräten für Kerberos leisten. Weitere Informationen finden Sie im Thema Authentifizierung(Link wird in neuem Fenster geöffnet) im Tableau Mobile-Bereitstellungshandbuch.
Hinweis 5: Android-Plattform
Kerberos-SSO wird in der Tableau Mobile-App auf dem Android-Betriebssystem nicht unterstützt. Sie können weiterhin Ihr Android-Gerät und die Tableau Mobile-App oder einen unterstützten mobilen Browser verwenden, um eine Verbindung mit Tableau Server herzustellen, wenn in Kerberos als Ausweichlösung festgelegt ist, dass bei einem SSO-Fehler die Authentifizierung per Benutzername und Kennwort akzeptiert werden soll. In diesem Szenario werden Benutzer beim Zugriff auf Tableau Server aufgefordert, ihre Anmeldeinformationen einzugeben, anstatt sich mit Kerberos zu authentifizieren.
Weitere Informationen
- Tableau Mobile-Bereitstellungshandbuch: Kontrollauthentifizierung und Zugang für Tableau Mobile(Link wird in neuem Fenster geöffnet)
- Siehe Webbrowser unter Technische Daten zu Tableau Server(Link wird in neuem Fenster geöffnet)