Deel 5 - Weblaag configureren

De weblaag van de referentiearchitectuur moet de volgende componenten bevatten:

  • Een webgerichte Load Balancer voor de toepassing die HTTPS-verzoeken van Tableau-clients accepteert en communiceert met de reverse proxyservers.
  • Reverse proxy: 
    • Wij raden aan om de onafhankelijke gateway van Tableau Server te implementeren.
    • Wij adviseren minimaal twee proxyservers voor redundantie en om de belasting van de client te verwerken.
    • Ontvangt HTTPS-verkeer van Load Balancer.
    • Ondersteunt sticky sessie naar Tableau-host.
    • Configureer een proxy voor Round Robin Load Balancing voor elke Tableau Server waarop het gatewayproces wordt uitgevoerd.
    • Verwerkt verificatieverzoeken van externe IdP.
  • Forward proxy: Tableau Server vereist toegang tot internet voor licenties en kaartfunctionaliteit. U moet veilige lijsten voor forward proxy's configureren voor URL's van Tableau-services. Zien Communiceren met internet (Linux(Link wordt in een nieuw venster geopend)).
  • Al het clientgerelateerde verkeer kan worden gecodeerd via HTTPS:
    • Client-naar-toepassing Load Balancer
    • Toepassings-Load Balancer voor reverse proxyservers
    • Proxyserver naar Tableau Server
    • Verificatiehandler die op een reverse proxy naar IdP draait
    • Tableau Server naar IdP

De onafhankelijke gateway van Tableau Server

Tableau Server versie 2022.1 introduceerde de onafhankelijke gateway van Tableau Server. De onafhankelijke gateway is een zelfstandige instantie van het Tableau-gatewayproces dat fungeert als een Tableau-bewuste reverse proxy.

De onafhankelijke gateway ondersteunt eenvoudige Round Robin Load Balancing naar de backend Tableau Servers. De onafhankelijke gateway is echter niet bedoeld om te fungeren als Load Balancer voor Enterprise-toepassingen. Wij adviseren om de onafhankelijke gateway achter een Load Balancer voor toepassingen van Enterprise-klasse te gebruiken.

Voor de onafhankelijke gateway is een Advanced Management-licentie nodig.

Verificatie en autorisatie

De standaardreferentiearchitectuur specificeert dat Tableau Server wordt geïnstalleerd met geconfigureerde lokale verificatie. In dit model moeten clients verbinding maken met Tableau Server om te worden geverifieerd via het lokale verificatieproces van Tableau Server. Wij raden af om deze verificatiemethode te gebruiken in de referentiearchitectuur, omdat het scenario vereist dat niet-geverifieerde clients communiceren met de toepassingslaag, wat een beveiligingsrisico vormt.

In plaats daarvan raden we aan om een externe identiteitsprovider op Enterprise-niveau te configureren in combinatie met een AuthN-module om al het verkeer naar de toepassingslaag vooraf te verifiëren. Wanneer geconfigureerd met een externe IdP, wordt het native lokale verificatieproces van Tableau Server niet gebruikt. Tableau Server autoriseert toegang tot bronnen in de implementatie nadat de IdP de gebruikers heeft geverifieerd.

Pre-verificatie met een AuthN-module

In het voorbeeld in deze handleiding is SAML SSO geconfigureerd, maar het pre-verificatieproces kan worden geconfigureerd met de meeste externe identiteitsproviders en een AuthN-module.

In de referentiearchitectuur is de reverse proxy geconfigureerd om een clientverificatiesessie met de IdP te maken voordat de aanvragen via een proxy naar Tableau Server worden verzonden. Wij noemen dit proces de pre-auth-fase. De reverse proxy leidt alleen geverifieerde clientsessies om naar Tableau Server. Tableau Server maakt vervolgens een sessie aan, verifieert de verificatie van de sessie bij de IdP en retourneert vervolgens de clientaanvraag.

In het onderstaande diagram staan de stappens van het pre-auth- en verificatieproces met een geconfigureerde AuthN-module. De reverse proxy kan een generieke oplossing van derden zijn of de onafhankelijke gateway van Tableau Server:

De stappen worden in het bovenstaande diagram weergegeven. Stap 1: de Tableau-client vraagt een resource aan op Tableau Server. Stap 2: de reverse proxy maakt een verificatieverzoek aan met een URL-omleiding naar de identiteitsprovider. Stap 3: de identiteitsprovider stuurt een inlogformulier naar de gebruiker. Stap 4: de gebruiker wordt gevraagd diens inloggegevens in te voeren. Stap 5: de identiteitsprovider verifieert de door de gebruiker verstrekte inloggegevens. Stap 6: de identiteitsprovider reageert op de client met de ingesloten SAML-assertie die naar de reverse proxy-serviceprovider wordt gepost. Stap 7: de serviceprovider op de proxy valideert de assertie, maakt een sessie aan en stuurt deze vervolgens door naar de serviceprovider op Tableau Server. Stap 8: de serviceprovider op Tableau Server maakt het verificatieverzoek aan bij de identiteitsprovider. Stap 9: de identiteitsprovider valideert de huidige sessie. Stap 10: de serviceprovider op Tableau Server valideert en creëert zijn eigen sessie en stuurt het antwoord naar de gebruiker. Stap 11: de gebruiker maakt verbinding met Tableau Server voor autorisatie voor de opgegeven resource.

Configuratieoverzicht

Dit is een overzicht van het proces voor het configureren van de weblaag. Controleer de connectiviteit na elke stap:

  1. Configureer twee reverse proxy's om HTTP-toegang tot Tableau Server te bieden.
  2. Configureer logica voor Load Balancing met sticky sessies op proxyservers om verbinding te maken met elke Tableau Server-instantie waarop het gatewayproces wordt uitgevoerd.
  3. Configureer Load Balancing voor de toepassing met sticky-sessies bij de internetgateway om verzoeken door te sturen naar de reverse proxyservers.
  4. Configureer verificatie met een externe IdP. U kunt SSO of SAML configureren door een verificatiehandler te installeren op de reverse proxyservers. De AuthN-module beheert de verificatiehandshake tussen de externe IdP en uw Tableau-implementatie. Tableau fungeert ook als een IdP-serviceprovider en verifieert gebruikers bij de IdP.
  5. Om in deze implementatie te kunnen verifiëren met Tableau Desktop, moeten uw clients Tableau Desktop 2021.2.1 of hoger gebruiken.

