Requisitos do Kerberos
É possível configurar a autenticação do Kerberos para o Tableau Server em execução nos ambientes do Active Directory.
Requisitos gerais
Balanceador de carga externa/servidor proxy: se você for usar o Tableau Server com o Kerberos em um ambiente que tenha balanceadores de carga externos (ELBs) ou servidor proxy, será necessário instalá-los antes de configurar o Kerberos no utilitário de configuração do Tableau Server. Consulte Configurar proxies e balanceadores de carga para o Tableau Server.
Suporte no navegador do iOS: um usuário do iOS poderá usar a autenticação do Kerberos com o Safari móvel se um perfil de configuração especificando a identidade do Kerberos do usuário estiver instalado. Consulte Configuração de um dispositivo iOS para o suporte Kerberos(O link abre em nova janela) na Ajuda do Tableau Mobile. Para obter mais informações sobre a compatibilidade com o SSO do Kerberos, consulte Suporte do cliente Tableau para o SSO do Kerberos.
O Tableau Server é compatível com a delegação restrita para autenticações em fontes de dados de dados. Neste cenário, o acesso a dados do Tableau recebe direitos especificamente sobre os SPNs do banco de dados de destino. A delegação não restrita não é aceita.
As fontes de dados suportadas (SQL Server, MSAS, PostgreSQL, Hive/Impala e Teradata) devem estar configuradas para a autenticação do Kerberos.
Um arquivo keytab configurado com um nome do provedor de serviços para o Tableau Server para autenticação de usuário. Para obter mais informações, consulte Saiba mais sobre os requisitos do Keytab..
A partir do Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7 e 2023.1.3 (ou posterior), certifique-se de que os arquivos keytab sejam criados com cifras AES-128 ou AES-256. As cifras RC4 e 3DES não são mais aceitas. Para obter mais informações, consulte "O Tableau Server não conseguiu autenticá-lo automaticamente"(O link abre em nova janela) na base de conhecimento do Tableau.
Requisitos do Active Directory
É necessário cumprir os requisitos a seguir para executar o Tableau Server com o Kerberos em um ambiente do Active Directory:
O Tableau Server deve usar um Active Directory (AD) para autenticação.
O domínio deve ser um AD 2003 ou posterior para conexões do Kerberos para o Tableau Server.
Suporte ao Smartcard: os smartcards são aceitos quando os usuários efetuam logon nas estações de trabalho com um smartcard, e isso faz com que um TGT do Kerberos seja concedido ao usuário no Active Directory.
Logon único (SSO): os usuários devem receber uma concessão de TGT (Ticket Granting Ticket) do Kerberos no Active Directory, ao fazer o logon nos computadores. Este é um comportamento padrão para PCs com Windows unidos por domínios e para Macs que usam o AD como o servidor de conta da rede. Para obter mais informações sobre como usar computadores com Mac e Active Directory, consulte Associe seu Mac a um servidor de conta da rede(O link abre em nova janela) na base de dados de conhecimento de dados da Apple.
Delegação do Kerberos
Para cenários de delegação do Kerberos, é exigido o seguinte:
Se o domínio for AD 2003 ou posterior, a delegação de domínio único do Kerberos será suportada. Os usuários, o Tableau Server e o banco de dados de backend devem estar no mesmo domínio.
Se o domínio for AD 2008, o suporte entre domínios será limitado. Usuários de outros domínios podem ser delegados se as seguintes condições forem atendidas: O Tableau Server e o banco de dados de backend devem estar no mesmo domínio e uma confiança bidirecional é necessária entre o domínio em que o Tableau Server reside e o domínio do usuário.
Se o domínio for 2012 ou posterior, a delegação completa entre domínios será suportada. O AD 2012 R2 é preferido por ter uma caixa de diálogo para configurar a delegação restrita, enquanto o 2012 sem R2 exige configuração manual.