เปิดใช้งานการมอบหมาย Kerberos
การมอบหมาย Kerberos ช่วยให้ Tableau Server สามารถใช้ข้อมูลเข้าสู่ระบบ Kerberos ของผู้ดูเวิร์กบุ๊กหรือมุมมองเพื่อดำเนินการสืบค้นในนามของผู้ดูได้ ซึ่งจะเป็นประโยชน์ในสถานการณ์ต่อไปนี้:
คุณจำเป็นต้องรู้ว่าใครกำลังเข้าถึงข้อมูล (ชื่อของผู้ดูจะปรากฏในบันทึกการเข้าถึงสำหรับแหล่งข้อมูล)
แหล่งข้อมูลของคุณมีการรักษาความปลอดภัยในระดับแถว ซึ่งผู้ใช้แต่ละคนจะมีสิทธิ์เข้าถึงแถวที่ต่างกัน
แหล่งข้อมูลที่รองรับ
Tableau รองรับการมอบหมาย Kerberos ด้วยแหล่งข้อมูลต่อไปนี้
- Cloudera: Hive/Impala
- Denodo
- Hortonworks
- MSAS
- Oracle
- PostgreSQL
- Spark
- SQL Server
- Teradata
- Vertica
- TIBCO
ข้อกำหนด
การมอบหมาย Kerberos จำเป็นต้องใช้ Active Directory
- ต้องกำหนดค่าที่เก็บข้อมูลประจำตัวของ Tableau Server ให้ใช้ Active Directory
- คอมพิวเตอร์ที่ติดตั้ง Tableau Server จะต้องเข้าร่วมโดเมน Active Directory
- ไม่รองรับ MIT Kerberos KDC
- ต้องกำหนดค่าบัญชีโดเมนเป็นบัญชีบริการ “เรียกใช้เป็น” บน Tableau Server ดูเปลี่ยนการเรียกใช้งานในฐานะบัญชีบริการ หากผู้ใช้ของคุณอยู่ในโดเมน Active Directory อื่นนอกเหนือ Tableau Server และแหล่งข้อมูล จะต้องกำหนดค่าความน่าเชื่อถือของโดเมน ดู ข้อกำหนดความน่าเชื่อถือของโดเมนสำหรับการปรับใช้ Active Directory
- การมอบสิทธิ์ที่กำหนดค่า อนุญาตการมอบสิทธิ์ให้บัญชีบริการ “เรียกใช้เป็น” ให้กับชื่อบริการหลัก (SPN) ของฐานข้อมูลเป้าหมาย บัญชีบริการ “เรียกใช้เป็น” ได้รับมอบสิทธิ์ให้เข้าถึงทรัพยากรในนามของผู้ใช้แหล่งข้อมูลเบื้องต้น
- หากคุณกำหนดค่าการมอบสิทธิ์บน Tableau Server 2020.2 หรือใหม่กว่าโดยใช้แหล่งข้อมูล Oracle ที่ใช้ตัวเชื่อมต่อบน JDBC โปรดดูเปิดใช้งานการมอบหมาย Kerberos สำหรับตัวเชื่อมต่อ JDBC ตั้งแต่ Tableau 2020.2 ตัวเชื่อมต่อ Oracle จะใช้ JDBC
การเขียนเว็บและการตรวจสอบสิทธิ์ Kerberos ของผู้ใช้
เมื่อกำหนดค่า “เชื่อมต่อกับข้อมูล” สำหรับเป้าหมายที่กำหนด คุณสามารถเลือกการตรวจสอบสิทธิ์แบบผสานรวมหรือ Windows เป็นวิธีการตรวจสอบสิทธิ์ที่ต้องการได้ อย่างไรก็ตาม สำหรับสถานการณ์การเขียนเว็บ ลักษณะการทำงานเริ่มต้นจะเป็นการใช้บัญชีบริการ Kerberos (“บัญชี Run As”) แทน
หากต้องการเปิดใช้งานข้อมูลประจำตัวผู้ใช้ในสถานการณ์การเขียนเว็บด้วยการมอบสิทธิ์ของ Kerberos คุณต้องทำการกำหนดค่าเพิ่มเติมโดยใช้ TSM เรียกใช้คำสั่งต่อไปนี้:
tsm configuration set -k native_api.WebAuthoringAuthModeKerberosDelegation -v true
tsm pending-changes apply
หลังจากกำหนดค่าแล้ว การมอบสิทธิ์ของ Kerberos จะกลายเป็นการดำเนินการเริ่มต้นเมื่อเลือกการตรวจสอบสิทธิ์แบบผสานรวมกับการเขียนเว็บ อย่างไรก็ตาม การตั้งค่านี้จะไม่ปิดกั้นการเข้าถึงบัญชีบริการสำหรับ Creator เนื้อหา Creator ยังคงสามารถเผยแพร่เนื้อหาที่เชื่อมต่อกับบัญชีบริการ Run As ได้โดยใช้ Tableau Desktop หรือวิธีการอื่นๆ
กระบวนการกำหนดค่า
ส่วนนี้จะแสดงตัวอย่างของกระบวนการเพื่อเปิดใช้งานการมอบหมาย Kerberos กรณีใช้งานยังรวมถึงชื่อตัวอย่างที่จะช่วยอธิบายความสัมพันธ์ระหว่างองค์ประกอบการกำหนดค่า
บนทุกโหนดของ Tableau Server ให้กำหนดค่า “เรียกใช้เป็นผู้ใช้” เพื่อทำหน้าที่เป็นส่วนหนึ่งของระบบปฏิบัติการ หากต้องการข้อมูลเพิ่มเติม โปรดดู เปิดใช้บัญชีบริการ “เรียกใช้งานในฐานะ” เพื่อทำหน้าที่เป็นระบบปฏิบัติการ
