Configurer l'authentification SSL mutuel

À l'aide de SSL mutuel, vous pouvez fournir aux utilisateurs de Tableau Desktop et autres clients Tableau approuvés une expérience d'accès direct sécurisé à Tableau Server. Avec SSL mutuel, lorsqu'un client possédant un certificat SSL valide se connecte à Tableau Server, Tableau Server confirme l'existence du certificat client et authentifie l'utilisateur, d'après le nom d'utilisateur sur le certificat client. Si le client ne possède pas un certificat SSL valide, Tableau Server peut refuser la connexion. Vous pouvez également configurer Tableau Server pour qu'il revienne à l'authentification par nom d'utilisateur/mot de passe en cas d'échec de SSL mutuel.

L'authentification SSL mutuel n'est pas prise en charge sur Tableau Mobile.

  1. Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.

  2. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d'informations, consultez Se connecter à l'interface utilisateur Web Tableau Services Manager.

  3. Dans l'onglet Configuration, sélectionnez Identité de l'utilisateur et accès > Méthodes d'authentification.

  4. Dans Méthode d'authentification, sélectionnez SSL mutuel dans le menu déroulant.

  5. Sous SSL mutuel, sélectionnez Utiliser SSL mutuel et l'authentification automatique avec les certificats clients.

  6. Cliquez sur Sélectionner un fichier et chargez votre certificat émis par une autorité de certification (CA) sur le serveur.

    Ce certificat doit être un certificat x509 PEM valide dont l'extension est .crt.

  7. Entrez les autres informations de configuration SSL de votre entreprise .

    Format de nom d'utilisateur : lorsque Tableau Server est configuré pour SSL mutuel, le serveur obtient le nom d'utilisateur du certificat client afin qu'il puisse établir une connexion directe pour l'utilisateur client. Le nom que Tableau Server utilise dépend de la manière dont Tableau Server est configuré pour l'authentification utilisateur :

    • Authentification locale—Tableau Server utilise le nom UPN (User Principal Name) du certificat.
    • Active Directory (AD)Tableau Server utilise LDAP (Lightweight Directory Access Protocol) pour obtenir le nom d'utilisateur.

    Sinon, vous pouvez configurer Tableau Server pour qu'il utilise le nom commun (CN) du certificat client.

    Configure mutual SSL screenshot

  8. Cliquez sur Enregistrer les modifications en attente après avoir saisi vos informations de configuration.

  9. Cliquez sur Modifications en attente en haut de la page :

  10. Cliquez sur Appliquer les modifications et redémarrer.

Étape 1 : Exiger SSL pour la communication serveur externe

Pour que Tableau Server utilise SSL pour la communication externe entre Tableau Server et les clients Web, exécutez la commande external-ssl enable comme ci-dessous, en fournissant les noms des fichiers .crt et .key du certificat du serveur :

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • Pour --cert-file et --key-file, spécifiez l'emplacement et le nom de fichier où vous avez enregistré le certificat SSL émis par l'autorité de certification du serveur (.crt) et les fichiers de clés (.key).

  • La commande ci-dessus part de l'hypothèse que vous êtes connecté en tant qu'utilisateur doté du rôle sur le site Administrateur de serveur surTableau Server. Au lieu de cela, vous pouvez utiliser les paramètres -u et -p pour spécifier un nom d'utilisateur et un mot de passe administrateur.

  • Si le fichier de clé de certificat requiert une phrase de passe, incluez le paramètre et la valeur --passphrase.

Étape 2 : Utiliser SSL mutuel

Ajoutez l'authentification mutuelle entre le serveur et chaque client, et permettez aux utilisateurs du client Tableau de s'authentifier directement après qu'ils ont fourni leurs informations d'identification pour la première fois.

  1. Exécutez la commande suivante :

    tsm authentication mutual-ssl configure -cert-file <file.crt>

    Pour --cert-file, spécifiez l'emplacement et le nom de fichier du certificat d'autorité de certification (.crt) du serveur, comme dans l'étape précédente pour SSL externe.

    Consultez les autres sections de cet article pour connaître les options supplémentaires à inclure avec la commande mutual-ssl configure.

  2. Exécutez les commandes suivantes pour activer SSL mutuel et appliquer les modifications :

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    La commande pending-changes apply affiche une invite qui vous informe que Tableau Server sera alors redémarré si le serveur est en cours d'exécution. L'invite s'affiche même si le serveur est arrêté, mais dans ce cas, il n'y a pas de redémarrage. Vous pouvez supprimer l'invite à l'aide de l'option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Pour plus d'informations, consultez tsm pending-changes apply.

Options supplémentaires pour SSL mutuel

Vous pouvez utiliser mutual-ssl configure pour configurer Tableau Server de manière à prendre en charge les options suivantes.

Pour plus d'informations, consultez tsm authentication mutual-ssl <commands>.

Authentification de secours

Lorsque Tableau Server est configuré pour SSL mutuel, l'authentification est automatique et un client doit posséder un certificat valide. Vous pouvez configurer Tableau Server pour autoriser une option de secours et accepter l'authentification par nom d'utilisateur et mot de passe.

tsm authentication mutual-ssl configure -fb true

Tableau Server accepte l 'authentification par nom d'utilisateur et mot de passe depuis les clients d'API REST, même si cette option est définie sur false.

Mappage de noms d'utilisateur

Lorsque Tableau Server est configuré pour SSL mutuel, le serveur authentifie l'utilisateur directement en obtenant le nom d'utilisateur du certificat client. Le nom que Tableau Server utilise dépend de la manière dont le serveur est configuré pour l'authentification utilisateur :

  • Authentification locale—utilise le nom UPN (User Principal Name) du certificat.

  • Active Directory (AD)—utilise le protocole LDAP (Lightweight Directory Access Protocol) pour obtenir le nom d'utilisateur.

Vous pouvez remplacer l'un de ces paramètres par défaut pour que Tableau Server utilise le nom courant.

tsm authentication mutual-ssl configure -m cn

Pour plus d'informations, consultez Association d'un certificat client à un utilisateur pendant l'authentification mutuelle.

Liste de révocation de certificat (CRL)

Vous devrez éventuellement spécifier un CRL si vous soupçonnez qu'une clé privée a été compromise, ou si une autorité de certification n'a pas émis un certificat correctement.

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

Merci pour vos commentaires ! Il y a eu une erreur lors de l’envoi de vos commentaires. Essayez à nouveau ou envoyez-nous un message.