Configuration de la communication avec Internet

Dans le chapitre précédent, nous avons vu comment configurer SSL pour sécuriser le trafic entre des clients (navigateurs, appareils mobiles, etc.) et Tableau Server. Il est toujours utile de configurer SSL, c'est par contre essentiel si vous comptez autoriser des clients extérieurs à votre réseau (depuis l'Internet public) à accéder à Tableau Server. Si vous avez ignoré ce chapitre, mais que vous envisagez d'autoriser des personnes extérieures à votre réseau à accéder à Tableau Server, revenez en arrière et prenez-le en compte. Vous ne devriez en aucun cas autoriser l'accès au serveur à moins que SSL ne soit configuré.

Si vous comptez autoriser un accès externe, vous devez également configurer un serveur de proxy inverse. Ce chapitre présente les serveurs externes : ce qu'ils sont et pourquoi vous les utilisez. Nous vous fournirons également des indications sur la configuration des serveurs proxy.

 

Dans quels cas faire appel au service informatique

À la différence de la plupart des autres chapitres de Tableau Server : Guide d'installation à l'usage de tous, où vous pouvez mener à bien la configuration du serveur avec l'aide minimale d'un professionnel informatique, nous avons rédigé ce chapitre à l'attention des professionnels de l'informatique. Nous nous sommes efforcés de décrire les concepts d'une manière accessible pour tous. En revanche, la configuration des serveurs proxy implique la gestion de certificats, la configuration des paramètres de proxy et de passerelle, ainsi qu'une configuration serveur avancée. Si vous n'êtes pas un professionnel de l'informatique et que vous êtes arrivé jusqu'à ce point du guide par vous-même, le moment est venu de faire appel à un informaticien.

Communication de Tableau avec Internet

Tableau Server nécessite l'accès sortant à Internet pour ces scénarios :

  • Utilisation de cartes. Tableau utilise des données de carte qui sont stockées en externe.

    Tableau Server doit se connecter aux emplacements Internet suivants avec le port 443 pour utiliser les cartes :

    • mapsconfig.tableau.com
    • api.mapbox.com

    Si Tableau ne parvient pas à établir ces connexions, il se peut que le chargement des cartes échoue.

    Vous pouvez tester la connectivité en accédant à chacune de ces adresses dans un navigateur : https://mapsconfig.tableau.com/v1/config.json(Le lien s’ouvre dans une nouvelle fenêtre) et https://api.mapbox.com/(Le lien s’ouvre dans une nouvelle fenêtre) vous inviteront à télécharger un fichier json.

    Si vous utilisez un proxy pour vous connecter à Internet et que vous ne pouvez pas vous connecter à api.mapbox.com, consultez Travailler avec des pare-feu(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web de Mapbox.

    Pour Tableau Server version 2019.1 et antérieures, consultez la documentation de votre version : Aide de Tableau(Le lien s’ouvre dans une nouvelle fenêtre)

  • Connexion au serveur d'envoi de journaux Tableau.

    Vous pouvez télécharger des fichiers journaux sur Tableau lorsque vous travaillez avec l'assistance. Consultez tsm maintenance send-logs(Le lien s’ouvre dans une nouvelle fenêtre). Pour pouvoir télécharger des fichiers vers Tableau, Tableau Server doit être capable de communiquer avec le serveur d'envoi de journaux sur le port 443 :

    report-issue.tableau.com:443

  • Envoi de données de base sur les produits.

    Le domaine prod.telemetry.tableausoftware.com est utilisé par Tableau pour recevoir les données de base du produit sur le lancement et l’arrêt des processus. Il est également utilisé pour les données d’utilisation plus générales du produit.

    Le trafic vers ce domaine se fera sur le port 80 (pour l’enregistrement initial de nos clients des données de produits) et sur le port 443 (pour tout le trafic ultérieur).

    prod.telemetry.tableausoftware.com:80

    prod.telemetry.tableausoftware.com:443

  • Octroi de licence. Les produits Tableau se connectent à Internet pour activer les clés produit. À moins que vous n'activiez le logiciel Tableau à l'aide de l'Outil d'activation hors ligne, tous les produits Tableau doivent avoir accès à Internet pour valider leurs licences. Plus spécifiquement, Tableau requiert l'accès à Internet pendant les opérations de licence suivantes : activation, désactivation, et à la date d'actualisation du contrat de maintenance. Pour plus d'informations sur ces opérations, consultez Gérer les licences(Le lien s’ouvre dans une nouvelle fenêtre).

