tsm security

使用 tsm security 命令設定 Tableau Server 對外部(閘道)SSL 或存放庫 (Postgres) SSL 的支援。存放庫 SSL 組態包括透過從 Tableau 用戶端(包括 Tableau Desktop、Tableau Mobile 和 Web 瀏覽器)到存放庫的直接連線來啟用 SSL 的選項。

必要條件

在設定 SSL 之前,您必須獲取憑證,然後將其複製到執行 Tableau Server 閘道處理序的電腦。需要進行額外的準備才能啟用用戶端直接連線。若要瞭解詳情,請參閱以下文章:

針對與來往 Tableau Server 的外部 HTTP 流量設定 SSL

針對內部 Postgres 通訊設定 SSL

 有關相互(雙向)SSL 的資訊,請參閱設定相互 SSL 驗證tsm authentication mutual-ssl 命令

tsm security authorize-credential-migration

授權 Tableau 使用者使用 Content Migration Tool 將內嵌認證從 Tableau Server 安裝移轉到 Tableau Cloud 站台。Tableau ServerTableau Cloud 都必須具有 Advanced Management 才能移轉內容。有關詳情,請參閱移轉具有內嵌認證的工作簿和資料來源

可以使用 tsm security cancel-credential-migrations 命令取消授權。

概要

tsm security authorize-credential-migration --source-site-url-namespace <Tableau Server site ID> --destination-site-url-namespace <Tableau Cloud site ID> --destination-server-url <Tableau Cloud site url> --authorized-migration-runner <username> --destination-public-encryption-key <public key>

選項

--source-site-url-namespace

必要。Tableau Server 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。

例如,名為 West Coast Sales 的站台的 ID 可能為 west-coast-sales。

--destination-site-url-namespace

必要。Tableau Cloud 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。

--destination-server-url

必要。部署 Tableau Cloud 站台的 pod 的 URL。指定的 URL 必須結尾含有斜線 (/)。

登入 Tableau Cloud 後,會在站台 URL 的第一部分顯示 pod。例如, https://10az.online.tableau.com/ 是美國-西部 (10AZ) pod。有關 pod 的詳情,請參閱 Salesforce Trust(連結在新視窗開啟) 頁面。

--authorized-migration-runner

必要。授權移轉內嵌認證的 Tableau Server 使用者的使用者名稱。

--destination-public-encryption-key

必要。指定 Tableau Cloud 站台上產生的公開金鑰。

--expiration-time-in-days

可選。授權到期前的天數。預設值為 7 天。

版本:已在版本 2023.1 中淘汰。從 2023.1.0 開始,此選項不再有效,若使用將產生錯誤。過期值被硬式編碼為 7 天。

範例

以下範例授權使用者「admin」將具有內嵌認證的工作簿和已發佈資料來源從 Tableau Server 站台「ExampleA」移轉到 Tableau Cloud 站台「ExampleB」。授權將在 9 天后到期。

tsm security authorize-credential-migration --source-site-url-namespace ExampleA --destination-site-url-namespace ExampleB --destinationServerUrl https://10ay.online.tableau.com/ --authorized-migration-runner admin --destination-public-encryption-key <public key> --expiration-time-in-days 9

tsm security cancel-credential-migrations

使用 Content Migration Tool 取消授予的移轉內嵌認證的授權。有關詳情,請參閱移轉具有內嵌認證的工作簿和資料來源。

概要

tsm security cancel-credential-migrations --source-site-url-namespace <Tableau Server site ID>

選項

--source-site-url-namespace

必要。Tableau Server 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。

例如,名為 West Coast Sales 的站台的 ID 可能為 west-coast-sales。

tsm security custom-cert add

將自訂 CA 憑證新增至 Tableau Server。您可以選擇使用此憑證,為 SMTP 伺服器與 Tableau Server 之間的 TLS 通訊建立信任。

如果已有自訂憑證存在,此命令將會失敗。您可以使用 tsm security custom-cert delete 命令移除現有的自訂憑證。

附註:您使用此命令新增的憑證可能由其他 Tableau Server 服務用於 TLS 連線。

作為災難復原計劃的一部分,我們建議將憑證檔案的備份儲存在 Tableau Server 之外的安全位置。新增至 Tableau Server 的憑證檔案將由用戶端檔案服務儲存並散發至其他節點。但是,該檔案不會以可復原的格式儲存。請參閱Tableau Server Client File Service

