Configurar la autenticación SSL mutua
Utilizando SSL mutua, puede ofrecer a los usuarios de Tableau Desktop, Tableau Mobile y otros clientes autorizados de Tableau un acceso directo y seguro a Tableau Server. Con la SSL mutua, cuando se conecta a Tableau Server un cliente con un certificado SSL válido, Tableau Server confirma que existe el certificado de cliente y autentica al usuario, basándose en el nombre de usuario presente en el certificado de cliente. Si el cliente no tiene un certificado SSL válido, Tableau Server puede rechazar la conexión.
También puede configurar Tableau Server para que use la autenticación basada en nombre de usuario y contraseña en caso de que la autenticación SSL mutua falle. Además, un usuario puede iniciar sesión con la API de REST con un nombre de usuario y una contraseña (si existe) independientemente de si se configura o no la autenticación de reserva.
Límites de tiempo de la sesión de autenticación de usuario
Cuando los usuarios inician sesión mediante SSL mutuo, la sesión de autenticación se rige por el mismo método que rige la configuración global de la sesión de autenticación de Tableau Server.
Para los clientes que se conectan a Tableau Server mediante un navegador web, la configuración de la sesión de autenticación global se describe en la Lista de comprobación de mejora de la seguridad,
Las sesiones para clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder y Bridge) utilizan tokens de OAuth para mantener a los usuarios conectados mediante el restablecimiento de una sesión. De forma predeterminada, los tokens de cliente de OAuth se restablecen transcurrido un año. Un token de cliente caducará si no se utiliza en 14 días. Puede cambiar estos valores estableciendo las opciones refresh_token.absolute_expiry_in_seconds
y refresh_token.idle_expiry_in_seconds
. Consulte Opciones de tsm configuration set.
Uso de certificados
Antes de habilitar y configurar el SSL mutuo, debe configurar el SSL externo. El SSL externo autentica Tableau Server al cliente y cifra la sesión mediante el certificado y la clave necesarios al configurar el SSL externo.
Para el SSL mutuo, se requiere un archivo de certificado adicional. El archivo es una concatenación de archivos de certificado de CA. El tipo de archivo debe ser .crt
. Una "CA" es una entidad de certificación que emite certificados a los equipos cliente que se conectarán a Tableau Server. La acción de cargar el archivo de certificado de CA establece una confianza, lo cual permite que Tableau Server autentique los certificados individuales que presentan los equipos cliente.
Como parte de su plan de recuperación ante desastres, le recomendamos que mantenga una copia de seguridad de los archivos de certificado y revocación (si aplica) en una ubicación segura fuera de Tableau Server. El servicio de archivos de cliente almacenará y distribuirá los archivos de certificado y revocación que agregue a Tableau Server a otros nodos. Sin embargo, los archivos no se almacenan en un formato recuperable. Consulte el Servicio de archivo de cliente de Tableau Server.
Tamaños de curva ECDSA y de clave RSA
El certificado de CA que se utilice para SSL mutuo debe tener una fuerza de clave RSA de 2048 o un tamaño de curva ECDSA de 256.
Puede configurar Tableau Server para que acepte los tamaños menos seguros configurando las claves de configuración respectivas:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opciones de tsm configuration set.
Requisitos de los certificados de clientes
Los usuarios que se autentican en Tableau Server con SSL mutuo deben presentar un certificado de cliente que cumpla con los requisitos mínimos de seguridad.
Algoritmo de firma
Los certificados de clientes deben utilizar el algoritmo de firma SHA-256 o mayor.
Tableau Server configurado para la autenticación de SSL mutuo bloquea la autenticación de usuarios con certificados de cliente que utilizan el algoritmo de firma SHA-1.
Los usuarios que intenten iniciar sesión con certificados de cliente SHA-1 recibirán un error "No se puede iniciar sesión" y en los registros de VizPortal aparecerá el siguiente error:
Unsupported client certificate signature detected: [certificate Signature Algorithm name]
Puede configurar Tableau Server para que acepte el algoritmo de firma SHA-1, menos seguro, configurando la opción de configuración tsm ssl.client_certificate_login.blocklisted_signature_algorithms.
Tamaños de curva ECDSA y de clave RSA
El certificado de clientes que se utilice para el SSL mutuo debe tener una fuerza de clave RSA de 2048 o un tamaño de curva ECDSA de 256.
Tableau Server producirá un error en las solicitudes de autenticación mutua de los certificados de cliente que no cumplan estos requisitos. Puede configurar Tableau Server para que acepte los tamaños menos seguros configurando las claves de configuración respectivas:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opciones de tsm configuration set.
Configurar SSL para tráfico HTTP externo a y desde Tableau Server.
Abra TSM en un navegador:
https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.
En la pestaña Configuración, seleccione Identidad de usuario y acceso > Método de autenticación.
En Método de autenticación, seleccione SSL mutua en el menú desplegable.
En SSL mutua, seleccione Usar SSL mutua y el inicio de sesión automático con certificados de cliente.
Haga clic en Seleccionar archivo y cargue su archivo de certificado emitido por una autoridad de certificación (CA) al servidor.
El archivo (.crt) es un archivo todo en uno que incluye certificados de las CA que se usan para la autenticación de cliente. El archivo que cargue debe ser una concatenación de los diversos archivos de certificado con codificación PEM, en orden de preferencia.
Introduzca la información de configuración de SSL que falte de la organización:
Formato del nombre de usuario: si Tableau Server está configurado para la autenticación SSL mutua, el servidor obtiene el nombre de usuario del certificado de cliente, de manera que puede iniciar directamente la sesión del usuario del cliente. El nombre que utilice Tableau Server dependerá de cómo esté configurado Tableau Server para la autenticación de usuarios:
- Autenticación local: Tableau Server usa el nombre de usuario principal (UPN) del certificado.
- Active Directory (AD): Tableau Server usa LDAP (Protocolo ligero de acceso a directorios) para obtener el nombre de usuario.
También puede definir Tableau Server para que use el nombre común (CN) del certificado de cliente.
Haga clic en Guardar cambios pendientes cuando haya introducido dicha información.
Haga clic en Cambios pendientes, en la parte superior de la página:
Haga clic en Aplicar cambios y reiniciar.