    Tableau Server a besoin de se connecter aux emplacements Internet suivants à des fins de gestion des licences :

    • licensing.tableau.com:443

    • atr.licensing.tableau.com:443

    • s.ss2.us

    • ocsp.rootg2.amazontrust.com

    • ocsp.rootca1.amazontrust.com

    • ocsp.sca1b.amazontrust.com

    • crt.sca1b.amazontrust.com

    • crt.rootca1.amazontrust.com

    • ocsp.sca0a.amazontrust.com

    • crt.sca0a.amazontrust.com

    • ocsp.sca1a.amazontrust.com

    • crt.sca1a.amazontrust.com

    • ocsp.sca2a.amazontrust.com

    • crt.sca2a.amazontrust.com

    • ocsp.sca3a.amazontrust.com

    • crt.sca3a.amazontrust.com

    • ocsp.sca4a.amazontrust.com

    • crt.sca4a.amazontrust.com

    • crl.rootca1.amazontrust.com

    • crl.rootg2.amazontrust.com

    • crl.sca1b.amazontrust.com

    Les demandes envoyées aux domaines ci-dessus peuvent être sur le port 80 ou 443. Le port 80 est utilisé pour la validation des certificats (révocation, chaîne de certificats, etc.). Le port 443 est utilisé pour les connexions SSL.

    Si Tableau Server ne peut pas établir une connexion tout en tentant d'activer sa licence, vous serez invité à effectuer une activation hors ligne.

  • Utilisation de données externes ou sur le cloud.

    Tableau Server doit se connecter à l'emplacement Internet suivant pour accéder aux services Box, Dropbox, OneDrive, Google Drive, Google Sheets et Anaplan :

    galop.connectors.tableau.com:443

Tableau Server et serveurs proxy

Tableau Server a été conçu pour fonctionner à l'intérieur d'un réseau interne protégé. Voici donc notre première recommandation essentielle : ne configurez pas Tableau Server sur l'ordinateur qui fait office de passerelle Internet dans votre organisation. Comme nous le recommandions au début, installez Tableau Server sur un ordinateur dédié qui n'exécute aucun autre processus et qui, dans ce cas, n'est pas directement exposé à Internet.

Au lieu de cela, vous devez configurer un serveur proxy, à savoir un ordinateur qui arbitre le trafic entre le réseau local (interne) et Internet. Les serveurs proxy de transfert arbitrent le trafic depuis l'intérieur du réseau vers des cibles sur Internet. Les Serveurs proxy inverses arbitrent le trafic depuis Internet vers des cibles situées dans le réseau.

Si vous travaillez dans une grande organisation, il est évident que votre service informatique a déjà configuré des serveurs proxy. Si vous configurez tout vous-même, c'est le moment de vous adresser à un professionnel ayant une expérience des serveurs proxy. Commençons par une présentation générale des serveurs proxy.

Important : comme discuté dans le chapitre Planification de votre déploiement, nous vous déconseillons d'installer Tableau Server sur un ordinateur exécutant IIS. De plus, si vous exécutez un logiciel antivirus, vous devriez suivre les recommandations de la Base de connaissances(Le lien s’ouvre dans une nouvelle fenêtre) et exclure les répertoires Tableau Server. Les procédures décrites dans ce chapitre présupposent que vous avez installé Tableau Server sur un nouvel ordinateur.

Serveur proxy de tranfert

Un proxy de transfert est un serveur installé entre les ordinateurs à l'intérieur du réseau et Internet. Lorsqu'une application sur un ordinateur de réseau a besoin d'accéder à Internet, elle n'envoie pas la demande directement à Internet. Au lieu de cela, elle l'envoie au proxy de transfert, qui, à son tour, transfère la demande. Les proxy de transfert aident les administrateurs à gérer le trafic provenant d'Internet pour les tâches telles que l'équilibrage de charge, le blocage d'accès aux sites, etc.

