tsm security
使用 tsm security
命令設定 Tableau Server 對外部(閘道)SSL 或存放庫 (Postgres) SSL 的支援。存放庫 SSL 組態包括透過從 Tableau 用戶端(包括 Tableau Desktop、Tableau Mobile 和 Web 瀏覽器)到存放庫的直接連線來啟用 SSL 的選項。
- tsm security custom-cert
- tsm security custom-indexandsearch-ssl
- tsm security custom-tsm-ssl
- tsm security external-ssl
- tsm security kms
- tsm security maestro-rserve-ssl
- tsm security maestro-tabpy-ssl
- tsm security regenerate-internal-tokens
- tsm security repository-ssl
- tsm security rotate-coordination-service-secrets
- 從 2020.2 版本開始,若要設定 Rserve 和 TabPy 的分析擴充功能,請使用 Tableau Server 管理頁面。請參閱設定與分析擴充功能的連線。
必要條件
在設定 SSL 之前,您必須獲取憑證,然後將其複製到執行 Tableau Server 閘道處理序的電腦。需要進行額外的準備才能啟用用戶端直接連線。若要瞭解詳情,請參閱以下文章:
針對與來往 Tableau Server 的外部 HTTP 流量設定 SSL
有關相互(雙向)SSL 的資訊,請參閱設定相互 SSL 驗證和 tsm authentication mutual-ssl 命令。
tsm security authorize-credential-migration
授權 Tableau 使用者使用 Content Migration Tool 將內嵌認證從 Tableau Server 安裝移轉到 Tableau Cloud 站台。Tableau Server 和 Tableau Cloud 都必須具有 Advanced Management 才能移轉內容。有關詳情,請參閱移轉具有內嵌認證的工作簿和資料來源。
可以使用 tsm security cancel-credential-migrations
命令取消授權。
概要
tsm security authorize-credential-migration --source-site-url-namespace <Tableau Server site ID> --destination-site-url-namespace <Tableau Cloud site ID> --destination-server-url <Tableau Cloud site url> --authorized-migration-runner <username> --destination-public-encryption-key <public key>
選項
--source-site-url-namespace
必要。Tableau Server 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。
例如,名為 West Coast Sales 的站台的 ID 可能為 west-coast-sales。
--destination-site-url-namespace
必要。Tableau Cloud 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。
--destination-server-url
必要。部署 Tableau Cloud 站台的 pod 的 URL。指定的 URL 必須結尾含有斜線 (
/
)。登入 Tableau Cloud 後,會在站台 URL 的第一部分顯示 pod。例如,
https://10az.online.tableau.com/
是美國-西部 (10AZ) pod。有關 pod 的詳情,請參閱 Salesforce Trust(連結在新視窗開啟) 頁面。--authorized-migration-runner
必要。授權移轉內嵌認證的 Tableau Server 使用者的使用者名稱。
--destination-public-encryption-key
必要。指定 Tableau Cloud 站台上產生的公開金鑰。
--expiration-time-in-days
可選。授權到期前的天數。預設值為 7 天。
版本:已在版本 2023.1 中淘汰。從 2023.1.0 開始,此選項不再有效,若使用將產生錯誤。過期值被硬式編碼為 7 天。
範例
以下範例授權使用者「admin」將具有內嵌認證的工作簿和已發佈資料來源從 Tableau Server 站台「ExampleA」移轉到 Tableau Cloud 站台「ExampleB」。授權將在 9 天后到期。
tsm security authorize-credential-migration --source-site-url-namespace ExampleA --destination-site-url-namespace ExampleB --destinationServerUrl https://10ay.online.tableau.com/ --authorized-migration-runner admin --destination-public-encryption-key <public key> --expiration-time-in-days 9