Voorbeeld van weblaagconfiguratie met de onafhankelijke gateway van Tableau Server

In de rest van dit onderwerp vindt u een end-to-endprocedure waarin wordt beschreven hoe u een weblaag implementeert in de voorbeeld-AWS-referentiearchitectuur met behulp van de onafhankelijke gateway van Tableau Server. Voor een voorbeeldconfiguratie met Apache als reverse proxy, zie Bijlage - Voorbeeldimplementatie van weblaag met Apache.

De voorbeeldconfiguratie bestaat uit de volgende componenten:

  • AWS-toepassing Load Balancer
  • De onafhankelijke gateway van Tableau Server
  • Mellon-verificatiemodule
  • Okta IdP
  • SAML-verificatie

Opmerking: het voorbeeld van de weblaagconfiguratie dat in deze sectie wordt gepresenteerd, bevat gedetailleerde procedures voor het implementeren van software en services van derden. We hebben ons uiterste best gedaan om de procedures voor het weblaagscenario te verifiëren en te documenteren. De software van derden kan echter veranderen of uw scenario kan afwijken van de hier beschreven referentiearchitectuur. Raadpleeg de documentatie van derden voor betrouwbare configuratiegegevens en ondersteuning.

De Linux-voorbeelden in deze sectie tonen opdrachten voor RHEL-achtige distributies. De opdrachten hier zijn specifiek ontwikkeld met de Amazon Linux 2-distributie. Als u de Ubuntu-distributie gebruikt, moet u de opdrachten dienovereenkomstig bewerken.

Het implementeren van de weblaag in dit voorbeeld verloopt volgens een stapsgewijze configuratie- en verificatieprocedure. De kernconfiguratie van de weblaag bestaat uit de volgende stappen om HTTP tussen Tableau en internet in te schakelen. De onafhankelijke gateway wordt uitgevoerd en geconfigureerd voor reverse proxy/Load Balancing achter de AWS-toepassing Load Balancer:

  1. Omgeving voorbereiden
  2. Installeer de onafhankelijke gateway
  3. Configureer de onafhankelijke gatewayserver
  4. Configureer de AWS-toepassing Load Balancer

Nadat de weblaag is ingesteld en de connectiviteit met Tableau is geverifieerd, configureert u de verificatie met een externe provider.

Omgeving voorbereiden

Voer de volgende taken uit voordat u de onafhankelijke gateway implementeert.

  1. Wijzigingen in de AWS-beveiligingsgroep. Configureer de beveiligingsgroep Public (Openbaar) om binnenkomend de onafhankelijke gateway housekeeping-verkeer (TCP 21319) van de beveiligingsgroep Private (Privé) toe te staan.

  2. Installeer versie 22.1.1 (of later) op een Tableau Server-cluster met vier knooppunten zoals beschreven in Deel 4 – Tableau Server installeren en configureren.

  3. Configureer de twee proxy EC2-instanties in de openbare beveiligingsgroep zoals beschreven in Hostcomputers configureren.

Installeer de onafhankelijke gateway

Voor de onafhankelijke gateway van Tableau Server is een Advanced Management-licentie vereist.

De implementatie van de onafhankelijke gateway van Tableau Server bestaat uit het installeren en uitvoeren van het .rpm-pakket en vervolgens het configureren van de initiële status. In deze handleiding staat een procedure met richtlijnen voor implementatie in de referentiearchitectuur.

Wijkt uw implementatie af van de referentiearchitectuur? Raadpleeg de kerndocumentatie van Tableau Server, Tableau Server installeren met onafhankelijke gateway (Linux(Link wordt in een nieuw venster geopend)).

Belangrijk: de configuratie van de onafhankelijke gateway kan een foutgevoelig proces zijn. Het is erg lastig om configuratieproblemen op te lossen tussen twee instanties van onafhankelijke gateway-servers. Om deze reden raden wij aan om slechts één de onafhankelijke gateway-server tegelijk te configureren. Nadat u de eerste server hebt geconfigureerd en de functionaliteit hebt gecontroleerd, moet u de tweede onafhankelijke gateway-server configureren.

Hoewel u elke onafhankelijke gateway-server afzonderlijk configureert, moet u deze installatieprocedure uitvoeren op beide EC2-instanties die u in de openbare beveiligingsgroep hebt geïnstalleerd: 

  1. Voer een update uit om de nieuwste oplossingen voor het Linux-besturingssysteem toe te passen:

    sudo yum update

  2. Hebt u Apache geïnstalleerd? Verwijder die dan:

     sudo yum remove httpd
  3. Kopieer het installatiepakket van versie 2022.1.1 (of later) van de onafhankelijke gateway van Tableau Downloads-pagina(Link wordt in een nieuw venster geopend) naar de hostcomputer waarop Tableau Server wordt uitgevoerd.

    Voer bijvoorbeeld op een computer met een Linux RHEL-achtig besturingssysteem het volgende uit:

    wget https://downloads.tableau.com/esdalt/2022<version>/tableau-server-tsig-<version>.x86_64.rpm

  4. Voer het installatieprogramma uit. Voer bijvoorbeeld op een Linux RHEL-achtig besturingssysteem het volgende uit:

    sudo yum install <tableau-tsig-version>.x86_64.rpm

  5. Ga naar de /opt/tableau/tableau_tsig/packages/scripts.<version_code>/ directory en voer het script initialize-tsig uit dat zich daar bevindt. Naast de --accepteula-vlag, moet u het IP-bereik opgeven van de subnetten waar de Tableau Server-implementatie wordt uitgevoerd. Gebruik de -c-optie om het IP-bereik op te geven. Zie onderstaande voorbeeldopdracht met de opgegeven voorbeeld-AWS-subnetten:

    sudo ./initialize-tsig --accepteula -c "ip 10.0.30.0/24 10.0.31.0/24"

  6. Nadat de initialisatie is voltooid, opent u het bestand tsighk-auth.conf en kopieert u het verificatiegeheim in het bestand. U moet deze code voor elk van de onafhankelijke gateway-instanties indienen als onderdeel van de backend Tableau Server-configuratie:

    sudo less /var/opt/tableau/tableau_tsig/config/tsighk-auth.conf

  7. Nadat u de voorgaande stappen op beide instanties van de onafhankelijke gateway hebt uitgevoerd, bereidt u het configuratiebestand tsig.json voor. Het configuratiebestand bestaat uit een independentGateways-array. In de matrix staan configuratieobjecten. Elk van de objecten definieert verbindingsdetails voor een onafhankelijke gateway-instantie.

