Konfigurieren der gegenseitigen SSL-Authentifizierung

Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop, Tableau Mobile und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern.

Sie können Tableau Server auch so konfigurieren, dass automatisch die Authentifizierung mittels Benutzername/Kennwort verwendet wird, wenn die gegenseitige SSL-Authentifizierung fehlschlägt. Darüber hinaus kann sich ein Benutzer über die REST-API mit einem Benutzernamen und einem Kennwort (falls vorhanden) anmelden, unabhängig davon, ob die Fallback-Authentifizierung konfiguriert ist oder nicht.

Zeitlimits für Benutzerauthentifizierungssitzungen

Wenn sich Benutzer mit gegenseitigem SSL anmelden, wird die Authentifizierungssitzung von derselben Methode gesteuert, die die Konfiguration der globalen Tableau Server-Authentifizierungssitzung regelt.

Für Clients, die über einen Webbrowser eine Verbindung zu Tableau Server herstellen, wird die Konfiguration der globalen Authentifizierungssitzung in der Checkliste für die Absicherung beschrieben, Siehe 10. Überprüfen der konfigurierten Sitzungsdauer.

Sitzungen für verbundene Clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder und Bridge) verwenden OAuth-Token, damit sich Benutzer durch erneutes Einrichten einer Sitzung anmelden können. Standardmäßig werden alle OAuth-Client-Token nach einem Jahr zurückgesetzt. Falls ein Client-Token 14 Tage lang nicht verwendet wird, läuft es ab. Sie können diese Werte durch Anpassen der Optionen refresh_token.absolute_expiry_in_seconds und refresh_token.idle_expiry_in_seconds ändern. Siehe tsm configuration set-Optionen.

Zertifikatsverwendung

Bevor Sie gegenseitiges SSL aktivieren und konfigurieren, müssen Sie externes SSL konfigurieren. Externes SSL authentifiziert Tableau Server beim Client und verschlüsselt die Sitzung mit dem Zertifikat und dem Schlüssel, die beim Konfigurieren externer SSL erforderlich sind.

Für gegenseitiges SSL ist eine zusätzliche Zertifikatsdatei erforderlich. Die Datei ist eine Verkettung von CA-Zertifikatsdateien. Der Dateityp muss .crt sein. Eine CA ist eine Zertifizierungsstelle, die Zertifikate für die Clientcomputer ausstellt, die eine Verbindung mit Tableau Server herstellen. Durch das Hochladen der CA-Zertifikatsdatei wird eine Vertrauenssituation hergestellt, die es Tableau Server ermöglicht, die einzelnen Zertifikate zu authentifizieren, die von den Clientcomputern angezeigt werden.

Als Teil Ihres Disaster Recovery-Planes wird empfohlen, eine Sicherung der Zertifikat- und Widerrufsdateien (falls zutreffend) an einem sicheren Ort außerhalb des Tableau Servers aufzubewahren. Die Zertifikat- und Widerrufsdateien, die Sie Tableau Server hinzufügen, werden vom Client-Dateidienst gespeichert und an andere Knoten verteilt. Die Dateien werden jedoch nicht in einem wiederherstellbaren Format gespeichert. Siehe Tableau Server-Clientdateidienst.

RSA-Schlüssel- und ECDSA-Kurvenlängen

Die CA-Zertifikatsdatei für gegenseitiges SSL muss entweder eine RSA-Schlüsselstärke von 2048 oder einen ECDSA-Kurvenwert von 256 aufweisen.

Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel festlegen:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

Siehe tsm configuration set-Optionen.

Client-Zertifikatsanforderungen

Benutzer, die sich bei Tableau Server mit gegenseitigem SSL authentifizieren, müssen ein Client-Zertifikat vorweisen, das die Mindestsicherheitsanforderungen erfüllt.

Signaturalgorithmus

Client-Zertifikate müssen den SHA-256-Signaturalgorithmus oder stärker verwenden.

Tableau Server der für die gegenseitige SSL-Authentifizierung konfiguriert ist, sperrt die Authentifizierung von Benutzern mit Client-Zertifikaten, die den SHA-1-Signaturalgorithmus verwenden.

Benutzer, die versuchen, sich mit SHA-1-Client-Zertifikaten anzumelden, bekommen die Fehlermeldung „Anmeldung nicht möglich“ angezeigt – die folgende Fehlermeldung wird in den VizPortal-Protokollen angezeigt:

Unsupported client certificate signature detected: [certificate Signature Algorithm name]

Sie können Tableau Server so konfigurieren, dass der weniger sichere SHA-1-Signaturalgorithmus akzeptiert wird, indem Sie die Konfigurationsoption ssl.client_certificate_login.blocklisted_signature_algorithms festlegen.

RSA-Schlüssel- und ECDSA-Kurvenlängen

Die Client-Zertifikatsdatei für gegenseitiges SSL muss entweder eine RSA-Schlüsselstärke von 2048 oder einen ECDSA-Kurvenwert von 256 aufweisen.

Tableau Server schlägt bei gegenseitigen Authentifizierungsanforderungen mit Clientzertifikaten fehl, die diese Anforderungen nicht erfüllen. Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel festlegen:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

Siehe tsm configuration set-Optionen.

  1. Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.

  2. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  3. Wählen Sie auf der Registerkarte KonfigurationBenutzeridentität und Zugriff > Authentifizierungsmethode.

  4. Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode die Option Gegenseitiges SSL aus.

  5. Wählen Sie unter "Gegenseitiges SSL" die Option Gegenseitiges SSL verwenden und automatisch mit Clientzertifikaten anmelden aus.

  6. Klicken Sie auf Datei auswählen, und laden Sie Ihr von Ihrer Zertifizierungsstelle (CA) ausgestelltes Zertifikat auf den Server hoch.

