域信任要求
- 版本 :2022.1 及更高版本
在跨多个域(位于相同 Active Directory 林或不同林中)的 Active Directory 环境中运行 Tableau Server 时,某些 Tableau 功能依赖于域之间的信任关系。
在跨多个域(位于相同 Active Directory 林或不同林中)的 Active Directory 环境中运行 Tableau Server 时,某些 Tableau 功能依赖于域之间的信任关系。例如,某些管理员在独立于部署服务器应用程序(例如 Tableau Server)的域的其他域中管理用户。在其他组织中,外部合作伙伴或组织中的不同合作伙伴可能会共用 Tableau Server 部署。最后,Tableau Server 连接到的经过 Windows 身份验证的数据源(例如 SQL Server、MSAS 或 Oracle)也可能在其他域中。
如果可行,我们建议在与 Tableau Server 交互的所有域之间配置双向信任。如果不可行,可将 Tableau Server 配置为支持已配置了单向信任的用户身份验证。在这种情况下,如果安装了 Tableau Server 的域配置为信任用户帐户所在的域,则支持域之间的单向信任。
下图显示安装了 Tableau Server 的域与用户帐户所在域之间的单向信任:
在此方案中,Tableau Server 位于 dev.local 域中,并会将 users.lan Active Directory 域中的用户导入 Tableau Server。此方案需要单向信任;具体而言,dev.local 域配置为信任 users.lan 域。users.lan 域中的用户可使用其标准 Active Directory 凭据访问 dev.local 中的 Tableau Server。但是,在用户使用昵称记录之前,您可能需要在 Tableau Server 上更新域昵称。有关详细信息,请参阅 Tableau 知识库。
为此方案配置 Tableau Server 时,请在安装过程中指定主用户域。请参见配置初始节点设置。为了确保 Tableau Server 可以连接到其他 Active Directory 域,您还必须通过使用 TSM 设置 wgserver.domain.accept_list
选项来指定 Tableau Server 连接到的其他域。有关详细信息,请参见wgserver.domain.accept_list。
域信任的重复绑定帐户
Linux 版 Tableau Server 依赖于 JDK 的 LDAP 实现,该实现使用简单绑定向 Active Directory 进行身份验证。简单绑定不是域感知的,因此不支持跨域绑定。设置初始身份存储时,必须提供用于对 Active Directory 进行身份验证的绑定帐户。
若要启用跨域信任和目录查找,必须在每个目标域中复制此绑定帐户。每个域中的每个绑定帐户必须使用相同的用户名(sAMAccountName
或 dn
)和密码。
此单向信任方案中支持 Kerberos 单点登录。
查看 使用外部身份存储的部署中的用户管理以了解多个域、域命名、NetBIOS 和 Active Directory 用户名格式会对 Tableau 用户管理产生怎样的影响。
在单向信任方案中连接到实时数据
在单向信任方案中,连接到 Tableau Server 的用户可连接到云中托管的实时数据,或者任何其他不依赖于 Windows 身份验证的本地数据源上的实时数据。
要求 Windows 身份验证的数据源可能有其他身份验证要求,这些要求会使方案复杂化,或者可能会使 Tableau Server 用户无法连接。这是因为 Tableau Server 为此类数据源的身份验证使用服务帐户。如果在与使用 Windows 身份验证的数据源不同的其他域中运行 Tableau Server,请验证用于 Tableau Server 的服务帐户是否能访问数据源。