Vertrouwde verificatie


Wanneer u Tableau Server-weergaven in webpagina's insluit, moet iedereen die de pagina bezoekt een gelicentieerde gebruiker van Tableau Server zijn. Wanneer gebruikers de pagina bezoeken, wordt hen gevraagd zich aan te melden bij Tableau Server voordat ze de weergave kunnen zien. Als u al over een manier beschikt om gebruikers op de webpagina of binnen uw webtoepassing te verifiëren, kunt u deze prompt vermijden en voorkomen dat uw gebruikers zich tweemaal moeten aanmelden door vertrouwde verificatie in te stellen.

Vertrouwde verificatie betekent simpelweg dat u een vertrouwde relatie hebt opgezet tussen Tableau Server en een of meer webservers. Wanneer Tableau Server verzoeken ontvangt van deze vertrouwde webservers, gaat het ervan uit dat uw webserver de noodzakelijke verificatie heeft afgehandeld.

Opmerking: Clientbrowsers moeten zo worden geconfigureerd dat cookies van derden zijn toegestaan als u vertrouwde verificatie met ingesloten weergaven wilt gebruiken.

Hoe vertrouwde verificatie werkt

Het onderstaande diagram beschrijft hoe vertrouwde verificatie werkt tussen de webbrowser van de client, uw webserver(s) en Tableau Server.

Gebruiker bezoekt de webpagina:Wanneer een gebruiker de webpagina met de ingesloten Tableau Server-weergave bezoekt, stuurt de webpagina een GET-verzoek naar uw webserver voor de HTML voor die pagina.

Webserver-POSTS naar Tableau Server: De webserver stuurt een POST-verzoek naar de vertrouwde Tableau Server (bijvoorbeeld https://<server_name>/trusted, niet https://<server_name>). Dat POST-verzoek moet een username-parameter hebben. De waarde username moet de gebruikersnaam zijn voor een gelicentieerde Tableau Server-gebruiker. Als Tableau Server meerdere sites host en de weergave zich op een andere site dan de standaardsite bevindt, moet het POST-verzoek ook een target_site-parameter bevatten.

Tableau Server maakt een ticket aan: Tableau Server controleert het IP-adres of de hostnaam van de webserver (192.168.1.XXX in het bovenstaande diagram) die het POST-verzoek heeft verzonden. Als de webserver wordt vermeld als vertrouwde host, maakt Tableau Server een ticket aan in de vorm van een unieke tekenreeks. Tickets moeten binnen drie minuten na uitgifte worden benut. Tableau Server reageert op het POST-verzoek met dat ticket. Of als er een fout optreedt en het ticket niet kan worden aangemaakt, reageert Tableau Server met een waarde van -1. De server moet een IPv4-adres hebben. IPv6-adressen worden niet ondersteund. Zie Ticketwaarde -1 geretourneerd door Tableau Server voor meer informatie.

Webserver geeft de URL door aan de browser: De webserver maakt de URL voor de weergave en voegt deze toe aan de HTML voor de pagina. Het ticket is inbegrepen (bijvoorbeeld https://<server_name>/trusted/<unique_ticket>/views/<view_name>). De webserver stuurt de HTML terug naar de webbrowser van de client.

Browser vraagt om weergave van Tableau Server: De clientwebbrowser stuurt een GET-verzoek naar Tableau Server met daarin de URL met het ticket.

Tableau Server benut het ticket: Tableau Server benut het ticket, maakt een sessie aan, logt de gebruiker in, verwijdert het ticket uit de URL en stuurt vervolgens de uiteindelijke URL voor de ingesloten weergave naar de client.

De sessie geeft de gebruiker toegang tot alle weergaven die hij/zij zou hebben als hij/zij op de server zou inloggen. In de standaardconfiguratie hebben gebruikers die zijn geverifieerd met vertrouwde tickets beperkte toegang, zodat alleen weergaven beschikbaar zijn. Ze hebben geen toegang tot werkmappen, projectpagina's of andere inhoud die op de server is gehost.

Zie de wgserver.unrestricted_ticket-optie bij tsm configuration set-opties om dit gedrag te veranderen.

Hoe wordt een vertrouwd ticket opgeslagen?

Tableau Server slaat vertrouwde tickets op in de Tableau Server-opslagplaats met behulp van het volgende proces:

  1. Tableau Server genereert een ticket met twee delen: het eerste deel is een Base64-gecodeerde unieke ID (UUID) en het tweede deel is een willekeurige geheime tekenreeks van 24 tekens.
  2. Tableau Server hasht de geheime tekenreeks en slaat deze op met de unieke ID in de opslagplaats. Hashing neemt de geheime tekenreeks als invoer en gebruikt een algoritme om een unieke tekenreeks te berekenen. Deze unieke tekenreeks beschermt de geheime tekenreeks tegen ongeautoriseerde gebruikers.
  3. Tableau Server stuurt de Base64-UUID en de oorspronkelijke willekeurige tekenreeks van 24 tekens naar de client.
  4. De client retourneert de Base64-UUID en de oorspronkelijke geheime tekenreeks van 24 tekens aan Tableau Server als onderdeel van het verzoek voor een weergave.
  5. Tableau Server zoekt het tekenreekspaar met de Base64-UUID en hasht vervolgens de geheime tekenreeks om te controleren of deze overeenkomt met de hash die is opgeslagen in de opslagplaats.

Dit proces zorgt ervoor dat vertrouwde ticketinhoud die is opgeslagen op Tableau Server, niet kan worden gebruikt om gebruikers te imiteren of toegang te krijgen tot inhoud die is beveiligd met verificatie. Omdat het volledig vertrouwde ticket echter via HTTP tussen Tableau Server en de client wordt verzonden, is het proces afhankelijk van een veilige en versleutelde overdracht van HTTP-data. Daarom raden wij u aan om alleen vertrouwde tickets via SSL/TLS of een andere laag netwerkversleuteling te implementeren.

Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.