Configurare il modulo di autenticazione con Gateway indipendente

Applicabile a: Tableau Advanced Management

Una procedura di sicurezza comune consiste nel consentire solo alle richieste autenticate di passare attraverso il firewall interno dei server DMZ. Gateway indipendente supporta i tradizionali metodi di autenticazione di Tableau Server, ma include anche proprietà di configurazione che consentono l’integrazione di un modulo caricabile httpd di Apache per l’autenticazione personalizzata.

Ad esempio, configurando SAML su Tableau Server e configurando un modulo di autenticazione personalizzato, puoi richiedere a tutti gli utenti di autenticarsi con l’IdP in Gateway indipendente. Solo gli utenti autenticati potranno quindi accedere a Tableau Server, che potrà autenticare e autorizzare l’accesso degli utenti.

Per una spiegazione più dettagliata di questo schema di autenticazione, consulta Pre-autenticazione con un modulo AuthN(Il collegamento viene aperto in una nuova finestra) nella Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni.

Per configurare il modulo di autenticazione, è necessario completare i passaggi seguenti:

  1. Genera file di configurazione del modulo di autenticazione. Al termine dell’installazione, ciascun modulo e le relative direttive di configurazione verranno trattati come opzioni Include, rendendo i file inclusi logicamente parte della configurazione httpd complessiva.
  2. Copiare i file di configurazione su ogni computer che esegue Gateway indipendente. Tutti i file devono essere copiati nelle stesse posizioni su ciascun computer Gateway indipendente. Ogni file è associato a una proprietà di configurazione gestita da Tableau Server.
  3. Imposta le proprietà di configurazione con il comando tsm configuration set su Tableau Server.

Non modificare il file di configurazione httpd (httpd.conf) su Gateway indipendente, poiché Gateway indipendente include la logica per aggiornare la configurazione httpd in base alle modifiche apportate con i comandi TSM su Tableau Server.

Esempio di configurazione del modulo di autenticazione

Per un esempio di configurazione del modulo di autenticazione end-to-end, consulta Esempio di configurazione dell’autenticazione: SAML con IdP esterno(Il collegamento viene aperto in una nuova finestra) nella Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni. L’esempio descrive come impostare e configurare SAML con l’IdP Okta e il modulo di autenticazione Mellon per una distribuzione di Tableau Server su Linux in esecuzione in AWS. Sebbene l’esempio descriva il processo per Linux, l’esempio di configurazione è utile anche per Tableau Server su Windows.

Proprietà di configurazione

La tabella seguente descrive i vari file di configurazione a cui è possibile fare riferimento. Ciascun file viene associato a una proprietà di configurazione impostata su Tableau Server. Usa le barre nel percorso, anche su Windows (convenzione Apache httpd). Devi solo definire le proprietà necessarie per formulare la tua configurazione di autenticazione personalizzata. Salta tutte le proprietà di configurazione che non sono necessarie.

Proprietà di configurazioneDescrizione
gateway.tsig.authn_module_blockAppare alla fine dell’insieme di moduli httpd Apache normalmente caricati. L’intento è che il file includa una o più direttive LoadModule. I moduli stessi dovrebbero essere identificati con percorsi completi.
gateway.tsig.authn_global_blockAppare dopo tutto i riferimenti LoadModule e prima della maggior parte delle altre direttive httpd di Apache. L’intento è quello di fornire una posizione per tutte le direttive di configurazione necessarie al modulo personalizzato.
gateway.tsig.authn_globalbottom_blockAppare in fondo al file di configurazione, sempre a livello globale. L’intento è quello di fornire una posizione per tutte le direttive di configurazione necessarie al modulo personalizzato, che deve venire specificatamente dopo varie altre direttive. È improbabile che tu ne abbia bisogno.
gateway.tsig.authn_location_blockAppare all’interno di un blocco <Location "/">, coprendo tutti i percorsi URL.
gateway.tsig.authn_directory_blockQuesto appare all’interno di un blocco <Directory "/">, che copre tutti i percorsi dei file serviti da Gateway indipendente. È improbabile che tu ne abbia bisogno. La maggior parte dei file serviti da Gateway indipendente sono risorse statiche non sensibili, come immagini e file JavaScript.
gateway.tsig.authn_virtualhost_block

Appare all’interno di uno o due blocchi <VirtualHost> : uno per TLS (se abilitato) e uno per non TLS. Se configurato, lo stesso file è incluso in entrambe le posizioni. Se è necessario distinguere i due casi, è possibile utilizzare la variabile di ambiente HTTPS https standard di Apache.