概要

tsm security custom-cert add --cert-file <file.crt> [global options]

選項

-c, --cert-file <file.crt>

必要。以有效的 PEM 或 DER 格式指定憑證檔案的名稱。

tsm security custom-cert delete

移除伺服器現有的自訂憑證。這麼做可讓您新增自訂憑證。

概要

tsm security custom-cert delete[global options]

tsm security custom-cert list

列出自訂憑證的詳細資訊。

概要

tsm security custom-cert list[global options]

tsm security custom-indexandsearch-ssl add

為 Tableau Server 2023.1 及更高版本的索引和搜尋伺服器新增自訂憑證。SSL 實作基於 Opensearch.org TLS 實作。有關詳情,請參閱設定 TLS 憑證(連結在新視窗開啟)

--admin <file.crt>
必要。
管理員憑證檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。
--admin-key <file.key>
必要。
指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。
-- ca <file.crt>
必要。
受信任的 CA 檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。
--node <file.crt>
必要。
節點憑證檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。此命令會將此憑證分發到叢集中的每個節點。使用萬用字元憑證允許在單個憑證中包含完整的節點辨別名稱 (DN) 陣列。
-- node-key <file.key>
必要。
指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。

概要

tsm security custom-indexandsearch-ssl add --node <file.crt> --admin <file.crt> --node-key <file.key> --admin-key <file.key> --ca <file.crt> [parameters] [global options]

tsm security custom-indexandsearch-ssl list

索引和搜尋伺服器 SSL 自訂憑證設定的清單詳情。

概要

tsm security custom-indexandsearch-ssl list[global options]

tsm security custom-tsm-ssl disable

為 TSM 控制器連線停用自訂 SSL 憑證。回復為自動管理的自簽章憑證。

概要

tsm security custom-tsm-ssl disable [global options]

tsm security custom-tsm-ssl enable

為 Tableau Server 2023.1 及更高版本的 TSM 控制器連線啟用自訂 SSL 憑證。如果已啟用 SSL 並且需要更新過期的憑證,請使用此命令。

-cf,--cert-file <file.crt>
必要。
指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。憑證上的主體名稱必須與執行管理控制器的 Tableau 電腦的主機名稱或 IP 位址相符。預設情況下,管理控制器在 Tableau Server 部署的初始節點上執行。
-kf,--key-file <file.key>
必要。
指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。此金鑰無法受密碼保護。
--chain-file <file.crt>
可選。

指定憑證鏈結檔案 (.crt) 的路徑

鏈結檔案是構成伺服器憑證憑證鏈結的所有憑證的串連。

檔案中的所有憑證必須為 x509 PEM 編碼,檔案副檔名必須為 .crt(而不是 .pem)。

--skip-validation
選用
傳遞此選項以跳過憑證授權單位根驗證。

概要

tsm security custom-tsm-ssl enable --key-file <file.key> --cert-file <file.crt> [global options]

tsm security custom-tsm-ssl list

TSM 自訂憑證設定的清單詳情。

概要

tsm security custom-tsm-ssl list[global options]

tsm security external-ssl disable

刪除伺服器現有的 SSL 組態設定,並停止加密外部用戶端與伺服器之間的流量。

概要

tsm security external-ssl disable [global options]

tsm security external-ssl enable

透過外部 HTTP 通訊為 SSL 啟用和指定憑證和金鑰檔案。

概要

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

選項

--cert-file <file.crt>

必要。指定有效的 PEM 編碼 x509 憑證的名稱,其副檔名為 .crt。

--key-file <file.key>

必要。指定有效的 RSA 或 DSA 私密金鑰檔案(按照約定具有 .key 副檔名)。

--chain-file <chainfile.crt>

指定憑證連結檔案 (.crt)