    Die Datei (.crt) ist eine All-in-One-Datei, die die CA-Zertifikate enthält, die für die Client-Authentifizierung verwendet werden. Die Datei, die Sie hochladen, muss eine Verkettung der verschiedenen PEM-kodierten Zertifikatsdateien sein, in der Reihenfolge ihrer Präferenz.

  7. Geben Sie alle weiteren SSL-Konfigurationsinformationen für Ihre Organisation ein.

    Benutzernamenformat: Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, erhält der Server den Benutzernamen aus dem Clientzertifikat. Damit kann er den Clientbenutzer direkt anmelden. Der von Tableau Server verwendete Name hängt davon ab, wie Tableau Server für die Benutzerauthentifizierung konfiguriert ist:

    • Lokale Authentifizierung: Tableau Server verwendet den UPN (User Principal Name) aus dem Zertifikat.
    • Active Directory (AD): Tableau Server ruft den Benutzernamen über LDAP (Lightweight Directory Access-Protokoll) ab.

    Alternativ können Sie Tableau Server auch so einrichten, dass der CN (Common Name) aus dem Clientzertifikat verwendet wird.

    Konfigurieren des gegenseitigen SSL-Screenshots

  8. Klicken Sie nach Eingabe Ihrer Konfigurationsinformationen auf Ausstehende Änderungen speichern.

  9. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  10. Klicken Sie auf Änderungen anwenden und neu starten.

Schritt 1: Anfordern von SSL für die externe Serverkommunikation

Führen Sie den Befehl external-ssl enable wie folgt unter Angabe der Namen für die .crt- und .key-Dateien des Serverzertifikats aus, um Tableau Server für die Verwendung von SSL für die externe Kommunikation zwischen Tableau Server und Webclients zu konfigurieren:

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • Geben Sie für --cert-file und --key-file den Speicherort und den Dateinamen an, an bzw. unter dem Sie das von der Zertifizierungsstelle des Servers ausgestellte SSL-Zertifikat (.crt) und die Schlüsseldateien (.key) gespeichert haben.

  • Bei obigem Befehl wird davon ausgegangen, dass Sie als ein Benutzer angemeldet sind, der über die Site-Rolle Serveradministrator für Tableau Server verfügt. Stattdessen können Sie die Parameter -u und -p verwenden, um einen Administratorbenutzer und das Kennwort anzugeben.

  • Verwenden Sie den Parameter --passphrase und den Wert, sofern für die Zertifikatschlüsseldatei eine Passphrase erforderlich ist.

Schritt 2: Konfigurieren und Aktivieren von gegenseitigem SSL

Fügen Sie die gegenseitige Authentifizierung zwischen dem Server und jedem Client hinzu und erlauben Sie, dass Tableau-Clientbenutzer direkt authentifiziert werden, nachdem sie erstmals ihre Anmeldeinformationen angegeben haben.

  1. Führen Sie den folgenden Befehl aus:

    tsm authentication mutual-ssl configure --cert-file <file.crt>

    Geben Sie bei --cert-file den Speicherort und den Dateinamen der Zertifikatsdatei der Zertifizierungsstelle ein.

    Die Datei (.crt) ist eine All-in-One-Datei, die die CA-Zertifikate enthält, die für die Client-Authentifizierung verwendet werden. Die Datei, die Sie hochladen, muss eine Verkettung der verschiedenen PEM-kodierten Zertifikatsdateien sein, in der Reihenfolge ihrer Präferenz.

  2. Führen Sie die folgenden Befehle aus, um gegenseitiges SSL zu aktivieren und die Änderungen zu übernehmen:

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Zusätzliche Optionen für gegenseitiges SSL

Sie können mutual-ssl configure verwenden, um Tableau Server für die Unterstützung der folgenden Optionen zu konfigurieren.

Weitere Informationen finden Sie unter tsm authentication mutual-ssl <commands>.

Fallback-Authentifizierung

Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, erfolgt die Authentifizierung automatisch, und der Client muss ein gültiges Zertifikat besitzen. Sie können Tableau Server für das Erlauben einer Fallback-Option konfigurieren, um die Authentifizierung mittels Benutzername und Kennwort zu akzeptieren.

tsm authentication mutual-ssl configure -fb true

Tableau Server akzeptiert die Authentifizierung von Benutzernamen und Kennwort von REST-API-Clients, auch wenn die obige Option auf falsefestgelegt ist.

Zuordnen von Benutzernamen

Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, authentifiziert der Server den Benutzer direkt, indem er den Benutzernamen aus seinem Clientzertifikat abruft. Der von Tableau Server verwendete Name hängt davon ab, wie der Server für die Benutzerauthentifizierung konfiguriert ist:

  • Lokale Authentifizierung: verwendet den UPN (User Principal Name) aus dem Zertifikat.

  • Active Directory (AD): ruft den Benutzernamen über LDAP (Lightweight Directory Access-Protokoll) ab.

Sie können einen dieser Standardwerte überschreiben, um Tableau Server für die Verwendung des Common Name festzulegen.

tsm authentication mutual-ssl configure -m cn

Weitere Informationen finden Sie unter Zuordnen eines Clientzertifikats zu einem Benutzer während der gegenseitigen Authentifizierung.

Zertifikatsperrliste (CRL)

Sie müssen ggf. eine Zertifikatsperrliste (Certificate Revocation List, CRL) angeben, wenn Sie den Verdacht haben, dass ein privater Schlüssel manipuliert wurde oder eine Zertifizierungsstelle ein Zertifikat nicht ordnungsgemäß ausgestellt hat.

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

Vielen Dank für Ihr Feedback!