配置 Kerberos

可以将 Tableau Server 配置为使用 Kerberos。这使您能够在组织中的所有应用程序之间提供单点登录 (SSO) 体验。在将 Tableau Server 配置为使用 Kerberos 之前,确保环境满足 Kerberos 要求

注意:不支持针对 Tableau Server 的 Kerberos SSO 约束委派。(支持数据源的约束委派。)有关详细信息,请参见Kerberos 要求中的“单点登录 (SSO)”。

若要配置 Kerberos,必须先启用 Kerberos,然后指定用于用户身份验证的 keytab 文件。必须为您指定的 keytab 文件配置用于用户身份验证的 Tableau Server 服务提供程序名称。如果为数据源使用 Kerberos 身份验证,则应将这些凭据包括在您将在 Tableau Server 上配置 Kerberos 的过程中指定的单一 keytab 文件中。

作为灾难恢复计划的一部分,我们建议将密钥表文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的密钥表文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务

  1. 在浏览器中打开 TSM:

    https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI

  2. “配置”选项卡上单击“用户身份和访问”,然后单击“身份验证方法”

  3. “身份验证方法”下的下拉菜单中选择“Kerberos”

  4. 在“Kerberos”下,选择“为单点登录 (SSO) 启用 Kerberos”

  5. 若要将密钥表文件复制到服务器,请单击“选择文件”,然后浏览到您的计算机上的文件。

    配置 Kerberos 屏幕截图

  6. 输入配置信息后,单击“保存待处理的更改”

  7. 单击页面顶部的“待定更改”

  8. 单击“应用更改并重新启动”

  1. 如果您在分布式群集部署中运行 Tableau Server,则需要手动将 keytab 文件分发到每个节点,然后设置权限。将 keytab 文件复制到群集中每个节点上的同一目录。将 keytab 文件复制到每个节点并为文件设置权限后,然后在一个节点上运行以下 TSM 命令。配置将传播到每个节点。

  2. 键入以下命令以指定 keytab 文件的位置和名称:

    tsm authentication kerberos configure --keytab-file <path-to-keytab_file>

  3. 键入以下命令以启用 Kerberos:

    tsm authentication kerberos enable

  4. 运行 tsm pending-changes apply 以应用更改。

    如果待定更改需要重新启动服务器,pending-changes apply 命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt 选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参阅tsm pending-changes apply

确认 SSO 配置

在 Tableau Server 重新启动后,在另一台计算机上的 Web 浏览器中,通过在 URL 窗口内键入 Tableau Server 名称来测试 Kerberos 配置:

Tableau Server 应会自动验证您的身份。

感谢您的反馈!