Mac 上的 Tableau Desktop 需要憑證連結檔案。在某些情況下,Tableau Mobile 可能需要憑證連結檔案。

某些憑證提供者會針對 Apache 頒發兩個憑證。第二個憑證是連結檔案,連線構成伺服器憑證的憑證連結的所有憑證。

檔案中的所有憑證必須為 x509 PEM 編碼,檔案副檔名必須為 .crt(而不是 .pem)。

--passphrase

選用。憑證檔案的密碼。您輸入的密碼將在空閒時加密。

附註:如果建立包含密碼的憑證金鑰檔案,則無法為 SAML 重用 SSL 憑證金鑰。

--protocols <列出通訊協定>

選用。列出想要允許或拒絕的傳輸層安全性 (TLS) 通訊協定版本。

TLS 是 SSL 的改進版本。Tableau Server 使用 TLS 來進行驗證和加密連線。接受的值包括 Apache 支援的通訊協定版本。要拒絕通訊協定,請在通訊協定版本前面新增減號 (-) 字元。

預設設定:"all, -SSLv2, -SSLv3"

此預設值顯式不允許用戶端使用 SSL v2 或 SSL v3 通訊協定連線到 Tableau Server。但是,我們建議您也拒絕 TLS v1 和 TLS v1.1。

在您拒絕特定版本的 TLS 之前,請確認您的使用者連線到 Tableau Server 所使用的瀏覽器是否支援 TLS v1.2。在瀏覽器更新之前,您可能需要保留對 TLSv1.1 的支援。

如果您不需要支援 TLS v1 或 v1.1,請使用以下命令允許 TLS v1.2(使用值 all),並顯式拒絕 SSL v2、SSL v3、TLS v1 和 TLS v1.1。

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

顯示與閘道外部 SSL 組態相關的設定清單。該清單包括正在使用的憑證檔案的名稱,但不包括其位置。

概要

tsm security external-ssl list [global options]

tsm security kms set-mode aws

將 KMS 模式設為 AWS。

您需要從 AWS KMS 取得完整的 ARN 字串。此字串在 AWS KMS 管理頁面的「一般設定」區段中。ARN 會以下列格式顯示:arn:aws:kms:<region>:<account>:key/<CMK_ID>,例如 arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567

有關詳情,請參閱 AWS 金鑰管理系統

概要

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

選項

--key-arn

必要。--key-arn 選項從 AWS KMS 管理頁面的「一般設定」區段中,直接複製 ARN 的字串。

--aws-region

必要。請按照 Amazon API 閘道表(連結在新視窗開啟)之「區域」欄中所示指定一個區域。

範例

例如,若 AWS KMS 執行個體在 us-west-2 區域中執行,帳號為 867530990073,而 CMK 金鑰為 1abc23de-fg45-6hij-7k89-1l0mn1234567,則命令將為:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

將 KMS 模式設定為 Azure Key Vault。

附註:執行 tsm security kms status 時,KMS 模式將顯示為「Azure Key Vault」,但將其設定為「azure」。

將需要 Azure Key Vault 的名稱和 Azure 中金鑰的名稱。

有關詳情,請參閱 Azure Key Vault

概要

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

選項

--key-name

必要。儲存在 Azure Key Vault 中非對稱金鑰的名稱。

--vault-name

必要。Azure Key Vault 名稱。

範例

例如,若 Azure Key Vault 名稱為tabsrv-keyvault,而金鑰為 tabsrv-sandbox-key01,則命令將為:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

將 KMS 模式設定或重設為本機。本機是預設的 KMS 模式。有關詳情,請參閱Tableau Server 金鑰管理系統

概要

tsm security kms set-mode local [global options]

tsm security kms status

檢視 KMS 組態的狀態。傳回的狀態包括:

  • 狀態:OK(確定)表示 Tableau 或控制項目節點(若是多節點安裝)可以存取 KMS。
  • 模式:本機、AWS 或 Azure Key Vault。表明正在使用哪種 KMS 模式。
  • 加密和解密主加密金鑰:

    KMS 儲存一組主擷取金鑰 (MEK)。每個 MEK 有:

    • ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • 「加密或解密金鑰」或「僅解密金鑰」狀態。如果金鑰是「加密或解密」,則 Tableau Server 會使用它加密新的資料。否則,只會使用金鑰進行解密
    • 建立時間戳記,例如「建立於:2019-05-29T23:46:54Z」。
    • 第一次轉換至加密及解密:指示金鑰成為加密或解密金鑰的時間戳記。
    • 轉換至僅加密:指示金鑰轉換為僅加密金鑰的時間戳記。

