第 6 部分 - 安裝後組態

設定從負載平衡器到 Tableau Server 的 SSL/TLS

一些組織需要從用戶端到後端服務的端到端加密通道。到目前為止所述的預設參考架構可指定從用戶端到在您組織的 Web 層中執行的負載平衡器的 SSL。

本部分會介紹如何在範例 AWS 參考架構中為 Tableau Server 和獨立閘道設定 SSL/TLS。有關描述如何在 AWS 參考架構中在 Apache 上設定 SSL/TLS 的設定範例,請參閱範例:在 AWS 參考架構中設定 SSL/TLS

目前,在 8000-9000 範圍內執行的後端 Tableau Server 流程不支援 TLS。若要啟用 TLS,必須為獨立閘道設定與 Tableau Server 的轉送連線。

本程序會介紹如何在連線到 Tableau Server 的獨立閘道上以及在連線到獨立閘道的 Tableau Server 上啟用和設定 TLS。本程序會加密通過 HTTPS/443 的轉送流量和通過 HTTPS/21319 的內務處理流量。

此範例的整個 Linux 程序展示了 RHEL-like 發行版的命令。具體來說,這裡的命令是使用 Amazon Linux 2 發行版開發的。若執行的是 Ubuntu 發行版,請編輯相對應的命令。

此處的指導是對本指南中介紹的特定 AWS 範例參考架構的規定性說明。因此,不包括可選設定。有關完整的參考文件,請參閱在獨立閘道上設定 TLS(Linux(連結在新視窗開啟))。

設定 TLS 之前

請在工作時間之外執行 TLS 設定。設定需要至少重新啟動 Tableau Server 一次。若正在執行完整的四節點參考架構部署,則重新啟動可能需要一段時間。

  • 驗證用戶端是否可以透過 HTTP 連線到 Tableau Server。使用獨立閘道設定 TLS 是一個多步驟過程,可能需要進行疑難排解。因此,我們建議在設定 TLS 之前從完全可操作的 Tableau Server 部署開始。
  • 收集 TLS/SSL 憑證、金鑰和相關資產。您將需要用於獨立閘道和 Tableau Server 的 SSL 憑證。為簡化憑證管理和部署,並作為安全性最佳做法,我們建議使用由受信任的主要協力廠商憑證頒發授權單位 (CA) 產生的憑證。或者,您可以產生自我簽署憑證或使用針對 TLS 的 PKI 憑證。

    本主題中的範例設定使用以下資產名稱進行說明:

    • tsig-ssl.crt:Independent Gateway 的 TLS/SSL 認證。
    • tsig-ssl.key:Independent Gateway 的私密金鑰 tsig-ssl.crt
    • ts-ssl.crt:Tableau Server 的 TLS/SSL 認證。
    • ts-ssl.key:Tableau Server 的私密金鑰 tsig-ssl.crt
    • tableau-server-CA.pem:為 Tableau Server 電腦產生認證的 CA 根認證。如果使用來自主要信任第三方的認證,則通常不需要此認證。
    • rootTSIG-CACert.pem:為 Independent Gateway 電腦產生認證的 CA 根認證。如果使用來自主要信任第三方的認證,則通常不需要此認證。
    • SAML 還需要其他認證和金鑰檔案資產,詳見本指南的第 5 部分。
    • 若實作需要使用憑證鏈結檔案,請參閱知識庫文章在使用具有憑證鏈結的憑證時在獨立閘道上設定 TLS(連結在新視窗開啟)

  • 驗證是否有權存取 IdP。若使用 IdP 進行驗證,可能需要在設定 SSL/TLS 後變更 IdP 的接收者和目標 URL。

為 TLS 設定獨立閘道電腦

設定 TLS 可能是一個可能出錯的程序。由於跨獨立閘道的兩個執行個體進行疑難排解可能非常耗時,建議僅使用一個獨立閘道在 EDG 部署上啟用和設定 TLS。經驗證 TLS 在整個部署中正常工作後,設定第二台獨立閘道電腦。

第 1 步:將憑證和金鑰分發到獨立閘道電腦

只要 tsig-httpd 使用者具有對檔案的讀取權限,您就可以將資產分發到任意目錄。這些檔案的路徑會在其他程序中被引用。我們將在整個主題中使用 /etc/ssl 下的範例路徑,如下所示。

