Configurer le module d’authentification avec une passerelle indépendante
Une pratique de sécurité courante consiste à n’autoriser que les demandes authentifiées à traverser le pare-feu interne des serveurs DMZ. La passerelle indépendante prend en charge les méthodes d’authentification traditionnelles de Tableau Server, mais elle inclut également des propriétés de configuration qui permettent d’intégrer un module chargeable Apache httpd pour une authentification personnalisée.
Par exemple, en configurant SAML sur Tableau Server et en configurant un module d’authentification personnalisé, vous pouvez demander à tous les utilisateurs de s’authentifier auprès de votre IdP au niveau de la passerelle indépendante. Seuls les utilisateurs authentifiés pourront alors accéder à Tableau Server, qui pourra alors s’authentifier et autoriser l’accès des utilisateurs.
Pour de plus amples renseignements sur ce modèle d’authentification, consultez Pré-authentification avec un module AuthN(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise.
Pour configurer le module d’authentification, vous devez effectuer les étapes suivantes :
- Générez les fichiers de configuration du module d’authentification. Une fois l’installation terminée, chaque module et ses instructions de configuration seront traités comme des options Inclusion, ce qui fait que les fichiers inclus font logiquement partie de la configuration globale de httpd.
- Copiez les fichiers de configuration sur chaque ordinateur exécutant la passerelle indépendante. Tous les fichiers doivent être copiés aux mêmes emplacements sur chaque ordinateur sur lequel s’exécute la passerelle indépendante. Chaque fichier correspond à une propriété de configuration gérée par Tableau Server.
- Utilisez la commande
tsm configuration set
sur Tableau Server pour définir les propriétés de configuration.
Ne modifiez pas le fichier de configuration httpd (httpd.conf) sur la passerelle indépendante, car celle-ci comprend une logique de mise à jour de la configuration httpd en fonction des modifications apportées par les commandes TSM sur Tableau Server.
Exemple de configuration du module d’authentification
Pour un exemple de configuration du module d’authentification de bout en bout, consultez Exemple de configuration d’authentification : SAML avec fournisseur d’identités externe(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise. L’exemple décrit comment installer et configurer SAML avec un fournisseur d’identités Okta et un module d’authentification Mellon pour un déploiement Tableau Server sous Linux exécuté dans AWS. Même si l’exemple décrit le processus pour Linux, l’exemple de configuration est également utile pour Tableau Server sous Windows.
Propriétés de configuration
Le tableau suivant décrit les différents fichiers de configuration auxquels vous pouvez vous référer. Chaque fichier correspond à une propriété de configuration définie sur Tableau Server. Il vous suffit de définir les propriétés nécessaires pour formuler votre configuration d’authentification personnalisée. Ignorez toutes les propriétés de configuration qui ne sont pas nécessaires.
Propriété de configuration | Description |
---|---|
gateway.tsig.authn_module_block | Apparaît à la fin de l’ensemble des modules Apache httpd normalement chargés. L’objectif est que le fichier comprenne un ou plusieurs directives LoadModule . Les modules eux-mêmes doivent être identifiés par des chemins d’accès complets. |
gateway.tsig.authn_global_block | Apparaît après toutes les références LoadModule et avant la plupart des autres directives Apache httpd. L’objectif est de fournir un emplacement pour toutes les directives de configuration nécessaires au module personnalisé. |
gateway.tsig.authn_globalbottom_block | Apparaît tout en bas du fichier de configuration, toujours au niveau global. L’objectif est de fournir un emplacement pour toutes les directives de configuration nécessaires au module personnalisé. Elles doivent spécifiquement apparaître après diverses autres directives. (Il est peu probable que vous en ayez besoin.) |
gateway.tsig.authn_location_block | Apparaît dans un bloc <Location "/"> , et recouvre tous les chemins d’accès des URL. |
gateway.tsig.authn_directory_block | Apparaît dans un bloc <Directory "/"> , et recouvre tous les chemins d’accès aux fichiers traités par la passerelle indépendante. (Il est peu probable que vous en ayez besoin. La plupart des fichiers traités par la passerelle indépendante sont des ressources statiques non sensibles, comme des images et des fichiers JavaScript.) |
gateway.tsig.authn_virtualhost_block | Apparaît à l’intérieur d’un ou deux blocs |
Bloc <Location "/tsighk">
En plus du bloc <Location "/">
attendu pour le trafic de requête normal, un bloc <Location "/tsighk">
est également utilisé pour traiter les requêtes de gestion interne (HK) de la passerelle indépendante. Ces requêtes HK ont leurs propres protections d’authentification et ne fonctionneront pas avec les solutions classiques d’authentification unique personnalisée.
