Active Directory 部署的域信任要求

在跨多个域(位于相同 Active Directory 林或不同林中)的 Active Directory 环境中运行 Tableau Server 时,某些 Tableau 功能依赖于域之间的信任关系。例如,某些管理员在独立于部署服务器应用程序(例如 Tableau Server)的域的其他域中管理用户。在其他组织中,外部合作伙伴或组织中的不同合作伙伴可能会共用 Tableau Server 部署。最后,Tableau Server 连接到的经过 Windows 身份验证的数据源(例如 SQL Server、MSAS 或 Oracle)也可能在其他域中。

如果可行,我们建议在与 Tableau Server 交互的所有域之间配置双向信任。如果不可行,可将 Tableau Server 配置为支持已配置了单向信任的用户身份验证。在这种情况下,如果安装了 Tableau Server 的域配置为信任用户帐户所在的域,则支持域之间的单向信任。

下图显示安装了 Tableau Server 的域与用户帐户所在域之间的单向信任:

在此方案中,Tableau Server 位于 dev.local 域中,并会将 users.lan Active Directory 域中的用户导入 Tableau Server。此方案需要单向信任;具体而言,dev.local 域配置为信任 users.lan 域。users.lan 域中的用户可使用其标准 Active Directory 凭据访问 dev.local 中的 Tableau Server。但是,在用户使用昵称记录之前,您可能需要在 Tableau Server 上更新域昵称。有关详细信息,请参阅 Tableau 知识库(链接在新窗口中打开)

为此方案配置 Tableau Server 时,请在安装过程中指定主用户域。请参见配置初始节点设置。为了确保 Tableau Server 可以连接到其他 Active Directory 域,您还必须通过使用 TSM 设置 wgserver.domain.accept_list 选项来指定 Tableau Server 连接到的其他域。有关详细信息,请参见wgserver.domain.accept_list

域信任的重复绑定帐户

Linux 版 Tableau Server 依赖于 JDK 的 LDAP 实现,该实现使用简单绑定向 Active Directory 进行身份验证。简单绑定不是域感知的,因此不支持跨域绑定。设置初始身份存储时,必须提供用于对 Active Directory 进行身份验证的绑定帐户。

若要启用跨域信任和目录查找,必须在每个目标域中复制此绑定帐户。每个域中的每个绑定帐户必须使用相同的用户名(sAMAccountNamedn)和密码。

此单向信任方案中支持 Kerberos 单点登录。

查看 使用外部身份存储的部署中的用户管理以了解多个域、域命名、NetBIOS 和 Active Directory 用户名格式会对 Tableau 用户管理产生怎样的影响。

在单向信任方案中连接到实时数据

在单向信任方案中,连接到 Tableau Server 的用户可连接到云中托管的实时数据,或者任何其他不依赖于 Windows 身份验证的本地数据源上的实时数据。

要求 Windows 身份验证的数据源可能有其他身份验证要求,这些要求会使方案复杂化,或者可能会使 Tableau Server 用户无法连接。这是因为 Tableau Server 为此类数据源的身份验证使用服务帐户。如果在与使用 Windows 身份验证的数据源不同的其他域中运行 Tableau Server,请验证用于 Tableau Server 的服务帐户是否能访问数据源。

感谢您的反馈!