設定 Kerberos
可以將 Tableau Server 設定為使用 Kerberos。這使您能夠在組織中的所有應用程式之間提供單一登入 (SSO) 體驗。在將 Tableau Server 設定為使用 Kerberos 之前,確保環境滿足 Kerberos 需求。
附註:不支援針對 Tableau Server 的 Kerberos SSO 約束委派。(支援資料來源的約束委派。)有關詳情,請參閱Kerberos 需求中的「單一登入 (SSO)」。
若要設定 Kerberos,必須先啟用 Kerberos,然後指定用於使用者驗證的 keytab 檔案。必須為您指定的 keytab 檔設定用於使用者驗證的 Tableau Server 服務提供程式名稱。如果為資料來源使用 Kerberos 驗證,則應將這些認證包括在您將在 Tableau Server 上設定 Kerberos 的過程中指定的單一 keytab 檔中。
作為災難復原計劃的一部分,我們建議將 keytab 檔案的備份儲存在 Tableau Server 之外的安全位置。新增至 Tableau Server 的 keytab 檔案將由用戶端檔案服務儲存並散發至其他節點。但是,該檔案不會以可復原的格式儲存。請參閱Tableau Server Client File Service。
在瀏覽器中開啟 TSM:
https://<tsm-computer-name>:8850。有關詳情,請參閱登入到 Tableau 服務管理員 Web UI。
在 [設定] 索引標籤上按一下 [使用者身分和存取] ,然後按一下 [驗證方法] 。
在 [驗證方法] 下的下拉式功能表中選取 [Kerberos] 。
在 [Kerberos] 下,選取 [為單一登入 (SSO) 啟用 Kerberos] 。
若要將金鑰表檔複製到伺服器,請按一下 [選取檔] ,然後瀏覽到您的電腦上的檔。
輸入設定資訊後,按一下 [儲存暫止的變更]。
按一下頁首的 [暫止的變更]:
按一下 [套用變更並重新啟動]。
如果您在分散式叢集部署中執行 Tableau Server,則需要手動將 keytab 檔分發到每個節點,然後設定使用權限。將 keytab 檔複製到叢集中每個節點上的同一目錄。將 keytab 檔複製到每個節點並為檔設定使用權限後,然後在一個節點上執行以下 TSM 命令。設定將傳播到每個節點。
鍵入以下命令以指定 keytab 檔的位置和名稱:
tsm authentication kerberos configure --keytab-file <path-to-keytab_file>
鍵入以下命令以啟用 Kerberos:
tsm authentication kerberos enable
執行
tsm pending-changes apply
以套用變更。如果擱置組態需要重新啟動伺服器,
pending-changes apply
命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用--ignore-prompt
選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply。
確認 SSO 設定
在 Tableau Server 重新啟動後,在另一台電腦上的 Web 瀏覽器中,透過在 URL 視窗內鍵入 Tableau Server 名稱來測試 Kerberos 設定:
Tableau Server 應會自動驗證您的身分。