    Kopieer de volgende JSON en pas deze aan op basis van uw implementatieomgeving. Zie hier een voorbeeld van een bestand voor een voorbeeld van een AWS-referentiearchitectuur.

    Het onderstaande JSON-voorbeeldbestand bevat alleen verbindingsgegevens voor één onafhankelijke gateway. Later in het proces voegt u de verbindingsgegevens voor de tweede onafhankelijke gateway-server toe.

    Sla het bestand op als tsig.json voor de procedures die volgen.

    {
    "independentGateways": [
     {
     	"id": "ip-10-0-1-169.ec2.internal",
     	"host": "ip-10-0-1-169.ec2.internal",
     	"port": "21319",
     	"protocol" : "http",
     	"authsecret": "13660-27118-29070-25482-9518-22453"
     	}]
     }

    • "id" - De privé-DNS-naam van het AWS EC2-instantie waarop de onafhankelijke gateway wordt uitgevoerd.
    • "host" - Hetzelfde als "id".
    • "port" - De housekeeping-poort is standaard "21319".
    • "protocol" - Het protocol voor clientverkeer. Laat dit op http staan voor de initiële configuratie.
    • "authsecret" - Het geheim dat u in de vorige stap hebt gekopieerd.

Onafhankelijke gateway: directe vs. relayverbinding

Voordat u verdergaat, moet u beslissen welk verbindingsschema u in uw implementatie wilt configureren: een directe verbinding of een relayverbinding. Elke optie wordt hier kort beschreven, naast informatie die relevant is voor uw besluitvorming.

Relayverbinding: u kunt de onafhankelijke gateway configureren om clientcommunicatie via één poort door te geven aan het gatewayproces op Tableau Server. Wij noemen dit een relayverbinding:

  • Het relayproces resulteert in een extra hop van de onafhankelijke gateway naar het backend Tableau Server-gatewayproces. Door de extra hop zijn de prestaties slechter in vergelijking met die bij de configuratie met directe verbinding.
  • TLS wordt ondersteund in de relaymodus. Alle communicatie in de relaymodus is beperkt tot één enkel protocol (HTTP of HTTPS) en kan daarom worden gecodeerd en geverifieerd met TLS.

Directe verbinding: de onafhankelijke gateway kan rechtstreeks communiceren met de backendprocessen van Tableau Server via meerdere poorten. Wij verwijzen naar deze communicatie als directe verbinding:

  • Omdat de verbinding rechtstreeks met de backend van Tableau Server verloopt, zijn de prestaties van de client aanzienlijk beter in vergelijking met die van bij de relayverbindingsoptie.
  • Vereist het openen van 16 poorten van openbare naar privésubnetten voor directe procescommunicatie van de onafhankelijke gateway naar Tableau Server-computers.
  • TLS wordt nog niet ondersteund voor de processen van de onafhankelijke gateway naar Tableau Server.

Om TLS tussen Tableau Server en de onafhankelijke gateway uit te voeren, moet u een relayverbinding configureren. De voorbeeldscenario's in de EDG zijn geconfigureerd met een relayverbinding.

  1. Kopieer tsig.json naar knooppunt 1 van uw Tableau Server-implementatie.

  2. Voer op knooppunt 1 de volgende opdrachten uit om de onafhankelijke gateway in te schakelen.

    tsm stop
    tsm configuration set -k gateway.tsig.proxy_tls_optional -v none
    tsm pending-changes apply
    tsm topology external-services gateway enable -c tsig.json
    tsm start

Omdat directe verbindingen geen TLS ondersteunen, raden wij u aan om een directe verbinding alleen te configureren als u al het netwerkverkeer op andere manieren kunt beveiligen. Om TLS tussen Tableau Server en de onafhankelijke gateway uit te voeren, moet u een relayverbinding configureren. De voorbeeldscenario's in de EDG zijn geconfigureerd met een relayverbinding.

Als u de onafhankelijke gateway configureert voor directe verbinding met Tableau Server, moet u de configuratie inschakelen om communicatie te activeren. Nadat Tableau Server met de onafhankelijke gateway communiceert, worden de protocoldoelen vastgesteld. U moet dan de proxy_targets.csv van de onafhankelijke gateway-computer halen en de overeenkomstige poorten van de openbare naar de privébeveiligingsgroepen in AWS openen.

  1. Kopieer tsig.json naar knooppunt 1 van uw Tableau Server-implementatie.

  2. Voer op knooppunt 1 de volgende opdrachten uit om de onafhankelijke gateway in te schakelen.

    tsm stop
    tsm topology external-services gateway enable -c tsig.json
    tsm start
  3. Voer op de onafhankelijke gateway-computer de volgende opdracht uit om de poorten te bekijken die de Tableau Server-cluster gebruikt:

    less /var/opt/tableau/tableau_tsig/config/httpd/proxy_targets.csv
  4. Configureer AWS-beveiligingsgroepen. Voeg de TCP-poorten toe die in proxy_targets.csv staan om communicatie van de openbare beveiligingsgroep naar de privébeveiligingsgroep mogelijk te maken.

    Wij raden aan de poortingangsconfiguratie te automatiseren, omdat de poorten kunnen veranderen als de Tableau Server-implementatie verandert. Als u knooppunten toevoegt of processen opnieuw configureert in de Tableau Server-implementatie, leidt dit tot wijzigingen in de poorttoegang die de onafhankelijke gateway vereist.

Verificatie: basistopologieconfiguratie

U zou toegang moeten kunnen krijgen tot de beheerpagina van Tableau Server door te surfen naar http://<gateway-public-IP-address>.

Wordt de aanmeldingspagina van Tableau Server niet geladen of start Tableau Server niet? Volg deze stappen voor probleemoplossing:

Netwerk: 

  • Controleer de connectiviteit tussen de Tableau-implementatie en de onafhankelijke gateway-instantie door de volgende wget- opdracht vanaf Tableau Server-knooppunt 1 uit te voeren: wget http://<intern IP-adres of de onafhankelijke gateway>:21319, bijvoorbeeld:

     wget http://ip-10-0-1-38:21319

    Als de verbinding wordt geweigerd of mislukt, controleer dan of de openbare beveiligingsgroep is geconfigureerd om onafhankelijke gateway housekeeping-verkeer (TCP 21319) van de privébeveiligingsgroep toe te staan.

