Zuordnen eines Clientzertifikats zu einem Benutzer während der gegenseitigen Authentifizierung
Bei der gegenseitigen (bidirektionalen) SSL-Authentifizierung legt der Client Tableau Server sein Zertifikat beim Authentifizierungsprozess vor. Tableau Server weist dann die Benutzerinformationen im Client-Zertifikat einer bekannten Benutzeridentität zu. Die von Tableau Server zum Ausführen der Clientzuordnung verwendete Strategie hängt von den Inhalten der Clientzertifikate Ihrer Organisation ab.
In diesem Thema werden die Möglichkeiten erläutert, wie Informationen in einem Clientzertifikat einer Benutzeridentität zugeordnet werden können. Zudem wird beschrieben, wie geändert werden kann, auf welche Weise Tableau Server diese Zuordnung vornimmt. Machen Sie sich damit vertraut, wie Clientzertifikate in Ihrer Organisation strukturiert sind, um nachzuvollziehen, wie die Zuordnung erfolgt und ob Sie sie ändern müssen.
Optionen zur Zuordnung von Benutzernamen
Tableau Server nutzt eine der folgenden Methoden zum Zuordnen eines Clientzertifikats zu einer Benutzeridentität:
Active Directory: Wenn Tableau Server für die Benutzerauthentifizierung mit Active Directory konfiguriert wird und Tableau Server ein Clientzertifikat empfängt, wird das Zertifikat an Active Directory weitergeleitet, wobei es einer Active Directory-Identität zugeordnet wird. Explizite Angaben zum Benutzernamen im Zertifikat werden ignoriert.
Hinweis: Für diese Methode müssen Client-Zertifikate für die Benutzerkonten in Active Directory veröffentlicht werden.
UPN (User Principal Name): Ein Clientzertifikat kann so konfiguriert werden, dass der Benutzername im Feld für den UPN (User Principal Name, Benutzer-Prinzipalname) gespeichert wird. Tableau Server liest den UPN-Wert aus und nimmt die Zuordnung zu einem Benutzer in Active Directory oder zu einem lokalen Benutzer vor.
CN (Common Name): Ein Clientzertifikat kann so konfiguriert werden, dass der Benutzername im Feld für den CN (Common Name, allgemeiner Name) gespeichert wird. Tableau Server liest den CN-Wert aus und nimmt die Zuordnung zu einem Benutzer in Active Directory oder zu einem lokalen Benutzer vor.
Falls Sie den Server für die Active Directory-Authentifizierung und die UPN- oder CN-Benutzernamenzuordnung konfigurieren, dann geben Sie den Benutzernamen in einem der folgenden Formate an:
username, domain/username oder username@domain.
Beispielsweise: jsmith, example.org/jsmith oder jsmith@example.org.
Wenn der Server für die lokale Authentifizierung konfiguriert ist, gilt für das UPN- oder CN-Feld kein vordefiniertes Format; der Name im Feld muss allerdings mit einem Benutzernamen auf dem Server übereinstimmen.
Ändern der Zertifikatszuordnung
In Tableau Server verwenden Sie zum Zuordnen eines Clientzertifikats zu einer Benutzeridentität die Befehle tsm authentication mutual-ssl <commands>:
tsm authentication mutual-ssl configure -m <value>
Mögliche Werte sind: ldap für die Active Directory-Zuordnung, upn für die UPN-Zuordnung oder cn für die CN-Zuordnung.
Wenn Sie Tableau Server erstmalig installieren und konfigurieren, verwendet der Server die standardmäßige Benutzernamenzuordnung, um dem Authentifizierungstyp des Servers zu entsprechen:
Falls der Server für die Verwendung von Active Directory konfiguriert ist, verwendet er Active Directory ebenfalls für die Zuordnung des Zertifikats zur Benutzeridentität.
Wenn der Server für die Verwendung der lokalen Authentifizierung konfiguriert ist, ruft der Server den Benutzernamenswert aus dem UPN-Feld im Zertifikat ab.
Wenn das Standardverhalten für das Zuordnen eines Benutzernamens zu einer Identität durch Tableau Server für Ihre Serverkonfiguration nicht richtig ist, sollten Sie den folgenden Satz an Befehlen ausführen, um die Zuordnung zum Verwenden des CN-Werts zu ändern:
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Beheben des Problems der Mehrdeutigkeit beim Zuordnen von Benutzernamen in Organisationen mit mehreren Domänen
Unter bestimmten Umständen ist der Benutzername im UPN- oder CN-Feld eines Zertifikats nicht eindeutig. Diese Mehrdeutigkeit kann zu unerwarteten Ergebnissen führen, wenn der Benutzername einer Benutzeridentität auf dem Server zugeordnet wird.
Wenn Tableau Server beispielsweise einen Benutzernamen ohne Domäne abruft, ordnet der Server diesen Benutzernamen einer Identität in der Standarddomäne zu. Dies kann zu einer falschen Zuordnung des Benutzernamens führen, d. h. es kann sein, dass einem Benutzer die Identität und Berechtigungen eines anderen Benutzers zugeordnet werden.
Dieser Fall kann insbesondere in Umgebungen eintreten, in denen die nachfolgenden Bedingungen erfüllt sind:
Ihr Unternehmen unterstützt mehrere Active Directory-Domänen.
Der Server ist für die Authentifizierung mit Active Directory konfiguriert.
Der Server ist für die Verwendung der UPN- oder CN-Zuordnung konfiguriert.
Einige Benutzer haben denselben Benutzernamen, aber verschiedene Domänen. Beispiel:
jsmith@example.orgundjsmith@example.com.Der Benutzername in den UPN- oder CN-Feldern des Zertifikats enthält nicht die Domäne als Teil des Benutzernamens. Beispielsweise wird
jsmithangezeigt.
Um eine falsche Zuordnung von Benutzernamen zu vermeiden, vergewissern Sie sich, dass die Clientzertifikate vollständig qualifizierte Benutzernamen mit der entsprechenden Domäne im Format jsmith@example.org oder example.org/jsmith enthalten.