Guida di Tableau Server su Linux

Quando utilizzi l’autenticazione SSL reciproca (bidirezionale) il client presenta il proprio certificato a Tableau Server come parte del processo di autenticazione. Tableau Server mappa quindi le informazioni utente nel certificato client a un’identità utente nota. La strategia utilizzata da Tableau Server per eseguire il mapping dei client dipende dal contenuto dei certificati client della tua organizzazione.

In questo argomento vengono illustrati i modi in cui un certificato client può eseguire il mapping a un’identità utente e come modificare la modalità con cui Tableau Server esegue il mapping. Per comprendere in che modo viene eseguito il mapping e se devi modificarlo, devi conoscere la modalità in cui sono strutturati i certificati client nella tua organizzazione.

• Opzioni di mapping dei nomi utente

• Modificare il mapping del certificato

• Ambiguità dell’indirizzo del nome utente in organizzazioni multidominio

Opzioni di mapping dei nomi utente

Tableau Server utilizza uno dei metodi seguenti per eseguire il mapping di un certificato client a un’identità utente:

• Active Directory. Se Tableau Server è configurato per l’utilizzo di Active Directory per l’autenticazione utente, quando Tableau Server riceve un certificato client, il certificato passa ad Active Directory, che esegue il mapping del certificato a un’identità di Active Directory. Eventuali informazioni relative al nome utente esplicito presenti nel certificato vengono ignorate.

  Nota: questo approccio richiede la pubblicazione dei certificati client per gli account utente in Active Directory.

• Nome dell’entità utente (UPN). Un certificato client può essere configurato in modo da memorizzare il nome utente nel campo Nome dell’entità utente. Tableau Server legge il valore UPN e lo mappa a un utente in Active Directory o a un utente locale.

• Nome comune (CN). Puoi configurare un certificato client in modo che archivi il nome utente nel campo Nome comune del certificato. Tableau Server legge il valore CN e lo mappa a un utente in Active Directory o a un utente locale.

Se configuri il server per l’autenticazione Active Directory e il mapping dei nomi utente UPN o CN, immetti il nome utente in uno dei formati seguenti:

username, domain/username o username@domain.

Ad esempio: jsmith, example.org/jsmitho jsmith@example.org.

Se il server utilizza l’autenticazione locale, il formato del nome nei campi UPN o CN non è predeterminato, ma il nome nel campo deve corrispondere a un nome utente nel server.

Modificare il mapping del certificato

Per eseguire il mapping di un certificato client a un’identità utente in Tableau Server, utilizza tsm authentication mutual-ssl <comandi>: 

tsm authentication mutual-ssl configure -m <value>

I valori possibili sono ldap per il mapping di Active Directory, upn per il mapping UPN o cn per il mapping CN.

Quando installi e configuri Tableau Server per la prima volta, per impostazione predefinita il server imposta il mapping dei nomi utente in modo da corrispondere al tipo di autenticazione del server:

• Se il server è configurato per l’utilizzo di Active Directory, utilizza anche Active Directory per mappare il certificato all’identità utente.

• Se il server è configurato per l’utilizzo dell’autenticazione locale, il server ottiene il valore nome utente dal campo UPN del certificato.

Se le impostazioni predefinite per il mapping di un nome utente a un’identità in Tableau Server non sono corrette per la tua configurazione del server, esegui l’insieme di comandi seguenti per modificare il mapping in modo da utilizzare il valore CN:

tsm authentication mutual-ssl configure -m cn

tsm pending-changes apply

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Ambiguità nel mapping dell’indirizzo nel nome utente in organizzazioni multidominio

In alcune circostanze, il nome utente in un campo UPN o CN di un certificato può essere ambiguo. Questa ambiguità può causare risultati imprevisti quando il nome utente viene mappato a un’identità utente nel server.

Ad esempio, se in Tableau Server è presente un nome utente che non include un dominio, il server mappa il nome utente a un’identità utilizzando il dominio predefinito. Ciò può causare un mapping del nome utente errato, che potrebbe assegnare le autorizzazioni e l’identità di un dato utente a un utente diverso.

Ciò può verificarsi in particolare in ambienti in cui si verificano le condizioni seguenti:

• La tua organizzazione supporta domini multipli in Active Directory.

• Il server è configurato per l’utilizzo dell’autenticazione Active Directory.

• Il server è configurato per l’utilizzo di un mapping UPN o CN.

• Alcuni utenti dispongono dello stesso nome utente ma hanno domini diversi. Ad esempio jsmith@example.org e jsmith@example.com.

• Il nome utente nei campi UPN o CN del certificato non include il dominio come parte del nome utente, ad esempio: jsmith.

Per evitare un mapping di nome utente errato, verifica che i certificati client includano i nomi utente completi e relativo dominio, utilizzando il formato jsmith@example.org o example.org/jsmith.