    Als de beveiligingsgroep correct is geconfigureerd, controleer dan of u de juiste IP-adressen of IP-bereiken hebt opgegeven tijdens de initialisatie van de onafhankelijke gateway. U kunt deze configuratie bekijken en wijzigen in het bestand environment.bash in /etc/opt/tableau/tableau_tsig/environment.bash. Als u een wijziging aanbrengt in dit bestand, start dan de tsig-http-service opnieuw op zoals hieronder beschreven wordt.

Op de Proxy 1-host:

  1. Overschrijf het httpd.conf-bestand met het onafhankelijke gateway-stubbestand:

    cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
  2. Start tsig-httpd opnieuw op als eerste stap voor probleemoplossing:
    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

Op Tableau-knooppunt 1

  • Controleer het tsig.json-bestand. Los eventuele fouten die u vindt op en voer vervolgens het programma tsm topology external-services gateway update -c tsig.json uit.
  • Als u een directe verbinding gebruikt, controleer dan de TCP-poorten die in proxy_targets.csv zijn geconfigureerd als ingangspoorten van openbare naar privébeveiligingsgroepen.

Configureer de AWS-toepassing Load Balancer

Configureer de loadbalancer als een HTTP-listener. De procedure hier beschrijft hoe u een loadbalancer toevoegt in AWS.

Stap 1: Doelgroep maken

Een doelgroep is een AWS-configuratie die de EC2-instanties definieert waarop uw proxyservers draaien. Dit zijn de doelen voor het verkeer van de LBS.

  1. EC2 >Target groups (Doelgroepen) > Create target group (Doelgroep)

  2. Doe het volgende op de pagina Create (Maken):

    • Voer een doelgroepnaam in, bijvoorbeeld TG-internal-HTTP.
    • Doeltype: instanties
    • Protocol: HTTP
    • Poort: 80
    • VPC: selecteer uw VPC.
    • Voeg de te lezen codelijst toe via Health checks (Statuscontroles) > Advanced health checks settings (Geavanceerde instellingen voor statuscontroles) > Success codes (Succescodes): 200,303.
    • Klik op Maken.
  3. Selecteer de doelgroep die u zojuist hebt gemaakt en klik vervolgens op het tabblad Targets (Doelen): 

    • Klik op Edit (Bewerken).
    • Selecteer de EC2-instanties (of één instantie als u er één tegelijk configureert) waarop de proxytoepassing wordt uitgevoerd en klik vervolgens op Toevoegen aan geregistreerd.
    • Klik op Opslaan.

Stap 2: De loadbalancer-wizard starten

  1. EC2> Load Balancers (Loadbalancers) > Create Load Balancer (Loadbalancer maken)

  2. Maak op de pagina 'Select load balancer type' (Type loadbalancer selecteren) een toepassings-loadbalancer.

Opmerking: de gebruikersinterface die wordt weergegeven om de loadbalancer te configureren, is niet consistent in alle AWS-datacenters. De onderstaande procedure, 'Wizardconfiguratie', geeft aan welke instellingen moeten worden toegewezen in de AWS-configuratiewizard die begint met Step 1 Configure Load Balancer (Stap 1 Loadbalancer configureren). 

Als uw datacenter alle configuraties weergeeft op één pagina met onderaan de knop Create load balancer (Loadbalancer maken), volgt u de onderstaande procedure 'Configuratie op één pagina'.

  1. Pagina Configure load balancer (Loadbalancer configureren):

    • Geef naam op.
    • Schema: internetgericht (standaard)
    • IP-adrestype: ipv4 (standaard)
    • Listeners (listeners en routering):
      1. Laat de standaard-HTTP-listener staan.
      2. Klik op Add listener (Luisteraar toevoegen) en voeg HTTPS:443 toe.
    • VPC: selecteer de VPC waar u alles hebt geïnstalleerd.
    • Beschikbaarheidszones:
      • Selecteer a en b voor uw datacenterregio's.
      • Selecteer in elke corresponderende vervolgkeuzelijst het openbare subnet (waar uw proxyservers zich bevinden).
    • Klik op Configure Security Settings (Beveiligingsinstellingen configureren).
  2. Pagina Configure Security Settings (Beveiligingsinstellingen configureren)

    • Upload uw openbare SSL-certificaat.
    • Klik op Next: Configure Security Groups (Volgende stap: Beveiligingsgroepen configureren).
  3. Pagina Configure Security Groepen (Beveiligingsinstellingen configureren):

    • Selecteer de openbare beveiligingsgroep (Public). Als de standaardbeveiligingsgroep (Default) is geselecteerd, wist u deze selectie.
    • Klik op Next: Configure Routing (Volgende stap: Routering configureren).
  4. Pagina Configure Routing (Routering configureren)

    • Doelgroep: bestaande doelgroep.
    • Naam: selecteer de doelgroep die u eerder hebt gemaakt.
    • Klik op Next: Register Targets (Volgende stap: Doelen registreren).
  5. Pagina Register Targets (Doelen registreren)

    • De twee proxyserverinstanties die u eerder hebt geconfigureerd, worden weergegeven.
    • Klik op Next: Review (Volgende stap: Controleren).
  6. Pagina Review (Controleren)

    Klik op Maken.

Basisconfiguratie

  • Geef naam op.
  • Schema: internetgericht (standaard)
  • IP-adrestype: ipv4 (standaard)

Netwerktoewijzing

  • VPC: selecteer de VPC waar u alles hebt geïnstalleerd.
  • Toewijzingen:
    • Selecteer de beschikbaarheidszones a en b (of vergelijkbare beschikbaarheidszones) voor uw datacenterregio's.
    • Selecteer in elke corresponderende vervolgkeuzelijst het openbare subnet (waar uw proxyservers zich bevinden).

Beveiligingsgroepen

  • Selecteer de openbare beveiligingsgroep (Public). Als de standaardbeveiligingsgroep (Default) is geselecteerd, wist u deze selectie.
  • Listeners en routering

    • Laat de standaard-HTTP-listener staan. Geef voor Default action (Standaardactie) de doelgroep op die u eerder hebt ingesteld.
    • Klik op Add listener (Luisteraar toevoegen) en voeg HTTPS:443 toe. Geef voor Default action (Standaardactie) de doelgroep op die u eerder hebt ingesteld.

    Veilige listenerinstellingen

    • Upload uw openbare SSL-certificaat.

    Klik op Create Load balancer (Loadbalancer maken).

