Kerberos SSO 的 Tableau 客户端支持


本文介绍有关将 Kerberos 单点登录 (SSO) 与 Tableau Server 结合使用的一些要求和细微差别,具体情况取决于特定 Tableau 客户端和操作系统。本文中涵盖的 Tableau 客户端包括常用 Web 浏览器、Tableau Desktop 和 Tableau Mobile 应用。

一般浏览器客户端支持

要使用基于浏览器的 Kerberos 单点登录 (SSO),必须满足以下条件:

  • 必须在 Tableau Server 上启用 Kerberos。

  • 用户必须具有用于登录到 Tableau Server 的用户名和密码。

    注意:当 Kerberos SSO 失败时,如果设置了回退,用户可以回退为使用其用户名和密码凭据。

  • 必须在客户端计算机或移动设备上通过 Kerberos 向 Active Directory 验证用户的身份。具体而言,这意味着他们具有 Kerberos 票证授予票证 (TGT)。

Tableau Desktop 和浏览器客户端

在 Windows 或 Mac 上,您可以使用 Kerberos SSO 从以下版本的 Tableau Desktop 或浏览器中登录到 Tableau Server。特别要说明的是,可能需要额外的配置。

Windows

  • 支持 Tableau Desktop 10.3 或更高版本。
  • Internet Explorer - 支持,可能需要配置,请参见注释 1
  • Chrome - 支持,可能需要配置,请参见注释 1
  • Firefox - 需要配置,请参见注释 2
  • Safari - 不支持

Mac OS X

  • Tableau Desktop 10.3 或更高版本
  • Safari - 支持
  • Chrome - 请参见注释 3
  • Firefox - 请参见注释 2
  • Internet Explorer - 不支持

Tableau Mobile 应用客户端

在 iOS 或 Andoid 设备上,您可以使用以下 Tableau Mobile 或移动浏览器版本,通过 Kerberos 向 Tableau Server 进行身份验证:

iOS

  • Tableau Mobile 应用 - 请参见 注释 4
  • Safari - 请参见注释 4
  • Chrome - 不支持

Android - 请参见注释 5

  • Tableau Mobile 应用
  • Chrome

特定于操作系统和浏览器的注意事项

以下注意事项描述特定操作系统和客户端组合的配置要求或问题。

注释 1:Windows 桌面上的 Internet Explorer 或 Chrome

Internet Explorer 和 Chrome 上都支持 Kerberos SSO,但需要在 Windows Internet 选项中进行配置:

  1. 启用集成 Windows 身份验证

  2. 验证 Tableau Server URL 是否位于本地 Intranet 区域中。

    Internet Explorer 有时可能会检测到 Intranet 区域并配置此设置。如果未检测到和配置 Tableau Server URL,则您必须将 URL 手动添加到本地 Intranet 区域。

启用集成 Windows 身份验证:

  1. 在 Windows 控制面板中,打开“Internet 选项”

  2. “高级”选项卡上,向下滚动到“安全”部分。

  3. 选择“启用集成 Windows 验证”

  4. 单击“应用”

进行验证或将 Tableau Server URL 添加到本地 Intranet 区域:

  1. 在 Windows 控制面板中,打开“Internet 选项”

  2. “安全”选项卡上上,选择“本地 Intranet”,然后单击“站点”

  3. “本地 Intranet”对话框上,单击“高级”

    在“网站”字段中,查找内部 Tableau Server URL。

    在某些组织中,IT 管理员将使用通配符 (*) 来指定内部 URL。例如,以下 URL 包括本地 Intranet 区域中内部 example.lan 命名空间内的所有服务器。

    https://*.example.lan

    下图显示了 https://tableau.example.lan 的特定 URL。

  4. 如果 Tableau Server URL 或通配符 URL 未在“网站”字段中指定,请在“将该网站添加到区域”字段中输入 Tableau Server URL,单击“添加”,然后单击“确定”

    如果 Tableau Server URL 已经列在“网站”中,您只需关闭对话框即可。

注释 2:Windows 或 Mac OS X 桌面上的 Firefox

您可以在 Windows 或 Mac 上将 Firefox 与 Kerberos SSO 结合使用来登录到 Tableau Server。为此,您必须完成以下步骤,将 Firefox 配置为支持 Kerberos:

  1. 在 Firefox 的地址栏中输入 about:config

  2. 出现有关更改高级设置的警告时,单击“我承诺我会小心”

  3. “搜索”框中输入 negotiate

  4. 双击“network.negotiate-auth.allow-non-fqdn”,然后将值设置为 true

  5. 双击“network.negotiate-auth.trusted-uris”,并输入 Tableau Server 的完全限定域名 (FQDN)。例如,tableau.example.com

注释 3:Mac OS X 桌面上的 Chrome

根据 Chrome 文档,当您使用以下命令从终端窗口中启动 Chrome 时,Kerberos SSO 可在 Mac 上工作::

open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"

其中,tableauserver.example.com 是您的环境中 Tableau Server 的 URL。

但是,我们在测试中发现了不一致的结果。因此,如果想要在 Mac 上使用 Kerberos SSO,我们建议您使用 Safari 或 Firefox。有关详细信息,请参见“The Chromium Projects”站点上 HTTP authentication(HTTP 身份验证)(链接在新窗口中打开)中的“Integrated Authentication”(集成身份验证)部分。

注意:用户仍然可以在 Mac OS X 上使用 Chrome 登录到 Tableau Server,但可能会提示用户使用其用户名和密码登录(单点登录可能不起作用)。

注释 4:iOS 上的 Mobile Safari 或 Tableau Mobile

如果针对 Kerberos 配置了 iOS,则支持 Kerberos SSO。iOS 设备必须已安装 Kerberos 身份验证配置文件。此操作通常由企业 IT 团队完成。Tableau 支持团队无法协助您针对 Kerberos 配置 iOS 设备。请参见 Tableau Mobile 部署指南中的身份验证主题(链接在新窗口中打开)

注释 5:Android 平台

Android 操作系统上的 Tableau Mobile 应用不支持 Kerberos SSO。如果 Kerberos 设置了当 SSO 无法接受用户名和密码身份验证时的回退功能,您仍然可以使用 Android 设备和 Tableau Mobile 应用或受支持的移动浏览器连接到 Tableau Server。在这种情况下,用户在访问 Tableau Server 时,系统会提示用户输入其凭据,而不是使用 Kerberos 进行身份验证。

详细信息

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!