Configurar la autenticación SSL mutua
Utilizando SSL mutua, puede ofrecer a los usuarios de Tableau Desktop, Tableau Mobile y otros clientes autorizados de Tableau un acceso directo y seguro a Tableau Server. Con la SSL mutua, cuando se conecta a Tableau Server un cliente con un certificado SSL válido, Tableau Server confirma que existe el certificado de cliente y autentica al usuario, basándose en el nombre de usuario presente en el certificado de cliente. Si el cliente no tiene un certificado SSL válido, Tableau Server puede rechazar la conexión.
También puede configurar Tableau Server para que use la autenticación basada en nombre de usuario y contraseña en caso de que la autenticación SSL mutua falle. Además, un usuario puede iniciar sesión con la API de REST con un nombre de usuario y una contraseña (si existe) independientemente de si se configura o no la autenticación de reserva.
Límites de tiempo de la sesión de autenticación de usuario
Cuando los usuarios inician sesión mediante SSL mutuo, la sesión de autenticación se rige por el mismo método que rige la configuración global de la sesión de autenticación de Tableau Server.
Para los clientes que se conectan a Tableau Server mediante un navegador web, la configuración de la sesión de autenticación global se describe en la Lista de comprobación de mejora de la seguridad,
Las sesiones para clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder y Bridge) utilizan tokens de OAuth para mantener a los usuarios conectados mediante el restablecimiento de una sesión. De forma predeterminada, los tokens de cliente de OAuth se restablecen transcurrido un año. Un token de cliente caducará si no se utiliza en 14 días. Puede cambiar estos valores estableciendo las opciones refresh_token.absolute_expiry_in_seconds
y refresh_token.idle_expiry_in_seconds
. Consulte Opciones de tsm configuration set.
Uso de certificados
Antes de habilitar y configurar el SSL mutuo, debe configurar el SSL externo. El SSL externo autentica Tableau Server al cliente y cifra la sesión mediante el certificado y la clave necesarios al configurar el SSL externo.
Para el SSL mutuo, se requiere un archivo de certificado adicional. El archivo es una concatenación de archivos de certificado de CA. El tipo de archivo debe ser .crt
. Una "CA" es una entidad de certificación que emite certificados a los equipos cliente que se conectarán a Tableau Server. La acción de cargar el archivo de certificado de CA establece una confianza, lo cual permite que Tableau Server autentique los certificados individuales que presentan los equipos cliente.
Como parte de su plan de recuperación ante desastres, le recomendamos que mantenga una copia de seguridad de los archivos de certificado y revocación (si aplica) en una ubicación segura fuera de Tableau Server. El servicio de archivos de cliente almacenará y distribuirá los archivos de certificado y revocación que agregue a Tableau Server a otros nodos. Sin embargo, los archivos no se almacenan en un formato recuperable. Consulte el Servicio de archivo de cliente de Tableau Server.
Tamaños de curva ECDSA y de clave RSA
El certificado de CA que se utilice para SSL mutuo debe tener una fuerza de clave RSA de 2048 o un tamaño de curva ECDSA de 256.
Puede configurar Tableau Server para que acepte los tamaños menos seguros configurando las claves de configuración respectivas:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opciones de tsm configuration set.
Requisitos de los certificados de clientes
Los usuarios que se autentican en Tableau Server con SSL mutuo deben presentar un certificado de cliente que cumpla con los requisitos mínimos de seguridad.
Algoritmo de firma
Los certificados de clientes deben utilizar el algoritmo de firma SHA-256 o mayor.
Tableau Server configurado para la autenticación de SSL mutuo bloquea la autenticación de usuarios con certificados de cliente que utilizan el algoritmo de firma SHA-1.
Los usuarios que intenten iniciar sesión con certificados de cliente SHA-1 recibirán un error "No se puede iniciar sesión" y en los registros de VizPortal aparecerá el siguiente error:
Unsupported client certificate signature detected: [certificate Signature Algorithm name]
Puede configurar Tableau Server para que acepte el algoritmo de firma SHA-1, menos seguro, configurando la opción de configuración tsm ssl.client_certificate_login.blocklisted_signature_algorithms.
Tamaños de curva ECDSA y de clave RSA
El certificado de clientes que se utilice para el SSL mutuo debe tener una fuerza de clave RSA de 2048 o un tamaño de curva ECDSA de 256.
Tableau Server producirá un error en las solicitudes de autenticación mutua de los certificados de cliente que no cumplan estos requisitos. Puede configurar Tableau Server para que acepte los tamaños menos seguros configurando las claves de configuración respectivas:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opciones de tsm configuration set.
Configurar SSL para tráfico HTTP externo a y desde Tableau Server.
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
En la pestaña Configuración, seleccione Identidad de usuario y acceso > Método de autenticación.
En Método de autenticación, seleccione SSL mutua en el menú desplegable.
En SSL mutua, seleccione Usar SSL mutua y el inicio de sesión automático con certificados de cliente.
