ข้อกำหนด Kerberos

คุณสามารถกำหนดค่าการตรวจสอบสิทธิ์ Kerberos สำหรับ Tableau Server ที่ใช้งานในสภาพแวดล้อม Active Directory ได้

ข้อกำหนดทั่วไป

  • ตัวจัดสรรภาระงานภายนอก/เซิร์ฟเวอร์พร็อกซี: หากคุณจะใช้ Tableau Server กับ Kerberos ในสภาพแวดล้อมที่มีตัวจัดสรรภาระงานภายนอก (ELB) หรือเซิร์ฟเวอร์พร็อกซี คุณจะต้องตั้งค่าเหล่านี้ก่อนกำหนดค่า Kerberos ในยูทิลิตี้การกำหนดค่า Tableau Server โปรดดูการกำหนดค่าพร็อกซีและตัวจัดสรรภาระงานสำหรับ Tableau Server

  • การรองรับเบราว์เซอร์ iOS: ผู้ใช้ iOS สามารถใช้การตรวจสอบสิทธิ์ Kerberos กับ Safari บนมือถือหากโปรไฟล์การตรวจสอบสิทธิ์ระบุว่ามีการติดตั้งข้อมูลประจำตัว Kerberos ของผู้ใช้แล้ว ดูการกำหนดค่าอุปกรณ์ iOS สำหรับการรองรับ Kerberos(ลิงก์จะเปิดในหน้าต่างใหม่) ในส่วนความช่วยเหลือ Tableau Mobile หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการรองรับเบราว์เซอร์สำหรับ Kerberos SSO โปรดดู ไคลเอ็นต์ Tableau รองรับ SSO ของ Kerberos

  • Tableau Server รองรับการมอบสิทธิ์ที่จำกัดสำหรับการตรวจสอบสิทธิ์แหล่งข้อมูล ในสถานการณ์นี้ บัญชีการเข้าถึงข้อมูล Tableau จะได้รับสิทธิ์ไปยัง SPN ฐานข้อมูลเป้าหมายโดยเฉพาะ ระบบไม่รองรับการมอบหมายที่ไม่จำกัด

  • แหล่งข้อมูลที่รองรับ (SQL Server, MSAS, PostgreSQL, Hive/Impala และ Teradata) ต้องมีการกำหนดค่าสำหรับการตรวจสอบสิทธิ์ Kerberos

  • ไฟล์คีย์แท็บต้องได้รับการกำหนดค่าด้วยชื่อผู้ให้บริการสำหรับ Tableau Server เพื่อการตรวจสอบสิทธิ์ของผู้ใช้ หากต้องการข้อมูลเพิ่มเติม โปรดดูการทำความเข้าใจข้อกำหนดของ Keytab

  • ตั้งแต่ Tableau Server 2021.2.25, 2021.3.24, 2021.4.19, 2022.1.15, 2022.3.7, and 2023.1.3 (หรือใหม่กว่า) เป็นต้นไป ตรวจสอบว่าไฟล์ keytab สร้างขึ้นด้วยรหัส AES-128 หรือ AES-256 ไม่รองรับการเข้ารหัส RC4 และ 3DES อีกต่อไป หากต้องการข้อมูลเพิ่มเติม โปรดดู “Tableau Server ไม่สามารถตรวจสอบสิทธิ์ของคุณได้โดยอัตโนมัติ”(ลิงก์จะเปิดในหน้าต่างใหม่) ในฐานความรู้ Tableau

ความต้องการของ Active Directory

คุณต้องเป็นไปตามความต้องการเหล่านี้เพื่อเรียกใช้ Tableau Server ด้วย Kerberos ในสภาพแวดล้อม Active Directory

  • Tableau Server ต้องใช้ Active Directory (AD) ในการตรวจสอบสิทธิ์

  • โดเมนต้องเป็น AD 2003 หรือใหม่กว่าสำหรับการเชื่อมต่อของ Kerberos ไปยัง Tableau Server

  • การสนับสนุนสมาร์ทการ์ด: สมาร์ทการ์ดจะได้รับการสนับสนุนเมื่อผู้ใช้เข้าสู่ระบบไปยังเวิร์กสเตชันที่มีสมาร์ทการ์ด ซึ่งจะให้ผู้ใช้ได้รับ Kerberos TGT จาก Active Directory

  • การลงชื่อเพียงครั้งเดียว (SSO): ผู้ใช้ต้องได้รับ Ticket Granting Ticket (TGT) ของ Kerberos จาก Active Directory เมื่อเข้าสู่ระบบไปยังคอมพิวเตอร์ ซึ่งเป็นพฤติกรรมมาตรฐานของคอมพิวเตอร์ Windows ที่เข้าร่วมโดเมน และเป็นมาตรฐานสำหรับคอมพิวเตอร์ Mac ที่ใช้ AD เป็นเซิร์ฟเวอร์บัญชีเครือข่าย หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการใช้คอมพิวเตอร์ Mac และ Active Directory โปรดดูที่รวม Mac ของคุณเข้ากับเซิร์ฟเวอร์บัญชีเครือข่าย(ลิงก์จะเปิดในหน้าต่างใหม่)ใน Apple Knowledge Base

การมอบหมาย Kerberos

สถานการณ์การมอบหมาย Kerberos จำเป็นต้องมีรายการต่อไปนี้:

  • หากโดเมนเป็น AD 2003 หรือใหม่กว่า จะมีการสนับสนุนการมอบหมาย Kerberos โดเมนเดียว ผู้ใช้, Tableau Server และฐานข้อมูลส่วนหลังต้องอยู่ในโดเมนเดียวกัน

  • หากโดเมนใช้ AD 2008 จะมีการสนับสนุนระหว่างโดเมนที่จำกัด ผู้ใช้จากโดเมนอื่นสามารถมอบหมายได้หากตรงตามเงื่อนไขต่อไปนี้ Tableau Server และฐานข้อมูลส่วนหลังต้องอยู่บนโดเมนเดียวกัน และต้องมีการรองรับความเชื่อถือทั้งสองทางระหว่างโดเมนที่ Tableau Server อยู่และโดเมนของผู้ใช้

  • หากโดเมนเป็น 2012 หรือใหม่กว่า จะมีการสนับสนุนการมอบหมาย Kerberos ระหว่างโดเมนแบบเต็ม แนะนำให้ใช้ AD 2012 R2 เนื่องจากมีกล่องโต้ตอบสำหรับกำหนดค่าการมอบหมายที่จำกัด ขณะที่ 2012 ที่ไม่ใช่ R2 จะต้องกำหนดค่าด้วยตนเอง

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