Requisitos de Kerberos
Puede configurar la autenticación de Kerberos para Tableau Server ejecutado en entornos de Active Directory.
Requisitos generales
Equilibrador de carga externo o servidor proxy: si va a usar Tableau Server con Kerberos en un entorno con equilibradores de carga externos (ELB) o un servidor proxy, debe configurarlos antes de configurar Kerberos en la utilidad de configuración de Tableau Server. Consulte Configurar proxies y equilibradores de carga para Tableau Server.
Compatibilidad de explorador iOS: un usuario de iOS puede usar la autenticación de Kerberos con Mobile Safari si se instala un perfil de configuración que especifique la identidad Kerberos del usuario. Consulte Configurar un dispositivo iOS para la compatibilidad con Kerberos(El enlace se abre en una ventana nueva) en la Ayuda de Tableau Mobile. Para obtener más información sobre los navegadores compatibles con el SSO de Kerberos, consulte Compatibilidad de los clientes de Tableau con el SSO de Kerberos.
Tableau Server admite la delegación restringida para la autenticación en fuentes de datos. En esta situación, la cuenta de acceso a datos de Tableau tiene asignados específicamente los derechos para los SPN de la base de datos de destino. No se admite la delegación no restringida.
Las fuentes de datos admitidas (SQL Server, MSAS, PostgreSQL, Hive/Impala y Teradata) deben estar configuradas para la autenticación Kerberos.
El archivo keytab está configurado con el nombre del proveedor de servicios de Tableau Server para la autenticación de usuarios. Para obtener más información, consulte Información sobre los requisitos de keytab.
A partir de Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 y 2023.1.3 (o posteriores), asegúrese de que los archivos de tabla de claves se creen con cifrados AES-128 o AES-256. Los cifrados RC4 y 3DES ya no son compatibles. Si desea obtener más información, consulte “Tableau Server could not authenticate you automatically”(El enlace se abre en una ventana nueva) en la base de conocimientos de Tableau.
Requisitos de Active Directory
Debe satisfacer los siguientes requisitos para ejecutar Tableau Server con Kerberos en un entorno Active Directory.
Tableau Server debe usar Active Directory (AD) para la autenticación.
El dominio debe ser de AD 2003 o posterior para las conexiones de Kerberos a Tableau Server.
Compatibilidad de tarjeta inteligente: las tarjetas inteligentes son compatibles cuando los usuarios inician sesión en sus estaciones de trabajo con una tarjeta inteligente y esto hace que Active Directory conceda un TGT de Kerberos al usuario.
Inicio de sesión único (SSO): se debe conceder a los usuarios un vale de concesión de vales (TGT) desde Active Directory al iniciar sesión en los equipos. Este es un comportamiento estándar para los equipos de Windows combinados a dominio y para los equipos Mac que usen AD como el servidor de cuentas de red. Para obtener más información sobre el uso de equipos Mac y Active Directory, consulte Conectar su Mac a un servidor de cuentas de red(El enlace se abre en una ventana nueva) en Apple Knowledge Base.
Delegación de Kerberos
En los escenarios de delegación de Kerberos, debe cumplirse lo siguiente:
Si el dominio es AD 2003 o posterior, se admite la delegación de Kerberos de dominio único. Los usuarios, Tableau Server y la base de datos back-end deben encontrarse en el mismo dominio.
Si el dominio es AD 2008, la compatibilidad de dominio cruzado es limitada. Los usuarios de otros dominios se pueden delegar si se dan las condiciones siguientes. Tableau Server y la base de datos back-end deben encontrarse en el mismo dominio y se precisa una confianza bidireccional entre el dominio donde reside Tableau Server y el del usuario.
Si el dominio es 2012 o posterior, se admite la delegación de dominio cruzado. Se prefiere AD 2012 R2 porque tiene un cuadro de diálogo para configurar la delegación restringida; en la versión 2012 que no es R2, la configuración es manual.