tsm security

Use os comandos tsm security para configurar o suporte do Tableau Server a SSL externo (gateway) ou SSL de repositório (Postgres). A configuração do Repositório SSL inclui a opção para habilitar o SSL por meio de conexões diretas dos clientes do Tableau — incluindo o Tableau Desktop, Tableau Mobile e navegadores da Web — com o repositório.

Pré-requisitos

Antes de configurar o SSL, você precisa adquirir certificados e copiá-los para o computador que executa o processo de gateway do Tableau Server. É necessária uma preparação adicional para habilitar as conexões diretas dos clientes. Para obter mais informações, consulte os artigos a seguir:

Configurar o SSL para tráfego de HTTP externo e do Tableau Server

Como configurar o SSL para comunicação interna com o Postgres

 Para obter informações sobre o SSL mútuo (duas vias), consulte Configurar autenticação do SSL mútuo e comandos tsm authentication mutual-ssl.

tsm security custom-cert add

Adiciona um certificado CA personalizado ao Tableau Server. Esse certificado é usado opcionalmente para estabelecer confiança na comunicação TLS entre um servidor SMTP e o Tableau Server.

Se já existir um certificado personalizado, esse comando falhará. Você pode remover o certificado personalizado existente usando o comando tsm security custom-cert delete .

Nota: o certificado adicionado com esse comando pode ser usado por outros serviços do Tableau Server para conexões TLS.

Como parte do seu plano de recuperação de desastres, recomendamos manter um backup do arquivo de certificado em um local seguro fora do Tableau Server. O arquivo de certificado adicionado ao Tableau Server será armazenado e distribuído a outros nós pelo Serviço de arquivos do cliente. No entanto, o arquivo não é armazenado em um formato recuperável. Consulte Serviço de arquivo do cliente do Tableau Server.

Sinopse

tsm security custom-cert add --cert-file <file.crt> [global options]

Opções

-c, --cert-file <file.crt>

Obrigatório. Especifica o nome de um arquivo de certificado no formato PEM ou DER válido.

tsm security custom-cert delete

Remove o certificado personalizado existente do servidor. Isso permite adicionar um novo certificado personalizado.

Sinopse

tsm security custom-cert delete[global options]

tsm security custom-cert list

Listar detalhes do certificado personalizado.

Sinopse

tsm security custom-cert list[global options]

tsm security external-ssl disable

Remove os ajustes de configuração de SSL atuais do servidor e interrompe o tráfico de criptografia entre clientes externos e o servidor.

Sinopse

tsm security external-ssl disable [global options]

tsm security external-ssl enable

Habilita e especifica certificado e arquivos chave do SSL por comunicação HTTP externa.

Sinopse

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

Opções

--cert-file <arquivo .crt>

Obrigatório. Especificar o nome de um certificado PEM-encoded x509 válido com a extensão .crt.

--key-file <file.key>

Obrigatório. Especificar um arquivo-chave privado RSA ou DSA válido, com a extensão .key por convenção.

--chain-file <chainfile.crt>

Especificar o arquivo de cadeia de certificado (.crt)

Um arquivo de cadeia de certificado é necessário para o Tableau Desktop no Mac. Em alguns casos, um arquivo de cadeia de certificado pode ser necessário para o Tableau Mobile.

Alguns fornecedores de certificado emitem dois certificados para o Apache. O segundo certificado é um arquivo de cadeia, que é uma concatenação de todos aqueles que formam a cadeia de certificados para o certificado do servidor.

Todos os certificados no arquivo devem ser x509 codificados por PEM e o arquivo deve ter a extensão .crt (não .pem).

--passphrase

Opcional. Frase de segurança do arquivo de certificado. A frase de segurança inserida será criptografada em períodos de inatividade.

Observação: se você criar um arquivo de chave de certificado com uma frase de segurança, não será possível reutilizar a chave de certificado SSL para SAML.

--protocols <list protocols>

Opcional. Liste as versões do protocolo de Segurança de camada de transporte (TLS) que deseja permitir ou cancelar a permissão.

