Utilisez les commandes tsm security pour configurer la prise en charge de Tableau Server pour SSL externe (passerelle) ou SSL du référentiel (Postgres). La configuration de SSL pour le référentiel inclut l'option d'activation de SSL sur les connexions directes depuis les clients Tableau (y compris Tableau Desktop, Tableau Mobile et les navigateurs Web) vers le référentiel.

Conditions préalables

Avant de configurer SSL, vous devez acquérir des certificats, puis les copier sur l'ordinateur exécutant le processus de passerelle Tableau Server. Une préparation supplémentaire est requise pour activer les connexions directes depuis les clients. Pour en savoir plus, consultez les articles suivants :

Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server

Configurer SSL pour la communication Postgres interne

 Pour des informations sur SSL mutuel (réciproque), consultez Configurer l'authentification SSL mutuel et Commandes tsm authentication mutual-ssl.

tsm security custom-cert add

Ajoute un certificat CA personnalisé à Tableau Server. Ce certificat est utilisé en option pour établir une communication TLS de confiance entre un serveur SMTP et Tableau Server.

S'il existe déjà un certificat personnalisé, cette commande échouera. Vous pouvez supprimer le certificat personnalisé existant à l'aide de la commande tsm security custom-cert delete.

Remarque : le certificat que vous ajoutez avec cette commande peut être utilisé par d'autres services Tableau Server pour les connexions TLS.

Dans le cadre de votre plan de récupération après sinistre, nous vous recommandons de conserver une sauvegarde du fichier de certificat dans un emplacement sûr hors de Tableau Server. Le fichier de certificat que vous ajoutez à Tableau Server sera stocké et distribué à d’autres nœuds par le service des fichiers client. Toutefois, le fichier n’est pas stocké dans un format récupérable. Consultez Service des fichiers client Tableau Server.

Synopsis

tsm security custom-cert add --cert-file <file.crt> [global options]

Options

-cf, --cert-file <file.crt>

Obligatoire. Spécifiez le nom d'un fichier de certificat au format PEM ou DER valide.

tsm security custom-cert delete

Supprime le certificat personnalisé existant du serveur. Ceci vous permet d'ajouter un nouveau certificat personnalisé.

Synopsis

tsm security custom-cert delete[global options]

tsm security custom-cert list

Liste des détails du certificat personnalisé.

Synopsis

tsm security custom-cert list[global options]

tsm security external-ssl disable

Supprime les paramètres de configuration SSL existants du serveur et arrête le chiffrement du trafic entre les clients externes et le serveur.

Synopsis

tsm security external-ssl disable [global options]

tsm security external-ssl enable

Activez et spécifiez les fichiers de certificat et de clé pour SSL sur une communication HTTP externe.

Synopsis

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

Options

--cert-file <file.crt>

Obligatoire. Spécifiez le nom d'un certificat x509 valide codé au format PEM possédant une extension .crt.

--key-file <file.key>

Obligatoire. Spécifiez un fichier de clé privée RSA ou DSA valide (avec l'extension .key par convention).

--chain-file <chainfile.crt>

Spécifiez le fichier de chaîne de certificats (.crt)

Un fichier de chaîne de certificats est requis pour Tableau Desktop sur le Mac. Dans certains cas, il peut aussi être requis pour Tableau Mobile.

Certains fournisseurs de certificats émettent deux certificats pour Apache. Le deuxième certificat est un fichier de chaîne, une concaténation de tous les certificats constituant la chaîne de certificats du certificat du serveur.

Tous les certificats présents dans le fichier doivent être de type x509 PEM et l'extension du fichier doit être .crt (et non .pem).

--passphrase

Facultatif. Phrase de passe pour le fichier de certificat. La phrase de passe que vous entrez sera chiffrée en période d'inactivité.

Remarque : si vous créez un fichier de clé de certificat avec une phrase de passe, vous ne pouvez pas réutiliser la clé de certificat SSL pour SAML.

--protocols <liste des protocoles>

Facultatif. Spécifiez les versions du protocole TLS (Transport Layer Security) que vous souhaitez autoriser ou interdire.

TLS est une version améliorée de SSL. Tableau Server utilise TLS pour authentifier et chiffrer les connexions. Les valeurs acceptées incluent les versions de protocole prises en charge par Apache. Pour désactiver un protocole, ajoutez le caractère moins (-) devant la version du protocole.

Paramètre par défaut : "all, -SSLv2, -SSLv3"

Ce paramètre par défaut n'autorise pas explicitement les clients à utiliser les protocoles SSL v2 ou SSL v3 pour se connecter à Tableau Server. Nous recommandons toutefois d'interdire également les protocoles TLS v1 et TLS v1.1.