Blocco <Location "/tsighk">

Oltre al blocco <Location "/"> previsto per il normale traffico delle richieste, è anche presente un blocco <Location "/tsighk"> utilizzato per soddisfare le richieste interne Housekeeping (HK) di Gateway indipendente. Queste richieste HK hanno le proprie protezioni di autenticazione e non funzioneranno con le tipiche soluzioni SSO personalizzate.

Potrebbe essere necessario escludere in modo esplicito il modulo personalizzato dal tentativo di autenticazione per il percorso URL HK.

Per determinare se è necessario escludere il modulo, configura prima il modulo. Quindi cerca le richieste HK nel log di accesso di Gateway indipendente. Dovresti vedere un controllo di stato almeno una o due volte al minuto. Se tali richieste ricevono un codice di risposta 200, la situazione è normale. D’altra parte, se le richieste ricevono un codice di risposta 3xx (reindirizzamento al tuo provider di autenticazione personalizzato), devi fare qualcosa al riguardo.

Le possibili soluzioni includono:

  • Il blocco <Location "/tsighk"> contiene la direttiva AuthType None e ciò potrebbe essere sufficiente.
  • Il file httpd.conf di Gateway indipendente contiene la direttiva httpd Apache standard ProxyPreserveHost(Il collegamento viene aperto in una nuova finestra) On. Se si verifica una circostanza insolita che richiede che il valore sia Off o di altro tipo, tale valore può essere impostato con la voce di configurazione TSM gateway.tsig.proxypreservehost.
  • Potrebbero essere necessarie alcune direttive specifiche del modulo per disabilitare il modulo di autenticazione <Location "/tsighk">. Non puoi modificare direttamente il blocco nel file httpd.conf. Invece, puoi creare un altro blocco <Location "/tsighk"> nel file gateway.tsig.authn_global_block e lasciare che il file httpd di Apache li unisca logicamente. Ad esempio, alcune versioni di mod_auth_mellon, un popolare modulo di autenticazione open source, richiedonoMellonEnable Off per le sezioni in cui non è applicabile, anche se AuthType None è impostato in tali sezioni.
  • Quando si crea un’ulteriore sezione <Location "/tsighk">, come descritto nel punto precedente, potresti scoprire che l’ordine di apparizione delle varie sezioni nel file httpd.conf fa la differenza nel modo in cui si influenzano a vicenda. La sezione <Location "/tsighk"> standard appare prima della sezione <Location "/"> standard. Se la sperimentazione mostra che è necessario un ordine diverso, potresti dover definire un’altra sezione <Location "/"> nel blocco gateway.tsig.authn_global_block in aggiunta a un’altra sezione <Location "/tsighk">, nel qual caso potresti non aver bisogno di nulla in un blocco gateway.tsig.authn_location_block.

Risoluzione dei problemi di configurazione del modulo di autenticazione personalizzato

Un modo pratico per capire come Gateway indipendente comporrà il file httpd.conf consiste nell’impostare gli elementi di configurazione TSM con valori che puntano a file vuoti sui computer di Gateway indipendente. I file devono esistere, ma possono essere vuoti. È quindi possibile esaminare il file httpd.conf di Gateway indipendente per avere una comprensione concreta di dove appariranno effettivamente le direttive Include per i vari file di configurazione.

I problemi di configurazione nel file httpd.conf di Gateway indipendente possono impedire l’avvio del servizio tsig-httpd. Altri problemi di configurazione possono interferire con la ricezione degli aggiornamenti di configurazione dal servizio complementare Gateway indipendente sul cluster di Tableau Server. Un modo per recuperare, dopo aver risolto la causa del problema, è copiare TSIG_DATA/config/httpd.conf.stub inTSIG_DATA/config/httpd.conf, quindi riavviare il servizio tsig-httpd.

Per altri suggerimenti relativi alla risoluzione dei problemi, consulta Risoluzione dei problemi del Gateway indipendente di Tableau Server(Il collegamento viene aperto in una nuova finestra) nella Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni. La Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni fornisce un esempio di distribuzione di Tableau Server su Linux. La procedura per la risoluzione dei problemi è utile per le versioni Windows o Linux di Tableau Server.

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!