Wederkerige SSL-verificatie configureren
Door wederkerige SSL te gebruiken, kunt u gebruikers van Tableau Desktop, Tableau Mobile en andere goedgekeurde Tableau-clients een veilige ervaring met directe toegang tot Tableau Server bieden. Bij wederkerige SSL bevestigt Tableau Server, wanneer een client met een geldig SSL-certificaat verbinding maakt met Tableau Server, het bestaan van het clientcertificaat en wordt de gebruiker geverifieerd op basis van de gebruikersnaam in het clientcertificaat. Als de client niet over een geldig SSL-certificaat beschikt, kan Tableau Server de verbinding weigeren.
U kunt Tableau Server ook configureren om terug te vallen op gebruikersnaam-/wachtwoordverificatie als wederkerige SSL mislukt. Bovendien kan een gebruiker inloggen via de REST API met een gebruikersnaam en wachtwoord (indien aanwezig), ongeacht of fallback-verificatie is geconfigureerd.
Tijdslimieten voor gebruikersverificatiesessies
Wanneer gebruikers inloggen met wederkerige SSL, wordt de verificatiesessie beheerd via dezelfde methode die de configuratie van de algemene verificatiesessie van Tableau Server beheert.
Voor clients die verbinding maken met Tableau Server via een webbrowser, wordt de configuratie van de globale verificatiesessie beschreven in de Checklist voor beveiligingsversterking.
Sessies voor verbonden clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder en Bridge) gebruiken OAuth-tokens om gebruikers aangemeld te houden door een sessie opnieuw tot stand te brengen. OAuth-clienttokens worden standaard na een jaar opnieuw ingesteld. Als een clienttoken veertien dagen niet is gebruikt, vervalt deze. U kunt deze waarden met de opties refresh_token.absolute_expiry_in_seconds
en refresh_token.idle_expiry_in_seconds
instellen. Zie tsm configuration set-opties.
Certificaatgebruik
Configureer Externe SSL voordat u wederkerige SSL inschakelt en configureert. Externe SSL verifieert Tableau Server bij de client en versleutelt de sessie met het certificaat en de sleutel die vereist zijn wanneer u externe SSL configureert.
Voor wederkerige SSL is een extra certificaatbestand vereist. Het bestand is een aaneenschakeling van CA-certificaatbestanden. Het bestandstype moet de extensie .crt
hebben. Een ’CA’is een certificaatautoriteit die certificaten uitgeeft aan de clientcomputers die verbinding maken met Tableau Server. Door het uploaden van het CA-certificaatbestand wordt een vertrouwensrelatie tot stand gebracht. Hierdoor kan Tableau Server de afzonderlijke certificaten verifiëren die door de clientcomputers worden gepresenteerd.
We raden aan om als onderdeel van uw noodherstelplan een back-up van het certificaat- en herstelbestanden (indien van toepassing) op een veilige locatie buiten Tableau Server te bewaren. Het certificaatbestand en de herstelbestanden die u aan Tableau Server toevoegt, worden door de clientbestandsservice opgeslagen en gedistribueerd naar andere knooppunten. De bestanden worden echter niet opgeslagen in een herstelbaar formaat. Zie Tableau Server - Clientbestandsservice.
RSA-sleutel- en ECDSA-curvegroottes
Het CA-certificaat dat voor wederkerige SSL wordt gebruikt. moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.
U kunt Tableau Server configureren om de minder veilige formaten te accepteren door de betreffende configuratiesleutels in te stellen:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Zie tsm configuration set-opties.
Vereisten voor clientcertificaten
Gebruikers die zich bij Tableau Server verifiëren met wederkerige SSL, moeten een clientcertificaat overleggen dat voldoet aan de minimale beveiligingsvereisten.
Ondertekeningsalgoritme
Clientcertificaten moeten een ondertekeningsalgoritme met SHA-256 of hoger gebruiken.
Als Tableau Server is geconfigureerd voor wederkerige SSL-verificatie, wordt de verificatie geblokkeerd van gebruikers met clientcertificaten die het SHA-1-ondertekeningsalgoritme gebruiken.
Gebruikers die proberen in te loggen met SHA-1-clientcertificaten krijgen de foutmelding 'Kan niet aanmelden' te zien. De volgende fout wordt weergegeven in de VizPortal-logboeken:
Unsupported client certificate signature detected: [certificate Signature Algorithm name]
U kunt Tableau Server configureren om het minder veilige SHA-1-ondertekeningsalgoritme te accepteren door de volgende instellingen in te stellen: ssl.client_certificate_login.blocklisted_signature_algorithms optie tsm configuration.
RSA-sleutel- en ECDSA-curvegroottes
Het clientcertificaat dat voor wederkerige SSL wordt gebruikt, moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.
Tableau Server accepteert geen wederkerige verificatieaanvragen van clientcertificaten die niet aan deze vereisten voldoen. U kunt Tableau Server configureren om de minder veilige formaten te accepteren door de betreffende configuratiesleutels in te stellen:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Zie tsm configuration set-opties.
SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server.
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad Configuratie Gebruikersidentiteit en -toegang > Verificatiemethode.
Selecteer onder Verificatiemethode Wederkerige SSL in het vervolgkeuzemenu.
Selecteer onder wederkerige SSL Wederkerige SSL en automatische aanmelding met clientcertificaten gebruiken.
Klik op Bestand selecteren en upload het certificaatbestand van uw certificeringsinstantie (CA) naar de server.
Het bestand (.crt) is een alles-in-één-bestand en bevat certificaten van CA's die worden gebruikt voor clientverificatie. Het bestand dat u uploadt, moet een aaneenschakeling zijn van de verschillende PEM-gecodeerde certificaatbestanden, in de gewenste volgorde.
Voer de resterende SSL-configuratiegegevens voor uw organisatie in:
Notatie van gebruikersnaam: wanneer Tableau Server is geconfigureerd voor wederkerige SSL, dan ontvangt de server de gebruikersnaam van het clientcertificaat, zodat deze een directe aanmelding voor de clientgebruiker kan instellen. De naam die Tableau Server gebruikt, hangt af van hoe Tableau Server is geconfigureerd voor gebruikersverificatie:
- Lokale verificatie: Tableau Server gebruikt de UPN (User Principal Name) van het certificaat.
- Active Directory (AD): Tableau Server maakt gebruik van LDAP (Lightweight Directory Access Protocol) om de gebruikersnaam op te halen.
Als alternatief kunt u Tableau Server zodanig instellen dat de CN (Common Name) van het clientcertificaat wordt gebruikt.
Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.
Klik op Lopende wijzigingen bovenaan de pagina:
Klik op Wijzigingen toepassen en opnieuw opstarten.