  1. 為私密金鑰建立目錄:

    sudo mkdir -p /etc/ssl/private
  2. 將憑證和金鑰檔案複製到 /etc/ssl 路徑。例如,

    sudo cp tsig-ssl.crt /etc/ssl/certs/
    sudo cp tsig-ssl.key /etc/ssl/private/
  3. (可選)若在 Tableau Server 上為 SSL/TLS 使用自我簽署或 PKI 憑證,則還必須將 CA 根憑證檔案複製到獨立閘道電腦。例如,

    sudo cp tableau-server-CA.pem /etc/ssl/certs/

第 2 步:為 TLS 更新環境變數

必須更新獨立閘道設定的連接埠和通訊協定環境變數。

透過更新檔案 /etc/opt/tableau/tableau_tsig/environment.bash 來變更這些值,如下所示:

TSIG_HK_PROTOCOL="https"
TSIG_PORT="443"
TSIG_PROTOCOL="https"

第 3 步:為 HK 通訊協定更新虛設常式設定檔

手動編輯虛設常式設定檔 (/var/opt/tableau/tableau_tsig/config/httpd.conf.stub),以為內務處理 (HK) 通訊協定設定與 TLS 相關的 Apache httpd 指示詞。

虛設常式設定檔包含與 TLS 相關的指示詞區塊,這些指示詞透過 #TLS# 標記進行註解。從指示詞中移除標記,如下例所示。請注意,該範例顯示了將根 CA 憑證用於具有 SSLCACertificateFile 選項的 Tableau Server 上使用的 SSL 憑證。

#TLS# SSLPassPhraseDialog exec:/path/to/file
<VirtualHost *:${TSIG_HK_PORT}>
SSLEngine on
#TLS# SSLHonorCipherOrder on
#TLS# SSLCompression off
SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
SSLCACertificateFile /etc/ssl/certs/tableau-server-CA.pem
#TLS# SSLCARevocationFile /path/to/file
</VirtualHost>

若重新安裝獨立閘道,這些變更將丟失。我們建議製作備份複本。

第 4 步:複製虛設常式檔案,並重新啟動服務

  1. 複製在上一步中更新的檔案,以使用變更更新 httpd.conf:

    cp /var/opt/tableau/tableau_tsig/config/httpd.conf.stub /var/opt/tableau/tableau_tsig/config/httpd.conf
  2. 重新啟動獨立閘道服務:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

重新啟動後,獨立閘道將無法執行,直到您在 Tableau Server 上執行下一組步驟。在 Tableau Server 上完成這些步驟後,獨立閘道將揀選變更並上線。

為 TLS 設定 Tableau Server 節點 1

在 Tableau Server 部署的節點 1 上執行這些步驟。

步驟 1:複製憑證和金鑰,並停止 TSM

  1. 確認已將 Tableau Server「外部 SSL」憑證和金鑰複製到節點 1。

  2. 為最大限度地減少停機時間,我們建議停止 TSM,執行以下步驟,然後在套用變更後啟動 TSM:

    tsm stop

步驟 2:設定憑證資產,並啟用獨立閘道設定

  1. 為獨立閘道指定憑證和金鑰檔案的位置。這些路徑會引用獨立閘道電腦上的位置。請注意,此範例假設使用相同的憑證和金鑰對來保護 HTTPS 和內務處理流量:

    tsm configuration set -k gateway.tsig.ssl.cert.file_name -v /etc/ssl/certs/tsig-ssl.crt --force-keys 
    tsm configuration set -k gateway.tsig.ssl.key.file_name -v /etc/ssl/private/tsig-ssl.key --force-keys	
  2. 為獨立閘道的 HTTPS 和 HK 通訊協定啟用 TLS:

    tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
    tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
  3. (可選)若在獨立閘道上為 SSL/TLS 使用自我簽署或 PKI 憑證,則必須上傳 CA 根憑證檔案。CA 根認證檔案是用於為 Independent Gateway 產生認證的根認證。例如,

    tsm security custom-cert add -c rootTSIG-CACert.pem
  4. (可選)若在 Tableau Server 上為 SSL/TLS 使用自我簽署或 PKI 憑證,則還必須將 CA 根憑證檔案複製到 Independent Gateway 的 /etc/ssl/certs 目錄。CA 根認證檔案是用於為 Tableau Server 電腦產生認證的根認證。將認證複製到 Independent Gateway 後,必須使用以下 tsm 命令指定節點 1 上認證的位置。例如,

    tsm configuration set -k gateway.tsig.ssl.proxy.gateway_relay_cluster.cacertificatefile -v /etc/ssl/certs/tableau-server-CA.pem --force-keys
  5. (可選:僅用於測試目的)若在電腦之間使用共用自我簽署或 PKI 憑證,因此憑證上的主題名稱與電腦名稱不相符,那麼必須停用憑證驗證。 

    tsm configuration set -k gateway.tsig.ssl.proxy.verify -v optional_no_ca --force-keys