tsm security cancel-credential-migrations
使用 Content Migration Tool 取消授予的移轉內嵌認證的授權。有關詳情,請參閱移轉具有內嵌認證的工作簿和資料來源。
概要
tsm security cancel-credential-migrations --source-site-url-namespace <Tableau Server site ID>
選項
--source-site-url-namespace
必要。Tableau Server 站台的站台 ID。在 URL 中使用站台 ID 以唯一地標識站台。
例如,名為 West Coast Sales 的站台的 ID 可能為 west-coast-sales。
tsm security custom-cert add
將自訂 CA 憑證新增至 Tableau Server。您可以選擇使用此憑證,為 SMTP 伺服器與 Tableau Server 之間的 TLS 通訊建立信任。
如果已有自訂憑證存在,此命令將會失敗。您可以使用 tsm security custom-cert delete
命令移除現有的自訂憑證。
附註:您使用此命令新增的憑證可能由其他 Tableau Server 服務用於 TLS 連線。
作為災難復原計劃的一部分,我們建議將憑證檔案的備份儲存在 Tableau Server 之外的安全位置。新增至 Tableau Server 的憑證檔案將由用戶端檔案服務儲存並散發至其他節點。但是,該檔案不會以可復原的格式儲存。請參閱Tableau Server Client File Service。
概要
tsm security custom-cert add --cert-file <file.crt> [global options]
選項
-c, --cert-file <file.crt>
必要。以有效的 PEM 或 DER 格式指定憑證檔案的名稱。
tsm security custom-indexandsearch-ssl add
為 Tableau Server 2023.1 及更高版本的索引和搜尋伺服器新增自訂憑證。SSL 實作基於 Opensearch.org TLS 實作。有關詳情,請參閱設定 TLS 憑證(連結在新視窗開啟)。
- --admin <file.crt>
- 必要。
- 管理員憑證檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。
- --admin-key <file.key>
- 必要。
- 指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。
- -- ca <file.crt>
- 必要。
- 受信任的 CA 檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。
- --node <file.crt>
- 必要。
- 節點憑證檔案。指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。此命令會將此憑證分發到叢集中的每個節點。使用萬用字元憑證允許在單個憑證中包含完整的節點辨別名稱 (DN) 陣列。
- -- node-key <file.key>
- 必要。
- 指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。
概要
tsm security custom-indexandsearch-ssl add --node <file.crt> --admin
<file.crt> --node-key <file.key> --admin-key
<file.key> --ca <file.crt> [parameters]
[global options]
tsm security custom-indexandsearch-ssl list
索引和搜尋伺服器 SSL 自訂憑證設定的清單詳情。
概要
tsm security custom-indexandsearch-ssl list[global options]
tsm security custom-tsm-ssl disable
為 TSM 控制器連線停用自訂 SSL 憑證。回復為自動管理的自簽章憑證。
概要
tsm security custom-tsm-ssl disable [global options]
tsm security custom-tsm-ssl enable
為 Tableau Server 2023.1 及更高版本的 TSM 控制器連線啟用自訂 SSL 憑證。如果已啟用 SSL 並且需要更新過期的憑證,請使用此命令。
- -cf,--cert-file <file.crt>
- 必要。
- 指定有效的 PEM 編碼 x509 憑證的路徑,其副檔名為 .crt。憑證上的主體名稱必須與執行管理控制器的 Tableau 電腦的主機名稱或 IP 位址相符。預設情況下,管理控制器在 Tableau Server 部署的初始節點上執行。
- -kf,--key-file <file.key>
- 必要。
- 指定有效的 RSA 或 DSA 私密金鑰檔案 (PKXA #8) 的路徑,依照慣例,其副檔名為 .key。此金鑰無法受密碼保護。
- --chain-file <file.crt>
- 可選。
指定憑證鏈結檔案 (.crt) 的路徑
鏈結檔案是構成伺服器憑證憑證鏈結的所有憑證的串連。
檔案中的所有憑證必須為 x509 PEM 編碼,檔案副檔名必須為 .crt(而不是 .pem)。
- --skip-validation
- 選用
- 傳遞此選項以跳過憑證授權單位根驗證。
概要
