Résolution des problèmes liés à l’authentification SSL mutuel
Cette rubrique décrit les problèmes possibles d’authentification SSL mutuel (réciproque) et leurs causes, les messages que les utilisateurs peuvent voir ainsi que la solution possible de ces problèmes.
Pour plus d’informations sur l’authentification SSL mutuel et le mappage d’utilisateurs LDAP, UPN et CN, consultez les rubriques suivantes :
Nous n’avons pas pu trouver un certificat client valide. Contactez l’administrateur de Tableau Server.
Il manque un certificat au client.
Si le client ne possède pas de certificat client, l’utilisateur voit ce message pendant l’authentification :
We couldn't find a valid client certificate. Contact your Tableau Server administrator.
Pour résoudre le problème, l’utilisateur doit contacter l’administrateur système afin de générer un certificat pour l’ordinateur client.
Nom d’utilisateur ou mot de passe incorrect
Le client ne prend pas en charge l’authentification SSL mutuel.
Les versions de Tableau Desktop antérieures à la version 9.1 ne prennent pas en charge l’authentification SSL mutuel. Si une version antérieure de Tableau Desktop est utilisée pour se connecter à Tableau Server qui est configuré pour l’authentification SSL mutuel, les phénomènes suivants peuvent se produire :
Si Tableau Server est configuré pour utiliser l’authentification de secours, le client affiche une boîte de dialogue de connexion et l’utilisateur peut entrer un nom d’utilisateur et un mot de passe.
Si le serveur n’est pas configuré pour utiliser l’authentification de secours, l’utilisateur voit le message suivant et ne peut pas se connecter au serveur :
Invalid user name or password
Pour plus d’informations sur l’authentification de secours, consultez Configurer l’authentification SSL mutuel.
Nous n’avons pas pu trouver votre nom d’utilisateur dans le certificat client. Contactez l’administrateur de Tableau Server ou connectez-vous à l’aide de votre compte Tableau Server.
Les certificats clients ne sont pas publiés sur Active Directory.
Si Tableau Server est configuré pour utiliser Active Directory pour l’authentification et si le mappage d’utilisateurs est défini sur LDAP, Tableau Server envoie le certificat client à Active Directory pour l’authentification. Toutefois, si les certificats clients n’ont pas été publiés sur Active Directory, l’authentification échoue et le message suivant s’affiche :
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator or sign in using your Tableau Server account.
Pour résoudre ce problème, l’administrateur système doit s’assurer que les certificats clients sont publiés sur Active Directory. Sinon, vous pouvez configurer le serveur pour qu’il utilise un mappage d’utilisateurs différent (UPN ou CN), et l’administrateur système doit s’assurer que les certificats clients contiennent les noms d’utilisateur dans les champs UPN ou CN.
Les utilisateurs voient de manière inattendue une boîte de dialogue de connexion affichant un message d’erreur.
Si Tableau Server est configuré pour l’authentification SSL mutuel et que des certificats sont disponibles pour être utilisés avec les ordinateurs des utilisateurs, un utilisateur ne devrait pas voir une boîte de dialogue d’authentification étant donné que Tableau Server utilise le certificat pour authentifier l’utilisateur. Toutefois, si le serveur ne reconnaît pas le nom d’utilisateur dans le certificat, l’utilisateur voit s’afficher une boîte de dialogue de connexion avec un message d’erreur indiquant pourquoi le certificat n’a pas été utilisé. Ceci peut se produire lorsque toutes les conditions suivantes sont vraies :
L’authentification de secours est activée.
Si le serveur utilise le mappage UPN ou CN, le nom d’utilisateur dans le champ UPN ou CN du certificat n’est pas reconnu. Si le serveur utilise le mappage LDAP, le certificat n’est pas associé à l’utilisateur dans Active Directory.
Pour résoudre ce problème, l’administrateur système doit prendre les mesures suivantes, selon le mode de configuration du mappage d’utilisateurs dans Tableau Server :
Mappage LDAP :Assurez-vous que le certificat est lié à l’utilisateur, que le certificat est disponible pour être utilisé avec l’ordinateur de l’utilisateur et que l’utilisateur est configuré en tant qu’utilisateur Tableau Server.
Mappage UPN ou CN :Assurez-vous que le certificat est disponible pour l’ordinateur de l’utilisateur, que le nom d’utilisateur est dans le champ UPN ou CN du certificat, et que le nom d’utilisateur correspond au nom d’utilisateur dans Tableau Server (y compris le domaine).
Nous n’avons pas pu trouver votre nom d’utilisateur dans le certificat client. Contactez l’administrateur de Tableau Server.
Le certificat ne contient pas un nom d’utilisateur Tableau Server valide.
Le nom d’utilisateur dans les champs UPN ou CN est manquant ou incorrect
Lorsque Tableau Server est configuré pour utiliser le mappage UPN ou CN, le serveur lit le nom d’utilisateur depuis le champ UPN ou CN du certificat puis recherche le nom d’utilisateur dans Active Directory ou dans le référentiel local sur Tableau Server. (Le champ spécifique que le serveur lit dépend du mappage—UPN ou CN—que le serveur est configuré pour utiliser.) Si le champ supposé contenir le nom d’utilisateur ne contient rien, l’utilisateur voit le message suivant :
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator.
Si un certificat client contient un nom d’utilisateur mais que Active Directory et Tableau Server ne reconnaissent pas le nom d’utilisateur, l’utilisateur voit le message suivant :
Certificate does not contain a valid Tableau Server user name.
Ceci peut se produire lorsque toutes les conditions suivantes sont vraies :
Tableau Server est configuré pour utiliser le mappage UPN ou CN.
L’authentification de secours n’est pas activée.
Le certificat client n’affiche aucun nom d’utilisateur dans le champ UPN ou CN, ou le nom d’utilisateur dans le champ UPN ou CN ne correspond pas à un nom d’utilisateur dans Active Directory ou sur Tableau Server.
Pour résoudre ce problème, l’administrateur système doit s’assurer que le certificat de l’utilisateur utilise le nom d’utilisateur correct dans les champs UPN ou CN du certificat.
L’utilisateur est connecté avec un nom d’utilisateur inattendu (mappage LDAP)
Lorsque le serveur est configuré pour utiliser l’authentification Active Directory et le mappage LDAP, le certificat est lié à un utilisateur dans Active Directory. Si le certificat contient un nom d’utilisateur dans le champ UPN ou CN, ce nom d’utilisateur est ignoré.
Si l’intention est que l’utilisateur soit connecté avec le nom d’utilisateur qui se trouve dans les champs UPN ou CN, le serveur doit être configuré de manière à utiliser le mappage UPN ou CN.
L’utilisateur est connecté en tant qu’utilisateur incorrect (mappage UPN ou CN)
Dans certains cas, le nom d’utilisateur dans un champ UPN ou CN du certificat client peut être ambigu. Le résultat est qu’un utilisateur est connecté à l’identité incorrecte.
Pour plus d’informations sur les conditions dans lesquelles le problème se produit, consultez la section « Noms d’utilisateur ambigus dans les entreprises à plusieurs domaines » dans Association d’un certificat client à un utilisateur pendant l’authentification mutuelle.