La delega Kerberos consente a Tableau Server di utilizzare le credenziali Kerberos del visualizzatore di una cartella di lavoro o vista per eseguire una query per conto del visualizzatore. Ciò è utile nelle situazioni seguenti:
Devi sapere chi accede ai dati (il nome del visualizzatore comparirà nei registri di accesso per l'origine dati).
L'origine dati ha una sicurezza a livello di riga, in cui utenti diversi hanno accesso a righe diverse.
Origini dati supportate
Tableau supporta la delegazione Kerberos con le seguenti origini dati:
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
MSAS non è supportato sulle piattaforme Linux.
Requisiti
La delegazione Kerberos richiede Active Directory.
- È necessario configurare l'archivio identità di Tableau Server per l'utilizzo di Active Directory.
- Il computer in cui è installato Tableau Server deve essere aggiunto al dominio Active Directory.
- Il centro distribuzione delle chiavi di MIT Kerberos non è supportato.
Web authoring
Esistono due scenari di Web authoring che non supportano la delega Kerberos: le funzionalità "Connetti a dati sul Web" e "Crea origine dati sul Web" non supportano ancora la delega. In particolare, se crei un'origine dati che utilizza Kerberos con il Web authoring, l'origine dati utilizzerà l'autenticazione dell'account di servizio Esegui come. Se desideri utilizzare la delega Kerberos per creare un'origine dati, devi eseguire la pubblicazione con Tableau Desktop.
Processo di configurazione
In questa sezione viene fornito un esempio del processo per abilitare la delegazione Kerberos. Lo scenario include anche nomi di esempio per aiutare a descrivere le relazioni tra gli elementi di configurazione.
Server Tableau necessita di un ticket di servizio Kerberos per la delegazione per conto dell'utente che sta avviando la chiamata al database. Devi creare un account di dominio che verrà utilizzato per la delegazione al database specificato. Questo account viene definito account di servizio Esegui come. In questo argomento, l'utente di esempio configurato come account di delegazione/Esegui come è
tabsrv@example.com.L'account deve essere configurato con utente e computer di Active Directory in un server Windows connesso al dominio dell'utente:
- Apri la pagina Proprietà dell'account di servizio Esegui come, fai clic sulla scheda Delegazione e seleziona Utente attendibile per la delegazione ai servizi specificati e Utilizzare qualsiasi protocollo di autenticazione.
Crea un file keytab per l'account di servizio Esegui come.
Ad esempio, i seguenti comandi creano un file keytab
(tabsrv-runas.keytab) utilizzando lo strumento ktutil:sudo ktutil
ktutil: addent -password -p tabsrv@EXAMPLE.COM -k 2 -e <encryption scheme>
Gli schemi di crittografia per questo comando includono
RC4-HMAC,aes128-cts-hmac-sha1-96eaes256-cts-hmac-sha1-96. Consulta il tuo team IT per individuare lo schema di crittografia corretto per l'ambiente e l'origine dati.ktutil: wkt tabsrv-runas.keytab
Tableau Server utilizzerà l'account di servizio Esegui come e il keytab associato per l'autenticazione e per creare una connessione diretta al database.
Copia il file keytab nella directory dei dati di Tableau Server e imposta la proprietà e le autorizzazioni adeguate.
mkdir /var/opt/keytab sudo cp -p tabsrv-runas.keytab /var/opt/keytab sudo chown $USER /var/opt/keytab/tabsrv-runas.keytab chgrp tableau /var/opt/keytab/tabsrv-runas.keytab chmod g+r /var/opt/keytab/tabsrv-runas.keytab
Esegui i comandi TSM seguenti per attivare la delegazione Kerberos, impostare l'account di servizio di delegazione e associare il file keytab all'account di servizio:
tsm configuration set -k wgserver.delegation.enabled -v true tsm configuration set -k native_api.datasource_impersonation_runas_principal -v tabsrv@EXAMPLE.COM tsm configuration set -k native_api.datasource_impersonation_runas_keytab_path -v /var/opt/keytab/tabsrv-runas.keytab tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true
In alcuni casi, TSM potrebbe restituire un errore che riporta
--force-keys. Se visualizzi questo errore, esegui di nuovo il comando con il parametro--force-keysaggiunto all'argomento.Esegui il seguente comando TSM per applicare le modifiche a Tableau Server:
tsm pending-changes applySe le modifiche in sospeso richiedono il riavvio del server, il comando
pending-changes applyvisualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l'opzione--ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.Abilita la delegazione per le connessioni dati:
SQL Server: consulta Enabling Kerberos Delegation for SQL Server (Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
PostgreSQL: consulta Enabling Kerberos Delegation for PostgreSQL(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Teradata: consulta Enabling Kerberos Delegation for Teradata(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Denodo: consulta Enabling Kerberos Delegation for Denodo on Linux(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Oracle: consulta Enabling Kerberos Delegation for Oracle(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Cloudera: consulta Enabling Kerberos Delegation for Hive/Impala(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Vertica: consulta Enabling Kerberos Delegation for Vertica(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Vedi anche