Vereisten voor domeinvertrouwen voor Active Directory-implementaties

Wanneer u Tableau Server uitvoert in een Active Directory-omgeving in meerdere domeinen (hetzij in hetzelfde Active Directory-forest of in verschillende forests), is een deel van de functionaliteit van Tableau afhankelijk van de vertrouwensrelatie tussen de domeinen. Sommige beheerders beheren bijvoorbeeld gebruikers in domeinen die gescheiden zijn van de domeinen waarin ze servertoepassingen implementeren, zoals Tableau Server. In andere organisaties kan een Tableau Server-implementatie worden gedeeld met externe partners of met verschillende partners binnen de organisatie. Tot slot kunnen met Windows geverifieerde databronnen, zoals SQL Server, MSAS of Oracle, waarmee Tableau Server verbinding maakt, zich ook in andere domeinen bevinden.

Als dit haalbaar is, raden we aan om tweerichtingsvertrouwen te configureren tussen alle domeinen die communiceren met Tableau Server. Als dit niet mogelijk is, kan Tableau Server worden geconfigureerd om gebruikersverificatie te ondersteunen waarvoor eenrichtingsvertrouwen is geconfigureerd. In dit geval wordt eenrichtingsvertrouwen tussen domeinen ondersteund wanneer het domein waarin Tableau Server is geïnstalleerd, is geconfigureerd om het domein te vertrouwen waarin gebruikersaccounts zich bevinden.

De volgende afbeelding toont eenrichtingsvertrouwen tussen het domein waar Tableau Server is geïnstalleerd en het domein waarin gebruikersaccounts zich bevinden:

In dit scenario bevindt Tableau Server zich in het domein dev.local. Gebruikers worden uit het Active Directory-domein users.lan geïmporteerd in Tableau Server. Voor dit scenario is eenrichtingsvertrouwen vereist. Het domein dev.local is specifiek geconfigureerd om het domein users.lan te vertrouwen. Gebruikers in het domein users.lan kunnen met hun normale Active Directory-referenties toegang krijgen tot Tableau Server in dev.local. Het kan echter nodig zijn om de bijnaam van het domein op Tableau Server bij te werken voordat gebruikers zich met de bijnaam kunnen aanmelden. Raadpleeg de Tableau-knowledgebase(Link wordt in een nieuw venster geopend) voor meer informatie.

Wanneer u Tableau Server voor dit scenario configureert, geeft u tijdens de installatie het primaire gebruikersdomein op. Zie Initiële knooppuntinstellingen configureren. Om te zorgen dat Tableau Server verbinding kan maken met andere Active Directory-domeinen, moet u de vertrouwde domeinen opgeven door de optie wgserver.domain.accept_list met TSM in te stellen. Zie wgserver.domain.accept_list voor meer informatie.

Het ‘Uitvoeren als service’-account moet ook querytoegang (lezen) hebben tot elk domein waaruit gebruikers worden geïmporteerd.

Eenmalige aanmelding van Kerberos wordt in dit scenario met eenrichtingsvertrouwen ondersteund.

Raadpleeg Gebruikersbeheer in implementaties met externe identiteitenarchieven om te lezen hoe meerdere domeinen, domeinnamen, NetBIOS en Active Directory-gebruikersnaamnotatie het gebruikersbeheer van Tableau beïnvloeden.

Verbinding maken met live data in scenario’s met eenrichtingsvertrouwen

In het scenario met eenrichtingsvertrouwen kunnen gebruikers die verbinding maken met Tableau Server verbinding maken met live data die in de cloud worden gehost of in een andere databron op locatie die niet afhankelijk is van Windows-verificatie.

Databronnen waarvoor Windows-verificatie vereist is, hebben mogelijk aanvullende verificatievereisten die het scenario ingewikkelder maken of er zelfs voor kunnen zorgen dat gebruikers van Tableau Server geen verbinding kunnen maken. Dit komt omdat Tableau Server gebruikt waarbij het ‘Uitvoeren als service’-account rekening houdt met verificatie bij dergelijke databronnen. Als u Tableau Server in een ander domein uitvoert dan databronnen die Windows-verificatie gebruiken, controleer dan of dat het ‘Uitvoeren als service’-account gebruikt voor Tableau Server toegang heeft tot de databron.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.