Configurar autenticação do SSL mútuo
Ao usar o SSL mútuo, é possível fornecer uma experiência de acesso direto ao Tableau Server aos usuários do Tableau Desktop, do Tableau Mobile e a outros clientes aprovados do Tableau. Com o SSL mútuo, quando um cliente com um certificado SSL válido conecta-se ao Tableau Server, o Tableau Server confirma a existência do certificado do cliente e autentica o usuário, com base no nome de usuário no certificado. Se o cliente não tiver um certificado SSL válido, o Tableau Server poderá recusar a conexão.
Você também pode configurar o Tableau Server para retornar à autenticação de nome de usuário/senha se houver falha no SSL mútuo. Além disso, um usuário poderá fazer logon usando a API REST com um nome de usuário e senha (se existir), se a autenticação de fallback estiver configurada ou não.
Limites de tempo da sessão de autenticação do usuário
Quando os usuários fazem logon com SSL mútuo, a sessão de autenticação é regida pelo mesmo método da configuração da sessão de autenticação global do Tableau Server.
Para clientes que se conectam ao Tableau Server usando um navegador da Web, a configuração da sessão de autenticação global é descrita na Lista de verificação do reforço de segurança, consulte
As sessões para clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder e Bridge) usam tokens OAuth para manter os usuários conectados por meio do restabelecimento de uma sessão. Por padrão, todos os tokens de cliente OAuth são redefinidos após um ano. Um token de cliente expira quando não é usado em 14 dias. Você pode alterar esses valores ao definir as opções refresh_token.absolute_expiry_in_seconds
e refresh_token.idle_expiry_in_seconds
. Consulte Opções do tsm configuration set.
Uso de certificados
Antes de habilitar e configurar o SSL mútuo, você deve configurar o SSL externo. O SSL externo autentica o Tableau Server ao cliente e criptografa a sessão usando o certificado e a chave, necessários quando você configura o SSL externo.
Para SSL mútuo, é necessário um arquivo de certificado adicional. O arquivo é uma concatenação de arquivos de certificação CA. O tipo de arquivo deve ser .crt
. Uma "CA" é uma autoridade de certificação que emite certificados aos computadores clientes que se conectarão ao Tableau Server. A ação de upload do arquivo de certificado CA estabelece uma confiança, que permite ao Tableau Server autenticar os certificados individuais que são apresentados pelos computadores clientes.
Como parte do seu plano de recuperação de desastres, recomendamos manter um backup dos arquivos de certificado e revogação (se aplicável) em um local seguro fora do Tableau Server. Os arquivos de certificado e revogação que você adiciona ao Tableau Server serão armazenados e distribuídos a outros nós pelo Serviço de arquivos do cliente. No entanto, os arquivos não são armazenados em um formato recuperável. Consulte Serviço de arquivo do cliente do Tableau Server.
Chave RSA e tamanhos de curva ECDSA
O certificado CA usado para SSL mútuo deve ter uma força de chave RSA de 2048 ou um tamanho de curva ECDSA de 256.
Você pode configurar o Tableau Server para aceitar os tamanhos menos seguros definindo as respectivas chaves de configuração:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opções do tsm configuration set.
Requisitos do certificado do cliente
Os usuários que se autenticam no Tableau Server com SSL mútuo devem apresentar um certificado de cliente que atenda aos requisitos mínimos de segurança.
Algoritmo de assinatura
Os certificados do cliente devem usar o algoritmo de assinatura SHA-256 ou maior.
O Tableau Server configurado para autenticação SSL mútua bloqueará a autenticação de usuários com certificados de clientes que usam o algoritmo de assinatura SHA-1.
Os usuários que tentarem fazer logon com certificados de cliente SHA-1 encontram um erro "Não foi possível entrar" e o seguinte erro será visível nos registros do VizPortal:
Unsupported client certificate signature detected: [certificate Signature Algorithm name]
Você pode configurar o Tableau Server para aceitar o algoritmo de assinatura SHA-1 menos seguro definindo a opção de configuração tsm ssl.client_certificate_login.blocklisted_signature_algorithms.
Chave RSA e tamanhos de curva ECDSA
O certificado do Cliente usado para SSL mútuo deve ter uma força de chave RSA de 2048 ou um tamanho de curva ECDSA de 256.
O Tableau Server falhará nas solicitações de autenticação mútua dos certificados do cliente que não atendam a esses requisitos. Você pode configurar o Tableau Server para aceitar os tamanhos menos seguros definindo as respectivas chaves de configuração:
- ssl.client_certificate_login.min_allowed.rsa_key_size
- ssl.client_certificate_login.min_allowed.elliptic_curve_size
Consulte Opções do tsm configuration set.
Configurar o SSL para tráfego de HTTP externo e do Tableau Server.
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Na guia Configuração, selecione Identidade e acesso do usuário > Método de autenticação.
Em Método de autenticação, selecione SSL mútuo no menu suspenso.
Em SSL Mútuo, selecione Usar SSL mútuo e entrar automaticamente com os certificados do cliente.
Clique em Selecionar arquivo e faça upload do arquivo de certificado de autoridade de certificação (CA) no servidor.
O arquivo (.crt) é um arquivo completo que inclui certificados de CAs que são usados para autenticação do cliente. O arquivo que você carrega deve ser uma concatenação dos vários arquivos de certificado codificados pelo PEM, por ordem de preferência.
Insira as informações de configuração SSL restantes da sua empresa.
Formato do nome de usuário: quando o Tableau Server estiver configurado para SSL mútuo, o servidor vai obter o nome de usuário do certificado do cliente, para que possa estabelecer um logon direto para o usuário cliente. O nome usado pelo Tableau Server dependerá de como o Tableau Server é configurado para a autenticação do usuário:
- Autenticação local—O Tableau Server usa UPN (User Principal Name) do certificado.
- Active Directory (AD) — O Tableau Server usa LDAP (Lightweight Directory Access Protocol) para obter o nome do usuário.
Como alternativa, você pode definir o Tableau Server para usar o CN (Common Name) do certificado do cliente.
Clique em Salvar alterações pendentes após ter inserido as informações de configuração.
Clique em Alterações pendentes na parte superior da página:
Clique em Aplicar alterações e reiniciar.