Wederkerige SSL-verificatie configureren

Door wederkerige SSL te gebruiken, kunt u gebruikers van Tableau Desktop, Tableau Mobile en andere goedgekeurde Tableau-clients een veilige ervaring met directe toegang tot Tableau Server bieden. Bij wederkerige SSL bevestigt Tableau Server, wanneer een client met een geldig SSL-certificaat verbinding maakt met Tableau Server, het bestaan van het clientcertificaat en wordt de gebruiker geverifieerd op basis van de gebruikersnaam in het clientcertificaat. Als de client niet over een geldig SSL-certificaat beschikt, kan Tableau Server de verbinding weigeren.

U kunt Tableau Server ook configureren om terug te vallen op gebruikersnaam-/wachtwoordverificatie als wederkerige SSL mislukt. Bovendien kan een gebruiker inloggen via de REST API met een gebruikersnaam en wachtwoord (indien aanwezig), ongeacht of fallback-verificatie is geconfigureerd.

Tijdslimieten voor gebruikersverificatiesessies

Wanneer gebruikers inloggen met wederkerige SSL, wordt de verificatiesessie beheerd via dezelfde methode die de configuratie van de algemene verificatiesessie van Tableau Server beheert.

Voor clients die verbinding maken met Tableau Server via een webbrowser, wordt de configuratie van de globale verificatiesessie beschreven in de Checklist voor beveiligingsversterking. Zie 10. Configuratie voor levensduur van de sessie verifiëren.

Sessies voor verbonden clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder en Bridge) gebruiken OAuth-tokens om gebruikers aangemeld te houden door een sessie opnieuw tot stand te brengen. OAuth-clienttokens worden standaard na een jaar opnieuw ingesteld. Als een clienttoken veertien dagen niet is gebruikt, vervalt deze. U kunt deze waarden met de opties refresh_token.absolute_expiry_in_seconds en refresh_token.idle_expiry_in_seconds instellen. Zie tsm configuration set-opties.

Certificaatgebruik

Configureer Externe SSL voordat u wederkerige SSL inschakelt en configureert. Externe SSL verifieert Tableau Server bij de client en versleutelt de sessie met het certificaat en de sleutel die vereist zijn wanneer u externe SSL configureert.

Voor wederkerige SSL is een extra certificaatbestand vereist. Het bestand is een aaneenschakeling van CA-certificaatbestanden. Het bestandstype moet de extensie .crt hebben. Een ’CA’is een certificaatautoriteit die certificaten uitgeeft aan de clientcomputers die verbinding maken met Tableau Server. Door het uploaden van het CA-certificaatbestand wordt een vertrouwensrelatie tot stand gebracht. Hierdoor kan Tableau Server de afzonderlijke certificaten verifiëren die door de clientcomputers worden gepresenteerd.

We raden aan om als onderdeel van uw noodherstelplan een back-up van het certificaat- en herstelbestanden (indien van toepassing) op een veilige locatie buiten Tableau Server te bewaren. Het certificaatbestand en de herstelbestanden die u aan Tableau Server toevoegt, worden door de clientbestandsservice opgeslagen en gedistribueerd naar andere knooppunten. De bestanden worden echter niet opgeslagen in een herstelbaar formaat. Zie Tableau Server - Clientbestandsservice.

RSA-sleutel- en ECDSA-curvegroottes

Het CA-certificaat dat voor wederkerige SSL wordt gebruikt. moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.

U kunt Tableau Server configureren om de minder veilige formaten te accepteren door de betreffende configuratiesleutels in te stellen:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

Zie tsm configuration set-opties.

Vereisten voor clientcertificaten

Gebruikers die zich bij Tableau Server verifiëren met wederkerige SSL, moeten een clientcertificaat overleggen dat voldoet aan de minimale beveiligingsvereisten.

Ondertekeningsalgoritme

Clientcertificaten moeten een ondertekeningsalgoritme met SHA-256 of hoger gebruiken.

Als Tableau Server is geconfigureerd voor wederkerige SSL-verificatie, wordt de verificatie geblokkeerd van gebruikers met clientcertificaten die het SHA-1-ondertekeningsalgoritme gebruiken.

Gebruikers die proberen in te loggen met SHA-1-clientcertificaten krijgen de foutmelding 'Kan niet aanmelden' te zien. De volgende fout wordt weergegeven in de VizPortal-logboeken:

Unsupported client certificate signature detected: [certificate Signature Algorithm name]

U kunt Tableau Server configureren om het minder veilige SHA-1-ondertekeningsalgoritme te accepteren door de volgende instellingen in te stellen: ssl.client_certificate_login.blocklisted_signature_algorithms optie tsm configuration.

RSA-sleutel- en ECDSA-curvegroottes

Het clientcertificaat dat voor wederkerige SSL wordt gebruikt, moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.

Tableau Server accepteert geen wederkerige verificatieaanvragen van clientcertificaten die niet aan deze vereisten voldoen. U kunt Tableau Server configureren om de minder veilige formaten te accepteren door de betreffende configuratiesleutels in te stellen:

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

Zie tsm configuration set-opties.

  1. SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server.

  2. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  3. Selecteer op het tabblad Configuratie Gebruikersidentiteit en -toegang > Verificatiemethode.

