Configurar módulo de autenticação com Independent Gateway
Uma prática de segurança comum é permitir que apenas solicitações autenticadas passem pelo firewall interno dos servidores DMZ. O Independent Gateway oferece suporte aos métodos tradicionais de autenticação do Tableau Server, mas também inclui propriedades de configuração que permitem integrar um módulo carregável httpd do Apache para autenticação personalizada.
Por exemplo, ao configurar o SAML no Tableau Server e um módulo de autenticação personalizado, você pode exigir que todos os usuários se autentiquem com seu IdP no Independent Gateway. Somente os usuários autenticados poderão acessar o Tableau Server, que, por sua vez, poderá autenticar e autorizar o acesso do usuário.
Para obter uma explicação mais detalhada desse esquema de autenticação, consulte Pré-autenticação com um módulo AuthN(O link abre em nova janela) no Guia de implantação corporativa.
Para configurar o módulo de autenticação, você deve seguir as seguintes etapas:
- Gerar o arquivo de configuração do módulo de autenticação. Quando a configuração estiver concluída, cada módulo e suas diretivas de configuração serão tratados como opções de Include, tornando os arquivos incluídos logicamente parte da configuração geral do httpd.
- Copie os arquivos de configuração para cada computador executando o Independent Gateway. Todos os arquivos devem ser copiados para os mesmos locais em cada computador do Independent Gateway. Cada arquivo é mapeado para uma propriedade de configuração gerenciada pelo Tableau Server.
- Defina as propriedades de configuração com o comando
tsm configuration set
no Tableau Server.
Não edite o arquivo de configuração httpd (httpd.conf) no Independent Gateway, pois o Independent Gateway inclui lógica para atualizar a configuração httpd com base nas alterações feitas com comandos do TSM no Tableau Server.
Exemplo de configuração do módulo de autenticação
Para obter um exemplo de configuração do módulo de autenticação de ponta a ponta, consulte Exemplo de configuração de autenticação: SAML com IdP externo(O link abre em nova janela) no Guia de implantação corporativa. O exemplo descreve como instalar e configurar o SAML com o módulo de autenticação Okta IdP e Mellon para uma implantação do Tableau Server em Linux em execução na AWS. Embora o exemplo descreva o processo para Linux, o exemplo de configuração também é útil para o Tableau Server no Windows.
Propriedades de configuração
A tabela a seguir descreve os vários arquivos de configuração aos quais você pode fazer referência. Cada arquivo é mapeado para uma propriedade de configuração definida no Tableau Server.
Propriedade de configuração | Descrição |
---|---|
gateway.tsig.authn_module_block | Aparece no final do conjunto de módulos httpd do Apache carregados normalmente. A intenção é que o arquivo inclua uma ou mais diretivas LoadModule . Os próprios módulos devem ser identificados com caminhos completos. |
gateway.tsig.authn_global_block | Aparece depois de todas as referências de LoadModule e antes da maioria das outras diretivas httpd do Apache. A intenção é fornecer um local para quaisquer diretivas de configuração necessárias ao módulo personalizado. |
gateway.tsig.authn_globalbottom_block | Aparece na parte inferior do arquivo de configuração, novamente no nível global. A intenção é fornecer um local para quaisquer diretivas de configuração necessárias ao módulo personalizado que devem vir especificamente após várias outras diretivas. (É improvável que você precise disso.) |
gateway.tsig.authn_location_block | Aparece dentro de um bloco <Location "/"> , cobrindo todos os caminhos de URL. |
gateway.tsig.authn_directory_block | Isso aparece dentro de um bloco <Directory "/"> , cobrindo todos os caminhos para arquivos servidos pelo Independent Gateway. (É improvável que você precise disso. A maioria dos arquivos atendidos pelo Independent Gateway são ativos estáticos não sensíveis, como imagens e arquivos JavaScript.) |
gateway.tsig.authn_virtualhost_block | Aparece dentro de um ou dois blocos |
O bloco <Location "/tsighk">
Além do bloco <Location "/">
esperado para tráfego de solicitação normal, há também um bloco <Location "/tsighk">
usado para atender solicitações internas de manutenção de Independent Gateway (HK). Essas solicitações de HK têm seus próprios protetores de autenticação e não funcionarão com soluções de SSO personalizadas típicas.
