Kerberos-Anforderungen
Sie können die Kerberos-Authentifizierung konfigurieren, wenn Tableau Server in Active Directory-Umgebungen ausgeführt wird.
Allgemeine Anforderungen
Externes Lastausgleichsmodul/Proxyserver: Wenn Sie Tableau Server zusammen mit Kerberos in einer Umgebung verwenden, die über externe Lastausgleichsmodule oder einen Proxyserver verfügt, müssen Sie diese bzw. diesen vor der Konfiguration von Kerberos im Tableau Server-Konfigurationsdienstprogramm einrichten. Siehe Konfigurieren von Proxys und Lastenausgleichsmodulen für Tableau Server.
iOS-Browser-Unterstützung: Ein iOS-Benutzer kann die Kerberos-Authentifizierung mit Mobile Safari nutzen, wenn ein Konfigurationsprofil installiert ist, das die Kerberos-Identität des Benutzers festlegt. Siehe Konfigurieren eines iOS-Geräts für die Kerberos-Unterstützung(Link wird in neuem Fenster geöffnet) in der Tableau Mobile-Hilfe. Weitere Informationen über die Browserunterstützung für die einmalige Anmeldung über Kerberos finden Sie im Thema über die Tableau-Clientunterstützung für die einmalige Anmeldung über Kerberos.
Tableau Server unterstützt die beschränkte Delegierung bei der Authentifizierung für Datenquellen. In diesem Szenario werden dem Tableau-Datenzugriffskonto spezielle Rechte für die SPNs der Zieldatenbank gewährt. Eine uneingeschränkte Delegierung wird nicht unterstützt.
Die unterstützten Datenquellen (SQL Server, MSAS, PostgreSQL, Hive/Impala und Teradata) müssen für die Kerberos-Authentifizierung konfiguriert sein.
Eine keytab-Datei, die mit dem Dienstanbieternamen für Tableau Server zur Benutzerauthentifizierung konfiguriert ist. Weitere Informationen finden Sie unter Einführung in keytab-Anforderungen.
Ab Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 und 2023.1.3 (oder höher) müssen Sie sicherstellen, dass Keytab-Dateien mit AES-128- oder AES-256-Verschlüsselungen erstellt werden. RC4- und 3DES-Verschlüsselungen werden nicht mehr unterstützt. Weitere Informationen finden Sie unter „Tableau Server konnte Sie nicht automatisch authentifizieren“(Link wird in neuem Fenster geöffnet) in der Tableau-Wissensdatenbank.
Active Directory-Anforderungen
Um Tableau Server mit Kerberos in einer Active Directory-Umgebung auszuführen, müssen die folgenden Anforderungen erfüllt sein:
Tableau Server muss Active Directory (AD) zur Authentifizierung verwenden.
Bei der Domäne muss es sich um eine AD 2003-Domäne oder eine neuere Domäne für Kerberos-Verbindungen zu Tableau Server handeln.
Smartcard-Unterstützung: Smartcards werden unterstützt, wenn sich Benutzer mit einer Smartcard bei ihren Arbeitsstationen anmelden und diese Anmeldung dazu führt, dass den Benutzern ein Kerberos TGT von Active Directory bereitgestellt wird.
Single Sign-on (SSO, Einmaliges Anmelden): Benutzern muss ein Kerberos Ticket Granting Ticket (TGT) von Active Directory bereitgestellt werden, wenn sie sich bei ihren Computern anmelden. Dies ist das Standardverhalten von mit einer Domäne verbundenen Windows-Computern und von Mac-Computern, die AD als Netzwerkkontoserver verwenden. Weitere Informationen zur Verwendung von Mac-Computern und Active Directory finden Sie unter Verknüpfung zwischen Ihrem Mac und einem Netzwerkkonto-Server(Link wird in neuem Fenster geöffnet) in der Apple-Knowledge-Base.
Kerberos-Delegierung
Für Kerberos-Delegierungsszenarien gibt es folgende Voraussetzungen:
Wenn die Domäne AD 2003 oder später ist, wird die Kerberos-Delegierung für einzelne Domänen unterstützt. Die Benutzer, Tableau Server sowie die Backend-Datenbank müssen sich auf derselben Domäne befinden.
Wenn die Domäne AD 2008 ist, wird die domänenübergreifende Delegierung eingeschränkt unterstützt. Benutzer anderer Domänen können unter folgenden Umständen delegiert werden. Tableau Server und die Backend-Datenbank müssen sich auf derselben Domäne befinden und es ist ein Two-Way Trust zwischen der Domäne, auf der Tableau Server sich befindet, und der Domäne des Benutzers erforderlich.
Wenn die Domäne 2012 oder später ist, wird die domänenübergreifende Delegierung vollständig unterstützt. AD 2012 R2 wird bevorzugt, da diese Version ein Dialogfeld für die Konfiguration der beschränkten Delegierung enthält, während bei 2012 nicht R2 eine manuelle Konfiguration erforderlich ist.