Konfigurieren der gegenseitigen SSL-Authentifizierung
Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop, Tableau Mobile und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern.
Sie können Tableau Server auch so konfigurieren, dass automatisch die Authentifizierung mittels Benutzername/Kennwort verwendet wird, wenn die gegenseitige SSL-Authentifizierung fehlschlägt. Darüber hinaus kann sich ein Benutzer über die REST-API mit einem Benutzernamen und einem Kennwort (falls vorhanden) anmelden, unabhängig davon, ob die Fallback-Authentifizierung konfiguriert ist oder nicht.
Zeitlimits für Benutzerauthentifizierungssitzungen
Wenn sich Benutzer mit gegenseitigem SSL anmelden, wird die Authentifizierungssitzung von derselben Methode gesteuert, die die Konfiguration der globalen Tableau Server-Authentifizierungssitzung regelt.
Für Clients, die über einen Webbrowser eine Verbindung zu Tableau Server herstellen, wird die Konfiguration der globalen Authentifizierungssitzung in der Checkliste für die Absicherung beschrieben,
Sitzungen für verbundene Clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder und Bridge) verwenden OAuth-Token, damit sich Benutzer durch erneutes Einrichten einer Sitzung anmelden können. Standardmäßig werden alle OAuth-Client-Token nach einem Jahr zurückgesetzt. Falls ein Client-Token 14 Tage lang nicht verwendet wird, läuft es ab. Sie können diese Werte durch Anpassen der Optionen refresh_token.absolute_expiry_in_seconds
und refresh_token.idle_expiry_in_seconds
ändern. Siehe tsm configuration set-Optionen.
Zertifikatsverwendung
Bevor Sie gegenseitiges SSL aktivieren und konfigurieren, müssen Sie externes SSL konfigurieren. Externes SSL authentifiziert Tableau Server beim Client und verschlüsselt die Sitzung mit dem Zertifikat und dem Schlüssel, die beim Konfigurieren externer SSL erforderlich sind.
Für gegenseitiges SSL ist eine zusätzliche Zertifikatsdatei erforderlich. Die Datei ist eine Verkettung von CA-Zertifikatsdateien. Der Dateityp muss .crt
sein. Eine CA ist eine Zertifizierungsstelle, die Zertifikate für die Clientcomputer ausstellt, die eine Verbindung mit Tableau Server herstellen. Durch das Hochladen der CA-Zertifikatsdatei wird eine Vertrauenssituation hergestellt, die es Tableau Server ermöglicht, die einzelnen Zertifikate zu authentifizieren, die von den Clientcomputern angezeigt werden.
Als Teil Ihres Disaster Recovery-Planes wird empfohlen, eine Sicherung der Zertifikat- und Widerrufsdateien (falls zutreffend) an einem sicheren Ort außerhalb des Tableau Servers aufzubewahren. Die Zertifikat- und Widerrufsdateien, die Sie Tableau Server hinzufügen, werden vom Client-Dateidienst gespeichert und an andere Knoten verteilt. Die Dateien werden jedoch nicht in einem wiederherstellbaren Format gespeichert. Siehe Tableau Server-Clientdateidienst.
RSA-Schlüssel- und ECDSA-Kurvenlängen
Die CA-Zertifikatsdatei für gegenseitiges SSL muss entweder eine RSA-Schlüsselstärke von 2048 oder einen ECDSA-Kurvenwert von 256 aufweisen.
Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel festlegen:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Siehe tsm configuration set-Optionen.
Client-Zertifikatsanforderungen
Benutzer, die sich bei Tableau Server mit gegenseitigem SSL authentifizieren, müssen ein Client-Zertifikat vorweisen, das die Mindestsicherheitsanforderungen erfüllt.
Signaturalgorithmus
Client-Zertifikate müssen den SHA-256-Signaturalgorithmus oder stärker verwenden.
Tableau Server der für die gegenseitige SSL-Authentifizierung konfiguriert ist, sperrt die Authentifizierung von Benutzern mit Client-Zertifikaten, die den SHA-1-Signaturalgorithmus verwenden.
Benutzer, die versuchen, sich mit SHA-1-Client-Zertifikaten anzumelden, bekommen die Fehlermeldung „Anmeldung nicht möglich“ angezeigt – die folgende Fehlermeldung wird in den VizPortal-Protokollen angezeigt:
Unsupported client certificate signature detected: [certificate Signature Algorithm name]
Sie können Tableau Server so konfigurieren, dass der weniger sichere SHA-1-Signaturalgorithmus akzeptiert wird, indem Sie die Konfigurationsoption ssl.client_certificate_login.blocklisted_signature_algorithms festlegen.
RSA-Schlüssel- und ECDSA-Kurvenlängen
Die Client-Zertifikatsdatei für gegenseitiges SSL muss entweder eine RSA-Schlüsselstärke von 2048 oder einen ECDSA-Kurvenwert von 256 aufweisen.
Tableau Server schlägt bei gegenseitigen Authentifizierungsanforderungen mit Clientzertifikaten fehl, die diese Anforderungen nicht erfüllen. Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel festlegen:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Siehe tsm configuration set-Optionen.
Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Wählen Sie auf der Registerkarte Konfiguration Benutzeridentität und Zugriff > Authentifizierungsmethode.
Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode die Option Gegenseitiges SSL aus.
Wählen Sie unter "Gegenseitiges SSL" die Option Gegenseitiges SSL verwenden und automatisch mit Clientzertifikaten anmelden aus.
Klicken Sie auf Datei auswählen, und laden Sie Ihr von Ihrer Zertifizierungsstelle (CA) ausgestelltes Zertifikat auf den Server hoch.
Die Datei (.crt) ist eine All-in-One-Datei, die die CA-Zertifikate enthält, die für die Client-Authentifizierung verwendet werden. Die Datei, die Sie hochladen, muss eine Verkettung der verschiedenen PEM-kodierten Zertifikatsdateien sein, in der Reihenfolge ihrer Präferenz.
Geben Sie alle weiteren SSL-Konfigurationsinformationen für Ihre Organisation ein.
Benutzernamenformat: Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, erhält der Server den Benutzernamen aus dem Clientzertifikat. Damit kann er den Clientbenutzer direkt anmelden. Der von Tableau Server verwendete Name hängt davon ab, wie Tableau Server für die Benutzerauthentifizierung konfiguriert ist:
- Lokale Authentifizierung: Tableau Server verwendet den UPN (User Principal Name) aus dem Zertifikat.
- Active Directory (AD): Tableau Server ruft den Benutzernamen über LDAP (Lightweight Directory Access-Protokoll) ab.
Alternativ können Sie Tableau Server auch so einrichten, dass der CN (Common Name) aus dem Clientzertifikat verwendet wird.
Klicken Sie nach Eingabe Ihrer Konfigurationsinformationen auf Ausstehende Änderungen speichern.
Klicken Sie oben auf der Seite auf Ausstehende Änderungen:
Klicken Sie auf Änderungen anwenden und neu starten.