De nombreuses organisations utilisent un proxy de transfert sur leur réseau. Dans ce cas, les ordinateurs à l'intérieur du réseau doivent être configurés de manière à envoyer le trafic au proxy de transfert. Cette opération est généralement nécessaire même si les utilisateurs eux-mêmes n'essaient pas d'accéder à Internet. Par exemple, pour que les utilisateurs soient en mesure de créer des classeurs incluant des cartes, Tableau Desktop et Tableau Server doivent pouvoir accéder aux serveurs de cartes Tableau hébergés sur Internet. En outre, par défaut, le composant de licence pour les produits Tableau se connecte à Internet pour activer nos produits. À moins que vous n'activiez le logiciel Tableau à l'aide de l'Outil d'activation hors ligne(Le lien s’ouvre dans une nouvelle fenêtre), tous les produits Tableau doivent avoir accès à Internet pour valider leurs licences.

Si votre organisation exécute un serveur proxy de transfert, vous devez vous assurer que Tableau Desktop et le serveur seront configurés pour utiliser ce serveur proxy. Si votre serveur proxy Windows authentifie des utilisateurs pour les connexions sortantes, vous devez configurer les Options Internet Windows sur Tableau Server pour utiliser le compte Exécuter en tant qu'utilisateur comme contexte de sécurité.

La section ultérieure Ressources supplémentaires inclut un lien vers des informations supplémentaires concernant la configuration d'un serveur proxy de transfert.

Serveur proxy inverse

Un proxy inverse est un serveur qui reçoit des demandes de clients externes (Internet) et les transfère à Tableau Server. Pourquoi utiliser un proxy inverse ? La réponse de base est : pour la sécurité. Un proxy inverse rend un serveur Tableau accessible à Internet sans avoir à exposer l'adresse IP de ce serveur à Internet. Un proxy inverse fait également office de périphérique d'authentification et de transmission, si bien qu'aucune donnée n'est stockée dans des emplacements accessibles à des personnes extérieures à l'entreprise (dans la DMZ, pour ceux qui connaissent ce terme). Cette exigence vaut particulièrement pour les organisations qui sont soumises à diverses réglementations sur la protection de la vie privée, telles que PCI, HIPAA ou SOX.

Illustration du mode de fonctionnement d'un proxy inverse avec Tableau Server

Le schéma suivant montre le chemin de communication lorsqu'un client envoie une demande à Tableau Server qui est configuré pour fonctionner avec un serveur proxy inverse.

  1. Un client externe initie une connexion vers Tableau Server. Le client utilise l'URL publique qui a été configurée pour le serveur proxy inverse, par exemple https://tableau.example.com. (Le client ignore qu'il est en train d'accéder à un proxy inverse.)

  2. Le proxy inverse transmet la demande à Tableau Server. Vous pouvez configurer le serveur proxy inverse de manière à ce qu'il authentifie le client (à l'aide de SSL/TLS) comme condition préalable à la transmission de la demande à Tableau Server.

  3. Tableau Server reçoit la demande et envoie sa réponse au proxy inverse.

  4. Le proxy inverse renvoie le contenu au client. Le client, de son côté, ne voit qu'une interaction avec Tableau Server, et ne peut pas savoir que la communication a été arbitrée par le proxy inverse.

Serveurs proxy et SSL

Pour une sécurité optimale, vous devriez configurer les serveurs proxy de manière à ce qu'ils utilisent SSL pour tout trafic externe à votre réseau. Ces mesures contribuent à assurer confidentialité, intégrité du contenu et authentification. Sauf si vous avez déployé d'autres mesures de sécurité pour protéger le trafic entre votre passerelle Internet et Tableau Server, nous vous recommandons également de configurer SSL entre le proxy de passerelle et Tableau Server. Comme indiqué dans le chapitre précédent, Sécurisation du trafic entre les clients et votre serveur, vous pouvez utiliser les certificats internes ou autosignés pour crypter le trafic entre les serveurs Tableau et les autres ordinateurs internes.

Nous recommandons de sécuriser le trafic par SSL à tout stade, aussi bien de l'extérieur vers le serveur proxy inverse que du serveur proxy inverse vers Tableau Server. Dans ce scénario, nous vous recommandons de configurer le proxy inverse de manière à rejeter les connexions qui n'utilisent pas SSL (qui donc n'utilisent pas https:// dans l'URL).