Avant d'interdire une version spécifique de TLS, vérifiez que les navigateurs depuis lesquels vos utilisateurs se connectent à Tableau Server prennent en charge TLS v1.2. Il se peut que vous deviez conserver la prise en charge de TLSv1.1 jusqu'à ce que les navigateurs soient mis à jour.

Si vous n'avez pas besoin de prendre en charge TLS v1 ou v1.1, utilisez la commande suivante pour autoriser TLS v1.2 (à l'aide de la valeur all), et interdire explicitement SSL v2, SSL v3, TLS v1 et TLS v1.1.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Affiche une liste des paramètres liés à la configuration de SSL externe de la passerelle. La liste inclut les noms des fichiers de certificat utilisés, mais non leur emplacement.

Synopsis

tsm security external-ssl list [global options]

tsm security kms set-mode aws

Réglez le mode KMS sur AWS.

Vous aurez besoin de la chaîne ARN complète d'AWS KMS. Cette chaîne se trouve dans la section « Configuration générale » des pages de gestion d'AWS KMS. L'ARN se présente au format suivant : arn:aws:kms:<region>:<account>:key/<CMK_ID>, par exemple, arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Pour plus d'informations, consultez Système de gestion de clés AWS.

Synopsis

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

Options

--key-arn

Obligatoire. L'option --key-arn effectue une copie directe de la chaîne de caractères de l'ARN dans la section « Configuration générale » des pages de gestion d'AWS KMS.

--aws-region

Obligatoire. Spécifiez une région comme indiqué dans la colonne Région de la table Amazon API Gateway(Le lien s’ouvre dans une nouvelle fenêtre).

Exemple

Par exemple, si votre instance AWS KMS s'exécute dans la zone géographique us-west-2, que votre numéro de compte est 867530990073 et que votre clé CMK est 1abc23de-fg45-6hij-7k89-1l0mn1234567, la commande utilisée est :

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

Définissez le mode KMS sur Azure Key Vault.

Remarque : le mode KMS s’affiche sous le nom « Azure Key Vault » lorsque vous exécutez tsm security kms status, mais que vous le définissez comme « azure ».

Vous aurez besoin du nom d’Azure Key Vault et du nom de la clé dans Azure.

Pour plus d’informations complémentaires, consultez Azure Key Vault.

Synopsis

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

Options

--key-name

Obligatoire. Nom de la clé asymétrique stockée dans Azure Key Vault.

--vault-name

Obligatoire. Nom d’Azure Key Vault.

Exemple

Par exemple, si votre Azure Key Vault a pour nom tabsrv-keyvault et que votre clé est tabsrv-sandbox-key01, la commande serait :

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

Définissez ou réinitialisez le mode KMS sur local. Le mode local est le mode par défaut de KMS. Pour plus d'informations, consultez Système de gestion de clés Tableau Server.

Synopsis

tsm security kms set-mode local [global options]

tsm security kms status

Voir l'état de la configuration de KMS. Le statut retourné comprend :

  • État : OK indique que KMS est accessible par Tableau, ou par le nœud du contrôleur en cas d’installation distribuée.
  • Mode : Local, AWS ou Azure Key Vault. Indique quel mode KMS est utilisé.
  • Crypter et décrypter la clé de cryptage principale :

    KMS stocke une collection de clés d'extraits principales (MEK). Chaque MEK possède :

    • Un ID, par exemple, 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • Un état « clé de cryptage ou de décryptage » ou « clé de cryptage uniquement ». Si une clé est « crypter ou décrypter », Tableau Server cryptera les nouvelles données à l'aide de cette clé. Sinon, la clé ne sera utilisée que pour le décryptage
    • Un horodatage de création, par exemple, « Date de création : 2019-05-29T23:46:54Z »
    • Première transition vers le cryptage ou le décryptage : un horodatage indiquant quand la clé est devenue une clé de cryptage ou de décryptage.
    • Transition vers le décryptage uniquement : un horodatage indiquant quand la clé est passée au décryptage seul.

Les autres valeurs retournées dépendent du mode KMS.

Lorsque le mode KMS est AWS, ce qui suit est retourné :

  • L'ARN (ID) de la clé client principale (CMK).
  • La région dans laquelle se trouve CMK.
  • L'ID de la clé racine principale (RMK) utilisée. RMK est une clé cryptée par CMK. Tableau Server décrypte la clé CMK en faisant des appels à AWS KMS. RMK est ensuite utilisé pour crypter/décrypter la clé d'extrait principale (MEK). RMK peut changer, mais il n'y en aura qu'une à la fois.