O TLS é uma versão aprimorada do SSL. O Tableau Server usa o TLS para autenticar e criptografar conexões. Os valores aceitos incluem versões de protocolo compatíveis com o Apache. Para desaprovar um protocolo, proceda a versão do protocolo com um caractere de subtração (-).

Ajuste padrão: "all, -SSLv2, -SSLv3"

Esse padrão não permite de maneira explícita que clientes usem os protocolos do SSL v2 ou do SSL v3 para se conectarem ao Tableau Server. Entretanto, recomendamos cancelar também as permissões do TLS v1 e do TLS v1.1.

Antes de negar uma versão específica do TLS, verifique se os navegadores que os usuários usam para conectarem-se ao Tableau Server suportam o TLS v1.2. Pode ser necessário preservar o suporte para TLSv1.1 até que os navegadores sejam atualizados.

Caso o suporte a TLS v1 ou v1.1 não seja necessário, use o comando a seguir para permitir o TLS v1.2 (usando o valor de all) e negar explicitamente o SSL v2, SSL v3, TLS v1 e o TLS v1.1.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Mostra uma lista de ajustes relacionados à configuração de SSL externo de gateway. Na lista, encontram-se nomes de arquivos de certificado em uso, mas não seus nomes.

Sinopse

tsm security external-ssl list [global options]

tsm security kms set-mode aws

Defina o modo do KMS para AWS.

Você precisará da cadeia de caracteres ARN completa do AWS KMS. Essa cadeia de caracteres está na seção "Configuração geral" das páginas de gerenciamento do AWS KMS. O ARN é apresentado neste formato: arn:aws:kms:<region>:<account>:key/<CMK_ID>, por exemplo, arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Para obter mais informações, consulte o Sistema de gerenciamento de chaves da AWS.

Sinopse

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

Opções

--key-arn

Obrigatório. A opção --key-arn usa uma cópia direta da cadeia de caracteres ARN na seção "Configuração geral" das páginas de gerenciamento do AWS KMS.

--aws-region

Obrigatório. Especifique uma região, conforme mostrado na coluna Região da tabela Amazon API Gateway(O link abre em nova janela).

Exemplo

Por exemplo, se a instância de AWS KMS estiver em execução na região us-west-2 o número da conta será 867530990073 e sua chave CMK será 1abc23de-fg45-6hij-7k89-1l0mn1234567, então o comando seria:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

Defina o modo KMS para o Azure Key Vault.

Observação: o modo KMS será exibido como "Azure Key Vault" quando executar o tsm security kms status, mas você define-o como "azure".

Você precisará do nome do Azure Key Vault e do nome da chave no Azure.

Para obter mais informações, consulte Azure Key Vault.

Sinopse

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

Opções

--key-name

Obrigatório. O nome da chave assimétrica armazenada no Azure Key Vault.

--vault-name

Obrigatório. O nome do Azure Key Vault.

Exemplo

Por exemplo, se o Azure Key Vault for chamado tabsrv-keyvault e a chave for tabsrv-sandbox-key01 então o comando será:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

Defina ou redefina o modo do KMS para local. Local é o modo do KMS padrão. Para obter mais informações, consulte o Sistema de gerenciamento de chaves do Tableau Server.

Sinopse

tsm security kms set-mode local [global options]

tsm security kms status

Exiba o status da configuração do KMS. O status retornado inclui:

  • Status: OK indica que o KMS será acessível pelo Tableau ou pelo nó do controlador, se for uma instalação de vários nós.
  • Modo: Local, AWS ou Azure Key Vault. Indica qual modo KMS está sendo usado.
  • Criptografe e descriptografe a chave de criptografia principal:

    O KMS armazena uma coleção de chaves mestra de extração (MEKs). Cada MEK tem:

    • Uma ID, por exemplo, 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • Um status “criptografar ou descriptografar chave” ou “somente descriptografar chave”. Se a chave for "criptografar ou descriptografar", o Tableau Server criptografará os novos dados com ela. Caso contrário, a chave será usada somente para descriptografia
    • Um carimbo de data/hora de criação, por exemplo, “Criado em: 2019-05-29T23:46:54Z”.
    • Primeira transição para criptografar e descriptografar: um carimbo de data/hora indicando quando a chave se tornou uma chave de criptografia ou descriptografia.
    • Transição somente para descriptografia: um carimbo de data/hora indicando quando ocorreu a transição da chave somente para descriptografia.