    Stap 3: Stickiness inschakelen

    1. Nadat u de loadbalancer hebt gemaakt, moet u 'stickiness' (sessieaffiniteit) inschakelen voor de doelgroep.

      • Open de AWS-pagina voor de doelgroep (EC2> Load Balancing (Taakverdeling) > Target Groups (Doelgroepen)) en selecteer de doelgroepinstantie die u zojuist hebt ingesteld. Selecteer in het menu Action (Actie) de optie Edit attributes (Attributen bewerken).
      • Selecteer op de pagina Edit attributes (Attributen bewerken) de optie Stickiness (sessieaffiniteit), geef een duur van 1 day (1 dag) op en klik vervolgens op Save changes (Wijzigingen opslaan).
    2. Schakel stickiness in voor de loadbalancer op de HTTP-listener. Selecteer de loadbalancer die u zojuist hebt geconfigureerd en klik vervolgens op het tabblad Listeners:

      • Klik voor HTTP:80 op View/edit rules (Regels weergeven/bewerken). Klik op de resulterende pagina Rules (Regels) op het bewerkingspictogram (eenmaal bovenaan de pagina en vervolgens nogmaals naast de regel) om de regel te bewerken. Verwijder de bestaande THEN-regel en vervang deze door op Add action (Actie toevoegen) > Forward to... (Doorsturen naar) te klikken. Specificeer in de hieruit voortvloeiende THEN-configuratie de doelgroep die u hebt gemaakt. Schakel Stickiness in onder Group-level stickiness (Sessieaffiniteit op groepsniveau) en stel de duur in op 1 dag. Sla de instelling op en klik vervolgens op Update (Bijwerken).

    Stap 4: De time-out voor inactiviteit op de loadbalancer instellen

    Werk de inactiviteitstime-out voor de loadbalancer bij naar 400 seconden.

    Selecteer de loadbalancer die u voor deze implementatie hebt geconfigureerd en klik vervolgens op Actions (Acties) > Edit attributes (Kenmerken bewerken). Stel Idle timeout (Time-out inactiviteit) in op 400 seconden en klik op Save (Opslaan).

    Stap 5: LBS-connectiviteit controleren

    Open de AWS-pagina voor de doelgroep (EC2> Load Balancers) en selecteer de loadbalancer-instantie die u zojuist hebt ingesteld.

    Kopieer de DNS-naam onder Description (Beschrijving) en plak deze in een browser om toegang te krijgen tot de aanmeldingspagina van Tableau Server.

    Als u een 500-niveaufout krijgt, moet u uw proxyservers mogelijk opnieuw opstarten.

    DNS bijwerken met openbare Tableau-URL

    Gebruik de DNS-zonenaam van uw domein uit de AWS Load Balancer-beschrijving om een CNAME-waarde in uw DNS te maken. Verkeer naar uw URL (tableau.example.com) moet naar de openbare DNS-naam van AWS worden verzonden.

    Controleer de connectiviteit

    Nadat uw DNS-updates zijn voltooid, zou u naar de aanmeldingspagina van Tableau Server moeten kunnen navigeren door uw openbare URL in te voeren, bijvoorbeeld: https://tableau.example.com.

    Voorbeeld van verificatieconfiguratie: SAML met externe IdP

    In het volgende voorbeeld wordt beschreven hoe u SAML instelt en configureert met Okta IdP en de Mellon-verificatiemodule voor een Tableau-implementatie die wordt uitgevoerd in de AWS-referentiearchitectuur.

    In dit voorbeeld wordt voortgeborduurd op het vorige gedeelte. Er wordt ervan uitgegaan dat u één onafhankelijke gateway tegelijk configureert.

    In het voorbeeld wordt beschreven hoe u Tableau Server en de onafhankelijke gateway via HTTP configureert. Okta stuurt een verzoek naar de AWS-Load Balancer via HTTPS, maar al het interne verkeer gaat via HTTP. Houd bij het configureren voor dit scenario rekening met de HTTP- en HTTPS-protocollen bij het instellen van URL-reeksen.

    In dit voorbeeld wordt Mellon gebruikt als een serviceprovidermodule voor pre-verificatie op de onafhankelijke gateway-servers. Met deze configuratie kan alleen geverifieerd verkeer verbinding maken met Tableau Server, waarbij die ook fungeert als serviceprovider met de Okta IdP. Daarom moet u twee IdP-toepassingen configureren: één voor de Mellon-serviceprovider en één voor de Tableau-serviceprovider.

    Een Tableau-beheerdersaccount maken

    Een veelgemaakte fout bij het configureren van SAML is dat vóór inschakeling van SSO geen beheerdersaccount wordt gemaakt op Tableau Server.

    De eerste stap is het maken van een account op Tableau Server met de rol van Serverbeheerder. Voor het Okta-voorbeeldscenario moet de gebruikersnaam een geldige e-mailadresnotatie hebben, bijvoorbeeld gebruiker@voorbeeld.com. U moet een wachtwoord voor deze gebruiker instellen, maar het wachtwoord wordt niet gebruikt nadat SAML is geconfigureerd.

    Okta-toepassing voor voorafgaande verificatie configureren

    Voor het end-to-end-scenario dat in deze sectie wordt beschreven, zijn twee Okta-toepassingen nodig:

    • Okta-toepassing voor voorafgaande verificatie
    • Tableau Server-toepassing van Okta

    Elk van deze toepassingen is gekoppeld aan verschillende metadata die u respectievelijk op de reverse proxy en Tableau Server moet configureren.

    In deze procedure wordt beschreven hoe u de Okta-toepassing voor voorafgaande verificatie maakt en configureert. Verderop in dit onderwerp gaat u de Tableau Server-toepassing van Okta maken. Zie de Okta Developer-webpagina(Link wordt in een nieuw venster geopend) (in het Engels) voor informatie over een gratis Okta-proefaccount met een beperkt aantal gebruikers.

    Maak een SAML-app-integratie voor de Mellon-serviceprovider voor voorafgaande verificatie.

    1. Open het Okta-beheerdashboard > Applications Create App Integration (Toepassingen > App-integratie maken).

    2. Selecteer op de pagina Create a new app integration (Nieuwe app-integratie maken) de optie SAML 2.0 en klik dan op Next (Volgende).

    3. Voer op het tabblad General Settings (Algemene instellingen) een app-naam in, bijvoorbeeld Tableau Pre-Auth en klik op Next (Volgende).

