Entité mutualSSLSettings
Avant de configurer SSL mutuel, consultez Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.
L’entité mutualSSLSettings
combine à la fois la configuration SSL et SSL mutuel. SSL mutuel nécessite que SSL externe ait été activé et correctement configuré.
Les entités TSM utilisent JSON et des paires de valeurs de clés. Utilisez le modèle du fichier de configuration ci-dessous pour créer un fichier .json. Fournissez des valeurs pour les clés adaptées à votre environnement, puis transmettez le fichier .json à Tableau Server avec les commandes suivantes :
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Modèle de configuration
Utilisez ce modèle pour configurer les paramètres SSL mutuel.
Important : toutes les options d’entité sont sensibles à la casse.
Pour plus d’explications sur les fichiers de configuration, les entités et les clés, consultez Exemple de fichier de configuration.
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
Référence du fichier de configuration
- sslEnabled
Activez SSL. Il s’agit d’une condition préalable requise pour activer SSL mutuel.
clientCertRequired (MutualSSL)
Définissez sur « true » pour activer l’authentification SSL mutuel. Définissez sur « false » pour la désactiver.
- caCertFile (MutualSSL)
Obligatoire.
Spécifiez le fichier de certificat émis par une autorité de certification pour SSL mutuel. Tableau Server doit pouvoir lire le chemin d’accès du fichier.
certFileName
Spécifiez le fichier contenant la concaténation des certificats d’autorité de certification codés PEM qui constituent la chaîne de certificats pour le certificat du serveur.
Sinon, le fichier référencé peut être le même que le fichiercaCertFile lorsque les certificats d’autorité de certification sont directement ajoutés au certificat du serveur pour des raisons pratiques.
keyFileName
Si la clé n’est pas associée au certificat, utilisez la clé de certificat pour pointer vers le fichier de la clé. Si vous possédez à la fois une clé privée RSA et DSA, vous pouvez configurer les deux en parallèle (par exemple pour autoriser l’utilisation de chiffrements DSA).
keyPassphrase
Facultatif. Phrase de passe pour le fichier de certificat. La phrase de passe que vous entrez sera chiffrée en période d’inactivité.
Remarque : si vous créez un fichier de clé de certificat avec une phrase de passe, vous ne pouvez pas réutiliser la clé de certificat SSL pour SAML.
revocationFile
Spécifie le chemin d’accès du fichier pour un fichier Certificate Revocation List (.crl) SSL d’autorité de certification.
Redirect
Par défaut : true. Spécifie si Tableau Server doit rediriger les demandes http en tant que demandes https vers le point de terminaison approprié.
clientCertMapping (MutualSSL)
Spécifie la méthode de récupération du nom d’utilisateur à partir du certificat.
Valeurs acceptées :
ldap
,upn
,cn
Pour un serveur utilisant l’authentification locale, le paramètre par défaut est
upn
(User Principal Name).Lorsque l’authentification Tableau Server est configurée pour Active Directory (AD), le paramètre par défaut est
ldap
(Lightweight Directory Access Protocol). Ceci indique au serveur d’accéder à AD pour valider l’utilisateur, et il ignore les noms à l’intérieur du certificat.
Vous pouvez définir
cn
pour qu’un type d’authentification ou l’autre utilise le nom commun dans le DN d’objet du certificat.Pour plus d’informations, consultez Association d’un certificat client à un utilisateur pendant l’authentification mutuelle.
fallbackToPassword (MutualSSL)
Définissez sur « true » pour que les utilisateurs aient la possibilité de se connecter à Tableau Server via leur nom d’utilisateur et leur mot de passe en cas d’échec de l’authentification SSL mutuel. Définissez sur « false » pour interdire cette option de secours.
protocols
Spécifiez les versions du protocole TLS (Transport Layer Security) que vous souhaitez autoriser ou interdire.
Valeur par défaut :
"all -SSLv2 -SSLv3"
Nous vous recommandons toutefois d’utiliser le paramètre suivant :
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
Pour plus d’informations, consultez tsm security external-ssl enable. Pour des informations générales, consultez la documentation en ligne d’Apache.
cipherSuite
Répertoriez les chiffrements à autoriser ou à interdire pour SSL.
Valeur par défaut :
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
Voir la page des chiffrements OpenSSL(Le lien s’ouvre dans une nouvelle fenêtre) pour connaître le format de liste de chiffrement. Soyez prudent lorsque vous modifiez cette option. Les valeurs par défaut n’autorisent pas les chiffres qui ne sont plus considérés comme suffisamment sécurisés.
proxyLogin
Valeur par défaut : « false ». Indique que Tableau Server utilise un proxy pour SSL lors de la connexion uniquement. Il contrôle le protocole que le serveur signale à Tableau Desktop pour les API de connexion.
forceHTTPForPublicEmbed
Valeur par défaut : « false ». Force le code pour que les vues intégrées utilisent SSL.