步驟 3:為 Tableau Server 啟用「外部 SSL」,並套用變更

  1. 在 Tableau Server 上啟用和設定「外部 SSL」:

    tsm security external-ssl enable --cert-file ts-ssl.crt --key-file ts-ssl.key
  2. 套用變更。

    tsm pending-changes apply

第四步:更新閘道設定 JSON 檔案,並啟動 tsm

  1. 在 Tableau Server 端上更新獨立閘道設定檔(例如,tsig.json),為獨立閘道物件指定 https 通訊協定:

    "protocol" : "https",
  2. 移除(或取消註解)獨立閘道第二個執行個體的連線資訊。請務必在儲存前在外部編輯器中驗證 JSON。

    為獨立閘道的單個執行個體設定和驗證 TLS 後,可使用獨立閘道的第二個執行個體連線資訊更新此 JSON 檔案。

  3. 執行以下命令以更新獨立閘道設定:

    tsm topology external-services gateway update -c tsig.json
  4. 啟動 TSM

    tsm start
  5. 啟動 TSM 時,登入獨立閘道執行個體並重新啟動 tsig-httpd 服務:

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit

將 IdP 驗證模組 URL 更新為 HTTPS

如果已為 Tableau 設定了外部身分識別提供者,則可能需要更新 IdP 管理儀表板中的返回 URL。

例如,如果使用 Okta 預身分驗證應用程式,則需要更新應用程式以對接收 URL 和目標 URL 使用 HTTPS 協定。

為 HTTPS 設定 AWS 負載平衡器

若按照本指南中的說明使用 AWS 負載平衡器進行部署,則可重新設定 AWS 負載平衡器,以將 HTTPS 流量傳送到執行獨立閘道的電腦:

  1. 刪除現有的 HTTP 目標群組:

    「目標群組」中,選取已為負載平衡器設定的 HTTP 目標群組,按一下「動作」,然後按一下「刪除」

  2. 建立 HTTPS 目標群組:

    目標群組 > 建立目標群組

    • 選取「執行個體」
    • 輸入目標群組名稱,例如 TG-internal-HTTPS
    • 選取 VPC
    • 協定:HTTPS 443
    • 健康情況檢查>進階健康情況檢查設定>成功代碼下,附加代碼清單以讀入:200,303
    • 按一下建立
  3. 選擇剛剛建立的目標群組,然後按一下目標索引標籤: 

    • 按一下 編輯
    • 選取正在執行 Tableau Server 獨立閘道的 EC2 執行個體,然後按一下「新增至已註冊」
    • 按一下儲存
  4. 建立目標群組後,必須啟用相黏:

    • 開啟 AWS 目標群組頁面(EC2> 負載平衡> 目標群組),選取剛剛設定的目標群組執行個體。在動作功能表上,選取編輯屬性
    • 「編輯屬性」頁面上,選取「綁定」,指定持續時間為 1 day,然後儲存變更
  5. 在負載平衡器上,更新收聽器規則。選擇為此部署設定的負載平衡器,然後按一下收聽器索引標籤。

    • 對於HTTP:80 ,按一下查看/編輯規則。在生成的規則頁面上,按一下編輯圖示(一次位於頁面上方,然後再次位於規則旁邊)以編輯規則。刪除現有 THEN 規則並按一下新增動作 > 重新導向至...來替換它。在生成的 THEN 組態中,指定HTTPS和連接埠443並將其他選項保留為預設值。儲存設定然後按一下更新
    • 對於 HTTPS:443,按一下「檢視/編輯規則」。在生成的規則頁面上,按一下編輯圖示(一次位於頁面上方,然後再次位於規則旁邊)以編輯規則。刪除現有 THEN 規則並按一下新增動作>轉傳至…以取代它。將目標群組指定為剛剛建立的 HTTPS 群組。在群組層級綁定下,啟用綁定並將持續時間設定為 1 天。儲存設定然後按一下更新
  6. 在負載平衡器上,將空閒逾時更新為 400 秒。選取為此部署設定的負載平衡器,然後按一下動作 > 編輯屬性。將空閒逾時設定為 400 秒,然後按一下儲存