Vous devrez peut-être empêcher explicitement que votre module personnalisé ne tente d’authentifier le chemin d’accès URL de la requête HK.
Pour déterminer si vous devez exclure votre module, configurez-le d’abord. Recherchez ensuite les requêtes HK dans le fichier journal d’accès de la passerelle indépendante. Vous devriez voir au moins un contrôle d’état une ou deux fois par minute. Si un code de réponse 200 est généré pour ces requêtes, l’authentification a sans doute réussi. En revanche, si un code de réponse 3xx est généré (redirection vers votre fournisseur d’authentification personnalisé), vous devez faire quelque chose pour y remédier.
Solutions possibles :
- Le bloc
<Location "/tsighk">
contient la directiveAuthType None
, et cela pourrait suffire. - La configuration httpd.conf de la passerelle indépendante contient la directive standard Apache httpd
ProxyPreserveHost(Le lien s’ouvre dans une nouvelle fenêtre) On
. Si une circonstance inhabituelle exige que ce soit Off ou une autre valeur, cette valeur peut être définie avec l’élément de configuration TSMgateway.tsig.proxypreservehost
. - Vous aurez peut-être besoin de directives spécifiques au module pour désactiver votre module d’authentification pour
<Location "/tsighk">
. Vous ne pouvez pas modifier directement ce bloc dans le fichier httpd.conf. Vous pouvez plutôt créer un autre bloc<Location "/tsighk">
dans votre fichiergateway.tsig.authn_global_block
et laisser Apache httpd les fusionner logiquement. Par exemple, certaines versions de mod_auth_mellon, un module d’authentification open source populaire, nécessitentMellonEnable Off
pour les sections où il ne s’applique pas, même siAuthType None
est défini dans ces sections. - Lors de la création d’une section
<Location "/tsighk">
supplémentaire, comme décrit dans le point précédent, vous trouverez que l’ordre d’apparition des différentes sections dans le fichier httpd.conf modifie la façon dont elles s’influencent mutuellement. La section standard<Location "/tsighk">
apparaît avant la section standard<Location "/">
. Si vos essais montrent qu’un ordre différent est nécessaire, vous devrez peut-être définir un autre section<Location "/">
dans votre blocgateway.tsig.authn_global_block
en plus d’une autre section<Location "/tsighk">
. Dans ce cas, vous devrez peut-être laisser le blocgateway.tsig.authn_location_block
vide.
Dépanner la configuration du module d’authentification personnalisé
Pour savoir comment la passerelle indépendante va créer le fichier httpd.conf, il suffit de définir les éléments de configuration TSM avec des valeurs qui pointent vers des fichiers vides qui figurent sur les ordinateurs de votre passerelle indépendante. (Les fichiers doivent exister, mais ils peuvent être vides.) Vous pouvez ensuite consulter le fichier httpd.conf de la passerelle indépendante pour vous faire une idée concrète de l’emplacement des directives Include
des différents fichiers de configuration.
Des problèmes de configuration dans le fichier httpd.conf de la passerelle indépendante peuvent empêcher le service tsig-httpd
de démarrer. D’autres problèmes de configuration sont susceptibles d’empêcher la réception des mises à jour de configuration du service complémentaire de la passerelle indépendante sur le groupement Tableau Server. L’un des moyens de récupération, après avoir corrigé la cause du problème, est de copier TSIG_DATA/config/httpd.conf.stub
dans TSIG_DATA/config/httpd.conf
et de redémarrer ensuite le service tsig-httpd
.
Pour plus de conseils de dépannage, consultez Dépannage de la passerelle indépendante Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise (EDG). L’EDG fournit un exemple de déploiement de Tableau Server sous Linux. Les étapes de dépannage sont utiles pour les versions Windows ou Linux de Tableau Server.