กำหนดค่าการตรวจสอบสิทธิ SSL ร่วม

เมื่อใช้ SSL ร่วม คุณสามารถให้ผู้ใช้ Tableau Desktop, Tableau Mobile และไคลเอ็นต์ Tableau ที่ได้รับอนุมัติอื่นๆ ได้รับประสบการณ์การเข้าถึง Tableau Server โดยตรงอย่างปลอดภัย เมื่อใช้ SSL ร่วม เมื่อไคลเอ็นต์ที่มีใบรับรอง SSL ที่ถูกต้องจะเชื่อมต่อกับ Tableau Server, Tableau Server จะยืนยันการมีอยู่ของใบรับรองไคลเอ็นต์และตรวจสอบสิทธิผู้ใช้ตามชื่อผู้ใช้ในใบรับรองไคลเอ็นต์ หากไคลเอ็นต์ไม่มีใบรับรอง SSL ที่ถูกต้อง Tableau Server สามารถปฏิเสธการเชื่อมต่อได้

คุณยังกำหนดค่า Tableau Server ให้กลับไปใช้การตรวจสอบสิทธิชื่อผู้ใช้/รหัสผ่านได้หาก SSL ร่วมล้มเหลว นอกจากนี้ ผู้ใช้ยังสามารถเข้าสู่ระบบโดยใช้ REST API ด้วยชื่อผู้ใช้และรหัสผ่าน (หากมี) ไม่ว่าจะกำหนดค่าการตรวจสอบสิทธิทางเลือกหรือไม่ก็ตาม

การจำกัดเวลาเซสชันการตรวจสอบสิทธิผู้ใช้

เมื่อผู้ใช้เข้าสู่ระบบด้วย SSL ร่วม ระบบจะควบคุมเซสชันการตรวจสอบสิทธิโดยวิธีการเดียวกันกับที่ควบคุมการกำหนดค่าเซสชันการตรวจสอบสิทธิทั่วโลกของ Tableau Server

สำหรับไคลเอ็นต์ที่เชื่อมต่อกับ Tableau Server โดยใช้เว็บเบราว์เซอร์ การกำหนดค่าของเซสชันการตรวจสอบสิทธิส่วนกลางมีการอธิบายไว้ในรายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัยดู 9. ยืนยันการกำหนดค่าอายุใช้งานของเซสชัน

เซสชันสำหรับไคลเอ็นต์ที่เชื่อมต่อ (Tableau Desktop, Tableau Mobile, Tableau Prep Builder และ Bridge) ใช้โทเค็น OAuth เพื่อให้ผู้ใช้เข้าสู่ระบบได้โดยสร้างเซสชันใหม่ ตามค่าเริ่มต้น โทเค็นไคลเอ็นต์ OAuth จะรีเซ็ตหลังผ่านไป 1 ปี หากไม่ได้ใช้โทเค็นไคลเอ็นต์มาเป็นเวลา 14 วัน โทเค็นจะหมดอายุ คุณสามารถเปลี่ยนค่าเหล่านี้ได้โดยการตั้งค่าตัวเลือก refresh_token.absolute_expiry_in_seconds และ refresh_token.idle_expiry_in_seconds ดูหัวข้อตัวเลือกการกำหนดค่า tsm ที่ตั้งค่าไว้

การใช้ใบรับรอง

ก่อนที่คุณจะเปิดใช้งานและกำหนดค่า SSL ร่วม คุณต้องกำหนดค่า SSL ภายนอกก่อน SSL ภายนอกจะตรวจสอบ Tableau Server ไปยังไคลเอนต์และเข้ารหัสเซสชันโดยใช้ใบรับรองและคีย์ที่จำเป็นเมื่อคุณกำหนดค่า SSL ภายนอก

