Requisiti Kerberos
Puoi configurare l’autenticazione Kerberos per Tableau Server in esecuzione in ambienti Active Directory.
Requisiti generali
Bilanciamento di carico esterno/server proxy: se utilizzerai Tableau Server con Kerberos in un ambiente con bilanciamenti di carico esterni (ELB) o server proxy, devi impostarli prima di configurare Kerberos nell’utilità di configurazione di Tableau Server. Consulta Configurazione di proxy e servizi di bilanciamento del carico per Tableau Server.
Supporto browser di iOS: un utente iOS può utilizzare l’autenticazione Kerberos con Safari mobile se è installato un profilo di configurazione che specifica l’identità Kerberos dell’utente. Vedi Configurazione di un dispositivo iOS per il supporto Kerberos(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau Mobile. Per maggiori informazioni sul supporto del browser per l’accesso SSO di Kerberos, consulta Supporto dei client di Tableau per l’accesso SSO di Kerberos.
Tableau Server supporta la delega vincolata per l’autenticazione in origini dati. In questo scenario, l’account di accesso ai dati di Tableau può accedere in modo specifico agli SPN del database di destinazione. La delega illimitata non è supportata.
Le origini dati supportate, ovvero SQL Server, MSAS, PostgreSQL, Hive/Impala e Teradata, devono essere configurate per l’autenticazione Kerberos.
Un file keytab configurato con il nome del provider di servizi per Tableau Server per l’autenticazione degli utenti. Per maggiori informazioni, consulta Comprendere i requisiti per i file keytab.
A partire da Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 e 2023.1.3 (o versione successiva), assicurati che i file keytab vengano creati con la crittografia AES-128 o AES-256. Le crittografie RC4 e 3DES non sono più supportate. Per maggiori informazioni, consulta “L’autenticazione automatica dell’utente corrente da parte di Tableau Server non è riuscita”(Il collegamento viene aperto in una nuova finestra) nella Knowledge Base di Tableau.
Requisiti di Active Directory
Per eseguire Tableau Server con Kerberos in un ambiente Active Directory, devi soddisfare i seguenti requisiti:
Tableau Server deve utilizzare Active Directory (AD) per l’autenticazione.
Il dominio deve essere un dominio AD 2003 o successivo per le connessioni Kerberos a Tableau Server.
Supporto per smart card: le smart card sono supportate quando gli utenti accedono alla loro postazione di lavoro con una smartcard e di conseguenza Active Directory concede una Kerberos TGT all’utente.
Single sign-on (SSO): gli utenti devono ottenere un ticket Kerberos TGT (Ticket Granting Ticket) da Active Directory quando accedono al proprio computer. Questo è il comportamento standard per i computer Windows collegati al dominio e per i computer Mac che utilizzano AD come server di account di rete. Per ulteriori informazioni sull’utilizzo dei computer Mac e di Active Directory, vedi Aggiungi il tuo Mac a un server di account di rete(Il collegamento viene aperto in una nuova finestra) nella Knowledge Base di Apple.
Delega Kerberos
Per gli scenari di delega Kerberos è necessario quanto segue:
Se il dominio è AD 2003 o successivo, è supportata la delega Kerberos per un dominio singolo. Gli utenti, Tableau Server e il database di backend devono trovarsi sullo stesso dominio.
Se il dominio è AD 2008, il supporto tra domini è limitato. Gli utenti di altri domini possono essere delegati se sono soddisfatte le seguenti condizioni. Tableau Server e il database di backend devono trovarsi sullo stesso dominio ed è necessaria un’attendibilità bidirezionale tra il dominio in cui risiede Tableau Server e il dominio dell’utente.
Se il dominio è 2012 o successivo, è supportata la delega completa tra domini. AD 2012 R2 è preferibile perché presenta una finestra di dialogo per la configurazione delle deleghe limitate, mentre con le versioni diverse dalla 2012 R2 è necessaria una configurazione manuale.