Outros valores devolvidos dependem do modo KMS.

Quando o modo KMS é AWS, o seguinte é devolvido:

  • O ARN (ID) da chave mestra do cliente (CMK).
  • A região em que a CMK está localizada.
  • A ID da chave mestra raiz (RMK) em uso. A RMK é uma chave criptografada pela CMK. O Tableau Server descriptografa a CMK fazendo chamadas para o AWS KMS. A RMK é usada para criptografar/descriptografar a chave mestra de extração (MEK). A RMK pode mudar, mas haverá somente uma de cada vez.

Quando o modo KMS é o Azure Key Vault, o seguinte é devolvido:

  • Nome do cofre: o nome do Azure Key Vault.
  • Nome da chave do Azure Key Vault: o nome da chave no cofre.

Sinopse

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Desative a conexão Rserve.

Para obter mais informações, consulte Usar scripts R (Rserve) no fluxo.

tsm security maestro-rserve-ssl enable

Configure uma conexão entre um servidor Rserve e o Tableau Server versão 2019.3 ou posterior.

Para obter mais informações, consulte Usar scripts R (Rserve) no fluxo.

Sinopse

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

Opções

--connection-type

Selecione maestro-rserve-secure para ativar uma conexão segura ou maestro-rserve para ativar uma conexão não segura. Se você selecionar maestro-rserve-secure, especifique o caminho do arquivo de certificado na linha de comando.

--rserve-host

Host

--rserve-port

Porta

--rserve-username

Username

--rserve-password

Senha

--rserve-connect-timeout-ms

O tempo limite de conexão em milissegundos. Por exemplo, --rserve-connect-timeout-ms 900000.

tsm security maestro-tabpy-ssl disable

Desative a conexão TabPy.

Para obter mais informações, consulte Usar scripts Python no fluxo.

tsm security maestro-tabpy-ssl enable

Configure uma conexão entre um servidor TabPy e o Tableau Server versão 2019.3 ou posterior.

Para obter mais informações, consulte Usar scripts Python no fluxo.

Sinopse

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

Opções

--connection-type

Selecione maestro-tabpy-secure para ativar uma conexão segura ou maestro-tabpy para ativar uma conexão não segura. Se você selecionar maestro-tabpy-secure, especifique o -cf<certificate file path> do arquivo de certificado na linha de comando.

--tabpy-host

Host

--tabpy-port

Porta

--tabpy-username

Username

--tabpy-password

Senha

--tabpy-connect-timeout-ms

O tempo limite de conexão em milissegundos. Por exemplo, --tabpy-connect-timeout-ms 900000.

tsm security regenerate-internal-tokens

Esse comando executa as seguintes operações:

  1. Interrompa o Tableau Server se ele estiver em execução.

  2. Gera novos certificados SSL internos para o repositório Postgres no servidor de pesquisa.

  3. Gera novas senhas para todas as senhas gerenciadas internamente.

  4. Atualiza todas as senhas do repositório Postgres.

  5. Gera uma nova chave de criptografia para o gerenciamento de chaves do ativo e criptografa os dados de chave do ativo com a nova chave.

  6. Gera uma nova chave de criptografia para os segredos de configuração (chave principal) e criptografa a configuração com ela.

  7. Reconfigura e atualiza o Tableau Server com todos esses segredos. Em uma implantação distribuída, esse comando também distribui a reconfiguração e atualiza todos os nós no cluster.