    4. Doe het volgende op het tabblad Configure SAML (SAML configureren):

      • URL voor eenmalige aanmelding (SSO). Het laatste element van het pad in de URL voor eenmalige aanmelding wordt aangeduid als MellonEndpointPath in het configuratiebestand mellon.conf dat verderop in deze procedure volgt. U kunt elk gewenst eindpunt opgeven. In dit voorbeeld is sso het eindpunt. Het laatste element, postResponse, is vereist: https://tableau.example.com/sso/postResponse.
      • Schakel het selectievakje Use this for Recipient URL and Destination URL (Dit gebruiken voor ontvangers-URL en bestemmings-URL) uit.
      • Recipient URL (Ontvangers-URL): Hetzelfde als de SSO-URL, maar met HTTP. Bijvoorbeeld http://tableau.example.com/sso/postResponse.
      • Destination URL (Bestemmings-URL): hetzelfde als de SSO-URL, maar met HTTP. Bijvoorbeeld http://tableau.example.com/sso/postResponse.
      • Audience URI (SP Entity ID) (Doelgroep-URI (SP-entiteits-ID). Bijvoorbeeld https://tableau.example.com.
      • Name ID Format (Notatie van naam-ID): EmailAddress
      • Application username (Toepassingsgebruikersnaam): Email
      • Attributes Statements (Kenmerkinstructies): Name = mail; Name format (Naamnotatie)= Unspecified; Value (Waarde) = user.email.

      Klik op Next (Volgende).

    5. Selecteer op het tabblad Feedback het volgende:

      • I'm an Okta customer adding an internal app (Ik ben een Okta-klant die een interne app toevoegt)
      • This is an internal app that we have created (Dit is een interne app die we hebben gemaakt)
      • Klik op Finish (Voltooien).
    6. Maak het IdP-metadatabestand voor voorafgaande verificatie:

      • In Okta: Applications > (Toepassingen) Applications > Uw nieuwe toepassing (bijv. Tableau Pre-Auth) > Sign On (Aanmelden)
      • Klik bij SAML Signing Certificates (SAML-ondertekeningscertificaten) op View SAML setup instructions (SAML-installatie-instructies weergeven).
      • Scroll op de pagina How to Configure SAML 2.0 for <pre-auth> Application (SAML 2.0 configureren voor<pre-auth>-toepassing) omlaag naar de sectie Optional (Optioneel), Provide the following IDP metadata to your SP provider (de volgende IDP-metadata doorgeven aan uw SP-provider).
      • Kopieer de inhoud van het XML-veld en sla deze op in een bestand met de naam pre-auth_idp_metadata.xml.
    7. (Optioneel) Configureer meervoudige verificatie:

      • In Okta: Applications > (Toepassingen) Applications > Uw nieuwe toepassing (bijv. Tableau Pre-Auth) > Sign On (Aanmelden)
      • Klik onder Sign On Policy (Aanmeldingsbeleid) op Add Rule (Regel toevoegen).
      • Geef bij App Sign On Rule (App-aanmeldingsregel) een naam en de verschillende MFA-opties op. Om de functionaliteit te testen, kunt u alle opties op de standaardinstellingen laten staan. Onder Actions (Acties) moet u echter Prompt for factor (Om factor vragen) selecteren en vervolgens opgeven hoe vaak gebruikers zich moeten aanmelden. Klik op Save (Opslaan).

    Okta-gebruiker maken en toewijzen

    1. Maak in Okta een gebruiker aan met de gebruikersnaam die u in Tableau hebt gemaakt (gebruiker@voorbeeld.com): Directory > People (Mensen) > Add person (Persoon toevoegen).
    2. Nadat de gebruiker is aangemaakt, wijst u de nieuwe Okta-app toe aan die persoon: klik op de gebruikersnaam en wijs de toepassing toe in Assign Application (Toepassing toewijzen).

    Mellon installeren voor pre-auth

    In dit voorbeeld wordt mod_auth_mellon gebruikt, een populaire opensource-module. Sommige Linux-distributies bevatten verouderde versies van mod_auth_mellon uit een oudere opslagplaats. Deze verouderde versies kunnen onbekende beveiligingsproblemen of functionele problemen bevatten. Als u mod_auth_mellon gebruikt, controleer dan of u de nieuwste versie gebruikt.

    De mod_auth_mellon-module is software van derden. We hebben ons uiterste best gedaan om de procedures te verifiëren en te documenteren om dit scenario mogelijk te maken. Software van derden kan echter veranderen of uw scenario kan afwijken van de hier beschreven referentiearchitectuur. Raadpleeg de documentatie van derden voor betrouwbare configuratiegegevens en ondersteuning.

    1. Installeer een actuele versie van de Mellon-verificatiemodule op de actieve EC2-instantie waarop de onafhankelijke gateway wordt uitgevoerd.

    2. Maak de directory /etc/mellon:

      sudo mkdir /etc/mellon

    Mellon configureren als pre-auth-module

    Voer deze procedure uit op de eerste instantie van de onafhankelijke gateway.

    U moet een kopie hebben van het bestand pre-auth_idp_metadata.xml dat u hebt gemaakt vanuit de Okta-configuratie.

    1. Ga naar de directory:

      cd /etc/mellon

    2. Maak de metadata van de serviceprovider. Voer het script mellon_create_metadata.sh uit. U moet de entiteits-ID en de retour-URL voor uw organisatie in de opdracht opnemen.

      De retour-URL wordt de URL voor eenmalige aanmelding in Okta. Het laatste element van het pad in de retour-URL wordt de MellonEndpointPath in het mellon.conf-configuratiebestand dat later in deze procedure volgt. In dit voorbeeld specificeren we sso als eindpuntpad.

      Bijvoorbeeld:

      sudo /usr/libexec/mod_auth_mellon/mellon_create_metadata.sh https://tableau.example.com "https://tableau.example.com/sso"

      Het script retourneert het certificaat, de sleutel en de metadatabestanden van de serviceprovider.

    3. Hernoem de serviceproviderbestanden in de mellon-directory voor een betere leesbaarheid. In de documentatie verwijzen we naar deze bestanden met de volgende namen:

      sudo mv *.key mellon.key
      sudo mv *.cert mellon.cert
      sudo mv *.xml sp_metadata.xml

    4. Kopieer het bestandpre-auth_idp_metadata.xml naar dezelfde map.

    5. Wijzig eigendom en machtigingen voor alle bestanden in de /etc/mellon-directory:

      sudo chown tableau-tsig mellon.key
      sudo chown tableau-tsig mellon.cert
      sudo chown tableau-tsig sp_metadata.xml
      sudo chown tableau-tsig pre-auth_idp_metadata.xml 
      sudo chmod +r * mellon.key
      sudo chmod +r * mellon.cert
      sudo chmod +r * sp_metadata.xml
      sudo chmod +r * pre-auth_idp_metadata.xml 

    6. Maak de directory /etc/mellon/conf.d:

      sudo mkdir /etc/mellon/conf.d
    7. Maak het global.conf-bestand in de /etc/mellon/conf.d-directory.

