Association d’un certificat client à un utilisateur pendant l’authentification mutuelle
Lorsque vous utilisez l’authentification réciproque SSL mutuel, le client présente son certificat à Tableau Server dans le cadre du processus d’authentification. Tableau Server associe ensuite les informations de l’utilisateur dans le certificat client à une identité d’utilisateur connue. La stratégie que Tableau Server utilise pour effectuer un mappage des clients dépend du contenu des certificats clients dans votre organisation.
Cette rubrique présente les options de mappage d’un certificat client à une identité utilisateur et explique comment modifier la manière dont Tableau Server exécute le mappage. Pour comprendre le mode d’exécution du mappage et pour savoir si vous avez besoin de le modifier, vous devez comprendre comment les certificats clients sont structurés dans votre entreprise.
Options de mappage des noms d’utilisateur
Tableau Server utilise l’une des approches suivantes pour associer un certificat client à une identité d’utilisateur :
Active Directory. Si Tableau Server a été configuré de manière à utiliser Active Directory pour l’authentification utilisateur, lorsque Tableau Server reçoit un certificat client, il transmet le certificat à Active Directory, qui associe le certificat à une identité Active Directory. Toute information de nom d’utilisateur explicite dans le certificat est ignorée.
Remarque : Cette approche nécessite que des certificats clients soient publiés pour les comptes d’utilisateur dans Active Directory.
Nom principal de l’utilisateur (UPN). Un certificat client peut être créé de manière à ce que le nom d’utilisateur soit stocké dans le champ UPN (nom principal d’utilisateur). Tableau Server lit la valeur UPN et l’associe à un utilisateur dans Active Directory ou à un utilisateur local.
Nom commun (CN). Il est possible de configurer un certificat client de manière à ce que le nom d’utilisateur soit dans le champ Nom commun du certificat. Tableau Server lit la valeur CN et l’associe à un utilisateur dans Active Directory ou à un utilisateur local.
Si vous configurez le serveur pour l’authentification Active Directory et le mappage de noms d’utilisateur UPN ou CN, mettez le nom d’utilisateur dans l’un des formats suivants :
username
, domain/username
, ou username@domain
.
Par exemple : jsmith
, example.org/jsmith
ou jsmith@example.org
.
Si le serveur utilise l’authentification locale, le format du nom dans les champs UPN ou CN ne sont pas prédéterminés, mais le nom dans le champ doit correspondre à un nom d’utilisateur sur le serveur.
Modification du mappage de certificats
Vous utilisez les commandes tsm authentication mutual-ssl <commands> pour associer un certificat client à une identité d’utilisateur dans Tableau Server :
tsm authentication mutual-ssl configure -m <value>
Les valeurs possibles sont ldap
pour le mappage Active Directory, upn
pour le mappage UPN ou cn
pour le mappage CN.
Lors de l’installation et de la configuration initiales de Tableau Server, le serveur définit le mappage de noms d’utilisateur en fonction du type d’authentification du serveur :
Si le serveur est configuré pour utiliser Active Directory, il utilise également Active Directory pour mapper le certificat à l’identité d’utilisateur.
Si le serveur est configuré pour utiliser l’authentification locale, le serveur obtient la valeur de nom d’utilisateur depuis le champ UPN dans le certificat.
Si le comportement par défaut pour le mappage d’un nom d’utilisateur à une identité par Tableau Server n’est pas correct pour la configuration de votre serveur, exécutez l’ensemble suivant de commandes pour modifier le mappage de manière à utiliser la valeur CN :
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Résoudre les ambiguïtés de noms d’utilisateur dans les entreprises multi-domaines
Dans certains cas, le nom d’utilisateur dans un champ UPN ou CN d’un certificat peut être ambigu. Cette ambiguïté peut avoir des résultats inattendus lorsque le nom d’utilisateur est associé à une identité d’utilisateur sur le serveur.
Par exemple, si un nom d’utilisateur n’incluant pas de domaine est présenté à Tableau Server, le serveur associe le nom d’utilisateur à une identité en utilisant le domaine par défaut. Ceci peut entraîner un mappage de noms d’utilisateur incorrect, en attribuant potentiellement à un utilisateur l’identité et les autorisations d’un autre utilisateur.
Ce cas de figure peut se produire tout particulièrement dans les environnements où les conditions suivantes s’appliquent :
Votre entreprise prend en charge plusieurs domaines Active Directory.
Le serveur est configuré pour utiliser l’authentification Active Directory.
Le serveur est configuré pour utiliser le mappage UPN ou CN.
Certains utilisateurs ont le même nom d’utilisateur, mais des domaines différents. Par exemple,
jsmith@example.org
etjsmith@example.com
.Le nom d’utilisateur dans le champ UPN ou CN du certificat n’inclut pas le domaine en tant qu’élément du nom d’utilisateur. Par exemple, il affiche simplement
jsmith
.
Pour éviter un mappage de noms d’utilisateur incorrect, assurez-vous que les certificats client incluent des noms complets avec le domaine, en utilisant le format jsmith@example.org
ou example.org/jsmith
.