Kerberos の要件
Tableau Server で使用する Kerberos の認証は、Active Directory 環境で構成することができます。
一般的な要件
外部ロード バランサー/プロキシ サーバー: Tableau Server で Kerberos を使用する場合に、その環境に外部ロード バランサー (ELB) またはプロキシ サーバーがある場合は Tableau Server 構成ユーティリティでの Kerberos 構成の前に、これらを設定する必要があります。Tableau Server のプロキシとロード バランサーの設定を参照してください。
iOS ブラウザーのサポート: iOS ユーザーは、ユーザーの Kerberos ID を指定する構成プロファイルがインストールされている場合、Mobile Safari で Kerberos 認証を使用することができます。Tableau Mobile ヘルプの「Kerberos サポート用の iOS デバイスの構成」(新しいウィンドウでリンクが開く)を参照してください。Kerberos SSO のブラウザー サポートの詳細については、Kerberos SSO に対する Tableau クライアントのサポートを参照してください。
Tableau Server では、データソースへの認証のための制約付きの委任がサポートされています。このシナリオでは、ターゲット データベースの SPN へのアクセス権が Tableau データ アクセス アカウントに専用で付与されています。制約のない委任はサポートされません。
サポートされているデータ ソース (SQL Server、MSAS、PostgreSQL、Hive/Impala、および Teradata) で Kerberos 認証を構成する必要があります。
keytab ファイルは、ユーザー認証に使用する Tableau Server のサービス プロバイダー名で構成されます。詳細については、「Keytab 要件の理解」を参照してください。
Tableau Server 2021.2.25、2021.3.24、2021.4.19、2022.1.15、2022.3.7、および 2023.1.3 (またはそれ以降) では、keytab ファイルが AES-128 暗号または AES-256 暗号を使用して作成されていることを確認してください。RC4 暗号と 3DES 暗号はサポートされなくなりました。詳細については、Tableau ナレッジ ベースの「Tableau Server が自分を自動的に認証できない」(新しいウィンドウでリンクが開く)を参照してください。
Active Directory の要件
Active Directory 環境にある Tableau Server で Kerberos を使用するには次の要件を満たす必要があります。
Tableau Server では認証に Active Directory (AD) を使用する必要があります。
ドメインは、Tableau Server に対する Kerberos 接続の AD 2003 以降のドメインである必要があります。
スマートカードのサポート: スマートカードは、ユーザーがスマートカードでワークステーションにサインインし、それによりユーザーに Kerberos TGT が Active Directory から付与される場合にサポートされます。
シングル サインオン (SSO): ユーザーがコンピューターにサインインする際、ユーザーに Active Directory からの Kerberos チケット保証チケット (TGT) を付与する必要があります。この動作はドメインで結合した Windows コンピューター、およびネットワーク アカウント サーバーとして AD を使用する Mac コンピューターで標準的です。Mac コンピューターと Active Directory の使用方法の詳細については、Apple ナレッジ ベースの「ネットワーク アカウント サーバに Mac を接続する」(新しいウィンドウでリンクが開く)を参照してください。
Kerberos 委任
Kerberos 委任シナリオでは、次が必要です。
ドメインが AD 2003 以降の場合、シングル ドメイン Kerberos 委任がサポートされます。ユーザー、Tableau Server、およびバックエンド データベースは同じドメイン上に存在している必要があります。
ドメインが AD 2008 の場合は、クロス ドメイン サポートに限定されます。次の条件が満たされている場合は、他のドメインのユーザーに委託できます。Tableau Server とバックエンド データベースが同じドメイン上に存在している必要があり、Tableau Server が存在するドメインとユーザーのドメインとの間に双方向の信頼関係が必要です。
ドメインが 2012 以降の場合、フル クロスドメイン委任がサポートされます。AD 2012 R2 以外は手動で構成する必要がありますが、AD 2012 R2 には制約付きの委任に対する構成のダイアログがあるため、AD 2012 R2 が推奨されます。