驗證 TLS

要驗證 TLS 功能,請使用您在此過程開始時建立的 Tableau 管理員帳戶,透過公用 URL(例如 https://tableau.example.com)登入 Tableau Server。

如果 TSM 未啟動或收到其他錯誤,請參見解除安裝 Tableau Server 獨立閘道

為 SSL 設定獨立閘道的第二個執行個體

成功設定獨立閘道的第一個執行個體後,部署第二個執行個體。

部署第二個獨立閘道的過程需要以下步驟:

  1. 在 Independent Gateway 的已設定(第一個)執行個體上:將以下檔案複製到 Independent Gateway 的第二個執行個體上的相應位置:

    • /etc/ssl/certs/tsig-ssl.crt
    • /etc/ssl/private/tsig-ssl.key(需要在第二個執行個體上建立 private 目錄)。
    • /var/opt/tableau/tableau_tsig/config/httpd.conf.stub
    • /etc/opt/tableau/tableau_tsig/environment.bash
  2. 在 Tableau Server 部署的節點 1 上:使用第二個獨立閘道的連線資訊更新連線檔案 (tsig.json)。

    此處顯示範例連線檔案 (tsig.json):

    {
    "independentGateways": [
     {
       "id": "ip-10-0-1-169.ec2.internal",
       "host": "ip-10-0-1-169.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "13660-27118-29070-25482-9518-22453"
     },
     {
       "id": "ip-10-0-2-230.ec2.internal",
       "host": "ip-10-0-2-230.ec2.internal",
       "port": "21319",
       "protocol" : "https",
       "authsecret": "9055-27834-16487-27455-30409-7292"
     }]
     }
  3. 在 Tableau Server 部署的節點 1 中:執行以下命令以更新設定:

    tsm stop
    tsm topology external-services gateway update -c tsig.json
    
    tsm start
  4. 在獨立獨立閘道的兩個執行個體中:Tableau Server 啟動後,獨立閘道的兩個執行個體重新啟動 tsig-httpd

    sudo su - tableau-tsig
    systemctl --user restart tsig-httpd
    exit
  5. 在 AWS EC2>目標群組中:更新目標群組以包含執行第二個獨立閘道執行個體的 EC2 執行個體。

    選取剛剛建立的目標群組,然後按一下「目標」索引標籤: 

    • 按一下 「編輯」
    • 選取第二台獨立閘道電腦的 EC2 執行個體,然後按一下「新增至已註冊」。按一下「儲存」

為 Postgres 設定 SSL

可以選擇性為 Tableau Server 上的外部存放庫連線的 Postgres 連線設定 SSL (TLS)。

為簡化憑證管理和部署,並作為安全性最佳做法,我們建議使用由受信任的主要協力廠商憑證頒發授權單位 (CA) 產生的憑證。或者,您可以產生自我簽署憑證或使用針對 TLS 的 PKI 憑證。

此流程描述如何使用 OpenSSL 在範例 AWS 參考架構中類似於 RHEL 的 Linux 發行版上的 Postgres 主機上產生自我簽署憑證。

產生並簽署 SSL 憑證後,必須將 CA 憑證複製到 Tableau 主機。

在執行 Postgress 的主機上:

  1. 產生簽署根憑證頒發授權單位 (CA) 金鑰:

    openssl genrsa -out pgsql-rootCAKey.pem 2048
  2. 建立根 CA 憑證:

    openssl req -x509 -sha256 -new -nodes -key pgsql-rootCAKey.pem -days 3650 -out pgsql-rootCACert.pem

    系統將提示輸入憑證欄位的值。例如:

    Country Name (2 letter code) [XX]:US
    State or Province Name (full name) []:Washington
    Locality Name (eg, city) [Default City]:Seattle
    Organization Name (eg, company) [Default Company Ltd]:Tableau
    Organizational Unit Name (eg, section) []:Operations
    Common Name (eg, Postgres server's hostname) []:ip-10-0-1-189.us-west-1.compute.internal
    Email Address []:example@tableau.com				
  3. 為 Postgres 電腦建立憑證和相關金鑰(下方範例中的 server.csrserver.key)。憑證的主題名稱必須與 Postgres 主機的 EC2 私人 DNS 名稱相符。主題名稱設定為 -subj 選項,帶有格式 "/CN=<private DNS name>",例如:

    openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=ip-10-0-1-189.us-west-1.compute.internal"
  4. 使用您在步驟 2 中創建建立的 CA 憑證籤署新憑證。以下命令也將以 crt 格式輸出憑證:

    openssl x509 -req -in server.csr -days 3650 -CA pgsql-rootCACert.pem -CAkey pgsql-rootCAKey.pem -CAcreateserial -out server.crt
  5. 將 crt 和 key 檔案複製到 Postgres /var/lib/pgsql/13/data/ 路徑:

    sudo cp server.crt /var/lib/pgsql/13/data/
    sudo cp server.key /var/lib/pgsql/13/data/
  6. 切換到根使用者:

    sudo su
  7. 設定 cer 和 key 檔案的權限。執行以下命令:

    cd /var/lib/pgsql/13/data
    chown postgres.postgres server.crt
    chown postgres.postgres server.key
    chmod 0600 server.crt
    chmod 0600 server.key
  8. 更新 pg_haba 設定檔,/var/lib/pgsql/13/data/pg_hba.conf 以指定 md5 信任:

    變更現有的連線語句

    host all all 10.0.30.0/24 password

    host all all 10.0.31.0/24 password

    host all all 10.0.30.0/24 md5

    host all all 10.0.31.0/24 md5

  9. 新增這行以更新 postgresql 檔案,/var/lib/pgsql/13/data/postgresql.conf

    ssl = on
  10. 退出根使用者模式:

    exit
  11. 重新啟動 Postgres:

    sudo systemctl restart postgresql-13

可選:在 Tableau Server 上為 Postgres SSL 啟用認證信任驗證

如果按照第 4 部分 - 安裝並設定 Tableau Server 中的安裝過程進行動作,則 Tableau Server 會設定用於 Postgres 連線的可選 SSL。這代表在 Postgres 上設定 SSL(如上所述)將形成加密連線。

如果想要對連線進行認證信任驗證,則必須在 Tableau Server 上執行以下命令來重新設定 Postgres 主機連線:

tsm topology external-services repository replace-host -f <filename>.json -c CACert.pem

<filename>.json 所在處是設定外部 Postgres 中描述的連線檔案。而 CACert.pem 是 Postgres 使用的 SSL/TLS 認證的 CA 認證檔案。

可選:驗證 SSL 連線

要驗證 SSL 連線,必須:

  • 在 Tableau Server 節點 1 上安裝 Postgres 用戶端。
  • 將在上一個過程中建立的根認證複製到 Tableau 主機。
  • 從節點 1 連線到 Postgres 伺服器

在節點 1 上安裝 Postgres 用戶端

此範例示範如何安裝 Postgres 版本 13.4。安裝您為外部存放庫執行的相同版本。

  1. 在節點 1 上,在 /etc/yum.repos.d 路徑中建立並編輯檔案 pgdg.repo.。將以下設定資訊填入檔案。

    [pgdg13]
    name=PostgreSQL 13 for RHEL/CentOS 7 - x86_64
    baseurl=https://download.postgresql.org/pub/repos/yum/13/redhat/rhel-7-x86_64
    enabled=1
    gpgcheck=0
  2. 安裝 Postgres 用戶端:

    sudo yum install postgresql13-13.4-1PGDG.rhel7.x86_64

將根認證複製到節點 1

將 CA 憑證 (pgsql-rootCACert.pem) 複製到 Tableau 主機:

scp ec2-user@<private-DNS-name-of-Postgress-host>:/home/ec2-user/pgsql-rootCACert.pem /home/ec2-user

從節點 1 以 SSL 連線到 Postgres 主機:

從 Node1 執行以下命令,指定 Postgres 伺服器主機 IP 位址和根 CA 認證:

psql "postgresql://postgres@<IP-address>:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

例如:

 psql "postgresql://postgres@10.0.1.189:5432/postgres?sslmode=verify-ca&sslrootcert=pgsql-rootCACert.pem"

Postgres 將提示您輸入密碼。登入成功後,shell 將傳回:

psql (13.4)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
postgres=#

設定 SMTP 和事件通知

Tableau Server 向管理員和使用者傳送電子郵件通知。要啟用此功能,必須設定 Tableau Server 才能將電子郵件傳送到電子郵件伺服器。還必須指定要發送的事件類型、閾值和訂閱資訊。