傳回的其他值取決於 KMS 模式。

KMS 模式為 AWS 時,傳回以下內容:

  • 客戶主金鑰 (CMK) 的 ARN (ID)。
  • CMK 所在區域。
  • 正在使用的根主金鑰 (RMK) 的 ID。RMK 是由 CMK 加密的金鑰。Tableau Server 藉由呼叫 AWS KMS 來解密 CMK。然後使用 RMK 來加密/解密主要擷取金鑰 (MEK)。RMK 可以變更,但一次只能有一個。

KMS 模式為 Azure Key Vault 時,傳回以下內容:

  • 保存庫名稱:Azure Key Vault 名稱。
  • Azure Key Vault 金鑰名稱:保存庫中金鑰的名稱。

概要

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

停用 Rserve 連線。

有關詳情,請參閱在您的流程中使用 R (Rserve) 指令碼

tsm security maestro-rserve-ssl enable

設定 Rserve 伺服器和 Tableau Server 版本 2019.3 或更新版本之間的連線。

有關詳情,請參閱在您的流程中使用 R (Rserve) 指令碼

概要

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

選項

--connection-type

選取 maestro-rserve-secure 以啟用安全連線或選取 maestro-rserve 以啟用不安全的連線。如果選取 maestro-rserve-secure,請在命令列中指定憑證檔案路徑。

--rserve-host

主機

--rserve-port

連接埠

--rserve-username

使用者名稱

--rserve-password

密碼

--rserve-connect-timeout-ms

連線逾時(以毫秒為單位)。例如 --rserve-connect-timeout-ms 900000

tsm security maestro-tabpy-ssl disable

停用 TabPy 連線。

有關詳情,請參閱在您的流程中使用 Python 指令碼

tsm security maestro-tabpy-ssl enable

設定 TabPy 伺服器和 Tableau Server 版本 2019.3 或更新版本之間的連線。

有關詳情,請參閱在您的流程中使用 Python 指令碼

概要

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

選項

--connection-type

選取 maestro-tabpy-secure 以啟用安全連線或選取 maestro-tabpy 以啟用不安全的連線。如果選取 maestro-tabpy-secure,請在命令列中指定憑證檔案 -cf<certificate file path>。

--tabpy-host

主機

--tabpy-port

連接埠

--tabpy-username

使用者名稱

--tabpy-password

密碼

--tabpy-connect-timeout-ms

連線逾時(以毫秒為單位)。例如 --tabpy-connect-timeout-ms 900000

tsm security regenerate-internal-tokens

此命令執行下列操作:

  1. 若 Tableau Server 正在執行,會將其停止。

  2. 為搜尋伺服器的 Postgres 存放庫產生新的內部 SSL 憑證。

  3. 為所有內部管理的密碼產生新密碼。

  4. 更新所有 Postgres 存放庫密碼。

  5. 為資產金鑰管理的產生新的加密金鑰,並利用新的金鑰加密資產金鑰資料。

  6. 為設定密碼(主金鑰)產生新的加密金鑰,並用其進行加密。

  7. 使用所有這些密碼重新設定和更新 Tableau Server。在分散式部署中,此命令也散佈叢集中所有節點的重新設定及更新。

  8. 重新產生新的主金鑰,將其新增至主 Keystore 檔案,然後建立新的內部使用安全性權杖。

  9. 啟動 Tableau Server。

如果您計劃在執行此命令之後新增節點至叢集,則需要產生新的節點設定檔來更新由此命令產生的權杖、金鑰及密碼。請參閱安裝和設定附加節點

有關內部密碼的詳情,請參閱管理伺服器密碼

概要

tsm security regenerate-internal-tokens [options] [global options]

選項

--ignore-prompt

可選。

在沒有提示的情況下執行重新啟動(必要時)。此選項僅已知提示。重新啟動行為不會變更。

--request-timeout <timeout in seconds>

選用。

等待指定的時間以完成命令。預設值為 1800(30 分鐘)。

tsm security repository-ssl disable

停止加密存放庫與其他伺服器元件之間的流量,並停止支援 Tableau 用戶端的直接連線。

概要

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

存放庫在本機時,啟用 SSL 並產生伺服器的 .crt 和 .key 檔案,用於加密 Postgres 存放庫和其他伺服器元件之間的流量。

從版本 2021.4 開始,在使用外部存放庫時,匯入伺服器的 .crt 和 .key 檔案,用於加密外部 PostgreSQL 存放庫和 Tableau Server 元件之間的流量。

