Entidade mutualSSLSettings
Antes de configurar SSL mútuo, consulte Configurar o SSL para tráfego de HTTP externo e do Tableau Server.
A entidade mutualSSLSettings
combina as configurações de SSL e de SSL mútuo. Para SSL mútuo, é necessário que o SSL externo tenha sido habilitado e configurado corretamente.
As entidades TSM usam JSON e pares de chave-valor. Use o modelo de arquivo de configuração abaixo para criar um arquivo .json. Forneça valores das chaves adequadas pra seu ambiente, em seguida transmita o arquivo .json para o Tableau Server com os comandos a seguir:
tsm settings import -f <path-to-file.json>
tsm pending-changes apply
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Modelo de configuração
Use este modelo para configurar o SSL mútuo.
Importante: todas as opções de entidade diferenciam maiúsculas de minúsculas.
Para obter mais explicações sobre arquivos de configuração, entidades e chaves, consulte Exemplo de arquivo de configuração.
{ "configEntities": { "mutualSSLSettings": { "_type": "mutualSSLSettingsType", "sslEnabled": true, "proxyLogin": false, "clientCertRequired": true, "caCertFile": "required", "keyFileName": "required", "keyPassphrase": "", "chainFile": "", "revocationFile": "", "redirect": false, "fallbackToPassword": true, "protocols": "", "cipherSuite": "", "forceHttpsForPublicEmbed": false } } }
Referência do arquivo de configuração
- sslEnabled
Habilitar SSL. Este é um pré-requisito da habilitação do SSL mútuo.
clientCertRequired (MutualSSL)
Definido como true para habilitar a autenticação por SSL mútuo. Definido como false para desabilitar.
- caCertFile (MutualSSL)
Obrigatório.
Especificar o arquivo de certificado emitido pela Autoridade de certificação para SSL bidirecional. O caminho do arquivo deve ser legível pelo Tableau Server.
certFileName
Especificar o arquivo que contém a concatenação de certificados PEM codificados pela CA que formam a cadeia de certificados para o certificado do servidor.
Como alternativa, o arquivo de referência pode ser o mesmo que caCertFile quando os certificados da CA são anexados diretamente ao certificado do servidor para conveniência.
keyFileName
Se a chave não estiver combinada com o certificado, use essa chave de configuração para apontar para o arquivo de chave. Caso você tenha tanto uma chave privada RSA quanto uma DSA, é possível fazer a configuração de maneira paralela (por exemplo, para permitir o uso de cifras DSA).
keyPassphrase
Opcional. Frase de segurança do arquivo de certificado. A frase de segurança inserida será criptografada em períodos de inatividade.
Observação: se você criar um arquivo de chave de certificado com uma frase de segurança, não será possível reutilizar a chave de certificado SSL para SAML.
revocationFile
Especifica o caminho do arquivo para um arquivo de Certificate Revocation List (.crl) da CA do SSL.
Redirect
Padrão: true. Especifica se o Tableau Server deve redirecionar solicitações http como https para o endpoint correspondente.
clientCertMapping (MutualSSL)
Especifica o método para recuperar o nome de usuário do certificado.
Valores aceitos:
ldap
,upn
,cn
Para um servidor usando autenticação local, a definição padrão é
upn
(Nome principal de usuário).Quando a autenticação do Tableau Server está configurada para o Active Directory (AD) o padrão é
ldap
(Protocolo de acesso aos diretórios leves). Isso comanda o servidor a acessar o AD para validar o usuário, e ignora os nomes no certificado.
É possível definir
cn
para que qualquer um dos dois tipos de autenticação usem CN no Nome de exibição do assunto no certificação.Para obter mais informações, consulte Mapeamento de um certificado de cliente para um usuário durante a autenticação mútua.
fallbackToPassword (MutualSSL)
Defina como true para fornecer a usuários a opção de fazer logon no Tableau Server usando nome de usuário e senha em caso de falha da autenticação por SSL mútuo. Defina como false para remover essa opção de fallback.
protocols
Liste as versões do protocolo de Segurança de camada de transporte (TLS) que deseja permitir ou cancelar a permissão.
Valor padrão:
"all -SSLv2 -SSLv3"
Entretanto, recomendamos que você use a seguinte configuração:
"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
Para obter mais informações, consulte tsm security external-ssl enable. Para obter mais informações, consulte a documentação online da Apache.
cipherSuite
Liste criptografias que serão autorizadas ou recusadas para SSL.
Valor padrão:
"HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"
Consulte a página do Criptografias de OpenSSL(O link abre em nova janela) para obter o formato de lista de codificação. Tenha cuidado ao alterar esta opção. Os valores padrão não permite criptografias que não são mais consideradas suficientemente seguras.
proxyLogin
Padrão: false. Indica que o Tableau Server usa um proxy para o SSL somente no momento de logon. Controla o protocolo que o servidor reporta para o Tableau Desktop referente a APIs de logon.
forceHTTPForPublicEmbed
Valor padrão: false. Força o uso de SSL pelo código de exibições inseridas.