Active Directory 部署的網域信任需求
在跨多個網域(位於相同 Active Directory 林或不同林中)的 Active Directory 環境中執行 Tableau Server 時,某些 Tableau 功能依賴於網域之間的信任關係。例如,某些管理員在獨立於部署伺服器應用程式(例如 Tableau Server)的網域的其他網域中管理使用者。在其他組織中,外部合作夥伴或組織中的不同合作夥伴可能會共用 Tableau Server 部署。最後,Tableau Server 連線到的經過 Windows 驗證的資料來源(例如 SQL Server、MSAS 或 Oracle)也可能在其他網域中。
如果可行,我們建議在與 Tableau Server 交互的所有網域之間設定雙向信任。如果不可行,可將 Tableau Server 設定為支援已設定了單向信任的使用者驗證。在這種情況下,如果安裝了 Tableau Server 的網域設定為信任使用者帳戶所在的網域,則支援域之間的單向信任。
下圖顯示安裝了 Tableau Server 的網域與使用者帳戶所在網域之間的單向信任:
在此方案中,Tableau Server 位於 dev.local 網域中,並會將 users.lan Active Directory 網域中的使用者匯入 Tableau Server。此方案需要單向信任;具體而言,dev.local 網域設定為信任 users.lan 網域。users.lan 網域中的使用者可使用其標準 Active Directory 認證存取 dev.local 中的 Tableau Server。但是,在使用者使用昵稱記錄之前,您可能需要在 Tableau Server 上更新網域昵稱。有關詳情,請參閱 Tableau 知識庫(連結在新視窗開啟)。
為此方案設定 Tableau Server 時,請在安裝過程中指定主要使用者網域。請參閱設定初始節點設定。為了確保 Tableau Server 可連線至其他 Active Directory 網域,您必須藉由透過 TSM 設定 wgserver.domain.accept_list 選項,以指定 Tableau Server 要連線到的其他網域。有關詳情,請參閱 wgserver.domain.accept_list。
網域信任的重複繫結帳戶
Linux 上的 Tableau Server 依賴 JDK 使用簡單繫結的 LDAP 實作,對 Active Directory 進行身分驗證。簡單繫結不感知網域,因此不支援跨網域繫結。設置初始身分存放區時,必須提供用來進行 Active Directory 身分驗證的繫結帳戶。
若要啟用跨網域信任和目錄查找,必須在每個目標網域中複製此繫結帳戶。每個網域中的每個繫結帳戶必須使用相同的使用者名稱 (sAMAccountName 或 dn) 與密碼。
此單向信任方案中支援 Kerberos 單一登入。
檢視 使用外部識別身分存放區進行部署中的使用者管理以瞭解多個網域、網域命名、NetBIOS 和 Active Directory 使用者名格式會對 Tableau 使用者管理產生怎樣的影響。
在單向信任方案中連線到即時資料
在單向信任方案中,連線到 Tableau Server 的使用者可連線到雲端中託管的即時資料,或者任何其他不依賴於 Windows 驗證的本機資料來源上的即時資料。
要求 Windows 驗證的資料來源可能有其他驗證要求,這些要求會使方案複雜化,或者可能會使 Tableau Server 使用者無法連線。這是因為 Tableau Server 為此類資料來源的驗證使用