Aktivera Kerberos-delegering


Med Kerberos-delegering kan Tableau Server använda användarens Kerberos-autentiseringsuppgifter för en arbetsbok eller vy för att köra en fråga å användarens vägnar. Detta är användbart i följande situationer:

  • Du måste veta vem som har åtkomst till data (användarens namn visas i datakällans åtkomstloggar).

  • Datakällan har säkerhet på radnivå, vilket innebär att olika användare har åtkomst till olika rader.

Datakällor som stöds

Tableau har stöd för Kerberos-delegering med följande datakällor:

  • Cloudera: Hive/Impala
  • Denodo
  • Hortonworks
  • MSAS
  • Oracle
  • PostgreSQL
  • Spark
  • SQL Server
  • Teradata
  • Vertica
  • TIBCO

Krav

Kerberos-delegering kräver Active Directory.

  • Tableau Server-identitetsregistret måste konfigureras så att det kan använda Active Directory.
  • Datorn där Tableau Server är installerad måste vara del av Active Directory-domänen.
  • MIT Kerberos KDC stöds inte.
  • Ett domänkonto måste konfigureras som Kör som tjänst-konto på Tableau Server. Se Ändra Kör som tjänst-konto. Om dina användare befinner sig i en annan Active Directory-domän än Tableau Server och datakällan måste denna domän konfigureras som betrodd. Läs mer i Domänförtroendekrav för Active Directory-driftsättningar.
  • Delegering har konfigurerats. Tilldela delegeringsbehörighet för Kör som tjänst-kontot för SPN:er (Service Principal Name) i måldatabasen. Kör som tjänst-kontot tilldelas åtkomstbehörighet till resurserna för den initierande källanvändaren.
  • Se Aktivera Kerberos-delegering för JDBC-kopplingar vid delegeringskonfiguration på Tableau Server 2020.2 eller senare med Oracle-datakällor som har JDBC-baserad koppling. Fr.o.m. Tableau 2020.2 används JDBC för Oracle-kopplingar.

Webbredigering och Kerberos-autentisering av användare

När du konfigurerar Anslut till data för ett visst mål kan du välja Integrerad autentisering eller Windows-autentisering som önskad autentiseringsmetod. För webbredigering är standardbeteendet däremot att använda Kerberos-tjänstkontot (”Kör som”-konto) i stället.

För att aktivera inloggningsuppgifter för webbredigering med Kerberos-delegering måste du göra ytterligare en konfiguration med TSM. Kör följande kommandon:

tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply

När du har gjort den här konfigurationen blir Kerberos-delegering standardåtgärd när användaren väljer integrerad autentisering med webbredigering. Den här inställningen hindrar emellertid inte innehållsutvecklare från att komma åt tjänstkontot. Creator-användare kan fortfarande publicera innehåll som ansluter med Kör som tjänst-kontot med Tableau Desktop eller andra metoder.

Mer information om Kör som tjänst-kontot finns i Dataåtkomst med Kör som tjänst-kontot.

Konfigurationsprocess

Det här avsnittet innehåller ett exempel på processen för att aktivera Kerberos-delegering. Det här scenariot omfattar även exempelnamn för att beskriva relationerna mellan konfigurationselementen.

  1. Konfigurera Kör som användare för alla noder i Tableau Server som del av operativsystemet. Mer information finns i Aktivera Kör som tjänst-konto för att agera som operativsystem.

  2. Tableau Server behöver en Kerberos-tjänstbiljett för att kunna delegera för den användare som initierar anropet till databasen. Du måste skapa ett domänkonto som kan användas för att delegera till den angivna databasen. Det här kontot kallas för Kör som tjänst-kontot. I det här ämnet konfigureras exempelanvändaren för delegeringskontot/Kör som-kontot som tabsrv@example.com.

    Kontot måste konfigureras med Active Directory-användare och de Windows Server-datorer som är anslutna till användardomänen:

    • Öppna sidan Egenskaper för Kör som tjänst-kontot, klicka på fliken Delegering och välj Lita endast på den här användaren vid delegering av angivna tjänster och Använd valfritt autentiseringsprotokoll.

  3. Kör följande TSM-kommando för att aktivera Kerberos-delegeringen:

    tsm configuration set -k wgserver.delegation.enabled -v true

  4. Kör följande TSM-kommando som tillämpar ändringarna på Tableau Server:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

  5. (Valfritt) Konfigurera Tableau Server för användning med MIT Kerberos-huvudnamnsformat.

    Som standard skapas Kerberos-huvudnamn i Tableau Server med hjälp av Active Directory-kortnamnet. Om Kerberos-delegeringen till exempel utförs för en användare i EXAMPLE.COM med kortnamnet EXAMPLE i Tableau Server används huvudnamnet user@example.

    Om databasen körs på Linux kan du behöva justera kartläggningen auth_to_local i krb5.conf. Mer information om redigering av krb5.conf-filen finns i Kerberos-delegationens flerdomänskonfiguration. Det går även att konfigurera Tableau Server med det fullständiga domännamnet för Kerberos-huvudnamnet med följande kommandon:

    tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys
tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys
tsm pending-changes apply

  6. Aktivera delegering för dataanslutningar:

    Se även

    Felsöka Kerberos

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!