域信任要求
- 版本 :2022.1 及更高版本
当您在跨多个域(在同一个 Active Directory 林或不同林中)的 Active Directory 环境中运行 Tableau Server 时,某些 Tableau 功能取决于域之间的信任关系。例如,某些管理员管理与部署服务器应用程序的位置(如 Tableau Server)分开的域中的用户。在其他组织中,Tableau Server 部署可能与外部合作伙伴或组织中的不同合作伙伴共享。最后,Tableau Server 连接到的经过 Windows 身份验证的数据源(如 SQL Server、MSAS 或 Oracle)也可能位于其他域中。
如果可行,我们建议在与 Tableau Server 交互的所有域之间配置双向信任。如果无法做到这一点,则可以将 Tableau Server 配置为支持已配置单向信任的用户身份验证。在这种情况下,如果将安装了 Tableau Server 的域配置为信任用户帐户所在的域,则支持域之间的单向信任。
下图显示了安装了 Tableau Server 的域与用户帐户所在的域之间的单向信任:
在这种情况下,Tableau Server 位于 dev.local 域中,并且 users.lan Active Directory 域中的用户将导入到 Tableau Server 中。此方案需要单向信任;具体而言,dev.local 域配置为信任 users.lan 域。users.lan 域中的用户可以使用其正常的 Active Directory 凭据访问 dev.local 中的 Tableau Server。但是,您可能需要先更新 Tableau 服务器上的域昵称,然后用户才能使用昵称登录。请参阅Tableau 知识库了解更多信息。
为此方案配置 Tableau Server 时,请在安装过程中指定主用户域。请参见配置初始节点设置。要确保 Tableau Server 可以连接到其他 Active Directory 域,您还必须通过使用 TSM 设置该选项来指定 Tableau Server 连接到的其他域。有关详细信息,请参阅wgserver.domain.accept_list。wgserver.domain.accept_list
运行身份服务帐户还必须对要从中导入用户的每个域具有查询(读取)访问权限。
此单向信任方案支持 Kerberos 单一登录。
查看使用外部身份存储的部署中的用户管理,了解多个域、域命名、NetBIOS 和 Active Directory 用户名格式如何影响 Tableau 用户管理。
在单向信任方案中连接到实时数据
在单向信任方案中,连接到 Tableau Server 的用户可以连接到托管在云中或本地任何其他数据源上且不依赖于 Windows 身份验证的实时数据。
需要 Windows 身份验证的数据源可能具有使方案复杂化的其他身份验证要求,甚至可能阻止 Tableau Server 用户进行连接。这是因为 Tableau Server 使用运行身份服务帐户对此类数据源进行身份验证。如果您在与使用 Windows 身份验证的数据源不同的域中运行 Tableau Server,请验证用于 Tableau Server 的运行身份服务帐户是否可以访问该数据源。