Mapeo del certificado de un cliente a un usuario durante la autenticación mutua
Si usa la autenticación SSL mutua (bidireccional), el cliente entrega su certificado a Tableau Server como parte del proceso de autenticación. A continuación, Tableau Server mapea la información del usuario presente en el certificado del cliente como la identidad de un usuario conocido. La estrategia que emplea Tableau Server para realizar el mapeo del cliente depende del contenido de los certificados de cliente de su organización.
En este tema se tratan las maneras en las que se puede asignar la información en un certificado de cliente a una identidad de usuario y se explica cómo cambiar la forma en que Tableau Server realiza esa asignación. Para comprender cómo se realiza la asignación y si debe cambiarla, debe saber cómo se estructuran los certificados de cliente en su organización.
Opciones de asignación de nombre de usuario
Tableau Server utiliza uno de los siguientes enfoques para asignar un certificado de cliente a una identidad de usuario:
Active Directory. Si Tableau Server se configura de manera que se utilice Active Directory para la autenticación de usuarios, cuando Tableau Server recibe un certificado de cliente, transfiere el certificado a Active Directory, que asigna el certificado a una identidad de Active Directory. Se ignora cualquier información de nombre de usuario explícita del certificado.
Nota: Este enfoque exige publicar los certificados de cliente para las cuentas de usuario en Active Directory.
Nombre principal de usuario (UPN). Se puede configurar un certificado de cliente para que almacene el nombre de usuario en el campo de nombre principal de usuario. Tableau Server lee el valor de UPN y lo asigna a un usuario de Active Directory o a un usuario local.
Nombre común (CN). Se puede configurar un certificado de cliente para que almacene el nombre de usuario en el campo de nombre común del certificado. Tableau Server lee el valor de CN y lo asigna a un usuario de Active Directory o a un usuario local.
Si configura el servidor para la autenticación de Active Directory y la asignación de nombres de usuario UPN o CN, ponga el nombre de usuario en uno de los siguientes formatos:
username
, domain/username
o username@domain
.
Por ejemplo: jsmith
, example.org/jsmith
, o jsmith@example.org
.
Si el servidor usa la autenticación local, el formato del nombre en los campos UPN o CN no es el predeterminado, pero el nombre del campo debe coincidir con el nombre de usuario en el servidor.
Cambiar la asignación de certificados
Deberá utilizar los comandos tsm authentication mutual-ssl <comandos> para asignar un certificado de cliente a una identidad de usuario en Tableau Server:
tsm authentication mutual-ssl configure -m <value>
Los posibles valores son ldap
para la asignación de Active Directory, upn
para la asignación UPN o cn
para la asignación CN.
Al instalar y configurar por primera vez Tableau Server, el servidor establece la asignación de nombres de usuario predeterminada para que coincida con el tipo de autenticación del servidor:
Si el servidor está configurado para utilizar Active Directory, también usará Active Directory para asignar el certificado a la identidad de usuario.
Si el servidor está configurado para usar la autenticación local, el servidor obtiene el valor de nombre de usuario del campo UPN del certificado.
Si el comportamiento predeterminado con el que Tableau Server mapea un nombre de usuario a una identidad no es correcto teniendo en cuenta su configuración de servidor, ejecute el siguiente conjunto de comandos para cambiar el mapeo de manera que utilice el valor de CN:
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply
mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt
, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.
Abordar la ambigüedad de la asignación de nombres de usuarios en organizaciones con varios dominios
En algunas circunstancias, el nombre de usuario del campo UPN o CN de un certificado puede ser ambiguo. Esta ambigüedad puede provocar resultados inesperados cuando el nombre de usuario se asigna a una identidad de usuario en el servidor.
Por ejemplo, si Tableau Server se presenta con un nombre de usuario que no incluye dominio, el servidor asigna ese nombre de usuario a una identidad mediante el dominio predeterminado. Esto puede provocar una asignación de nombre de usuario incorrecta, que posiblemente asigne identidad y permisos a un usuario diferente.
Esto se puede producir particularmente en entornos donde se aplican las siguientes condiciones:
Su organización admite varios dominios de Active Directory.
El servidor está configurado para usar la autenticación de Active Directory.
El servidor está configurado para usar mapeo UPN o CN.
Algunos usuarios tienen el mismo nombre de usuario, pero diferentes dominios. Por ejemplo,
jsmith@example.org
yjsmith@example.com
.El nombre de usuario en los campos UPN o CN del certificado no incluye el dominio como parte del nombre de usuario; por ejemplo, muestra
jsmith
.
Para evitar la incorrecta asignación de nombres de usuarios, asegúrese de que los certificados del cliente incluyan nombres de usuario completamente calificados con el dominio, empleando el formato jsmith@example.org
o example.org/jsmith
.