Si vous envisagez d'utiliser l'authentification Kerberos, vous devez configurer Tableau Server pour votre proxy avant de configurer Tableau Server pour Kerberos.

Pour plus d'informations, consultez Configurer Kerberos(Le lien s’ouvre dans une nouvelle fenêtre). De plus, vous pouvez utiliser SAML, OpenID Connect ou les tickets fiables avec un proxy inversé.

Configurer Tableau Server pour qu'il fonctionne avec un serveur proxy inverse

Vous êtes maintenant convaincu de l'utilité d'un proxy inverse. Avant de configurer Tableau Server, vous devez rassembler les informations suivantes relatives à la configuration du serveur proxy. Sauf si vous êtes la personne qui a configuré le serveur proxy, vous aurez besoin de faire appel à votre service informatique pour obtenir ces informations.

Élément Description
Adresse IP ou CNAME

Vous pouvez saisir une adresse IP ou un CNAME pour cette option.

L'adresse ou les adresses IP publiques du serveur proxy. Cette adresse doit être au format IPv4, par exemple 203.0.113.0, et elle doit être statique.

Si vous ne pouvez pas fournir une IP statique, ou si vous utilisez des proxy cloud ou des équilibrages de charge externes, vous pouvez spécifier la valeur CNAME (Canonical Name) DNS que les clients utiliseront pour se connecter à Tableau Server. Cette valeur CNAME doit être configurée sur votre solution de proxy inverse pour communiquer avec Tableau Server.

FQDN Le nom de domaine qualifié complet que les personnes utilisent pour accéder à Tableau Server, par exemple tableau.example.com. Tableau Server ne prend pas en charge un FQDN incluant des informations à part le nom de domaine, par exemple example.com/tableau. (Votre informaticien peut comprendre ce que signifie la non-prise en charge par Tableau Server du changement de contexte.)
Non-FQDN Tout nom de sous-domaine pour le serveur proxy. Dans l'exemple tableau.example.com, le nom de sous-domaine est tableau.
Alias Nom(s) d'hôte alternatif(s) public(s) pour le serveur proxy. Dans la plupart des cas, les alias sont conçus à l'aide de valeurs CNAME. Il s'agirait par exemple d'un serveur proxy bigbox.example.com et des entrées CNAME ftp.example.com et www.example.com.
Ports Les numéros de port pour le trafic du client vers le serveur proxy inversé, et pour le trafic du serveur proxy vers Tableau Server.

Pour configurer Tableau Server, utilisez Tableau Services Manager (TSM). Tableau Services Manager est un ensemble d'outils de gestion servant à installer, configurer et gérer les services Tableau.

  1. Entrez la commande suivante pour définir le FQDN que les clients utiliseront pour atteindre Tableau Server via le serveur proxy, où name est le FQDN :

    tsm configuration set -k gateway.public.host -v "name"

    Par exemple, si vous accédez à Tableau Server en saisissant https://tableau.example.com dans le navigateur, entrez cette commande :

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Entrez la commande suivante pour définir l'adresse ou le CNAME du serveur proxy, où server_address correspond à l'adresse IPv4 ou à la valeur CNAME :

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Si votre organisation utilise plusieurs serveurs de proxy, entrez plusieurs adresses IPv4, séparées par une virgule. Les plages IP ne sont pas prises en charge. Pour améliorer le démarrage et l'initialisation de Tableau Server, minimisez le nombre d'entrées pour gateway.trusted.

  3. Saisissez la commande suivante pour spécifier des noms alternatifs pour le serveur proxy, par exemple son nom de domaine qualifié complet, des noms qui ne sont pas des noms de domaine qualifiés complets et des alias. S'il y a plus d'un nom, séparez les noms par des virgules.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Par exemple :

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Si le serveur proxy utilise SSL pour communiquer avec Internet, exécutez la commande suivante, qui indique à Tableau que le serveur de proxy inverse utilise le port 443 au lieu du port 80 :

    tsm configuration set -k gateway.public.port -v 443

    Remarque : si le serveur proxy utilise SSL pour communiquer avec Tableau Server, SSL doit être configuré et activé sur Tableau Server.