tsm security custom-tsm-ssl enable --key-file <file.key> --cert-file <file.crt> [global options]
tsm security external-ssl disable
刪除伺服器現有的 SSL 組態設定,並停止加密外部用戶端與伺服器之間的流量。
概要
tsm security external-ssl disable [global options]
tsm security external-ssl enable
透過外部 HTTP 通訊為 SSL 啟用和指定憑證和金鑰檔案。
概要
tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]
選項
--cert-file <file.crt>
必要。指定有效的 PEM 編碼 x509 憑證的名稱,其副檔名為 .crt。
--key-file <file.key>
必要。指定有效的 RSA 或 DSA 私密金鑰檔案(按照約定具有 .key 副檔名)。
--chain-file <chainfile.crt>
指定憑證連結檔案 (.crt)
Mac 上的 Tableau Desktop 需要憑證連結檔案。在某些情況下,Tableau Mobile 可能需要憑證連結檔案。
某些憑證提供者會針對 Apache 頒發兩個憑證。第二個憑證是連結檔案,連線構成伺服器憑證的憑證連結的所有憑證。
檔案中的所有憑證必須為 x509 PEM 編碼,檔案副檔名必須為 .crt(而不是 .pem)。
--passphrase
選用。憑證檔案的密碼。您輸入的密碼將在空閒時加密。
附註:如果建立包含密碼的憑證金鑰檔案,則無法為 SAML 重用 SSL 憑證金鑰。
--protocols <列出通訊協定>
選用。列出想要允許或拒絕的傳輸層安全性 (TLS) 通訊協定版本。
TLS 是 SSL 的改進版本。Tableau Server 使用 TLS 來進行驗證和加密連線。接受的值包括 Apache 支援的通訊協定版本。要拒絕通訊協定,請在通訊協定版本前面新增減號 (-) 字元。
預設設定:
"all, -SSLv2, -SSLv3"
此預設值顯式不允許用戶端使用 SSL v2 或 SSL v3 通訊協定連線到 Tableau Server。但是,我們建議您也拒絕 TLS v1 和 TLS v1.1。
在您拒絕特定版本的 TLS 之前,請確認您的使用者連線到 Tableau Server 所使用的瀏覽器是否支援 TLS v1.2。在瀏覽器更新之前,您可能需要保留對 TLSv1.1 的支援。
如果您不需要支援 TLS v1 或 v1.1,請使用以下命令允許 TLS v1.2(使用值
all
),並顯式拒絕 SSL v2、SSL v3、TLS v1 和 TLS v1.1。tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm security external-ssl list
顯示與閘道外部 SSL 組態相關的設定清單。該清單包括正在使用的憑證檔案的名稱,但不包括其位置。
概要
tsm security external-ssl list [global options]
tsm security kms set-mode aws
將 KMS 模式設為 AWS。
您需要從 AWS KMS 取得完整的 ARN 字串。此字串在 AWS KMS 管理頁面的「一般設定」區段中。ARN 會以下列格式顯示:arn:aws:kms:<region>:<account>:key/<CMK_ID>,例如 arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567
。
有關詳情,請參閱 AWS 金鑰管理系統。
概要
tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]
選項
--key-arn
必要。
--key-arn
選項從 AWS KMS 管理頁面的「一般設定」區段中,直接複製 ARN 的字串。--aws-region
必要。請按照 Amazon API 閘道表(連結在新視窗開啟)之「區域」欄中所示指定一個區域。
範例
例如,若 AWS KMS 執行個體在 us-west-2
區域中執行,帳號為 867530990073
,而 CMK 金鑰為 1abc23de-fg45-6hij-7k89-1l0mn1234567
,則命令將為:
tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"
tsm security kms set-mode azure
將 KMS 模式設定為 Azure Key Vault。
附註:執行 tsm security kms status
時,KMS 模式將顯示為「Azure Key Vault」,但將其設定為「azure」。
將需要 Azure Key Vault 的名稱和 Azure 中金鑰的名稱。
有關詳情,請參閱 Azure Key Vault。
概要
tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]
選項
--key-name
必要。儲存在 Azure Key Vault 中非對稱金鑰的名稱。
--vault-name
必要。Azure Key Vault 名稱。
範例
例如,若 Azure Key Vault 名稱為tabsrv-keyvault
,而金鑰為 tabsrv-sandbox-key01
,則命令將為:
tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"
tsm security kms set-mode local
將 KMS 模式設定或重設為本機。本機是預設的 KMS 模式。有關詳情,請參閱Tableau Server 金鑰管理系統。
