Vereisten voor domeinvertrouwen voor Active Directory-implementaties

Wanneer u Tableau Server uitvoert in een Active Directory-omgeving in meerdere domeinen (hetzij in hetzelfde Active Directory-forest of in verschillende forests), is een deel van de functionaliteit van Tableau afhankelijk van de vertrouwensrelatie tussen de domeinen. Sommige beheerders beheren bijvoorbeeld gebruikers in domeinen die gescheiden zijn van de domeinen waarin ze servertoepassingen implementeren, zoals Tableau Server. In andere organisaties kan een Tableau Server-implementatie worden gedeeld met externe partners of met verschillende partners binnen de organisatie. Tot slot kunnen met Windows geverifieerde databronnen, zoals SQL Server, MSAS of Oracle, waarmee Tableau Server verbinding maakt, zich ook in andere domeinen bevinden.

Als dit haalbaar is, raden we aan om tweerichtingsvertrouwen te configureren tussen alle domeinen die communiceren met Tableau Server. Als dit niet mogelijk is, kan Tableau Server worden geconfigureerd om gebruikersverificatie te ondersteunen waarvoor eenrichtingsvertrouwen is geconfigureerd. In dit geval wordt eenrichtingsvertrouwen tussen domeinen ondersteund wanneer het domein waarin Tableau Server is geïnstalleerd, is geconfigureerd om het domein te vertrouwen waarin gebruikersaccounts zich bevinden.

De volgende afbeelding toont eenrichtingsvertrouwen tussen het domein waar Tableau Server is geïnstalleerd en het domein waarin gebruikersaccounts zich bevinden:

In dit scenario bevindt Tableau Server zich in het domein dev.local. Gebruikers worden uit het Active Directory-domein users.lan geïmporteerd in Tableau Server. Voor dit scenario is eenrichtingsvertrouwen vereist. Het domein dev.local is specifiek geconfigureerd om het domein users.lan te vertrouwen. Gebruikers in het domein users.lan kunnen met hun normale Active Directory-referenties toegang krijgen tot Tableau Server in dev.local. Het kan echter nodig zijn om de bijnaam van het domein op Tableau Server bij te werken voordat gebruikers zich met de bijnaam kunnen aanmelden. Raadpleeg de Tableau-knowledgebase(Link wordt in een nieuw venster geopend) voor meer informatie.

Wanneer u Tableau Server voor dit scenario configureert, geeft u tijdens de installatie het primaire gebruikersdomein op. Zie Initiële knooppuntinstellingen configureren. Om te zorgen dat Tableau Server verbinding kan maken met andere Active Directory-domeinen, moet u de vertrouwde domeinen opgeven door de optie wgserver.domain.accept_list met TSM in te stellen. Zie wgserver.domain.accept_list voor meer informatie.

Dubbele accounts voor binding voor domeinvertrouwen

Tableau Server op Linux is gebaseerd op de LDAP-implementatie van JDK. Deze gebruikte een eenvoudige binding voor verificatie bij Active Directory. Eenvoudige binding is niet domeinbewust en ondersteunt daarom geen cross-domain binding. Wanneer u het initiële identiteitenarchief instelt, moet u het account voor binding opgeven dat u wilt gebruiken voor verificatie bij Active Directory.

Om vertrouwen tussen bewerkingen voor opzoeken in domeinen en directory’s mogelijk te maken, moet u dit account voor binding in elk doeldomein dupliceren. Elk account voor binding in elk domein moet dezelfde gebruikersnaam gebruiken (sAMAccountName of dn) en ook hetzelfde wachtwoord.

Eenmalige aanmelding van Kerberos wordt in dit scenario met eenrichtingsvertrouwen ondersteund.

Raadpleeg Gebruikersbeheer in implementaties met externe identiteitenarchieven om te lezen hoe meerdere domeinen, domeinnamen, NetBIOS en Active Directory-gebruikersnaamnotatie het gebruikersbeheer van Tableau beïnvloeden.

Verbinding maken met live data in scenario’s met eenrichtingsvertrouwen

In het scenario met eenrichtingsvertrouwen kunnen gebruikers die verbinding maken met Tableau Server verbinding maken met live data die in de cloud worden gehost of in een andere databron op locatie die niet afhankelijk is van Windows-verificatie.

Databronnen waarvoor Windows-verificatie vereist is, hebben mogelijk aanvullende verificatievereisten die het scenario ingewikkelder maken of er zelfs voor kunnen zorgen dat gebruikers van Tableau Server geen verbinding kunnen maken. Dit komt omdat Tableau Server een service rekening houdt met verificatie bij dergelijke databronnen. Als u Tableau Server in een ander domein uitvoert dan databronnen die Windows-verificatie gebruiken, controleer dan of de service gebruikt voor Tableau Server toegang heeft tot de databron.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.