  5. Entrez la commande suivante pour appliquer le changement de configuration et redémarrer Tableau Server :

    tsm pending-changes apply

Configurer le serveur proxy inverse pour qu'il fonctionne avec Tableau Server

Pour activer l'accès client depuis Internet via un proxy inverse, vous devez conserver (ou ajouter) des en-têtes de message spécifiques pour Tableau Server. Vous en trouverez une illustration dans le graphique suivant.

Voici les en-têtes requis pour Tableau Server :

  • REMOTE_ADDR et X-FORWARDED-FOR (XFF). Tableau Server a besoin de ces en-têtes pour déterminer l'adresse IP d'origine des demandes.

  • HOST et X-FORWARDED HOST (XFH). Ces en-têtes sont utilisés pour générer des liens absolus vers Tableau Server lorsqu'il répond au client.

  • X-FORWARDED-PROTO (XFP). Cet en-tête est requis si vous exécutez SSL sur le proxy, mais non sur Tableau Server. Comme souligné, nous vous recommandons d'utiliser SSL à chaque étape.

Résolution des problèmes et remarques sur les proxy inverses

Étant donné qu'il existe différentes solutions de proxy, nous ne pouvons pas détailler les étapes de configuration de bout en bout. Nous avons néanmoins rassemblé des conseils et autres informations relatives à l'activation d'un proxy inverse avec Tableau Server.

Configuration des en-têtes

  • Les en-têtes X-FORWARDED-PROTO jouent un rôle important pour les scénarios où HTTP ou HTTPS n'est pas conservé à chaque étape de la route du message. Par exemple, si le proxy inverse requiert SSL pour les demandes extérieures, mais que le trafic entre le proxy inverse et Tableau Server n'est pas configuré pour utiliser SSL, les en-têtes X-FORWARDED-PROTO sont requis. Certaines solutions de proxy ajoutent automatiquement les en-têtes X-FORWARDED-PROTO, tandis que d'autres ne le font pas. Au bout du compte, selon votre solution de proxy, vous devrez peut-être configurer le transfert de port de manière à ce que la demande soit traduite du port 443 vers le port 80.

  • Certains serveurs proxy exigent une règle en plus de l'en-tête X-FORWARDED-PROTO. Par exemple, un dispositif de proxy F5 exige que vous appliquiez une règle iRule au serveur virtuel hébergeant l'espace de nom URL pour Tableau Server.

  • Il est possible de mélanger et empiler les serveurs proxy et les équilibreurs de charge externes dans plusieurs formations. Dans le cas où il y aurait plusieurs Tableau Server, l'ordre des en-têtes présentés à Tableau Server doit correspondre à la séquence de sauts nécessaire pour que le trafic atteigne Tableau Server. En outre, pour activer les tickets approuvés, tous les serveurs proxy de la chaîne doivent être spécifiés dans les paramètres gateway.trusted et trusted.hosts.

  • Si le paramètre gateway.trusted comporte plusieurs IP, vous devez séparer les valeurs par une virgule et un espace lorsque vous émettez la commande, par exemple "203.0.113.0, 10.32.56.78". Toute la chaîne doit en outre être incluse entre des guillemets doubles, comme indiqué.

Authentification

  • Si vous envisagez d'utiliser l'authentification Kerberos, vous devez configurer Tableau Server pour votre proxy avant de configurer Tableau Server pour Kerberos.

    Pour plus d'informations, consultez Configurer Kerberos(Le lien s’ouvre dans une nouvelle fenêtre) dans l'aide de Tableau Server.

  • Les serveurs proxy inverses Apache ne sont pas pris en charge si Tableau Server utilise SSPI (Active Directory avec Activer la connexion automatique) pour l'authentification des utilisateurs de Tableau Server. Les serveurs proxy inverses Apache sont pris en charge si Tableau Server authentifie les utilisateurs des serveurs uniquement avec Active Directory (sans Activer la connexion automatique).

  • Configurez votre proxy pour une authentification avec SSL. Ne configurez pas votre serveur proxy de manière à ce qu'il demande aux utilisateurs de s'authentifier.

Passez à l'étape Création d'utilisateurs.

Ressource supplémentaire

Merci de vos commentaires !