概要
tsm security kms set-mode local [global options]
tsm security kms status
檢視 KMS 組態的狀態。傳回的狀態包括:
- 狀態:OK(確定)表示 Tableau 或控制項目節點(若是多節點安裝)可以存取 KMS。
- 模式:本機、AWS 或 Azure Key Vault。表明正在使用哪種 KMS 模式。
加密和解密主加密金鑰:
KMS 儲存一組主擷取金鑰 (MEK)。每個 MEK 有:
- ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
- 「加密或解密金鑰」或「僅解密金鑰」狀態。如果金鑰是「加密或解密」,則 Tableau Server 會使用它加密新的資料。否則,只會使用金鑰進行解密
- 建立時間戳記,例如「建立於:2019-05-29T23:46:54Z」。
- 第一次轉換至加密及解密:指示金鑰成為加密或解密金鑰的時間戳記。
- 轉換至僅加密:指示金鑰轉換為僅加密金鑰的時間戳記。
傳回的其他值取決於 KMS 模式。
KMS 模式為 AWS 時,傳回以下內容:
- 客戶主金鑰 (CMK) 的 ARN (ID)。
- CMK 所在區域。
- 正在使用的根主金鑰 (RMK) 的 ID。RMK 是由 CMK 加密的金鑰。Tableau Server 藉由呼叫 AWS KMS 來解密 CMK。然後使用 RMK 來加密/解密主要擷取金鑰 (MEK)。RMK 可以變更,但一次只能有一個。
KMS 模式為 Azure Key Vault 時,傳回以下內容:
- 保存庫名稱:Azure Key Vault 名稱。
- Azure Key Vault 金鑰名稱:保存庫中金鑰的名稱。
概要
tsm security kms status [global options]
tsm security maestro-rserve-ssl disable
停用 Rserve 連線。
有關詳情,請參閱在您的流程中使用 R (Rserve) 指令碼。
tsm security maestro-rserve-ssl enable
設定 Rserve 伺服器和 Tableau Server 版本 2019.3 或更新版本之間的連線。
有關詳情,請參閱在您的流程中使用 R (Rserve) 指令碼。
概要
tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>
選項
--connection-type
選取
maestro-rserve-secure
以啟用安全連線或選取maestro-rserve
以啟用不安全的連線。如果選取maestro-rserve-secure
,請在命令列中指定憑證檔案路徑。--rserve-host
主機
--rserve-port
- 連接埠
--rserve-username
- 使用者名稱
--rserve-password
- 密碼
--rserve-connect-timeout-ms
- 連線逾時(以毫秒為單位)。例如
--rserve-connect-timeout-ms 900000
。
tsm security maestro-tabpy-ssl disable
停用 TabPy 連線。
有關詳情,請參閱在您的流程中使用 Python 指令碼。
tsm security maestro-tabpy-ssl enable
設定 TabPy 伺服器和 Tableau Server 版本 2019.3 或更新版本之間的連線。
有關詳情,請參閱在您的流程中使用 Python 指令碼。
概要
tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>
選項
--connection-type
選取
maestro-tabpy-secure
以啟用安全連線或選取maestro-tabpy
以啟用不安全的連線。如果選取maestro-tabpy-secure
,請在命令列中指定憑證檔案 -cf<certificate file path>。--tabpy-host
主機
--tabpy-port
- 連接埠
--tabpy-username
- 使用者名稱
--tabpy-password
- 密碼
--tabpy-connect-timeout-ms
- 連線逾時(以毫秒為單位)。例如
--tabpy-connect-timeout-ms 900000
。
tsm security regenerate-internal-tokens
此命令執行下列操作:
若 Tableau Server 正在執行,會將其停止。
為搜尋伺服器的 Postgres 存放庫產生新的內部 SSL 憑證。
為所有內部管理的密碼產生新密碼。
更新所有 Postgres 存放庫密碼。
為資產金鑰管理的產生新的加密金鑰,並利用新的金鑰加密資產金鑰資料。
為設定密碼(主金鑰)產生新的加密金鑰,並用其進行加密。
使用所有這些密碼重新設定和更新 Tableau Server。在分散式部署中,此命令也散佈叢集中所有節點的重新設定及更新。
重新產生新的主金鑰,將其新增至主 Keystore 檔案,然後建立新的內部使用安全性權杖。
啟動 Tableau Server。
如果您計劃在執行此命令之後新增節點至叢集,則需要產生新的節點設定檔來更新由此命令產生的權杖、金鑰及密碼。請參閱安裝和設定附加節點。
有關內部密碼的詳情,請參閱管理伺服器密碼。
概要
tsm security regenerate-internal-tokens [options] [global options]
選項
--ignore-prompt
可選。
在沒有提示的情況下執行重新啟動(必要時)。此選項僅已知提示。重新啟動行為不會變更。