Lorsque le mode KMS est Azure Key Vault, ce qui suit est retourné:

  • Nom du coffre : nom d’Azure Key Vault.
  • Nom de la clé Azure Key Vault : nom de la clé dans le coffre.

Synopsis

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Désactive la connexion Rserve.

Pour plus d'informations, consultez Utiliser des scripts R (Rserve) dans votre flux.

tsm security maestro-rserve-ssl enable

Configurez une connexion entre un serveur Rserve et la version Tableau Server 2019.3 ou ultérieur.

Pour plus d'informations, consultez Utiliser des scripts R (Rserve) dans votre flux.

Synopsis

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

Options

--connection-type

Sélectionnez maestro-rserve-secure pour activer une connexion sécurisée ou maestro-rserve pour activer une connexion non sécurisée. Si vous sélectionnez maestro-rserve-secure, spécifiez le chemin d'accès du fichier de certificat dans la ligne de commande.

--rserve-host

Hôte

--rserve-port

Port

--rserve-username

Nom d'utilisateur

--rserve-password

Mot de passe

--rserve-connect-timeout-ms

Délai d'expiration de la connexion en millisecondes. Par exemple : --rserve-connect-timeout-ms 900000.

tsm security maestro-tabpy-ssl disable

Désactive la connexion TabPy.

Pour plus d'informations, consultez Utiliser des scripts Python dans votre flux.

tsm security maestro-tabpy-ssl enable

Configurez une connexion entre un serveur TabPy et Tableau Server version 2019.3 ou version ultérieure.

Pour plus d'informations, consultez Utiliser des scripts Python dans votre flux.

Synopsis

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

Options

--connection-type

Sélectionnez maestro-tabpy-secure pour activer une connexion sécurisée ou maestro-tabpy pour activer une connexion non sécurisée. Si vous sélectionnez maestro-tabpy-secure, spécifiez le fichier de certificat -cf<certificate file path> dans la ligne de commande.

--tabpy-host

Hôte

--tabpy-port

Port

--tabpy-username

Nom d'utilisateur

--tabpy-password

Mot de passe

--tabpy-connect-timeout-ms

Délai d'expiration de la connexion en millisecondes. Par exemple : --tabpy-connect-timeout-ms 900000.

tsm security regenerate-internal-tokens

Cette commande exécute les opérations suivantes :

  1. Arrête Tableau Server s’il est en cours d’exécution.

  2. Génère de nouveaux certificats SSL internes pour le référentiel Postgres du serveur de recherche.

  3. Génère de nouveaux mots de passe pour tous les mots de passe gérés en interne.

  4. Met à jour tous les mots de passe du référentiel Postgres.

  5. Génère une nouvelle clé de cryptage pour la gestion des clés des ressources et crypte les données des clés des ressources avec la nouvelle clé.

  6. Génère une nouvelle clé de cryptage pour les secrets de configuration (clé principale) et crypte la configuration à l'aide de cette clé.

  7. Reconfigure et met à jour Tableau Server avec tous ces secrets. Dans un déploiement distribué, cette commande distribue également la reconfiguration et les mises à jour sur tous les nœuds du cluster.

  8. Regénère une nouvelle clé principale, l'ajoute au fichier keystore principal puis crée de nouveaux jetons de sécurité à des fins d'utilisation interne.

  9. Démarre Tableau Server.

Si vous comptez ajouter un nœud à votre cluster après avoir exécuté cette commande, vous devez générer un nouveau fichier de configuration de nœud pour mettre à jour les jetons, clés et secrets qui sont générés par cette commande. Consultez Installer et configurer des nœuds supplémentaires.

Pour plus d'informations sur les mots de passe, consultez Gérer les secrets de serveur.

Synopsis

tsm security regenerate-internal-tokens [options] [global options]

Options

--request-timeout <timeout in seconds>

Facultatif.

Attendez la durée spécifiée d’exécution de la commande. La valeur par défaut est 1800 (30 minutes).

tsm security repository-ssl disable

Arrêtez le cryptage du trafic entre le référentiel et les autres composants serveur, et arrêtez la prise en charge des connexions directes depuis les clients Tableau.

Synopsis

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

Dans le cas d'un référentiel local, active SSL et génère les fichiers .crt et .key du serveur utilisés pour le trafic crypté entre le référentiel Postgres et les autres composants du serveur.

À partir de la version 2021.4, en cas d'utilisation d'un référentiel externe, importe les fichiers .crt et .key du serveur utilisés pour crypter le trafic entre le référentiel PostgreSQL externe et les composants Tableau Server.

Activer cette option vous donne également la possibilité d'activer SSL sur les connexions directes depuis les clients Tableau vers le serveur.

