É possível configurar a autenticação do Kerberos para o Tableau Server em execução nos ambientes do Active Directory.

Requisitos gerais

  • Balanceador de carga externa/servidor proxy: se você for usar o Tableau Server com o Kerberos em um ambiente que tenha balanceadores de carga externos (ELBs) ou servidor proxy, será necessário instalá-los antes de configurar o Kerberos no utilitário de configuração do Tableau Server. Consulte Configuração de proxies no Tableau Server.

  • Suporte no navegador do iOS: um usuário do iOS poderá usar a autenticação do Kerberos com o Safari móvel se um perfil de configuração especificando a identidade do Kerberos do usuário estiver instalado. Consulte Configuração de um dispositivo iOS para o suporte Kerberos(O link abre em nova janela) na Ajuda do Tableau Mobile. Para obter mais informações sobre a compatibilidade com o SSO do Kerberos, consulte Suporte do cliente Tableau para o SSO do Kerberos.

  • O Tableau Server suporta delegação restrita para autenticações em fontes de dados. Neste cenário, o acesso a dados do Tableau recebe direitos especificamente sobre os SPNs do banco de dados de destino. A delegação não restrita não é aceita.

  • As fontes de dados suportadas (SQL Server, MSAS, PostgreSQL, Hive/Impala e Teradata) devem estar configuradas para a autenticação do Kerberos.

  • Um arquivo keytab configurado com um nome do provedor de serviços para o Tableau Server para autenticação de usuário. Para obter mais informações, consulte Saiba mais sobre os requisitos do Keytab..

Requisitos do Active Directory

É necessário cumprir os requisitos a seguir para executar o Tableau Server com o Kerberos em um ambiente do Active Directory:

  • O Tableau Server deve usar um Active Directory (AD) para autenticação.

  • O domínio deve ser um AD 2003 ou posterior para conexões do Kerberos para o Tableau Server.

  • Suporte ao Smartcard: os smartcards são aceitos quando os usuários efetuam logon nas estações de trabalho com um smartcard, e isso faz com que um TGT do Kerberos seja concedido ao usuário no Active Directory.

  • Logon único (SSO): os usuários devem receber uma concessão de TGT (Ticket Granting Ticket) do Kerberos no Active Directory, ao fazer o logon nos computadores. Este é um comportamento padrão para PCs com Windows unidos por domínios e para Macs que usam o AD como o servidor de conta da rede. Para obter mais informações sobre como usar computadores com Mac e Active Directory, consulte Associe seu Mac a um servidor de conta da rede(O link abre em nova janela) na base de dados de conhecimento de dados da Apple.

Delegação do Kerberos

Para cenários de delegação do Kerberos, é exigido o seguinte:

  • Se o domínio for AD 2003 ou posterior, a delegação de domínio único do Kerberos será suportada. Os usuários, o Tableau Server e o banco de dados de backend devem estar no mesmo domínio.

  • Se o domínio for AD 2008, o suporte entre domínios será limitado. Usuários de outros domínios podem ser delegados se as seguintes condições forem atendidas: O Tableau Server e o banco de dados de backend devem estar no mesmo domínio e uma confiança bidirecional é necessária entre o domínio em que o Tableau Server reside e o domínio do usuário.

  • Se o domínio for 2012 ou posterior, a delegação completa entre domínios será suportada. O AD 2012 R2 é preferido por ter uma caixa de diálogo para configurar a delegação restrita, enquanto o 2012 sem R2 exige configuração manual.

Agradecemos seu feedback!