如果啟用此項,則還會提供透過從 Tableau 用戶端到伺服器的直接連線來啟用 SSL 的選項。

概要

tsm security repository-ssl enable [options] [global options]

選項

-i, --internal-only

選用。此選項僅適用於存放庫位於 Tableau Server 本機且未在 Tableau Server 外部設定的情況。此選項不應用於設定有外部存放庫的 Tableau Server。

如果設定為 --internal-only,則 Tableau Server 在存放庫與其他伺服器元件之間使用 SSL,它支援但不需要 SSL,即可透過 tableaureadonly 使用者進行直接連線。

如果未設定此選項,則對於存放庫與其他伺服器元件之間的流量,以及 Tableau 用戶端的直接連線(透過 tableaureadonly 使用者進行的連線),Tableau Server 需要使用 SSL。

指定此選項時,還必須完成設定 Postgres SSL 以允許從用戶端直接連線中所描述的步驟。

-c, --certificate

可選。版本 2021.4 中的新增功能。此選項僅適用於設定有外部存放庫的 Tableau Server,可用於在安裝後啟用或停用 SSL 連線。

此選項允許您在 Tableau Server 和外部存放庫之間啟用 SSL/TSL 連線。使用此選項時,請提供 SSL 憑證檔的完整路徑,包括外部存放庫的檔名。此檔案與啟用外部存放庫時使用的檔案相同。

tsm security repository-ssl get-certificate-file

獲取用於與 Tableau 存放庫進行 SSL 通訊的公共憑證檔案。必須為存放庫通訊啟用 SSL,然後才能檢索憑證。憑證檔案將自動分發給 Tableau Server 叢集中的內部存放庫用戶端。為了使遠端用戶端能夠透過 SSL 連線到存放庫,您必須將公共憑證檔案複製到每個用戶端。

此命令僅適用於使用本機存放庫的 Tableau Server,在使用外部存放庫設定 Tableau Server 會導致錯誤。

概要

tsm security repository-ssl get-certificate-file [global-options]

選項

-f, --file

必要。

應在其中儲存憑證檔案的完整路徑和檔案名(副檔名為 .cert)。如果存在重複檔案,則將覆寫檔案。

tsm security repository-ssl list

返回現有存放庫 (Postgres) SSL 組態。

概要

tsm security repository-ssl list [global-options]

tsm security rotate-coordination-service-secrets

版本:版本 2022.1 中的新增功能

產生協調服務用於安全連線的新憑證、金鑰和信任存放區。

概要

tsm security rotate-coordination-service-secrets [options][global options]

選項

--coord-svc-restart-timeout <seconds>

可選。

等待指定的秒數讓協調服務重新啟動。預設值:1200(20 分鐘)。

--ignore-prompt

可選。

在沒有提示的情況下執行重新啟動(如有必要)。

--request-timeout <seconds>

可選。

等待指定的秒數以讓命令完成。預設值:1800(30 分鐘)。

全域選項

-h, --help

可選。

顯示命令說明。

-p, --password <password>

在會話不是活動狀態的情況下為必需,-u--username 也為必需。

為在 -u--username 中指定的使用者指定密碼。

如果密碼包括窗格或特殊字元,請將其括在引號中:

--password 'my password'

-s, --server https://<hostname>:8850

可選。

對 Tableau 服務管理器使用指定的位址。URL 必須以 https 開頭(包括連接埠 8850),並使用伺服器名稱而不是 IP 位址。例如 https://<tsm_hostname>:8850。如果沒有指定伺服器,則假定為 https://<localhost | dnsname>:8850

--trust-admin-controller-cert

可選。

使用此旗標來信任 TSM 控制器上的自我簽署憑證。如需有關憑證信任和 CLI 連線的詳細資訊,請參閱連接 TSM 用戶端

-u, --username <user>

在會話不是活動狀態的情況下為必需,-p--password 也為必需。

請指定使用者名稱。如果未包括此選項,則使用您登入所使用的認證執行該命令。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!