  4. Selecteer onder Verificatiemethode Wederkerige SSL in het vervolgkeuzemenu.

  5. Selecteer onder wederkerige SSL Wederkerige SSL en automatische aanmelding met clientcertificaten gebruiken.

  6. Klik op Bestand selecteren en upload het certificaatbestand van uw certificeringsinstantie (CA) naar de server.

    Het bestand (.crt) is een alles-in-één-bestand en bevat certificaten van CA's die worden gebruikt voor clientverificatie. Het bestand dat u uploadt, moet een aaneenschakeling zijn van de verschillende PEM-gecodeerde certificaatbestanden, in de gewenste volgorde.

  7. Voer de resterende SSL-configuratiegegevens voor uw organisatie in:

    Notatie van gebruikersnaam: wanneer Tableau Server is geconfigureerd voor wederkerige SSL, dan ontvangt de server de gebruikersnaam van het clientcertificaat, zodat deze een directe aanmelding voor de clientgebruiker kan instellen. De naam die Tableau Server gebruikt, hangt af van hoe Tableau Server is geconfigureerd voor gebruikersverificatie:

    • Lokale verificatie: Tableau Server gebruikt de UPN (User Principal Name) van het certificaat.
    • Active Directory (AD): Tableau Server maakt gebruik van LDAP (Lightweight Directory Access Protocol) om de gebruikersnaam op te halen.

    Als alternatief kunt u Tableau Server zodanig instellen dat de CN (Common Name) van het clientcertificaat wordt gebruikt.

    Schermopname van wederkerige SSL configureren

  8. Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.

  9. Klik op Lopende wijzigingen bovenaan de pagina:

  10. Klik op Wijzigingen toepassen en opnieuw opstarten.

Stap 1: SSL vereisen voor externe servercommunicatie

Om Tableau Server SSL te laten gebruiken voor externe communicatie tussen Tableau Server en webclients, voert u de opdracht external-ssl enable als volgt uit, waarbij u de namen voor de .crt- en .key-bestanden van het servercertificaat opgeeft:

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • Voor --cert-file en --key-filegeeft u de locatie en de bestandsnaam op waar u de door de CA uitgegeven SSL-certificaatbestanden (.crt) en sleutelbestanden (.key) van de server hebt opgeslagen.

  • De bovenstaande opdracht gaat ervan uit dat u bent aangemeld als gebruiker met de siterol Serverbeheerder bij Tableau Server. U kunt in plaats daarvan de parameters -u en -p gebruiken om een beheerdersgebruiker en wachtwoord op te geven.

  • Als het certificaatsleutelbestand een wachtwoordzin vereist, neem dan de parameter en waarde voor --passphrase op.

Stap 2: wederkerige SSL configureren en inschakelen

Voeg wederkerige verificatie toe tussen de server en elke client en zorg dat Tableau-clientgebruikers direct worden geverifieerd nadat ze voor de eerste keer hun referenties hebben verstrekt.

  1. Voer de volgende opdracht uit:

    tsm authentication mutual-ssl configure --ca-cert <certificate-file.crt>

    Geef voor --ca-cert de locatie en bestandsnaam op voor het certificaatbestand van de certificaatautoriteit (CA).

    Het bestand (.crt) is een alles-in-één-bestand en bevat certificaten van CA's die worden gebruikt voor clientverificatie. Het bestand dat u uploadt, moet een aaneenschakeling zijn van de verschillende PEM-gecodeerde certificaatbestanden, in de gewenste volgorde.

  2. Voer de volgende opdrachten uit om wederkerige SSL in te schakelen en de wijzigingen toe te passen:

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Extra opties voor wederkerige SSL

U kunt mutual-ssl configure gebruiken om Tableau Server te configureren ter ondersteuning van de volgende opties.

Zie tsm authentication mutual-ssl <commands> voor meer informatie.

Terugvalverificatie

Wanneer Tableau Server is geconfigureerd voor wederkerige SSL, verloopt verificatie automatisch en moeten clients een geldig certificaat hebben. U kunt Tableau Server configureren om een terugvaloptie toe te staan om gebruikersnaam- en wachtwoordverificatie te accepteren.

tsm authentication mutual-ssl configure -fb true

Tableau Server accepteert gebruikersnaam- en wachtwoordverificatie van REST API-clients. Zelfs als de bovenstaande optie is ingesteld op false.

Toewijzen van gebruikersnamen

Wanneer Tableau Server is geconfigureerd voor wederkerige SSL, verifieert de server de gebruiker rechtstreeks door de gebruikersnaam op te halen uit het clientcertificaat. De naam die Tableau Server gebruikt, hangt af van hoe de server is geconfigureerd voor gebruikersverificatie:

  • Lokale verificatie :gebruikt de UPN (User Principal Name) van het certificaat.

  • Active Directory (AD): maakt gebruik van LDAP (Lightweight Directory Access Protocol) om de gebruikersnaam op te halen.

U kunt een van deze standaardinstellingen overschrijven om Tableau Server in te stellen om de algemene naam te gebruiken.

tsm authentication mutual-ssl configure -m cn

Zie Een clientcertificaat toewijzen aan een gebruiker bij wederkerige verificatie voor meer informatie.

Certificaatintrekkingslijst (CRL)

Mogelijk moet u een CRL opgeven als u vermoedt dat een privésleutel is beschadigd of als een certificeringsinstantie (CA) een certificaat niet correct heeft uitgegeven.

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.