      Kopieer de inhoud van het bestand zoals hieronder weergegeven, maar werkMellonCookieDomain bij met uw root-domeinnaam. Als de domeinnaam voor Tableau bijvoorbeeld tableau.example.com is, voer dan example.com in als rootdomein.

      <Location "/">
      AuthType Mellon
      MellonEnable auth
      Require valid-user
      MellonCookieDomain <root domain>
      MellonSPPrivateKeyFile /etc/mellon/mellon.key
      MellonSPCertFile /etc/mellon/mellon.cert
      MellonSPMetadataFile /etc/mellon/sp_metadata.xml
      MellonIdPMetadataFile /etc/mellon/pre-auth_idp_metadata.xml
      MellonEndpointPath /sso
      </Location>
      
      <Location "/tsighk">
      MellonEnable Off
      </Location>
    8. Maak het mellonmod.conf-bestand in de /etc/mellon/conf.d-directory.

      Dit bestand bevat één enkele richtlijn die de locatie van het bestand mod_auth_mellon.so aangeeft. De locatie in het voorbeeld hier is de standaardlocatie van het bestand. Controleer of het bestand zich op deze locatie bevindt, of wijzig het pad in deze richtlijn zodat het overeenkomt met de werkelijke locatie van mod_auth_mellon.so:

      LoadModule auth_mellon_module /usr/lib64/httpd/modules/mod_auth_mellon.so

    Maak een Tableau Server-toepassing in Okta

    1. In het Okta-dashboard: Applications (Toepassingen) > Applications > Browse App Catalog (App-catalogus doorzoeken)
    2. Zoek in Browse App Integration Catalog (App-integratiecatalogus doorzoeken) naar Tableau, selecteer de Tableau Server-tegel en klik vervolgens op Add (Toevoegen).
    3. Voer bij Add Tableau Server (Tableau Server toevoegen) > Algemene instellingen (Algemene instellingen) een label in en klik vervolgens op Next (Volgende).
    4. Selecteer in ‘Sign-On Options’ (Aanmeldingsopties) de optie SAML 2.0 en scroll vervolgens omlaag naar 'Advanced Sign-on Settings' (Geavanceerde aanmeldingsinstellingen):
      • SAML Entity ID (SAML-entiteits-ID): voer de openbare URL in, bijvoorbeeld https://tableau.example.com.
      • Application user name format (Notatie toepassingsgebruikersnaam): Email (E-mail)
    5. Klik op de link Identity Provider metadata (Identiteitsprovider-metadata) om een browser te starten. Kopieer de browserlink. Dit is de link die u gebruikt wanneer u Tableau configureert in de volgende procedure.
    6. Klik op Done (Gereed).
    7. Wijs de nieuwe Tableau Server-toepassing van Okta toe aan uw gebruiker (gebruiker@voorbeeld.com): Klik op de gebruikersnaam en wijs de toepassing toe in Assign Application (Toepassing toewijzen).

    Configuratie van verificatiemodule instellen op Tableau Server

    Voer de volgende opdrachten uit op Tableau Server-knooppunt 1. Met deze opdrachten worden de bestandslocaties voor de Mellon-configuratiebestanden op de externe onafhankelijke gateway-computer opgegeven. Controleer nogmaals of de bestandspaden die in deze opdrachten worden opgegeven, overeenkomen met de paden en bestandslocaties op de externe onafhankelijke gateway-computer.

    tsm configuration set -k gateway.tsig.authn_module_block -v "/etc/mellon/conf.d/mellonmod.conf" --force-keys
    tsm configuration set -k gateway.tsig.authn_global_block -v "/etc/mellon/conf.d/global.conf" --force-keys

    Om de downtime te beperken, mag u geen wijzigingen doorvoeren voordat u SAML hebt ingeschakeld zoals beschreven in de volgende sectie.

    SAML inschakelen op Tableau Server voor IdP

    Voer deze procedure uit op Tableau Server-knooppunt 1

    1. Download de Tableau Server-toepassingsmetadata van Okta. Gebruik de link die u bij de vorige procedure hebt opgeslagen:

      wget https://dev-66144217.okta.com/app/exk1egxgt1fhjkSeS5d7/sso/saml/metadata -O idp_metadata.xml

    2. Kopieer een TLS-certificaat en bijbehorend sleutelbestand naar de Tableau Server. Het sleutelbestand moet een RSA-sleutel zijn. Zie SAML-vereisten (Linux(Link wordt in een nieuw venster geopend)) voor meer informatie over SAML-certificaat- en IdP-vereisten.

      Om het beheer en de implementatie van certificaten te vereenvoudigen en als best practice voor de beveiliging raden wij aan om certificaten te gebruiken die zijn gegenereerd door een grote, vertrouwde externe CA (certificeringsinstantie). U kunt er ook voor kiezen om zelfondertekende certificaten te genereren of certificaten van een PKI voor TLS te gebruiken.

      Als u geen TLS-certificaat hebt, kunt u een zelfondertekend certificaat genereren met behulp van de onderstaande ingesloten procedure.

      Een zelfondertekend certificaat genereren

      Voer deze procedure uit op Tableau Server-knooppunt 1.