Haga clic en Seleccionar archivo y cargue su archivo de certificado emitido por una autoridad de certificación (CA) al servidor.
El archivo (.crt) es un archivo todo en uno que incluye certificados de las CA que se usan para la autenticación de cliente. El archivo que cargue debe ser una concatenación de los diversos archivos de certificado con codificación PEM, en orden de preferencia.
Introduzca la información de configuración de SSL que falte de la organización:
Formato del nombre de usuario: si Tableau Server está configurado para la autenticación SSL mutua, el servidor obtiene el nombre de usuario del certificado de cliente, de manera que puede iniciar directamente la sesión del usuario del cliente. El nombre que utilice Tableau Server dependerá de cómo esté configurado Tableau Server para la autenticación de usuarios:
- Autenticación local: Tableau Server usa el nombre de usuario principal (UPN) del certificado.
- Active Directory (AD): Tableau Server usa LDAP (Protocolo ligero de acceso a directorios) para obtener el nombre de usuario.
También puede definir Tableau Server para que use el nombre común (CN) del certificado de cliente.
Haga clic en Guardar cambios pendientes cuando haya introducido dicha información.
Haga clic en Cambios pendientes, en la parte superior de la página:
Haga clic en Aplicar cambios y reiniciar.
Paso 1: requiere SSL para la comunicación externa con el servidor
Para configurar Tableau Server para que use la autenticación SSL para las comunicaciones externas entre Tableau Server y los clientes web, ejecute el comando external-ssl enable
del siguiente modo, indicando los nombres de los archivos .crt y .key del certificado del servidor:
tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>
En cuanto a
--cert-file
y--key-file
, especifique la ubicación y el nombre de archivo donde ha guardado los archivos de clave (.key) y de certificado SSL (.crt) del servidor, emitido por una entidad de certificación.En el comando anterior se da por hecho que ha iniciado sesión como usuario que tiene el rol de sitio Administrador del servidor en Tableau Server. En su lugar, puede utilizar los parámetros
-u
y-p
para especificar un usuario y una contraseña de administrador.Si el archivo de clave de certificado solicita una frase de contraseña, incluya el parámetro y valor
--passphrase
.
Paso 2: configurar y habilitar el SSL mutuo
Añada una autenticación mutua entre el servidor y cada cliente y permita que los usuarios de los clientes de Tableau se puedan autenticar directamente después de proporcionar sus credenciales por primera vez.
Ejecute el comando siguiente:
tsm authentication mutual-ssl configure --ca-cert <certificate-file.crt>
Para
--ca-cert
, especifique la ubicación y el nombre de archivo del certificado emitido por una autoridad de certificación (CA).El archivo (.crt) es un archivo todo en uno que incluye certificados de las CA que se usan para la autenticación de cliente. El archivo que cargue debe ser una concatenación de los diversos archivos de certificado con codificación PEM, en orden de preferencia.
Ejecute los comandos siguientes para habilitar la autenticación SSL mutua y aplicar los cambios:
tsm authentication mutual-ssl enable
tsm pending-changes apply
Si los cambios pendientes requieren un reinicio del servidor, el comando
pending-changes apply
mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción--ignore-prompt
, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.
Otras opciones para la SSL mutua
Puede utilizar mutual-ssl configure
para configurar Tableau Server para que admita las siguientes opciones.
Para obtener más información, consulte tsm authentication mutual-ssl <commandos>.
Autenticación alternativa
Si se configura Tableau Server para la SSL mutua, la autenticación es automática y los clientes deben tener un certificado válido. Puede configurar Tableau Server para permitir una opción alternativa y aceptar la autenticación basada en nombre de usuario y contraseña.
tsm authentication mutual-ssl configure -fb true
Tableau Server acepta la autenticación de nombre de usuario y contraseña de los clientes de API de REST, incluso si la opción anterior está establecida en false
.
Mapeo del nombre de usuario
Si Tableau Server se configura para la autenticación SSL mutua, el servidor autentica al usuario directamente obteniendo el nombre de usuario del certificado de cliente. El nombre que utilice Tableau Server dependerá de cómo esté configurado el servidor para la autenticación de usuarios:
Autenticación local: usa el nombre de usuario principal (UPN) del certificado.
Active Directory (AD): usa el protocolo ligero de acceso a directorios (LDAP) para obtener el nombre de usuario.
Puede anular cualquiera de estos valores predeterminados para establecer que Tableau Server utilice el nombre común.
tsm authentication mutual-ssl configure -m cn
Para obtener más información, consulte Mapeo del certificado de un cliente a un usuario durante la autenticación mutua
Lista de revocación de certificados (CRL)
Es posible que deba especificar una CRL si sospecha que se ha puesto en peligro una clave privada o si una entidad de certificación no ha emitido un certificado correctamente.
tsm authentication mutual-ssl configure -rf <revoke-file.pem>