Você pode precisar excluir explicitamente seu módulo personalizado da tentativa de autenticação para o caminho de URL HK.
Para determinar se você precisa excluir o módulo, primeiro configure o módulo. Em seguida, procure solicitações de HK no log de acesso do Independent Gateway. Você deve ver pelo menos uma verificação de status uma ou duas vezes por minuto. Se essas solicitações estiverem recebendo um código de resposta 200, provavelmente tudo está OK. Por outro lado, se essas solicitações receberem um código de resposta 3xx (redirecionando para seu provedor de autenticação personalizado), você precisará fazer algo a respeito.
As possíveis soluções alternativas incluem:
- O bloco
<Location "/tsighk">
contém a diretivaAuthType None
, e isso pode ser suficiente. - O Independent Gateway httpd.conf tem a diretiva httpd padrão do Apache
ProxyPreserveHost(O link abre em nova janela) On
. Se houver uma circunstância incomum que exija que esteja Desligado ou algum outro valor, esse valor pode ser definido com o item de configuração do TSMgateway.tsig.proxypreservehost
. - Você pode precisar de algumas diretivas específicas do módulo para desabilitar seu módulo de autenticação para
<Location "/tsighk">
. Você não pode modificar diretamente esse bloco no arquivo httpd.conf. Em vez disso, você pode fazer outro bloco<Location "/tsighk">
em seugateway.tsig.authn_global_block
e deixar o httpd do Apache mesclá-los logicamente. Por exemplo, algumas versões do mod_auth_mellon, um popular módulo de autenticação de código aberto, requeremMellonEnable Off
para seções onde não se aplica, mesmo seAuthType None
é definido nessas seções. - Ao criar uma seção
<Location "/tsighk">
adicional, conforme descrito no item anterior, você pode descobrir que a ordem de aparecimento das várias seções no arquivo httpd.conf faz diferença em como elas afetam umas às outras. A seção padrão<Location "/tsighk">
aparece antes da seção padrão<Location "/">
. Se sua experimentação mostrar que alguma ordem diferente é necessária, talvez seja necessário definir outra seção<Location "/">
em seu blocogateway.tsig.authn_global_block
, além de outra seção<Location "/tsighk">
, nesse caso você pode não precisar de algo em um blocogateway.tsig.authn_location_block
.
Solucionar problemas de configuração do módulo de autenticação personalizado
Uma maneira prática de entender como o Independent Gateway comporá o arquivo httpd.conf é definir os itens de configuração do TSM com valores que apontam para arquivos vazios nos computadores do Independent Gateway. (Os arquivos devem existir, mas podem estar vazios.) Você pode então olhar para o arquivo httpd.conf do Independent Gateway para obter uma compreensão concreta de onde aparecerão as diretivas Include
os vários arquivos de configuração.
Problemas de configuração no Independent Gateway httpd.conf podem resultar na não inicialização do serviço tsig-httpd
. Outros problemas de configuração podem interferir no recebimento de atualizações de configuração do serviço complementar do Independent Gateway no cluster do Tableau Server. Uma maneira de recuperar, depois de corrigir o que causou o problema, é copiar TSIG_DATA/config/httpd.conf.stub
paraTSIG_DATA/config/httpd.conf
e, em seguida, reiniciar o serviço tsig-httpd
.
Para obter mais dicas de solução de problemas, consulte Solução de problemas do Independent Gateway do Tableau Server(O link abre em nova janela) no Guia de implantação corporativa (EDG). O EDG fornece exemplos de implantação do Tableau Server no Linux. As etapas de solução de problemas são úteis para as versões Windows ou Linux do Tableau Server.