Conditions requises pour Kerberos
Vous pouvez configurer l’authentification Kerberos pour Tableau Server s’exécutant dans des environnements Active Directory.
Configuration générale requise
Équilibrage de charge externe/serveur proxy : Si vous envisagez d’utiliser Tableau Server avec Kerberos dans un environnement possédant des équilibreurs de charge externes ou un serveur proxy, vous devez les définir avant de configurer Kerberos dans l’utilitaire de configuration de Tableau Server. Consultez Configuration des serveurs proxy et des équilibreurs de charge pour Tableau Server.
Prise en charge du navigateur iOS : Un utilisateur iOS peut utiliser l’authentification Kerberos avec Mobile Safari si un profil de configuration spécifiant l’identité Kerberos de l’utilisateur est installé. Voir Configuration d’un appareil iOS pour Kerberos(Le lien s’ouvre dans une nouvelle fenêtre) dans la Base de connaissances de Tableau Mobile. Pour plus d’informations sur la prise en charge des navigateurs pour une authentification SSO Kerberos, consultez l’article Prise en charge du client Tableau pour l’authentification unique Kerberos.
Tableau Server prend en charge la délégation contrainte pour l’authentification sur les sources de données. Dans ce scénario, Ie compte d’accès aux données Tableau a reçu des droits spécifiques pour accéder aux SPN de la base de données cible. La délégation non contrainte n’est pas prise en charge.
Les sources de données prises en charge (SQL Server, MSAS, PostgreSQL, Hive/Impala, et Teradata) doivent être configurées pour l’authentification Kerberos.
Un fichier keytab doit être configuré avec le nom du fournisseur de service pour Tableau Server à des fins d’authentification de l’utilisateur. Pour plus d’informations, consultez Comprendre la configuration requise du fichier keytab.
Depuis Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 et 2023.1.3 (ou version ultérieure), assurez-vous que les fichiers keytab sont créés avec les chiffrements AES-128 ou AES-256. Les chiffrements RC4 et 3DES ne sont plus pris en charge. Pour plus d’informations, voir « Tableau Server n’a pas pu vous authentifier automatiquement »(Le lien s’ouvre dans une nouvelle fenêtre) dans la base de connaissances Tableau.
Exigences Active Directory
Pour pouvoir exécuter Tableau Server avec Kerberos dans un environnement Active Directory, vous devez répondre aux exigences suivantes :
Tableau Server doit s’appuyer sur Active Directory (AD) pour l’authentification.
Le domaine doit être un domaine AD 2003 ou version ultérieure pour les connexions Kerberos à Tableau Server.
Prise en charge des cartes à puce : Les cartes à puce sont prises en charge lorsque les utilisateurs se connectent à leur poste de travail avec une carte à puce et que cette connexion a pour effet d’octroyer un ticket TGT Kerberos à l’utilisateur à partir d’Active Directory.
Connexion unique (SSO) : Les utilisateurs doivent être en possession d’un ticket TGT (Ticket Granting Ticket) Kerberos d’Active Directory lorsqu’ils se connectent à leur ordinateur. Il s’agit d’un comportement normal pour les PC Windows appartenant à un domaine et pour les ordinateurs Macintosh utilisant Active Directory en tant que serveur de comptes réseau. Pour plus d’informations sur l’utilisation d’ordinateurs Macintosh et d’Active Directory, consultez l’article Associer votre Mac à un serveur de comptes réseau(Le lien s’ouvre dans une nouvelle fenêtre) dans la base de connaissances d’Apple.
Délégation Kerberos
Les scénarios de délégation Kerberos requièrent les éléments suivants :
Si le domaine est AD 2003 ou supérieur, la délégation Kerberos à un seul domaine est prise en charge. Les utilisateurs, Tableau Server et la base de données principale doivent être sur le même domaine.
Si le domaine est AD 2008, la prise en charge inter-domaines est limitée. Les utilisateurs d’autres domaines peuvent être délégués si les conditions suivantes sont remplies. Tableau Server et la base de données principale doivent être sur le même domaine, et la confiance mutuelle est requise entre le domaine où Tableau Server réside et le domaine de l’utilisateur.
Si le domaine est 2012 ou supérieur, la délégation inter-domaines complète est prise en charge. AD 2012 R2 est préféré parce qu’il comporte une boîte de dialogue pour la configuration de la délégation contrainte, tandis que 2012 non-R2 exige une configuration manuelle.