สำหรับ SSL ร่วม จำเป็นต้องมีไฟล์ใบรับรองเพิ่มเติม ไฟล์เป็นการเชื่อมโยงค่าระหว่างไฟล์ใบรับรอง CA ประเภทไฟล์ต้องเป็น .crt "CA" คือ ผู้ออกใบรับรองที่ออกใบรับรองไปยังคอมพิวเตอร์ไคลเอ็นต์ที่จะเชื่อมต่อกับ Tableau Server การดำเนินการอัปโหลดไฟล์ใบรับรอง CA จะสร้างความเชื่อถือ ซึ่งจะทำให้ Tableau Server สามารถตรวจสอบสิทธิใบรับรองแต่ละใบที่คอมพิวเตอร์ไคลเอ็นต์แสดง

ในการปฏิบัติตามแผนการกู้คืนจากความเสียหาย เราแนะนำให้สำรองข้อมูลไฟล์ใบรับรองและการเพิกถอน (หากมี) ไว้ในตำแหน่งที่ปลอดภัยนอก Tableau Server ไฟล์ใบรับรองและการเพิกถอนที่คุณเพิ่มไปยัง Tableau Server จะถูกจัดเก็บและกระจายไปยังโหนดอื่นโดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server

คีย์ RSA และขนาดเส้นโค้ง ECDSA

ใบรับรอง CA ที่ใช้สำหรับ SSL ร่วมต้องมีความแข็งแกร่งของคีย์ RSA 2048 หรือขนาดเส้นโค้ง ECDSA 256

คุณสามารถกำหนดค่า Tableau Server ให้ยอมรับขนาดที่ปลอดภัยน้อยกว่าได้โดยการตั้งค่าคีย์การกำหนดค่าที่เกี่ยวข้อง:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

ดูหัวข้อตัวเลือกการกำหนดค่า tsm ที่ตั้งค่าไว้

ข้อกำหนดของใบรับรองไคลเอ็นต์

ผู้ใช้ที่ตรวจสอบสิทธิกับ Tableau Server ที่มี SSL ร่วมต้องแสดงใบรับรองไคลเอ็นต์ที่ตรงตามข้อกำหนดด้านความปลอดภัยขั้นต่ำ

อัลกอริทึมการลงนาม

ใบรับรองไคลเอ็นต์ต้องใช้อัลกอริธึมการลงนาม SHA-256 ขึ้นไป

Tableau Server ที่กำหนดค่าสำหรับการตรวจสอบสิทธิ SSL ร่วมจะบล็อกการตรวจสอบสิทธิของผู้ใช้ด้วยใบรับรองไคลเอ็นต์ที่ใช้อัลกอริทึมการลงนาม SHA-1

ผู้ใช้ที่พยายามเข้าสู่ระบบด้วยใบรับรองไคลเอ็นต์ SHA-1 ประสบกับข้อผิดพลาด "ไม่สามารถเข้าสู่ระบบได้" และข้อผิดพลาดต่อไปนี้จะปรากฎในบันทึกของ VizPortal:

Unsupported client certificate signature detected: [certificate Signature Algorithm name]

คุณสามารถกำหนดค่า Tableau Server ให้ยอมรับอัลกอริทึมการลงนาม SHA-1 ที่มีความปลอดภัยน้อยกว่าได้โดยการตั้งค่าตัวเลือกการกำหนดค่า ssl.client_certificate_login.blocklisted_signature_algorithms tsm

คีย์ RSA และขนาดเส้นโค้ง ECDSA

ใบรับรองไคลเอ็นต์ที่ใช้สำหรับ SSL ร่วมต้องมีความแข็งแกร่งของคีย์ RSA 2048 หรือขนาดเส้นโค้ง ECDSA 256

Tableau Server จะระบุว่าคำขอการตรวจสอบสิทธิร่วมกันล้มเหลว จากใบรับรองไคลเอ็นต์ที่ไม่เป็นไปตามข้อกกำหนดเหล่านี้ คุณสามารถกำหนดค่า Tableau Server ให้ยอมรับขนาดที่ปลอดภัยน้อยกว่าได้โดยการตั้งค่าคีย์การกำหนดค่าที่เกี่ยวข้อง:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