Synopsis

tsm security repository-ssl enable [options] [global options]

Options

-i, --internal-only

Facultatif. Cette option s'applique uniquement lorsque le référentiel est local sur Tableau Server et n'est pas configuré en externe à Tableau Server. Cette option ne doit pas être utilisée lorsque Tableau Server est configuré avec un référentiel externe.

Lorsque l'option est définie sur --internal-only, Tableau Server utilise SSL entre le référentiel et les autres composants du serveur, et prend en charge (mais n'exige pas) SSL pour les connexions directes établies via des utilisateurs tableau ou readonly.

Si cette option n'est pas activée, Tableau Server exige SSL pour le trafic entre le référentiel et les autres composants du serveur, ainsi que pour les connexions directes depuis les clients Tableau (pour les connexions via les utilisateurs tableau ou readonly).

Lorsque vous spécifiez cette option, vous devez également effectuer la procédure décrite dans Configurer Postgres SSL pour autoriser les connexions directes depuis les clients.

-c, --certificate

Facultatif. Ajouté dans la version 2021.4. Cette option s'applique uniquement lorsque Tableau Server est configuré avec un référentiel externe. Elle peut être utilisée pour activer ou désactiver les connexions SSL après l'installation.

Cette option vous permet d'activer l'utilisation des connexions SSL/TSL entre Tableau Server et le référentiel externe. Lorsque vous utilisez cette option, fournissez le chemin d'accès complet au fichier de certificat SSL, y compris le nom de fichier pour le référentiel externe. Ce fichier est le même que celui utilisé lors de l'activation du référentiel externe.

tsm security repository-ssl get-certificate-file

Obtenez le fichier de certificat public utilisé pour la communication SSL avec le référentiel Tableau. SSL doit être activé pour la communication avec le référentiel avant de pouvoir récupérer un certificat. Le fichier de certificat est distribué automatiquement aux clients internes du référentiel dans le cluster Tableau Server. Pour que les clients distants puissent se connecter au référentiel sur SSL, vous devez copier le fichier de certificat public sur chaque client.

Cette commande fonctionne uniquement lorsque Tableau Server utilise un référentiel local. Elle entraînera une erreur si Tableau Server est configuré avec un référentiel externe.

Synopsis

tsm security repository-ssl get-certificate-file [global-options]

Options

-f, --file

Obligatoire.

Chemin d'accès complet et nom de fichier (avec l'extension .cert) où enregistrer le fichier de certificat. S'il existe un fichier en double, il sera écrasé.

tsm security repository-ssl list

Retourne la configuration SSL du répertoire existant (Postgres).

Synopsis

tsm security repository-ssl list [global-options]

tsm security rotate-coordination-service-secrets

Version : ajouté dans la version 2022.1

Génère de nouveaux certificats, clés et magasins de confiance utilisés par le Service de coordination pour les connexions sécurisées.

Synopsis

tsm security rotate-coordination-service-secrets [options][global options]

Options

--coord-svc-restart-timeout<seconds>

Facultatif.

Attendez le nombre de secondes spécifié pour que le service de coordination redémarre. Par défaut : 1200 (20 minutes).

--ignore-prompt

Facultatif.

Effectuez un redémarrage (si nécessaire) sans invite.

--request-timeout <seconds>

Facultatif.

Attendez le nombre de secondes spécifié d’exécution de la commande. Valeur par défaut : 1800 (30 minutes).

Options globales

-h, --help

Facultatif.

Affichez l'aide de la commande.

-p, --password <password>

Requis, en même temps que -u ou --username si aucune session n'est active.

Spécifiez le mot de passe de l'utilisateur spécifié dans -u ou --username.

Si le mot de passe inclut des espaces ou des caractères spéciaux, mettez-le entre guillemets :

--password "my password"

-s, --serveur https://<hostname>:8850</hostname>

Facultatif.

Utilisez l'adresse spécifiée pour Tableau Services Manager. L’URL doit commencer par https, inclure le port 8850 et utiliser le nom de serveur, et non l’adresse IP. Par exemple, https://<tsm_hostname>:8850. Si aucun serveur n'est spécifié, https://<localhost | dnsname>:8850 est présupposé.

--trust-admin-controller-cert

Facultatif.

Utilisez cet indicateur pour approuver le certificat auto-signé sur le contrôleur TSM. Pour plus d’informations sur les connexions d’approbation de certificat et d'interface en ligne de commande, reportez-vous à la rubrique Connexion des clients TSM.

-u, --username <user>

Requis si aucune session n'est active, en même temps que -p ou --password.

Spécifiez un compte utilisateur. Si vous n'incluez pas cette option, la commande s'exécute à l'aide des informations d'identification avec lesquelles vous vous êtes connecté.

Merci de vos commentaires !