Habilitar a Delegação do Kerberos

A delegação do Kerberos permite que o Tableau Server use as credenciais do Kerberos do visualizador de uma pasta de trabalho ou exibição para executar uma consulta a pedido do visualizador. Essa opção é útil nas seguintes situações:

  • É preciso saber quem está acessando os dados (o nome do visualizador será exibido nos logs de acesso da fonte de dados).

  • Sua fonte de dados apresenta segurança em nível de linha, na qual usuários diferentes têm acesso a linhas diferentes.

Fontes de dados compatíveis

O Tableau é compatível com a delegação Kerberos com as estas fontes de dados:

  • Cloudera: Hive/Impala
  • Denodo
  • Hortonworks
  • MSAS
  • Oracle
  • PostgreSQL
  • Spark
  • SQL Server
  • Teradata
  • Vertica
  • TIBCO

Requisitos

A delegação do Kerberos exige o Active Directory.

  • O armazenamento de identidade do Tableau Server deve ser configurado para usar o Active Directory.
  • O computador onde o Tableau Server está instalado deve ser unido ao domínio do Active Directory.
  • O MIT Kerberos KDC não é compatível.
  • Uma conta de domínio deve ser configurada como a conta de serviço Run As no Tableau Server. Consulte Alterar a conta de serviço Run As. Se os usuários estiverem em um domínio do Active Directory diferente do domínio do Tableau e da fonte de dados, a confiança do domínio deverá ser configurada. Consulte Requisitos de confiança de domínio para implantações do Active Directory.
  • Delegação configurada. Conceder direitos de delegação para a conta de serviço Run As do banco de dados de destino SPNs. Esta conta do serviço Run As é autoridade delegada para acessar os recursos em nome do usuário de origem iniciante.
  • Se você estiver configurando a delegação no Tableau Server 2020.2 ou posterior, com uma fonte de dados Oracle, usando um conector JDBC, consulte Ativar delegação do Kerberos para conectores JDBC. A partir do Tableau 2020.2, o conector Oracle usa JDBC.

Criação na Web e autenticação Kerberos do usuário

Ao configurar o Conectar a dados para um determinado destino, você pode selecionar autenticação integrada ou Windows como método de autenticação preferencial. No entanto, para cenários de criação na Web, o comportamento padrão será usar a conta de serviço Kerberos (conta “Executar como”).

Para ativar credenciais de usuário em cenários de criação na Web com delegação Kerberos, você deve fazer uma configuração adicional usando o TSM. Execute os seguintes comandos:

tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply

Após fazer esta configuração, a Delegação Kerberos se torna a operação padrão ao selecionar a autenticação integrada com criação na Web. No entanto, esta configuração não impedirá que os criadores de conteúdo acessem a conta do serviço. Os criadores ainda podem publicar conteúdo conectado à conta de serviço Run As usando o Tableau Desktop ou outros métodos.

Para obter mais informações sobre a conta de serviço Run As, consulte Acesso aos dados com a conta de serviço Run As.

Processo de configuração

Esta seção fornece um exemplo do processo para habilitar a delegação do Kerberos. O cenário também inclui nomes de exemplo para ajudar a descrever as relações entre os elementos de configuração.

  1. Em todos os nós no Tableau Server, configure o usuário Run As para atuar como parte do sistema operacional. Para obter mais informações, consulte Habilitar a conta de serviço Run As para atuar como sistema operacional.

  2. O Tableau Server precisará de um ticket de serviço do Kerberos para delegar em nome do usuário que está iniciando a chamada para o banco de dados. Crie uma conta de domínio que será usada para delegar ao banco de dados fornecido. Essa conta é chamada de conta de serviço Run As. Neste exemplo, o usuário de exemplo configurado como a conta de delegação/Run As é tabsrv@example.com.

    A conta deve ser configurada com um usuário e computadores do Active Directory em um servidor do Windows conectado ao domínio do usuário:

    • Abra a página Propriedades da conta de serviço Run As, clique na guia Delegação e selecione Confiar neste usuário para a delegação apenas em serviços específicos e Usar qualquer protocolo de autenticação.
  3. Execute o seguinte comando TSM para habilitar a delegação do Kerberos:

    tsm configuration set -k wgserver.delegation.enabled -v true

  4. Execute o seguinte comando do TSM para aplicar as alterações ao Tableau Server:

    tsm pending-changes apply

    Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

  5. (Opcional) Configure o Tableau Server para usar o formato principal do MIT Kerberos.

    Por padrão, o Tableau Server gera entidades do Kerberos usando o nome abreviado do Active Directory. Por exemplo, se o Tableau Server executar a delegação do Kerberos para um usuário no EXAMPLE.COM, com um nome abreviado EXAMPLE, o nome principal será: user@example.

    Se o banco de dados estiver em execução no Linux, talvez seja necessário ajustar o mapeamento auth_to_local no arquivo krb5.conf. Para obter informações sobre como editar o arquivo krb5.conf, consulte Configuração de vários domínios da delegação do Kerberos. Como alternativa, você pode configurar o Tableau Server para usar o nome de domínio completo para as entidades do Kerberos executando os seguintes comandos:

    tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys
    tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys
    tsm pending-changes apply
  6. Habilite a delegação para as conexões de dados:

    Consulte também

    Solucionar problemas do Kerberos

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!