Kerberos 需求

您可以為在 Active Directory 環境中執行的 Tableau Server 設定 Kerberos 驗證。

一般要求

  • 外部負載平衡器/代理伺服器:如果打算在具有外部負載平衡器 (ELB) 或代理伺服器的環境中將 Tableau Server 與 Kerberos 一起使用,必須先對它們進行設定,再使用 Tableau Server 設定公用程式設定 Kerberos。請參閱針對 Tableau Server 設定 Proxy

  • iOS 瀏覽器支援:如果安裝了指定使用者 Kerberos 身分的設定檔案,則 iOS 使用者可以將 Kerberos 驗證與 Mobile Safari 一起使用。請參閱 Tableau Mobile 幫助中的針對 Kerberos 支援設定 iOS 裝置。有關 Kerberos SSO 的瀏覽器支援的詳細資料,請參閱Kerberos SSO 的 Tableau 用戶端支援

  • Tableau Server 支援資料來源驗證的限制委派。在這種情況下,會專門授予 Tableau 資料存取帳戶對目標資料庫 SPN 的委派權。不支援非約束委派。

  • 必須為 Kerberos 驗證設定受支援的資料來源(SQL Server、MSAS、PostgreSQL、Hive/Impala 和 Teradata)。

  • 一個 Keytab 檔案,該檔設定為具有 Tableau Server 使用者驗證所用的服務提供程式名稱。如果為資料來源使用 Kerberos 驗證,則應將這些認證包括在您將在 Tableau Server 上設定 Kerberos 的過程中指定的單一 Keytab 檔案中。

Active Directory 要求

您必須滿足以下要求才能在 Active Directory 環境中將 Tableau Server 與 Kerberos 一起執行:

  • Tableau Server 必須使用 Active Directory (AD) 進行驗證。

  • 網域必須是 AD 2003 或更高版本的網域才能實現 Tableau Server 的 Kerberos 連線。

  • 智慧卡支援:如果使用者使用智慧卡登入到其工作站,而且此登入導致透過 Active Directory 向使用者授予 Kerberos TGT,則智慧卡受支援。

  • 單一登入 (SSO):在使用者登入到其電腦時,必須透過 Active Directory 授予其 Kerberos 票證授予票證 (TGT)。這對於聯接域的 Windows 電腦和使用 AD 作為網路帳戶伺服器的 Mac 電腦是標準行為。有關使用 Mac 電腦和 Active Directory 的詳情,請參閱 Apple 知識庫的將 Mac 聯結到網路帳戶伺服器

Kerberos 委派

對於 Kerberos 委派方案,需要以下內容:

  • 如果網域是 AD 2003 或更高版本,則支援單域 Kerberos 委派。使用者、Tableau Server 和後端資料庫必須位於同一個網域中。

  • 如果網域是 AD 2008,則提供的跨域支援有限。如果滿足以下條件,則可以委派來自其他網域的使用者。Tableau Server 和後端資料庫必須位於同一個網域中,並且在 Tableau Server 所在的網域與使用者的網域之間需要雙向信任。

  • 如果網域是 2012 或更高版本,則支援完整的跨域委派。AD 2012 R2 是慣用的版本,因為該版本有用於設定約束委派的對話方塊,而 2012 非 R2 需要手動設定。

感謝您的回饋! 提交意見回饋時發生錯誤。重試或傳送訊息給我們