Kerberos-vereisten
U kunt Kerberos-verificatie configureren voor Tableau Server dat in Active Directory-omgevingen wordt uitgevoerd.
Algemene vereisten
Externe loadbalancer/proxyserver: als u Tableau Server met Kerberos wilt gebruiken in een omgeving met externe loadbalancers (ELB's) of een proxyserver, moet u deze instellen voordat u Kerberos configureert in het hulpprogramma Tableau Server Configuration. Zie Proxy's en loadbalancers configureren voor Tableau Server.
Ondersteuning voor iOS-browsers: een iOS-gebruiker kan Kerberos-verificatie gebruiken met mobiele Safari als er een configuratieprofiel is geïnstalleerd waarin de Kerberos-identiteit van de gebruiker is opgegeven. Zie Een iOS-apparaat configureren voor Kerberos-ondersteuning(Link wordt in een nieuw venster geopend) in de Help van Tableau Mobile. Zie Tableau-clientondersteuning voor Kerberos SSO voor meer informatie over browserondersteuning voor Kerberos SSO.
Tableau Server ondersteunt beperkte delegatie voor verificatie bij databronnen. In dit scenario worden aan het Tableau-datatoegangsaccount specifieke rechten verleend voor de SPN's van de doeldatabase. Onbeperkte delegatie wordt niet ondersteund.
De ondersteunde databronnen (SQL Server, MSAS, PostgreSQL, Hive/Impala en Teradata) moeten worden geconfigureerd voor Kerberos-verificatie.
Een keytab-bestand dat voor gebruikersverificatie is geconfigureerd met de naam van de serviceprovider voor de Tableau Server. Zie De basisprincipes van keytab-vereisten voor meer informatie.
Vanaf Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 en 2023.1.3 (of later) moet u ervoor zorgen dat keytab-bestanden worden gemaakt met AES-128- of AES-256-codering. RC4- en 3DES-coderingen worden niet meer ondersteund. Zie "Tableau Server kan u niet automatisch verifiëren"(Link wordt in een nieuw venster geopend) in de Tableau-knowledgebase voor meer informatie.
Active Directory-vereisten
U moet aan de volgende vereisten voldoen om Tableau Server met Kerberos in een Active Directory-omgeving uit te voeren:
Tableau Server moet Active Directory (AD) gebruiken voor verificatie.
Het domein moet een AD 2003- of hoger domein zijn voor Kerberos-verbindingen met Tableau Server.
Ondersteuning voor smartcards: smartcards worden ondersteund wanneer gebruikers zich met een smartcard aanmelden bij hun werkstation en dit resulteert in het toekennen van een Kerberos TGT aan de gebruiker vanuit Active Directory.
Single Sign-On (SSO) of eenmalige aanmelding: Gebruikers moeten een Kerberos Ticket Granting Ticket (TGT) van Active Directory ontvangen wanneer ze zich aanmelden op hun computer. Dit is standaardgedrag voor Windows-computers die lid zijn van een domein en standaard voor Mac-computers die AD gebruiken als hun netwerkaccountserver. Zie Je Mac verbinden met een netwerkaccountserver(Link wordt in een nieuw venster geopend) in de Apple-knowledgebase voor meer informatie over het gebruik van Mac-computers en Active Directory.
Kerberos-delegatie
Voor Kerberos-delegatiescenario's is het volgende vereist:
Als het domein AD 2003 of later is, wordt Kerberos-delegatie voor één domein ondersteund. De gebruikers, Tableau Server en de backenddatabase moeten zich in hetzelfde domein bevinden.
Als het domein AD 2008 is, is er beperkte ondersteuning tussen domeinen. Gebruikers van andere domeinen kunnen worden gedelegeerd als aan de volgende voorwaarden wordt voldaan. Tableau Server en de backenddatabase moeten zich op hetzelfde domein bevinden en er is een tweerichtingsvertrouwensrelatie vereist tussen het domein waar Tableau Server zich bevindt en het domein van de gebruiker.
Als het domein 2012 of later is, wordt volledige delegatie tussen domeinen ondersteund. AD 2012 R2 heeft de voorkeur omdat het een dialoogvenster heeft voor het configureren van beperkte delegatie, terwijl 2012 non-R2 handmatige configuratie vereist.