Kerberos 要求

您可以为在 Active Directory 环境中运行的 Tableau Server 配置 Kerberos 身份验证。

一般要求

  • 外部负载平衡器/代理服务器:如果打算在具有外部负载平衡器 (ELB) 或代理服务器的环境中将 Tableau Server 与 Kerberos 一起使用,必须先对它们进行设置,再使用 Tableau Server 配置实用工具配置 Kerberos。请参见为 Tableau Server 配置代理和负载平衡器

  • iOS 浏览器支持:如果安装了指定用户 Kerberos 身份的配置文件,则 iOS 用户可以将 Kerberos 身份验证与 Mobile Safari 一起使用。请参见 Tableau Mobile 帮助中的针对 Kerberos 支持配置 iOS 设备(链接在新窗口中打开)。有关 Kerberos SSO 的浏览器支持的详细信息,请参见Kerberos SSO 的 Tableau 客户端支持

  • Tableau Server 支持为数据源身份验证使用约束委派。在此方案中,会专门授予 Tableau 数据访问帐户对目标数据库 SPN 的委派权。不支持非约束委派。

  • 必须为 Kerberos 身份验证配置受支持的数据源(SQL Server、MSAS、PostgreSQL、Hive/Impala 和 Teradata)。

  • 一个密钥表文件,该文件配置为具有 Tableau Server 用户身份验证所用的服务提供程序名称。有关详细信息,请参见了解密钥表要求

  • 从 Tableau Server 2021.2.25、2021.3.24、2021.4.19、2022.1.15、2022.3.7 和 2023.1.3(或更高版本) 开始,确保使用 AES-128 或 AES-256 密码创建密钥表文件。不再支持 RC4 和 3DES 密码。有关详细信息,请参见 Tableau 知识库中的“Tableau Server 无法自动对您进行身份验证”(链接在新窗口中打开)

Active Directory 要求

您必须满足以下要求才能在 Active Directory 环境中将 Tableau Server 与 Kerberos 一起运行:

  • Tableau Server 必须使用 Active Directory (AD) 进行身份验证。

  • 域必须是 AD 2003 或更高版本的域才能实现 Tableau Server 的 Kerberos 连接。

  • 智能卡支持:如果用户使用智能卡登录到其工作站,而且此登录导致通过 Active Directory 向用户授予 Kerberos TGT,则智能卡受支持。

  • 单点登录 (SSO):在用户登录到其计算机时,必须通过 Active Directory 授予其 Kerberos 票证授予票证 (TGT)。这对于联接域的 Windows 计算机和使用 AD 作为网络帐户服务器的 Mac 计算机是标准行为。有关使用 Mac 计算机和 Active Directory 的详细信息,请参见 Apple 知识库的将 Mac 联接到网络帐户服务器(链接在新窗口中打开)

Kerberos 委派

对于 Kerberos 委派方案,需要以下内容:

  • 如果域是 AD 2003 或更高版本,则支持单域 Kerberos 委派。用户、Tableau Server 和后端数据库必须位于同一个域中。

  • 如果域是 AD 2008,则提供的跨域支持有限。如果满足以下条件,则可以委派来自其他域的用户。Tableau Server 和后端数据库必须位于同一个域中,并且在 Tableau Server 所在的域与用户的域之间需要双向信任。

  • 如果域是 2012 或更高版本,则支持完整的跨域委派。AD 2012 R2 是首选版本,因为该版本有用于配置约束委派的对话框,而 2012 非 R2 需要手动配置。

感谢您的反馈!您的反馈已成功提交。谢谢!