Habilitar a Delegação do Kerberos
A delegação do Kerberos permite que o Tableau Server use as credenciais do Kerberos do visualizador de uma pasta de trabalho ou exibição para executar uma consulta a pedido do visualizador. Essa opção é útil nas seguintes situações:
É preciso saber quem está acessando os dados (o nome do visualizador será exibido nos logs de acesso da fonte de dados).
Sua fonte de dados apresenta segurança em nível de linha, na qual usuários diferentes têm acesso a linhas diferentes.
Fontes de dados compatíveis
O Tableau é compatível com a delegação Kerberos com as estas fontes de dados:
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- MSAS
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
- TIBCO
Requisitos
A delegação do Kerberos exige o Active Directory.
- O armazenamento de identidade do Tableau Server deve ser configurado para usar o Active Directory.
- O computador onde o Tableau Server está instalado deve ser unido ao domínio do Active Directory.
- O MIT Kerberos KDC não é compatível.
- Uma conta de domínio deve ser configurada como a conta de serviço Run As no Tableau Server. Consulte Alterar a conta de serviço Run As. Se os usuários estiverem em um domínio do Active Directory diferente do domínio do Tableau e da fonte de dados, a confiança do domínio deverá ser configurada. Consulte Requisitos de confiança de domínio para implantações do Active Directory.
- Delegação configurada. Conceder direitos de delegação para a conta de serviço Run As do banco de dados de destino SPNs. Esta conta do serviço Run As é autoridade delegada para acessar os recursos em nome do usuário de origem iniciante.
- Se você estiver configurando a delegação no Tableau Server 2020.2 ou posterior, com uma fonte de dados Oracle, usando um conector JDBC, consulte Ativar delegação do Kerberos para conectores JDBC. A partir do Tableau 2020.2, o conector Oracle usa JDBC.
Criação na Web e autenticação Kerberos do usuário
Ao configurar o Conectar a dados para um determinado destino, você pode selecionar autenticação integrada ou Windows como método de autenticação preferencial. No entanto, para cenários de criação na Web, o comportamento padrão será usar a conta de serviço Kerberos (conta “Executar como”).
Para ativar credenciais de usuário em cenários de criação na Web com delegação Kerberos, você deve fazer uma configuração adicional usando o TSM. Execute os seguintes comandos:
tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply
Após fazer esta configuração, a Delegação Kerberos se torna a operação padrão ao selecionar a autenticação integrada com criação na Web. No entanto, esta configuração não impedirá que os criadores de conteúdo acessem a conta do serviço. Os criadores ainda podem publicar conteúdo conectado à conta de serviço Run As usando o Tableau Desktop ou outros métodos.
Processo de configuração
Esta seção fornece um exemplo do processo para habilitar a delegação do Kerberos. O cenário também inclui nomes de exemplo para ajudar a descrever as relações entre os elementos de configuração.
Em todos os nós no Tableau Server, configure o usuário Run As para atuar como parte do sistema operacional. Para obter mais informações, consulte Habilitar a conta de serviço Run As para atuar como sistema operacional.
O Tableau Server precisará de um ticket de serviço do Kerberos para delegar em nome do usuário que está iniciando a chamada para o banco de dados. Crie uma conta de domínio que será usada para delegar ao banco de dados fornecido. Essa conta é chamada de conta de serviço Run As. Neste exemplo, o usuário de exemplo configurado como a conta de delegação/Run As é
tabsrv@example.com
.A conta deve ser configurada com um usuário e computadores do Active Directory em um servidor do Windows conectado ao domínio do usuário:
- Abra a página Propriedades da conta de serviço Run As, clique na guia Delegação e selecione Confiar neste usuário para a delegação apenas em serviços específicos e Usar qualquer protocolo de autenticação.
Execute o seguinte comando TSM para habilitar a delegação do Kerberos:
tsm configuration set -k wgserver.delegation.enabled -v true
Execute o seguinte comando do TSM para aplicar as alterações ao Tableau Server:
tsm pending-changes apply
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando
pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção--ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.(Opcional) Configure o Tableau Server para usar o formato principal do MIT Kerberos.
Por padrão, o Tableau Server gera entidades do Kerberos usando o nome abreviado do Active Directory. Por exemplo, se o Tableau Server executar a delegação do Kerberos para um usuário no
EXAMPLE.COM
, com um nome abreviadoEXAMPLE
, o nome principal será:user@example
.Se o banco de dados estiver em execução no Linux, talvez seja necessário ajustar o mapeamento
auth_to_local
no arquivo krb5.conf. Para obter informações sobre como editar o arquivo krb5.conf, consulte Configuração de vários domínios da delegação do Kerberos. Como alternativa, você pode configurar o Tableau Server para usar o nome de domínio completo para as entidades do Kerberos executando os seguintes comandos:tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys tsm pending-changes apply
Habilite a delegação para as conexões de dados:
SQL Server — Consulte Habilitação da delegação do Kerberos para SQL Server(O link abre em nova janela) na Comunidade do Tableau.
MSAS — Consulte Habilitação da delegação do Kerberos para MSAS(O link abre em nova janela) na Comunidade do Tableau.
PostgreSQL — Consulte Habilitação da delegação do Kerberos para PostgreSQL(O link abre em nova janela) na Comunidade do Tableau.
Teradata — Consulte Habilitação da delegação do Kerberos para Teradata(O link abre em nova janela) na Comunidade do Tableau.
Oracle — Consulte Habilitação da delegação do Kerberos para Oracle(O link abre em nova janela) na Comunidade do Tableau.
Cloudera—Consulte Habilitação da delegação do Kerberos para Hive/Impala(O link abre em nova janela) na Comunidade do Tableau.
Vertica— Consulte Habilitação da delegação do Kerberos para Vertica(O link abre em nova janela) na Comunidade do Tableau.
TIBCO— Veja a Seção 4, Configuração kerberos SSO para TDV no Windows(O link abre em nova janela) no guia de Serviços Profissionais TIBCO, Integração TDV com Kerberos.
Consulte também