Kerberos-krav
Du kan konfigurera Kerberos-autentisering för Tableau Server som körs i Active Directory-miljöer.
Allmänna krav
Extern belastningsutjämnare/proxyserver: om du kommer att använda Tableau Server med Kerberos i en miljö som har externa belastningsutjämnare (ELB:er) eller en proxyserver så behöver du konfigurera dessa innan du konfigurerar Kerberos i konfigureringsverktyg för Tableau Server. Läs mer i Konfigurera proxyservrar och belastningsutjämnare för Tableau Server.
iOS-webbläsarstöd: en iOS-användare kan använda Kerberos-autentisering med mobil Safari om det finns en konfigurationsprofil installerad som specificerar användarens Kerberos-identitet. Se Konfigurera en iOS-enhet för Kerberos-stöd(Länken öppnas i ett nytt fönster) i Onlinehjälpsystem för Tableau Mobile. Mer information om webbläsarstöd för Kerberos SSO finns i Tableau-klientstöd för Kerberos enkel inloggning.
Tableau Server har stöd för begränsad delegering för autentisering till datakällor. I det här scenariot beviljas Tableau-dataåtkomstkontot specifikt behörigheter till måldatabasens SPN:er. Obegränsad delegering stöds inte.
De datakällor som stöds (SQL Server, MSAS, PostgreSQL, Hive/Impala och Teradata) måste konfigureras för Kerberos-autentisering.
En keytab-fil som konfigurerats med tjänsteleverantörens namn för Tableau Server för användarautentisering. Mer information finns i Förstå kraven för keytab-filer.
Från och med Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7, 2023.1.3 (eller senare) ser du till att keytab-filer skapas med AES-128- eller AES-256-chiffer. RC4- och 3DES-chiffer stöds inte längre. Du hittar mer information i artikeln Tableau Server could not authenticate you automatically(Länken öppnas i ett nytt fönster) (på engelska) i Tableaus kunskapsbas.
Krav för Active Directory
Du måste uppfylla följande krav för att köra Tableau Server med Kerberos i en Active Directory-miljö:
Tableau Server måste använda Active Directory (AD) för autentisering.
Domänen måste vara en AD 2003-domän eller senare för Kerberos-anslutningar till Tableau Server.
Stöd för smartkort: Smartkort stöds när användare loggar in på sina arbetsstationer med ett smartkort. Resultatet är att en Kerberos TGT beviljas användaren från Active Directory.
Enkel inloggning (SSO): Användare måste beviljas en Kerberos-biljettbeviljande biljett (TGT) från Active Directory när de loggar in på sina datorer. Detta är standardbeteende för domänanslutna Windows-datorer och standard för Mac-datorer som använder AD som nätverkskontoserver. Se Join your Mac to a network account server(Länken öppnas i ett nytt fönster) (Ansluta en Mac till en nätverkskontoserver) i Apples kunskapsbas för mer information om hur du använder Mac-datorer och Active Directory.
Kerberos-delegering
För scenarier med Kerberos-delegering krävs följande:
Om domänen är AD 2003 eller senare stöds Kerberos-delegering av en enda domän. Användarna, Tableau Server och serverdatabasen måste befinna sig på samma domän.
Om domänen är AD 2008 finns det begränsat stöd för flera domäner. Användare från andra domäner kan delegeras om följande villkor uppfylls. Tableau Server och serverdatabasen måste befinna sig på samma domän och ett tvåvägsförtroende krävs mellan domänen där Tableau Server befinner sig och användarens domän.
Om domänen är 2012 eller senare stöds fullständig delegering över flera domäner. AD 2012 R2 är att föredra då den har en dialogruta som låter dig konfigurera begränsad delegering, medan 2012 icke-R2 kräver manuell konfiguration.