對於 SMTP 和通知的初始組態,建議使用下面的組態檔範本建立一個 json 檔。還可以使用 tsm configuration set 中描述的語法來設定下面列出的任何單一組態金鑰(Linux(連結在新視窗開啟))。

在 Tableau Server 部署中的節點 1 上執行此過程:

  1. 將以下 json 範本複製到檔案。使用 SMTP 組態選項以及組織的訂閱和通知來自訂檔案。

    {
    "configKeys": {
    	"svcmonitor.notification.smtp.server": "SMTP server host name",
    	"svcmonitor.notification.smtp.send_account": "SMTP user name",
    	"svcmonitor.notification.smtp.port": 443,
    	"svcmonitor.notification.smtp.password": "SMTP user account password",
    	"svcmonitor.notification.smtp.ssl_enabled": true,
    	"svcmonitor.notification.smtp.from_address": "From email address",
    	"svcmonitor.notification.smtp.target_addresses": "To email address1,address2",
    	"svcmonitor.notification.smtp.canonical_url": "Tableau Server URL",
    	"backgrounder.notifications_enabled": true,
    	"subscriptions.enabled": true,
    	"subscriptions.attachments_enabled": true,
    	"subscriptions.max_attachment_size_megabytes": 150,
    	"svcmonitor.notification.smtp.enabled": true,
    	"features.DesktopReporting": true,
    	"storage.monitoring.email_enabled": true,
    	"storage.monitoring.warning_percent": 20,
    	"storage.monitoring.critical_percent": 15,
    	"storage.monitoring.email_interval_min": 25,
    	"storage.monitoring.record_history_enabled": true
    	}
    }
  2. 執行tsm settings import -f file.json將 json 檔傳遞給 Tableau 服務管理員。

  3. 執行 tsm pending-changes apply 命令以套用變更。

  4. 執行 tsm email test-smtp-connection 以檢視並驗證連線組態。

安裝 PostgreSQL 驅動程式

要在 Tableau Server 上查看管理員檢視,必須在 Tableau Server 部署的節點 1 上安裝 PostgreSQL 驅動程式。

  1. 前往Tableau 驅動程序下載(連結在新視窗開啟)頁面並複制 PostgreSQL jar 檔的 URL。

  2. 在 Tableau 部署的每個節點上執行以下過程:

    • 建立以下檔案路徑:

      sudo mkdir -p /opt/tableau/tableau_driver/jdbc

    • 從新路徑下載最新版本的 PostgreSQL jar 檔:例如:

      sudo wget https://downloads.tableau.com/drivers/linux/postgresql/postgresql-42.2.22.jar

  3. 在初始節點上,重新啟動 Tableau Server:

    tsm restart

設定強式密碼原則

若您不使用 IdP 驗證解決方案部署 Tableau Server 驗證解決方案,我們建議您加強預設 Tableau 密碼原則的安全性。

若您使用 IdP 部署 Tableau Server,則您必須使用 IdP 管理密碼原則。

以下流程包括用於在 Tableau Server 上設定密碼原則的 json 設定。有關以下選項的更多資訊,請參閱本機驗證 (Linux(連結在新視窗開啟))。

  1. 將以下 json 範本複製到檔案。使用您的密碼原則設定填入機碼值。

    {
     "configKeys": {
    	"wgserver.localauth.policies.mustcontainletters.enabled": true,
    	"wgserver.localauth.policies.mustcontainuppercase.enabled": true,
    	"wgserver.localauth.policies.mustcontainnumbers.enabled": true,
    	"wgserver.localauth.policies.mustcontainsymbols.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.enabled": true,
    	"wgserver.localauth.policies.minimumpasswordlength.value": 12,
    	"wgserver.localauth.policies.maximumpasswordlength.enabled": false,
    	"wgserver.localauth.policies.maximumpasswordlength.value": 255,
    	"wgserver.localauth.passwordexpiration.enabled": true,
    	"wgserver.localauth.passwordexpiration.days": 90,
    	"wgserver.localauth.ratelimiting.maxbackoff.minutes": 60,
    	"wgserver.localauth.ratelimiting.maxattempts.enabled": false,
    	"wgserver.localauth.ratelimiting.maxattempts.value": 5,
    	"features.PasswordReset": true	
     }
    }
  2. 執行 tsm settings import -f file.json,將 json 檔傳遞給 Tableau 服務管理員,以設定 Tableau Server。

  3. 執行 tsm pending-changes apply 命令以套用變更。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!