Kerberos 需求
您可以為在 Active Directory 環境中執行的 Tableau Server 設定 Kerberos 驗證。
一般要求
外部負載平衡器/代理伺服器:如果打算在具有外部負載平衡器 (ELB) 或代理伺服器的環境中將 Tableau Server 與 Kerberos 一起使用,必須先對它們進行設定,再使用 Tableau Server 設定公用程式設定 Kerberos。請參閱為 Tableau Server 設定 Proxy 與負載平衡器。
iOS 瀏覽器支援:如果安裝了指定使用者 Kerberos 身分的設定檔案,則 iOS 使用者可以將 Kerberos 驗證與 Mobile Safari 一起使用。請參閱 Tableau Mobile 說明中的針對 Kerberos 支援設定 iOS 裝置(連結在新視窗開啟)。有關 Kerberos SSO 的瀏覽器支援的詳細資料,請參閱Kerberos SSO 的 Tableau 用戶端支援。
Tableau Server 支援資料來源驗證的限制委派。在這種情況下,會專門授予 Tableau 資料存取帳戶對目標資料庫 SPN 的委派權。不支援非約束委派。
必須為 Kerberos 驗證設定受支援的資料來源(SQL Server、MSAS、PostgreSQL、Hive/Impala 和 Teradata)。
一個 Keytab 檔案,該檔設定為具有 Tableau Server 使用者驗證所用的服務提供程式名稱。有關詳情,請參閱瞭解 keytab 需求。
從 Tableau Server 2021.2.25、2021.3.24、2021.4.19、2022.1.15、2022.3.7 和 2023.1.3(或更高版本)開始,請確保使用 AES-128 或 AES-256 密碼建立 keytab 檔案。不再支援 RC4 和 3DES 密碼。有關詳細資料,請參閱 Tableau 知識庫中的「Tableau Server 無法自動對您進行驗證」(連結在新視窗開啟)。
Active Directory 要求
您必須滿足以下要求才能在 Active Directory 環境中將 Tableau Server 與 Kerberos 一起執行:
Tableau Server 必須使用 Active Directory (AD) 進行驗證。
網域必須是 AD 2003 或更高版本的網域才能實現 Tableau Server 的 Kerberos 連線。
智慧卡支援:如果使用者使用智慧卡登入到其工作站,而且此登入導致透過 Active Directory 向使用者授予 Kerberos TGT,則智慧卡受支援。
單一登入 (SSO):在使用者登入到其電腦時,必須透過 Active Directory 授予其 Kerberos 票證授予票證 (TGT)。這對於聯接域的 Windows 電腦和使用 AD 作為網路帳戶伺服器的 Mac 電腦是標準行為。有關使用 Mac 電腦和 Active Directory 的詳細資訊,請參閱 Apple 知識庫的將 Mac 聯接到網路帳戶伺服器(連結在新視窗開啟)。
Kerberos 委派
對於 Kerberos 委派方案,需要以下內容:
如果網域是 AD 2003 或更高版本,則支援單域 Kerberos 委派。使用者、Tableau Server 和後端資料庫必須位於同一個網域中。
如果網域是 AD 2008,則提供的跨域支援有限。如果滿足以下條件,則可以委派來自其他網域的使用者。Tableau Server 和後端資料庫必須位於同一個網域中,並且在 Tableau Server 所在的網域與使用者的網域之間需要雙向信任。
如果網域是 2012 或更高版本,則支援完整的跨域委派。AD 2012 R2 是慣用的版本,因為該版本有用於設定約束委派的對話方塊,而 2012 非 R2 需要手動設定。