Ciao a tutti, se siete capitati su questo blog è perché probabilmente volete accedere al vostro Tableau Server con Single Sign-On o avete problemi nel configurare Kerberos sulla vostra piattaforma di data visualization preferita.
State tranquilli, siamo qui per aiutarvi.
come primo step andiamo a fare un po’ di chiarezza:
Cosa s’intende per SSO
Per SSO (Single Sign-On) si intende la proprietà di un sistema di controllare gli accessi attraverso un’unica autenticazione.
Cos’è Kerberos e come funziona
Kerberos è un protocollo di autenticazione a tre livelli che utilizza un servizio di rete di terze parti denominato centro di distribuzione che verifica l’identità dei computer e fornisce connessioni sicure tra computer attraverso lo scambio di ticket. Questi ticket forniscono autenticazione reciproca tra computer o servizi, verificando che abbiano l’autorizzazione per accedere l’uno all’altro.
- viene fatto l’accesso al dominio active directory
- Kerberos autentica l’utente ed invia un ticket al pc dell’utente
- l’utente si connette in Tableau Server da Desktop o da Browser
- Tableau Server autentica l’utente
Requisiti Kerberos e configurazione
Ci concentriamo adesso nella configurazione di Kerberos in sistemi Tableau Server che utilizzano come Identity Store Active Directory (può essere utilizzato qualsiasi sistema LDAP e comunque devono essere sempre usati Identity Store di tipo External, vedi il link seguente per maggiori dettagli).
Analizziamo per punti i requisiti generali:
- Bilanciamento di carico esterno/server proxy: se siamo in ambienti con bilanciamento di carichi esterni (ELB) o server proxy, devono essere impostati prima di configurare Kerberos.
- Origini dati come SQL Server, MSAS, PostgreSQL, Hive/Impala e Teradata, devono essere configurate per l’autenticazione Kerberos.
- Tableau Server supporta la delegazione vincolata per l’autenticazione in origini dati; l’account di accesso ai dati di Tableau può accedere in modo specifico agli SPN del database di destinazione. La delega illimitata non è supportata.
- generare un file keytab con il nome del provider di servizi per Tableau Server. Queste credenziali devono essere incluse nel file keytab singolo specificato durante la configurazione.
Per configurare Kerberos una volta soddisfatti i requisiti generali si dovrà aprire in browser TSM (al link https://tuoserver:8850), andare alla tab Configuration -> Identity & Access ed infine su Authentication Method.
Dal menù a tendina selezionare Kerberos.
infine selezionare il file keytab dal pulsante select file
infine basterà salvare le Pending Changes ed infine cliccare su Apply Changes and Restart.
Come creare il file keytab
Creare un file keytab è semplicissimo, basta copiare ed incollare in un file di testo il seguente batch file (che trovate al seguente link):
https://help.tableau.com/current/server-linux/en-us/kerberos_keytab.htm
alla voce SPN and keytab batch file contents
ovviamente dovrete sostituire i parametri in modo da utilizzare le vostre credenziali.
Ricordo inoltre che l’account che utilizzato deve essere completo di dominio, username e password e relativo nome del server sul quale dovrete installare il file keytab. Username e password saranno quelli dell’utenza utilizzata come Run as User Account.
In questo modo riuscirete a configurare velocemente . Spero di esservi stato di aiuto, continuate a leggere i nostri blog!