      1. Genereer een root-CA-sleutel:

        openssl genrsa -out rootCAKey-saml.pem 2048

      2. Maak het root-CA-certificaat:

        openssl req -x509 -sha256 -new -nodes -key rootCAKey-saml.pem -days 3650 -out rootCACert-saml.pem

        U wordt gevraagd waarden in te voeren voor de certificaatvelden. Bijvoorbeeld:

        Country Name (2 letter code) [XX]:US
        State or Province Name (full name) []:Washington
        Locality Name (eg, city) [Default City]:Seattle
        Organization Name (eg, company) [Default Company Ltd]:Tableau
        Organizational Unit Name (eg, section) []:Operations
        Common Name (eg, your name or your server's hostname) []:tableau.example.com
        Email Address []:example@tableau.com
      3. Maak het certificaat en de bijbehorende sleutel (server-saml.csr en server-saml.key in het onderstaande voorbeeld). De onderwerpnaam voor het certificaat moet overeenkomen met de openbare hostnaam van de Tableau-host. De onderwerpnaam wordt ingesteld met de optie -subj in de notatie "/CN=<host-name>", bijvoorbeeld:

        openssl req -new -nodes -text -out server-saml.csr -keyout server-saml.key -subj "/CN=tableau.example.com"

      4. Onderteken het nieuwe certificaat met het CA-certificaat dat u hierboven hebt gemaakt. De volgende opdracht geeft het certificaat ook weer in de crt-notatie:

        openssl x509 -req -in server-saml.csr -days 3650 -CA rootCACert-saml.pem -CAkey rootCAKey-saml.pem -CAcreateserial -out server-saml.crt

      5. Converteer het sleutelbestand naar RSA. Tableau vereist een RSA-sleutelbestand voor SAML. Voer de volgende opdracht uit om de sleutel te converteren:

        openssl rsa -in server-saml.key -out server-saml-rsa.key

    3. Configureer SAML. Voer de volgende opdracht uit en geef daarbij uw entiteits-ID en retour-URL op, evenals de paden naar het metadatabestand, certificaatbestand en sleutelbestand:

      tsm authentication saml configure --idp-entity-id "https://tableau.example.com" --idp-return-url "https://tableau.example.com" --idp-metadata idp_metadata.xml --cert-file "server-saml.crt" --key-file "server-saml-rsa.key"

      tsm authentication saml enable

    4. Als uw organisatie Tableau Desktop 2021.4 of hoger gebruikt, moet u de volgende opdracht uitvoeren om verificatie via de reverse-proxyservers in te schakelen.

      Versies van Tableau Desktop 2021.2.1 - 2021.3 werken zonder dat u deze opdracht uitvoert, op voorwaarde dat de module voor voorafgaande verificatie (bijvoorbeeld Mellon) is geconfigureerd om het bewaren van cookies in het topleveldomein toe te staan.

      tsm configuration set -k features.ExternalBrowserOAuth -v false

    5. Pas configuratiewijzigingen toe:

      tsm pending-changes apply

    Start de tsig-httpd-service opnieuw

    Wanneer uw Tableau Server-implementatie wijzigingen doorvoert, meldt u zich opnieuw aan bij de onafhankelijke gateway-computer van Tableau Server en voert u de volgende opdrachten uit om de tsig-httpd-service opnieuw te starten:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

    SAML-functionaliteit valideren

    Om de end-to-end SAML-functionaliteit te valideren, meldt u zich aan bij Tableau Server met de openbare URL (bijvoorbeeld https://tableau.example.com) met het Tableau-beheerdersaccount dat u aan het begin van deze procedure hebt gemaakt.

    Start TSM niet (gatewayfout) of krijgt u browserfoutmeldingen wanneer u verbinding probeert te maken? Raadpleeg dan Problemen met de onafhankelijke gateway van Tableau Server oplossen.

    Verificatiemodule configureren bij tweede instantie van de onafhankelijke gateway

    Nadat u de eerste instantie van de onafhankelijke gateway succesvol hebt geconfigureerd, implementeert u de tweede instantie. Het volgende is een voorbeeld van het laatste proces voor het installeren van het AWS-/Mellon-/Okta-scenario dat in dit onderwerp wordt beschreven. Bij deze procedure wordt ervan uitgegaan dat u de onafhankelijke gateway al op de tweede instantie hebt geïnstalleerd, zoals eerder in dit onderwerp is beschreven (Onafhankelijke gateway installeren).

    Voor het proces voor de implementatie van de tweede onafhankelijke gateway moet u de volgende stappen doorlopen:

    1. Op de tweede instantie van de onafhankelijke gateway: installeer de auth-module van Mellon.

      Configureer de Mellon-verificatiemodule niet zoals eerder in dit onderwerp beschreven. Neem in plaats daarvan de configuratie over die beschreven staat in de volgende stappen.

    2. Op de geconfigureerde (eerste) instantie van de onafhankelijke gateway:

      Maak een tar-kopie van de bestaande Mellon-configuratie. De tar-back-up behoudt alle directoryhiërarchie en machtigingen. Voer de volgende opdrachten uit:

      cd /etc
      sudo tar -cvf mellon.tar mellon

      Kopieer mellon.tar naar de tweede instantie van de onafhankelijke gateway.

    3. Over de tweede instantie van de onafhankelijke gateway:

      Pak het tar-bestand uit ('unzip') naar de tweede instantie in de /etc-directory. Voer de volgende opdrachten uit:

      cd /etc
      sudo tar -xvf mellon.tar

    4. Op knooppunt 1 van de Tableau Server-implementatie: werk het verbindingsbestand (tsig.json) bij met de verbindingsgegevens van de tweede onafhankelijke gateway. U moet de verificatiesleutel ophalen zoals eerder in dit onderwerp beschreven (Onafhankelijke gateway installeren).

      Zie hier een voorbeeld van een verbindingsbestand (tsig.json):

      {
      "independentGateways": [
       {
         "id": "ip-10-0-1-169.ec2.internal",
         "host": "ip-10-0-1-169.ec2.internal",
         "port": "21319",
         "protocol" : "http",
         "authsecret": "13660-27118-29070-25482-9518-22453"
       },
       {
         "id": "ip-10-0-2-230.ec2.internal",
         "host": "ip-10-0-2-230.ec2.internal",
         "port": "21319",
         "protocol" : "http",
         "authsecret": "9055-27834-16487-27455-30409-7292"
       }]
       }
    5. Op knooppunt 1 van de Tableau Server-implementatie: voer de volgende opdrachten uit om de configuratie bij te werken:

      tsm stop
      tsm topology external-services gateway update -c tsig.json
      
      tsm start
    6. Op beide instanties van de onafhankelijke gateway: terwijl Tableau Server wordt gestart, start u het tsig-httpd-proces:

      sudo su - tableau-tsig
      systemctl --user restart tsig-httpd
      exit
    7. In AWS EC2>Target groups (Doelgroepen): werk de doelgroep bij met de EC2-instantie waarop de tweede onafhankelijke gateway-instantie wordt uitgevoerd.

      Selecteer de doelgroep die u zojuist hebt gemaakt en klik op het tabblad Doelen: 

      • Klik op Bewerken.
      • Selecteer de EC2-instantie van de tweede onafhankelijke gateway-computer en klik vervolgens op Toevoegen aan geregistreerd. Klik op Opslaan.
    Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.