  8. Regenera uma nova chave principal, adiciona-a ao arquivo principal do repositório de chaves e cria novos tokens de segurança para uso interno.

  9. Inicia o Tableau Server.

Se você planeja adicionar um nó ao cluster depois de executar esse comando, será necessário gerar um novo arquivo de configuração do nó para atualizar os tokens, chaves e segredos gerados por esse comando. Consulte Instalar e configurar nós adicionais.

Para obter mais informações sobre as senhas internas, consulte Gerenciar segredos do servidor.

Sinopse

tsm security regenerate-internal-tokens [options] [global options]

Opções

--request-timeout <tempo limite em segundos>

Opcional.

Aguarde o tempo predefinido para que o comando seja concluído. O valor padrão é 1800 (30 minutos).

tsm security repository-ssl disable

Interrompe o tráfego de criptografia entre o repositório e outros componentes do servidor, além de interromper o suporte de conexões diretas dos clientes do Tableau.

Sinopse

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

Habilita o SSL e gera os arquivos .crt e .key do servidor usados para o tráfico criptografado entre o repositório Postgres e outros componentes do servidor. Ao habilitá-lo, você tem a opção de habilitar o SSL por conexões diretas dos clientes do Tableau com o servidor.

Sinopse

tsm security repository-ssl enable [options] [global options]

Opções

-i, --internal-only

Opcional. Ao definido como --internal-only, o Tableau Server usa o SSL entre o repositório e outros componentes do servidor. E é compatível com, mas não exige o SSL para conexões diretas por meio de usuários do tableau ou readonly.

Se essa opção não estiver definida, o Tableau Server exige o SSL para o tráfego entre o repositório e outros componentes do servidor, bem como para as conexões diretas dos clientes do Tableau (para conexões por meio de usuários do tableau ou readonly).

Ao especificar esta opção, também será necessário concluir as etapas descritas em Configurar Postgres SSL para permitir conexões diretas de clientes.

tsm security repository-ssl get-certificate-file

Obtenha o arquivo de certificado público usado na comunicação SSL com o repositório do Tableau. O SSL deve estar habilitado na comunicação com o repositório antes que seja possível recuperar um certificado. O arquivo de certificado é distribuído automaticamente aos clientes internos do repositório no cluster do Tableau Server. Para habilitar a conexão de clientes remotos por SSL com o repositório, é necessário copiar o arquivo de certificado público de cada cliente.

Sinopse

tsm security repository-ssl get-certificate-file [global-options]

Opções

-f, --file

Obrigatório.

Caminho e nome de arquivo completos (com extensão .cert) do local onde o arquivo de configuração deverá ser salvo. Se existir um arquivo duplicado, ele será substituído.

tsm security repository-ssl list

Retorna a configuração do SSL do repositório existente (Postgres).

Sinopse

tsm security repository-ssl list [global-options]

Opções globais

-h, --help

Opcional.

Exibir a ajuda do comando.

-p, --password <senha>

Obrigatório, com -u ou --username se não tiver sessões ativas.

Especificar a senha do usuário especificado no -u ou --username.

Se a senha tiver espaços ou caracteres especiais, coloque-a entre aspas:

--password 'my password'

-s, --server https://<hostname>:8850

Opcional.

Usar o endereço definido para o Gerenciador de serviços do Tableau. A URL deve começar com https, incluir a porta 8850 e usar o nome do servidor, não o endereço IP. Por exemplo, https://<tsm_hostname>:8850. Se nenhum servidor for especificado, o https://<localhost | dnsname>:8850 é considerado.

--trust-admin-controller-cert

Opcional.

Use este sinalizador para confiar no certificado autoassinado do controlador TSM. Para obter mais informações sobre confiança de certificado e conexões CLI, consulte Conexão de clientes do TSM.

-u, --username <usuário>

Obrigatório se nenhuma sessão estiver ativa, com -p ou --password.

Especificar uma conta de usuário. Se não incluir essa opção, o comando é executado usando as credenciais de logon.

Agradecemos seu feedback!