Tableau Server จะต้องมีตั๋วบริการ Kerberos เพื่อมอบหมายในนามของผู้ใช้ที่เริ่มต้นการเรียกไปยังฐานข้อมูล คุณต้องสร้างบัญชีโดเมนที่จะใช้เพื่อมอบหมายไปยังฐานข้อมูลที่กำหนด บัญชีนี้เรียกว่าบัญชีบริการ “เรียกใช้งานในฐานะ” ในหัวข้อนี้ ผู้ใช้ตัวอย่างที่กำหนดค่าเป็นบัญชีมอบสิทธิ์/เรียกใช้เป็นคือ
tabsrv@example.comต้องกำหนดค่าบัญชีให้กับผู้ใช้และบัญชี Active Directory บน Windows Server ที่เชื่อมต่อกับโดเมนผู้ใช้
- เปิดหน้าคุณสมบัติของบัญชีบริการ “เรียกใช้เป็น” คลิกที่แท็บมอบสิทธิ์ แล้วเลือกเชื่อถือผู้ใช้รายนี้สำหรับการมอบสิทธิ์ให้กับบริการที่กำหนดเท่านั้น และใช้โปรโตคอลการตรวจสอบสิทธิ์ทั้งหมด
เรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อเปิดใช้งานการมอบสิทธิ์ Kerberos:
tsm configuration set -k wgserver.delegation.enabled -v trueเรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อปรับใช้การเปลี่ยนแปลงกับ Tableau Server:
tsm pending-changes applyหากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง
pending-changes applyจะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก--ignore-promptแต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply(ไม่บังคับ) กำหนดค่า Tableau Server ให้ใช้ฟอร์แมตหลักของ MIT Kerberos
ตามค่าเริ่มต้น Tableau Server จะสร้างรายการหลักของ Kerberos โดยใช้ชื่อสั้นของ Active Directory ตัวอย่างเช่น หาก Tableau Server ดำเนินการมอบสิทธิ์ Kerberos ให้ผู้ใช้ใน
EXAMPLE.COMโดยใช้ชื่อสั้นEXAMPLEจากนั้นชื่อหลักจะเป็นuser@exampleหากฐานข้อมูลของคุณทำงานบน Linux คุณอาจต้องปรับการแมป
auth_to_localใน krb5.conf หากต้องการข้อมูลเกี่ยวกับการแก้ไขไฟล์ krb5.conf โปรดดูการกำหนดค่าการมอบหมาย Kerberos หลายโดเมน หรือคุณสามารถกำหนดค่า Tableau Server ให้ใช้ชื่อโดเมนเต็มสำหรับค่าหลักของ Kerberos โดยเรียกใช้คำสั่งต่อไปนี้tsm configuration set -k native_api.protocol_transition_a_d_short_domain -v false --force-keys tsm configuration set -k native_api.protocol_transition_uppercase_realm -v true --force-keys tsm pending-changes apply
เปิดใช้งานการมอบสิทธิ์ให้การเชื่อมต่อข้อมูล
SQL Server - ดูที่การเปิดใช้งานการมอบหมาย Kerberos สำหรับ SQL Server(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
MSAS - ดูที่การเปิดใช้งานการมอบหมาย Kerberos สำหรับ MSAS(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
PostgreSQL - ดูที่การเปิดใช้งานการมอบหมาย Kerberos สำหรับ PostgreSQL(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
Teradata - ดูที่การเปิดใช้งานการมอบหมาย Kerberos สำหรับ Teradata(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
Oracle - ดูที่เปิดใช้งานการมอบหมาย Kerberos สำหรับ Oracle(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
Cloudera - ดูที่เปิดใช้งานการมอบหมาย Kerberos สำหรับ Hive/Impala(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
Vertica - ดูที่การเปิดใช้งานการมอบหมาย Kerberos สำหรับ Vertica(ลิงก์จะเปิดในหน้าต่างใหม่) ใน Tableau Community
TIBCO - ดูที่ส่วนที่ 4, การกำหนดค่า Kerberos SSO สำหรับ TDV บน Windows(ลิงก์จะเปิดในหน้าต่างใหม่) ในคู่มือ TIBCO Professional Services ชื่อ TDV Integration with Kerberos
ดูเพิ่มเติม