Active Directory 部署的域信任要求
在跨多个域(位于相同 Active Directory 林或不同林中)的 Active Directory 环境中运行 Tableau Server 时,某些 Tableau 功能依赖于域之间的信任关系。例如,某些管理员在独立于部署服务器应用程序(例如 Tableau Server)的域的其他域中管理用户。在其他组织中,外部合作伙伴或组织中的不同合作伙伴可能会共用 Tableau Server 部署。最后,Tableau Server 连接到的经过 Windows 身份验证的数据源(例如 SQL Server、MSAS 或 Oracle)也可能在其他域中。
如果可行,我们建议在与 Tableau Server 交互的所有域之间配置双向信任。如果不可行,可将 Tableau Server 配置为支持已配置了单向信任的用户身份验证。在这种情况下,如果安装了 Tableau Server 的域配置为信任用户帐户所在的域,则支持域之间的单向信任。
下图显示安装了 Tableau Server 的域与用户帐户所在域之间的单向信任:
在此方案中,Tableau Server 位于 dev.local 域中,并会将 users.lan Active Directory 域中的用户导入 Tableau Server。此方案需要单向信任;具体而言,dev.local 域配置为信任 users.lan 域。users.lan 域中的用户可使用其标准 Active Directory 凭据访问 dev.local 中的 Tableau Server。但是,在用户使用昵称记录之前,您可能需要在 Tableau Server 上更新域昵称。有关详细信息,请参阅 Tableau 知识库(链接在新窗口中打开)。
为此方案配置 Tableau Server 时,请在安装过程中指定主用户域。请参见配置初始节点设置。为了确保 Tableau Server 可以连接到其他 Active Directory 域,您还必须通过使用 TSM 设置 wgserver.domain.accept_list
选项来指定 Tableau Server 连接到的其他域。有关详细信息,请参见wgserver.domain.accept_list。
运行身份服务帐户帐户还必须对将从中导入用户的每个域具有查询(读取)访问权限。
此单向信任方案中支持 Kerberos 单点登录。
查看 使用外部身份存储的部署中的用户管理以了解多个域、域命名、NetBIOS 和 Active Directory 用户名格式会对 Tableau 用户管理产生怎样的影响。
在单向信任方案中连接到实时数据
在单向信任方案中,连接到 Tableau Server 的用户可连接到云中托管的实时数据,或者任何其他不依赖于 Windows 身份验证的本地数据源上的实时数据。
要求 Windows 身份验证的数据源可能有其他身份验证要求,这些要求会使方案复杂化,或者可能会使 Tableau Server 用户无法连接。这是因为 Tableau Server 为此类数据源的身份验证使用