Attivare la delegazione Kerberos
La delega Kerberos consente a Tableau Server di utilizzare le credenziali Kerberos del visualizzatore di una cartella di lavoro o vista per eseguire una query per conto del visualizzatore. Ciò è utile nelle situazioni seguenti:
Devi sapere chi accede ai dati (il nome del visualizzatore comparirà nei registri di accesso per l’origine dati).
L’origine dati ha una sicurezza a livello di riga, in cui utenti diversi hanno accesso a righe diverse.
Origini dati supportate
Tableau supporta la delegazione Kerberos con le seguenti origini dati:
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- MSAS
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
- TIBCO
Requisiti
La delegazione Kerberos richiede Active Directory.
- È necessario configurare l’archivio identità di Tableau Server per l’utilizzo di Active Directory.
- Il computer in cui è installato Tableau Server deve essere aggiunto al dominio Active Directory.
- Il centro distribuzione delle chiavi di MIT Kerberos non è supportato.
- Un account di dominio deve essere configurato come account servizio Esegui come e in Tableau Server. Consulta Modificare l’account servizio Esegui come. Se gli utenti si trovano in un dominio di Active Directory diverso da quello di Tableau Server e dell’origine dati, è necessario configurare l’autorità del dominio. Consulta Requisiti di attendibilità dei domini per le distribuzioni di Active Directory.
- Delega configurata. Concedi i diritti di delega per l’account servizio Esegui come ai nomi dell’entità servizio del database di destinazione. L’account servizio Esegui come è un’autorità delegata per l’accesso alle risorse per conto dell’utente di origine iniziale.
- Se stai configurando la delega in Tableau Server 2020.2 o versione successiva con un’origine dati Oracle utilizzando un connettore basato su JDBC, consulta Abilitare la delega Kerberos per i connettori JDBC. A partire da Tableau 2020.2, il connettore Oracle utilizza JDBC.
Web authoring e autenticazione utente Kerberos
Quando si configura Connetti ai dati per una determinata destinazione, puoi selezionare l’autenticazione integrata o Windows come metodo di autenticazione preferito. Tuttavia, per gli scenari di Web authoring, il comportamento predefinito prevede invece l’utilizzo dell’account del servizio Kerberos (account “Esegui come”).
Per abilitare le credenziali utente negli scenari di Web authoring con delega Kerberos, devi effettuare operazioni di configurazione aggiuntive utilizzando TSM. Esegui questi comandi:
tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply
Dopo aver eseguito questo comando di configurazione, la delega Kerberos diventa l’operazione predefinita quando si seleziona l’autenticazione integrata con Web authoring. Tuttavia, questa impostazione non impedirà ai Creator di contenuti di accedere all’account di servizio. I Creator possono comunque pubblicare contenuti che si collegano all’account del servizio Esegui come, utilizzando Tableau Desktop o altri metodi.
Processo di configurazione
In questa sezione viene fornito un esempio del processo per abilitare la delegazione Kerberos. Lo scenario include anche nomi di esempio per aiutare a descrivere le relazioni tra gli elementi di configurazione.
In tutti i nodi in Tableau Server, configura l’utente Esegui come per agire come parte del sistema operativo. Per maggiori informazioni, consulta Abilitare l’account servizio Esegui come a comportarsi come il sistema operativo.
Server Tableau necessita di un ticket di servizio Kerberos per la delegazione per conto dell’utente che sta avviando la chiamata al database. Devi creare un account di dominio che verrà utilizzato per la delegazione al database specificato. Questo account viene definito account di servizio Esegui come. In questo argomento, l’utente di esempio configurato come account di delegazione/Esegui come è
tabsrv@example.com
.L’account deve essere configurato con utente e computer di Active Directory in un server Windows connesso al dominio dell’utente:
- Apri la pagina Proprietà dell’account di servizio Esegui come, fai clic sulla scheda Delegazione e seleziona Utente attendibile per la delegazione ai servizi specificati e Utilizzare qualsiasi protocollo di autenticazione.
Esegui il comando TSM seguente per attivare la delegazione Kerberos:
tsm configuration set -k wgserver.delegation.enabled -v true
Esegui il seguente comando TSM per applicare le modifiche a Tableau Server:
tsm pending-changes apply
Se le modifiche in sospeso richiedono il riavvio del server, il comando
pending-changes apply
visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione--ignore-prompt
, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.(Facoltativo) Configura Tableau Server per utilizzare il formato entità di MIT Kerberos.
Per impostazione predefinita, Tableau Server genera le entità Kerberos utilizzando lil diminutivo di Active Directory. Ad esempio, se Tableau Server esegue la delegazione Kerberos per un utente in
EXAMPLE.COM
con un diminutivoEXAMPLE
, il nome dell’entità sarà:user@example
.Se il database è in esecuzione su Linux, potresti dover modificare il mapping
auth_to_local
in krb5.conf. Per informazioni sulla modifica del file krb5.conf, consulta Configurazione multidominio della delegazione Kerberos. In alternativa, puoi configurare Tableau Server per utilizzare il nome di dominio completo per le entità Kerberos eseguendo i comandi seguenti:tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys tsm pending-changes apply
Abilita la delegazione per le connessioni dati:
SQL Server: consulta Enabling Kerberos Delegation for SQL Server (Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
MSAS: consulta Enabling Kerberos Delegation for MSAS(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
PostgreSQL: consulta Enabling Kerberos Delegation for PostgreSQL(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Teradata: consulta Enabling Kerberos Delegation for Teradata(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Oracle: consulta Enabling Kerberos Delegation for Oracle(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Cloudera: consulta Enabling Kerberos Delegation for Hive/Impala(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
Vertica: consulta Enabling Kerberos Delegation for Vertica(Il collegamento viene aperto in una nuova finestra) nella Community di Tableau.
TIBCO: consulta Section 4, Kerberos SSO Configuration for TDV on Windows(Il collegamento viene aperto in una nuova finestra) nella guida di TIBCO Professional Services, TDV Integration with Kerberos.
Vedi anche