ดูหัวข้อตัวเลือกการกำหนดค่า tsm ที่ตั้งค่าไว้

  1. กำหนดค่า SSL สำหรับทราฟฟิก HTTP ภายนอกไปยังและจาก Tableau Server

  2. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850 หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  3. ในแท็บการกำหนดค่า ให้เลือกข้อมูลเข้าสู่ระบบของผู้ใช้และการเข้าถึง > วิธีการตรวจสอบสิทธิ

  4. ใต้วิธีการตรวจสอบสิทธิ ให้เลือก SSL ร่วมในเมนูดรอปดาวน์

  5. ใต้ SSL ร่วม ให้เลือกใช้ SSL ร่วมและการเข้าสู่ระบบอัตโนมัติด้วยใบรับรองไคลเอ็นต์

  6. คลิกเลือกไฟล์และอัปโหลดไฟล์ใบรับรองของผู้ออกใบรับรอง (CA) ไปยังเซิร์ฟเวอร์

    ไฟล์ (.crt) เป็นไฟล์แบบครบวงจรที่รวมใบรับรอง CA ที่ใช้สำหรับการตรวจสอบสิทธิไคลเอ็นต์ ไฟล์ที่คุณอัปโหลดจะต้องเป็นการเชื่อมโยงค่าของไฟล์รับรองที่เข้ารหัสแบบ PEM ไว้หลายไฟล์ ตามลำดับของการกำหนดค่า

  7. ป้อนข้อมูลการกำหนดค่า SSL ที่เหลืออยู่สำหรับองค์กรของคุณ

    รูปแบบชื่อผู้ใช้: เมื่อกำหนดค่า Tableau Server สำหรับ SSL ร่วม เซิร์ฟเวอร์จะได้รับชื่อผู้ใช้จากใบรับรองไคลเอ็นต์ ดังนั้นจึงสามารถสร้างการเข้าสู่ระบบโดยตรงสำหรับผู้ใช้ระดับไคลเอ็นต์ได้ ชื่อที่ Tableau Server ใช้จะขึ้นอยู่กับวิธีการกำหนดค่า Tableau Server สำหรับการตรวจสอบสิทธิผู้ใช้:

    • การตรวจสอบสิทธิในเครื่อง - Tableau Server ใช้ UPN (ชื่อผู้ใช้หลัก) จากใบรับรอง
    • Active Directory (AD) - Tableau Server ใช้ LDAP (Lightweight Directory Access Protocol) เพื่อรับชื่อผู้ใช้

    หรือจะตั้งค่าให้ Tableau Server ใช้ CN (Common Name) จากใบรับรองไคลเอ็นต์ก็ได้

    กำหนดค่าภาพหน้าจอ SSL ร่วม

  8. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว

  9. คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

  10. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

ขั้นตอนที่ 1: ต้องใช้ SSL สำหรับการสื่อสารภายนอกเซิร์ฟเวอร์

ในการกำหนดค่า Tableau Server เพื่อใช้ SSL สำหรับการสื่อสารภายนอกระหว่าง Tableau Server และเว็บไคลเอ็นต์ ให้เรียกใช้คำสั่ง external-ssl enable ดังต่อไปนี้ โดยระบุชื่อสำหรับไฟล์ .crt และ .key ของใบรับรองเซิร์ฟเวอร์:

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • สำหรับ --cert-file และ --key-file ให้ระบุตำแหน่งและชื่อไฟล์ที่คุณบันทึกใบรับรอง SSL (.crt) และไฟล์คีย์ (.key) ที่ออกโดย CA ของเซิร์ฟเวอร์

  • คำสั่งดังกล่าวถือว่าคุณเข้าสู่ระบบเป็นผู้ใช้ที่มีบทบาทในไซต์เป็นผู้ดูแลเซิร์ฟเวอร์ใน Tableau Server คุณสามารถใช้พารามิเตอร์ -u และ -p เพื่อระบุผู้ใช้ผู้ดูแลระบบและรหัสผ่านแทนได้

  • หากไฟล์คีย์ใบรับรองต้องการข้อความรหัสผ่าน ให้รวมพารามิเตอร์ --passphrase และค่า

