Een clientcertificaat toewijzen aan een gebruiker bij wederkerige verificatie
Wanneer u wederkerige (tweerichtings) SSL-authenticatie gebruikt, presenteert de client diens certificaat aan Tableau Server als onderdeel van het verificatieproces. Tableau Server koppelt de gebruikersinformatie in het clientcertificaat vervolgens aan een bekende gebruikersidentiteit. De strategie die Tableau Server gebruikt om clienttoewijzing uit te voeren, is afhankelijk van de inhoud van de clientcertificaten van uw organisatie.
In dit onderwerp worden de manieren besproken waarop informatie in een clientcertificaat kan worden gekoppeld aan een gebruikersidentiteit en hoe u de manier kunt wijzigen waarop Tableau Server die toewijzing uitvoert. Om te begrijpen hoe de toewijzing plaatsvindt en of u deze moet wijzigen, moet u weten hoe clientcertificaten in uw organisatie zijn gestructureerd.
Opties voor toewijzing van gebruikersnamen
Tableau Server maakt gebruik van een van de volgende benaderingen om een clientcertificaat aan een gebruikersidentiteit toe te wijzen:
Active Directory. Als Tableau Server is geconfigureerd voor Active Directory voor gebruikersverificatie, wordt dit doorgegeven aan Active Directory. Dit wijst het certificaat toe aan een Active Directory-identiteit wanneer Tableau Server een clientcertificaat ontvangt. Alle expliciete gebruikersnaamdata in het certificaat worden genegeerd.
Opmerking: voor deze aanpak is het nodig dat clientcertificaten voor de gebruikersaccounts in Active Directory worden gepubliceerd.
Gebruikersnaam (UPN). U kunt een clientcertificaat configureren om de gebruikersnaam op te slaan in het veld 'User Principal Name'. Tableau Server leest de UPN-waarde en koppelt deze aan een gebruiker in Active Directory of aan een lokale gebruiker.
Algemene naam (Common Name of CN). Een clientcertificaat kan zodanig worden geconfigureerd dat de gebruikersnaam wordt opgeslagen in het algemene naamveld van het certificaat. Tableau Server leest de CN-waarde en koppelt deze aan een gebruiker in Active Directory of aan een lokale gebruiker.
Als u de server configureert voor Active Directory-verificatie en UPN- of CN-gebruikersnaamtoewijzing, moet u de gebruikersnaam in een van de volgende indelingen invoeren:
username, domain/username of username@domain.
Bijvoorbeeld: jsmith, example.org/jsmith of jsmith@example.org.
Als de server lokale verificatie gebruikt, is de notatie van de naam in de UPN- of CN-velden niet vooraf bepaald. De naam in het veld moet echter wel overeenkomen met een gebruikersnaam op de server.
De certificaattoewijzing wijzigen
U gebruikt de opdrachten voor tsm authentication mutual-ssl <commands> om een clientcertificaat toe te wijzen aan een gebruikersidentiteit in Tableau Server:
tsm authentication mutual-ssl configure -m <value>
Mogelijke waarden zijn ldap voor Active Directory-toewijzing, upn voor UPN-mapping of cn voor CN-mapping.
Wanneer u Tableau Server voor het eerst installeert en configureert, stelt de server de standaard gebruikersnaamtoewijzing in zodat deze overeenkomt met het verificatietype van de server:
Als de server is geconfigureerd voor het gebruik van Active Directory, wordt Active Directory ook gebruikt voor het toewijzen van het certificaat aan de gebruikersidentiteit.
Als de server is geconfigureerd voor het gebruik van lokale verificatie, haalt de server de gebruikersnaamwaarde uit het UPN-veld in het certificaat.
Als het standaardgedrag voor de manier waarop Tableau Server een gebruikersnaam aan een identiteit toewijst, niet correct is voor uw serverconfiguratie, voert u de volgende reeks opdrachten uit om de toewijzing te wijzigen, zodat de CN-waarde wordt gebruikt:
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Dubbelzinnigheid bij gebruikersnaamtoewijzing behandelen in organisaties met meerdere domeinen
Onder bepaalde omstandigheden kan de gebruikersnaam in het UPN- of CN-veld van een certificaat dubbelzinnig zijn. Deze dubbelzinnigheid kan leiden tot onverwachte resultaten wanneer de gebruikersnaam wordt gekoppeld aan een gebruikersidentiteit op de server.
Als Tableau Server bijvoorbeeld een gebruikersnaam ontvangt die geen domein bevat, koppelt de server de gebruikersnaam aan een identiteit met het standaarddomein. Dit kan leiden tot onjuiste toewijzing van de gebruikersnaam, waardoor een gebruiker mogelijk een andere identiteit en andere machtigingen krijgt toegewezen.
Dit kan vooral voorkomen in omgevingen waar de volgende omstandigheden van toepassing zijn:
Uw organisatie ondersteunt meerdere Active Directory-domeinen.
De server is geconfigureerd voor Active Directory-verificatie.
De server is geconfigureerd voor het gebruik van UPN- of CN-toewijzing.
Sommige gebruikers hebben dezelfde gebruikersnaam, maar verschillende domeinen. Bijvoorbeeld:
jsmith@example.orgenjsmith@example.com.De gebruikersnaam in de UPN- of CN-velden van het certificaat bevat het domein niet als onderdeel van de gebruikersnaam. De naam is bijvoorbeeld
jsmith.
Om onjuiste toewijzing van gebruikersnamen te voorkomen, moet u zorgen dat de clientcertificaten volledig gekwalificeerde gebruikersnamen met het domein bevatten, met de indeling jsmith@example.org of example.org/jsmith.