Kerberos SSO 的 Tableau 客户端支持
本文介绍有关将 Kerberos 单点登录 (SSO) 与 Tableau Server 结合使用的一些要求和细微差别,具体情况取决于特定 Tableau 客户端和操作系统。本文中涵盖的 Tableau 客户端包括常用 Web 浏览器、Tableau Desktop 和 Tableau Mobile 应用。
一般浏览器客户端支持
要使用基于浏览器的 Kerberos 单点登录 (SSO),必须满足以下条件:
必须在 Tableau Server 上启用 Kerberos。
用户必须具有用于登录到 Tableau Server 的用户名和密码。
注意:当 Kerberos SSO 失败时,如果设置了回退,用户可以回退为使用其用户名和密码凭据。
必须在客户端计算机或移动设备上通过 Kerberos 向 Active Directory 验证用户的身份。具体而言,这意味着他们具有 Kerberos 票证授予票证 (TGT)。
Tableau Desktop 和浏览器客户端
在 Windows 或 Mac 上,您可以使用 Kerberos SSO 从以下版本的 Tableau Desktop 或浏览器中登录到 Tableau Server。特别要说明的是,可能需要额外的配置。
Windows
- 支持 Tableau Desktop 10.3 或更高版本。
- Internet Explorer - 支持,可能需要配置,请参见注释 1
- Chrome - 支持,可能需要配置,请参见注释 1
- Firefox - 需要配置,请参见注释 2
- Safari - 不支持
Mac OS X
Tableau Mobile 应用客户端
在 iOS 或 Andoid 设备上,您可以使用以下 Tableau Mobile 或移动浏览器版本,通过 Kerberos 向 Tableau Server 进行身份验证:
iOS
Android - 请参见注释 5
- Tableau Mobile 应用
- Chrome
特定于操作系统和浏览器的注意事项
以下注意事项描述特定操作系统和客户端组合的配置要求或问题。
Internet Explorer 和 Chrome 上都支持 Kerberos SSO,但需要在 Windows Internet 选项中进行配置:
启用集成 Windows 身份验证。
验证 Tableau Server URL 是否位于本地 Intranet 区域中。
Internet Explorer 有时可能会检测到 Intranet 区域并配置此设置。如果未检测到和配置 Tableau Server URL,则您必须将 URL 手动添加到本地 Intranet 区域。
启用集成 Windows 身份验证:
在 Windows 控制面板中,打开“Internet 选项”。
在“高级”选项卡上,向下滚动到“安全”部分。
选择“启用集成 Windows 验证”。
单击“应用”。
进行验证或将 Tableau Server URL 添加到本地 Intranet 区域:
在 Windows 控制面板中,打开“Internet 选项”。
在“安全”选项卡上上,选择“本地 Intranet”,然后单击“站点”。
在“本地 Intranet”对话框上,单击“高级”。
在“网站”字段中,查找内部 Tableau Server URL。
在某些组织中,IT 管理员将使用通配符 (*) 来指定内部 URL。例如,以下 URL 包括本地 Intranet 区域中内部
example.lan
命名空间内的所有服务器。https://*.example.lan
下图显示了
https://tableau.example.lan
的特定 URL。如果 Tableau Server URL 或通配符 URL 未在“网站”字段中指定,请在“将该网站添加到区域”字段中输入 Tableau Server URL,单击“添加”,然后单击“确定”。
如果 Tableau Server URL 已经列在“网站”中,您只需关闭对话框即可。
您可以在 Windows 或 Mac 上将 Firefox 与 Kerberos SSO 结合使用来登录到 Tableau Server。为此,您必须完成以下步骤,将 Firefox 配置为支持 Kerberos:
在 Firefox 的地址栏中输入
about:config
。出现有关更改高级设置的警告时,单击“我承诺我会小心”。
在“搜索”框中输入
negotiate
。双击“network.negotiate-auth.allow-non-fqdn”,然后将值设置为 true。
- 双击“network.negotiate-auth.trusted-uris”,并输入 Tableau Server 的完全限定域名 (FQDN)。例如,
tableau.example.com
。
根据 Chrome 文档,当您使用以下命令从终端窗口中启动 Chrome 时,Kerberos SSO 可在 Mac 上工作::
open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"
其中,tableauserver.example.com
是您的环境中 Tableau Server 的 URL。
但是,我们在测试中发现了不一致的结果。因此,如果想要在 Mac 上使用 Kerberos SSO,我们建议您使用 Safari 或 Firefox。有关详细信息,请参见“The Chromium Projects”站点上 HTTP authentication(HTTP 身份验证)(链接在新窗口中打开)中的“Integrated Authentication”(集成身份验证)部分。
注意:用户仍然可以在 Mac OS X 上使用 Chrome 登录到 Tableau Server,但可能会提示用户使用其用户名和密码登录(单点登录可能不起作用)。
如果针对 Kerberos 配置了 iOS,则支持 Kerberos SSO。iOS 设备必须已安装 Kerberos 身份验证配置文件。此操作通常由企业 IT 团队完成。Tableau 支持团队无法协助您针对 Kerberos 配置 iOS 设备。请参见 Tableau Mobile 部署指南中的身份验证主题(链接在新窗口中打开)。
Android 操作系统上的 Tableau Mobile 应用不支持 Kerberos SSO。如果 Kerberos 设置了当 SSO 无法接受用户名和密码身份验证时的回退功能,您仍然可以使用 Android 设备和 Tableau Mobile 应用或受支持的移动浏览器连接到 Tableau Server。在这种情况下,用户在访问 Tableau Server 时,系统会提示用户输入其凭据,而不是使用 Kerberos 进行身份验证。
详细信息
- Tableau Mobile 部署指南:控制 Tableau Mobile 的身份验证和访问权限(链接在新窗口中打开)
- 请参见 Tableau Server 技术规格(链接在新窗口中打开)下的“Web 浏览器”