Kerberos の要件

Tableau Server で使用する Kerberos の認証は、Active Directory 環境で構成することができます。

一般的な要件

  • 外部ロード バランサー/プロキシ サーバー: Tableau Server で Kerberos を使用する場合に、その環境に外部ロード バランサー (ELB) またはプロキシ サーバーがある場合は Tableau Server 構成ユーティリティでの Kerberos 構成の前に、これらを設定する必要があります。Tableau Server のプロキシとロード バランサーの設定を参照してください。

  • iOS ブラウザーのサポート: iOS ユーザーは、ユーザーの Kerberos ID を指定する構成プロファイルがインストールされている場合、Mobile Safari で Kerberos 認証を使用することができます。Tableau Mobile ヘルプの「Kerberos サポート用の iOS デバイスの構成」(新しいウィンドウでリンクが開く)を参照してください。Kerberos SSO のブラウザー サポートの詳細については、Kerberos SSO に対する Tableau クライアントのサポートを参照してください。

  • Tableau Server では、データソースへの認証のための制約付きの委任がサポートされています。このシナリオでは、ターゲット データベースの SPN へのアクセス権が Tableau データ アクセス アカウントに専用で付与されています。制約のない委任はサポートされません。

  • サポートされているデータ ソース (SQL Server、MSAS、PostgreSQL、Hive/Impala、および Teradata) で Kerberos 認証を構成する必要があります。

  • keytab ファイルは、ユーザー認証に使用する Tableau Server のサービス プロバイダー名で構成されます。詳細については、「Keytab 要件の理解」を参照してください。

  • Tableau Server 2021.2.25、2021.3.24、2021.4.19、2022.1.15、2022.3.7、および 2023.1.3 (またはそれ以降) では、keytab ファイルが AES-128 暗号または AES-256 暗号を使用して作成されていることを確認してください。RC4 暗号と 3DES 暗号はサポートされなくなりました。詳細については、Tableau ナレッジ ベースの「Tableau Server が自分を自動的に認証できない」(新しいウィンドウでリンクが開く)を参照してください。

Active Directory の要件

Active Directory 環境にある Tableau Server で Kerberos を使用するには次の要件を満たす必要があります。

  • Tableau Server では認証に Active Directory (AD) を使用する必要があります。

  • ドメインは、Tableau Server に対する Kerberos 接続の AD 2003 以降のドメインである必要があります。

  • スマートカードのサポート: スマートカードは、ユーザーがスマートカードでワークステーションにサインインし、それによりユーザーに Kerberos TGT が Active Directory から付与される場合にサポートされます。

  • シングル サインオン (SSO): ユーザーがコンピューターにサインインする際、ユーザーに Active Directory からの Kerberos チケット保証チケット (TGT) を付与する必要があります。この動作はドメインで結合した Windows コンピューター、およびネットワーク アカウント サーバーとして AD を使用する Mac コンピューターで標準的です。Mac コンピューターと Active Directory の使用方法の詳細については、Apple ナレッジ ベースの「ネットワーク アカウント サーバに Mac を接続する」(新しいウィンドウでリンクが開く)を参照してください。

Kerberos 委任

Kerberos 委任シナリオでは、次が必要です。

  • ドメインが AD 2003 以降の場合、シングル ドメイン Kerberos 委任がサポートされます。ユーザー、Tableau Server、およびバックエンド データベースは同じドメイン上に存在している必要があります。

  • ドメインが AD 2008 の場合は、クロス ドメイン サポートに限定されます。次の条件が満たされている場合は、他のドメインのユーザーに委託できます。Tableau Server とバックエンド データベースが同じドメイン上に存在している必要があり、Tableau Server が存在するドメインとユーザーのドメインとの間に双方向の信頼関係が必要です。

  • ドメインが 2012 以降の場合、フル クロスドメイン委任がサポートされます。AD 2012 R2 以外は手動で構成する必要がありますが、AD 2012 R2 には制約付きの委任に対する構成のダイアログがあるため、AD 2012 R2 が推奨されます。

フィードバックをありがとうございます。フィードバックは正常に送信されました。ありがとうございます!