--request-timeout <timeout in seconds>
選用。
等待指定的時間以完成命令。預設值為 1800(30 分鐘)。
tsm security repository-ssl disable
停止加密存放庫與其他伺服器元件之間的流量,並停止支援 Tableau 用戶端的直接連線。
概要
tsm security repository-ssl disable [global-options]
tsm security repository-ssl enable
存放庫在本機時,啟用 SSL 並產生伺服器的 .crt 和 .key 檔案,用於加密 Postgres 存放庫和其他伺服器元件之間的流量。
從版本 2021.4 開始,在使用外部存放庫時,匯入伺服器的 .crt 和 .key 檔案,用於加密外部 PostgreSQL 存放庫和 Tableau Server 元件之間的流量。
如果啟用此項,則還會提供透過從 Tableau 用戶端到伺服器的直接連線來啟用 SSL 的選項。
概要
tsm security repository-ssl enable [options] [global options]
選項
-i, --internal-only
選用。此選項僅適用於存放庫位於 Tableau Server 本機且未在 Tableau Server 外部設定的情況。此選項不應用於設定有外部存放庫的 Tableau Server。
如果設定為
--internal-only
,則 Tableau Server 在存放庫與其他伺服器元件之間使用 SSL,它支援但不需要 SSL,即可透過 tableau 或 readonly 使用者進行直接連線。如果未設定此選項,則對於存放庫與其他伺服器元件之間的流量,以及 Tableau 用戶端的直接連線(透過 tableau 或 readonly 使用者進行的連線),Tableau Server 需要使用 SSL。
指定此選項時,還必須完成設定 Postgres SSL 以允許從用戶端直接連線中所描述的步驟。
-c, --certificate
可選。版本 2021.4 中的新增功能。此選項僅適用於設定有外部存放庫的 Tableau Server,可用於在安裝後啟用或停用 SSL 連線。
此選項允許您在 Tableau Server 和外部存放庫之間啟用 SSL/TSL 連線。使用此選項時,請提供 SSL 憑證檔的完整路徑,包括外部存放庫的檔名。此檔案與啟用外部存放庫時使用的檔案相同。
tsm security repository-ssl get-certificate-file
獲取用於與 Tableau 存放庫進行 SSL 通訊的公共憑證檔案。必須為存放庫通訊啟用 SSL,然後才能檢索憑證。憑證檔案將自動分發給 Tableau Server 叢集中的內部存放庫用戶端。為了使遠端用戶端能夠透過 SSL 連線到存放庫,您必須將公共憑證檔案複製到每個用戶端。
此命令僅適用於使用本機存放庫的 Tableau Server,在使用外部存放庫設定 Tableau Server 會導致錯誤。
概要
tsm security repository-ssl get-certificate-file [global-options]
選項
-f, --file
必要。
應在其中儲存憑證檔案的完整路徑和檔案名(副檔名為 .cert)。如果存在重複檔案,則將覆寫檔案。
tsm security repository-ssl list
返回現有存放庫 (Postgres) SSL 組態。
概要
tsm security repository-ssl list [global-options]
tsm security rotate-coordination-service-secrets
版本:版本 2022.1 中的新增功能
產生協調服務用於安全連線的新憑證、金鑰和信任存放區。
概要
tsm security rotate-coordination-service-secrets [options][global options]
選項
--coord-svc-restart-timeout <seconds>
可選。
等待指定的秒數讓協調服務重新啟動。預設值:1200(20 分鐘)。
--ignore-prompt
可選。
在沒有提示的情況下執行重新啟動(如有必要)。
--request-timeout <seconds>
可選。
等待指定的秒數以讓命令完成。預設值:1800(30 分鐘)。
全域選項
-h, --help
可選。
顯示命令說明。
-p, --password <password>
在會話不是活動狀態的情況下為必需,
-u
或--username
也為必需。為在
-u
或--username
中指定的使用者指定密碼。如果密碼包括窗格或特殊字元,請將其括在引號中:
--password 'my password'
-s, --server https://<hostname>:8850
可選。
對 Tableau 服務管理器使用指定的位址。URL 必須以
https
開頭(包括連接埠 8850),並使用伺服器名稱而不是 IP 位址。例如https://<tsm_hostname>:8850
。如果沒有指定伺服器,則假定為https://<localhost | dnsname>:8850
。--trust-admin-controller-cert
可選。
使用此旗標來信任 TSM 控制器上的自我簽署憑證。如需有關憑證信任和 CLI 連線的詳細資訊,請參閱連接 TSM 用戶端。
-u, --username <user>
在會話不是活動狀態的情況下為必需,
-p
或--password
也為必需。請指定使用者名稱。如果未包括此選項,則使用您登入所使用的認證執行該命令。