Autenticazione attendibile
Quando si incorporano le viste di Tableau Server in pagine Web, tutti coloro che visitano la pagina devono essere utenti provvisti di licenza in Tableau Server. Quando gli utenti visitano la pagina, viene loro richiesto di accedere a Tableau Server prima di poter visualizzare la vista. Se disponi già di un modo per autenticare gli utenti nella pagina Web o all’interno dell’applicazione Web, puoi evitare questo prompt consentendo agli utenti di non dover effettuare l’accesso due volte impostando l’autenticazione attendibile.
L’autenticazione attendibile significa semplicemente che è stata impostata una relazione di trust tra Tableau Server e uno o più server Web. Quando Tableau Server riceve richieste provenienti da questi server Web attendibile, presuppone che il server Web abbia gestito l’autenticazione necessaria.
Nota: i browser client devono essere configurati per consentire i cookie di terze parti se desideri utilizzare l’autenticazione attendibile con le viste incorporate.
Funzionamento dell’autenticazione attendibile
Il diagramma seguente descrive come funziona l’autenticazione attendibile tra il Web browser del client, i server Web e Tableau Server.
Utente visita la pagina Web: quando un utente visita la pagina Web con la vista di Tableau Server incorporata, la pagina Web invia una richiesta GET al server Web per l’HTML di quella pagina.
POST del server Web su Tableau Server: il server Web invia una richiesta POST al Tableau Server attendibile (ad esempio https://<server_name>/trusted
, , non https://<server_name>
). La richiesta POST deve avere un parametro username
. Il valore username
deve essere il nome utente per un utente di Tableau Server con licenza. Se Tableau Server ospita più siti e la vista è in un sito diverso dal sito predefinito, la richiesta POST deve includere anche un parametro target_site
.
Tableau Server crea un ticket: Tableau Server controlla l’indirizzo IP o il nome host del server Web (192.168.1.XXX nel diagramma precedente) che ha inviato la richiesta POST. Se il server Web è elencato come host attendibile, Tableau Server crea un ticket sotto forma di stringa univoca. I ticket devono essere riscattati entro tre minuti dopo che sono stati rilasciati. Tableau Server risponde alla richiesta POST con quel ticket. In alternativa, se si verifica un errore e il ticket non può essere creato, Tableau Server risponde con il valore -1
. Il server deve avere un indirizzo IPv4. Gli indirizzi IPv6 non sono supportati. Per maggiori informazioni, consulta Tableau Server restituisce un valore del ticket pari a -1.
Il server Web passa l’URL al browser: il server Web decrittografa l’URL per la vista e lo inserisce nel codice HTML per la pagina. Il ticket è incluso (ad esempio, https://<server_name>/trusted/<unique_ticket>/views/<view_name>
). Il server Web passa il codice HTML al Web browser del client.
Richieste del browser visualizzate da Tableau Server: il browser Web del client invia una richiesta GET a Tableau Server che include l’URL con il ticket.
Tableau Server riscatta il ticket: Tableau Server riscatta il ticket, crea una sessione, registra l’utente, rimuove il ticket dall’URL e invia l’URL finale per la vista incorporata al client.
La sessione consente all’utente di accedere a qualsiasi vista che l’utente avrebbe se avesse effettuato l’accesso al server. Nella configurazione predefinita gli utenti autenticati con ticket attendibili dispongono di accesso limitato, in modo che solo le viste siano disponibili. Non possono accedere a cartelle di lavoro, pagine di progetto o altro contenuto ospitato nel server.
Per modificare questo comportamento, vedi l’opzione wgserver.unrestricted_ticket
in Opzioni di tsm configuration set.
Come viene archiviato un ticket attendibile?
Tableau Server archivia i ticket attendibili nel repository di Tableau Server utilizzando la procedura seguente:
- Server Tableau genera un ticket in due parti: la prima parte è un ID univoco con codifica Base64 (UUID) e la seconda parte è una stringa segreta casuale di 24 caratteri.
- Tableau Server genera un hash per la stringa segreta e la archivia con l’ID univoco nel repository- La generazione di un hash prende la stringa segreta come input e utilizza un algoritmo per calcolare una stringa univoca. Questa stringa univoca protegge la sicurezza della stringa segreta da utenti non autorizzati.
- Tableau Server invia lo UUID Vase64 e la stringa di 24 caratteri originale al client.
- Il client restituisce lo UUID Base64 e la stringa segreta di 24 caratteri originale a Tableau Server come parte della richiesta di una vista.
- Tableau Server individua la coppia di stringhe con lo UUID Base64 e quindi genera l’hash della stringa segreta per verificare che corrisponda all’hash memorizzato nel repository.
Questo processo garantisce che il contenuto di qualsiasi ticket attendibile archiviato in Tableau Server non possa essere utilizzato per rappresentare utenti o accedere al contenuto protetto dall’autenticazione. Poiché tuttavia il ticket attendibile completo viene inviato su HTTP tra Tableau Server e il client, il processo si basa sulla trasmissione sicura e crittografata dei dati HTTP. È pertanto consigliabile distribuire i ticket attendibili solo su SSL/TLS o un altro livello di crittografia di rete.