Kerberos SSO 的 Tableau 用戶端支援
本文說明根據特定 Tableau 用戶端和作業系統,將 Kerberos 單一登入 (SSO) 與 Tableau Server 搭配使用的一些要求和細微差別。本文涵蓋的 Tableau 用戶端包括一般 Web 瀏覽器、Tableau Desktop,以及 Tableau Mobile 應用程式。
一般瀏覽器用戶端支援
要使用基於瀏覽器的 Kerberos 單一登入 (SSO),必須滿足以下條件:
必須在 Tableau Server 上啟用 Kerberos
使用者必須擁有登入 Tableau Server 的使用者名稱和密碼。
附註:Kerberos SSO 失敗後,如果設定了回退功能,則使用者可以回退至其使用者名稱和密碼認證。
必須在用戶端電腦或行動裝置上透過 Kerberos 向 Active Directory 驗證使用者的身分。具體而言,這意味著他們具有 Kerberos 票證授予票證 (TGT)。
Tableau Desktop 和瀏覽器用戶端
在 Windows 或 Mac 上,您可以使用 Kerberos SSO 從以下版本的 Tableau Desktop 或瀏覽器登入 Tableau Server。在說明的地方,可能需要額外的設定。
Windows
- 支援 Tableau Desktop 10.3 或更高版本。
- Internet Explorer - 支援,可能需要設定 - 請參閱附註 1
- Chrome - 支援,可能需要設定 - 請參閱附註 1
- Firefox - 需要設定 - 請參閱附註 2
- Safari - 不支援
Mac OS X
Tableau Mobile 應用程式用戶端
iOS 或 Andoid 裝置上,您可以使用以下 Tableau Mobile 或行動瀏覽器版本用 Kerberos 驗證到 Tableau Server:
iOS
Android - 請參閱附註 5
- Tableau Mobile 應用
- Chrome
作業系統和瀏覽器的附註
下列附註說明特定作業系統與用戶端組合的設定需求或問題。
Internet Explorer 和 Chrome 上都支援 Kerberos SSO,但需要在 Windows Internet 選項中進行設定:
啟用整合 Windows 驗證。
驗證 Tableau Server URL 是否位於本機 Intranet 區域中。
Internet Explorer 有時可以偵測內部網路區域並設定此設定。如果其未偵測和設定 Tableau Server URL,則您必須將 URL 手動新增到本機 Intranet 區域。
啟用整合 Windows 驗證:
在 Windows 主控台中,開啟 [Internet 選項]。
在 [高級] 索引標籤上,向下滾動到 [安全] 部分。
選取 [啟用整合 Windows 驗證] 。
按一下 [套用]。
進行驗證或將 Tableau Server URL 新增到本機 Intranet 區域:
在 Windows 主控台中,開啟 [Internet 選項]。
在 [安全] 索引標籤上上,選取 [本機 Intranet] ,然後按一下 [網站] 。
在 [本機 Intranet] 對話方塊上,按一下 [高級] 。
在 [網站] 欄位中,尋找內部 Tableau Server URL。
在某些組織中,IT 管理員將使用萬用字元 (*) 來指定內部 URL。例如,以下 URL 包括本機 Intranet 區域中內部
example.lan
命名空間內的所有伺服器:https://*.example.lan
下列影像顯示特定的
https://tableau.example.lan
URL。如果 Tableau Server URL 或萬用字元 URL 未在 [網站] 欄位中指定,請在 [將該網站新增到區域] 欄位中輸入 Tableau Server URL,按一下 [新增] ,然後按一下 [確定]。
如果 [網站] 中已列出 Tableau Server URL,您可以直接關閉對話方塊。
您可以在 Windows 或 Mac 上使用 Firefox 搭配使用 Kerberos SSO 登入 Tableau Server。若要執行此操作,您必須完成以下步驟設定 Firefox 以支援 Kerberos:
在 Firefox 的位址欄中輸入
about:config
。出現有關變更高級設定的警告時,按一下 [我承諾我會小心] 。
在 [搜尋] 框中輸入
negotiate
。按兩下 [network.negotiate-auth.allow-non-fqdn] ,然後將值設定為 true。
- 按兩下 [network.negotiate-auth.trusted-uris] ,並輸入 Tableau Server 的完全限定功能變數名稱 (FQDN)。例如,
tableau.example.com
。
根據 Chrome 文件,當您使用以下命令從終端視窗中啟動 Chrome 時,Kerberos SSO 可在 Mac 上工作:
open -a "Google Chrome.app" --args --auth-server-whitelist="tableauserver.example.com"
其中,tableauserver.example.com
是您的環境中 Tableau Server 的 URL。
但我們在測試中發現不一致的結果。因此,如果您要在 Mac 上使用 Kerberos SSO,建議您使用 Safari 或 Firefox。有關詳情,請參閱 The Chromium Projects 網站上 HTTP authentication(HTTP 驗證)(連結在新視窗開啟)中的 [Integrated Authentication](整合驗證)部分。
附註:使用者仍然可以在 Mac OS X 使用 Chrome 登入 Tableau Server,但可能會提示使用者輸入其使用者名和密碼(單一登入將不起作用)。
如果針對 Kerberos 設定了 iOS,則支援 Kerberos SSO。iOS 裝置必須已安裝 Kerberos 驗證設定檔案。此操作通常由企業 IT 團隊完成。Tableau 支援團隊無法協助您針對 Kerberos 設定 iOS 裝置。請參考《Tableau Mobile 部署指南》中的驗證主題(連結在新視窗開啟)。
Android 作業系統上的 Tableau Mobile 應用不支援 Kerberos SSO。如果 Kerberos 針對 SSO 無法接受使用者名稱與密碼驗證設定了回退功能,則仍然可以使用 Android 裝置與 Tableau Mobile 應用程式或支援的行動瀏覽器連線至 Tableau Server。在這種情況下,使用者在存取 Tableau Server 時,系統會提示使用者輸入其認證,而不是使用 Kerberos 進行驗證。
詳細資料
- 《Tableau Mobile 部署指南》:控制 Tableau Mobile 的驗證和存取(連結在新視窗開啟)
- 請參考 Tableau Server 技術規格(連結在新視窗開啟)的 Web 瀏覽器