ขั้นตอนที่ 2: กำหนดค่าและเปิดใช้งาน SSL ร่วม

เพิ่มการตรวจสอบความถูกต้องร่วมกันระหว่างเซิร์ฟเวอร์และแต่ละไคลเอ็นต์ และอนุญาตให้ผู้ใช้ไคลเอ็นต์ Tableau ได้รับการตรวจสอบสิทธิโดยตรงหลังจากครั้งแรกที่ผู้ใช้ให้ข้อมูลเข้าสู่ระบบ

  1. เรียกใช้คำสั่งต่อไปนี้:

    tsm authentication mutual-ssl configure --ca-cert <certificate-file.crt>

    สำหรับ --ca-cert ให้ระบุตำแหน่งและชื่อไฟล์ของไฟล์ใบรับรองของผู้ออกใบรับรอง (CA)

    ไฟล์ (.crt) เป็นไฟล์แบบครบวงจรที่รวมใบรับรอง CA ที่ใช้สำหรับการตรวจสอบสิทธิไคลเอ็นต์ ไฟล์ที่คุณอัปโหลดจะต้องเป็นการเชื่อมโยงค่าของไฟล์รับรองที่เข้ารหัสแบบ PEM ไว้หลายไฟล์ ตามลำดับของการกำหนดค่า

  2. เรียกใช้คำสั่งต่อไปนี้เพื่อเปิดใช้งาน mutal SSL และปรับใช้การเปลี่ยนแปลง:

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ตัวเลือกเพิ่มเติมสำหรับ SSL ร่วม

คุณสามารถใช้ mutual-ssl configure เพื่อกำหนดค่า Tableau Server เพื่อรองรับตัวเลือกต่อไปนี้

หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm authentication mutual-ssl <commands>

การตรวจสอบสิทธิย้อนกลับ

เมื่อกำหนดค่า Tableau Server สำหรับ SSL ร่วม การตรวจสอบสิทธิจะดำเนินการโดยอัตโนมัติและไคลเอ็นต์ต้องมีใบรับรองที่ถูกต้อง คุณสามารถกำหนดค่า Tableau Server เพื่ออนุญาตตัวเลือกย้อนกลับเพื่อยอมรับการตรวจสอบชื่อผู้ใช้และรหัสผ่าน

tsm authentication mutual-ssl configure -fb true

Tableau Serer ยอมรับการตรวจสอบสิทธิชื่อผู้ใช้และรหัสผ่านจากไคลเอนต์ REST API แม้ว่าตัวเลือกด้านบนจะตั้งค่าไว้เป็น false

การแมปชื่อผู้ใช้

เมื่อกำหนดค่า Tableau Server สำหรับ SSL ร่วม เซิร์ฟเวอร์จะตรวจสอบสิทธิผู้ใช้โดยตรงโดยรับชื่อผู้ใช้จากใบรับรองไคลเอ็นต์ ชื่อที่ Tableau Server ใช้จะขึ้นอยู่กับการกำหนดค่าเซิร์ฟเวอร์สำหรับการตรวจสอบสิทธิผู้ใช้:

  • การตรวจสอบสิทธิในเครื่อง - ใช้ UPN (ชื่อผู้ใช้หลัก) จากใบรับรอง

  • Active Directory (AD) - ใช้ LDAP (Lightweight Directory Access Protocol) เพื่อรับชื่อผู้ใช้

คุณสามารถลบล้างค่าเริ่มต้นเหล่านี้เพื่อตั้งค่า Tableau Server ให้ใช้ชื่อทั่วไปได้

tsm authentication mutual-ssl configure -m cn

หากต้องการข้อมูลเพิ่มเติม โปรดดู การแมปใบรับรองไคลเอ็นต์ไปยังผู้ใช้ในระหว่างการรับรองสิทธิ์ร่วม

รายการเพิกถอนใบรับรอง (CRL)

คุณอาจต้องระบุ CRL หากคุณสงสัยว่าคีย์ส่วนตัวถูกบุกรุก หรือหากผู้ออกใบรับรอง (CA) ไม่ได้ออกใบรับรองอย่างถูกต้อง

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