Mapeamento de um certificado de cliente para um usuário durante a autenticação mútua
Quando você usa a autenticação de SSL mútuo (de mão dupla), o cliente apresenta seu certificado para o Tableau Server como parte do processo de autenticação. Tableau ServerEm seguida, mapeia as informações de usuário no certificado do cliente para uma identidade de usuário conhecida. A estratégia que o Tableau Server usa para realizar o mapeamento de clientes depende do conteúdo de certificados de cliente na sua empresa.
Este tópico aborda como as informações em um certificado de cliente podem mapear para uma identidade de usuário e como alterar a forma de mapeamento do Tableau Server. Para entender como o mapeamento ocorre e se você precisa alterá-lo, é necessário saber como os certificados de cliente são estruturados na empresa.
Opções de mapeamento de nome de usuário
O Tableau Server usa uma das seguintes abordagens para mapear um certificado de cliente para uma identidade de usuário:
Active Directory. Se o Tableau Server estiver configurado para usar o Active Directory na autenticação de usuário, quando o Tableau Server receber um certificado de cliente, ele passará o certificado para o Active Directory, que mapeará o certificado para a identidade do Active Directory. Qualquer informação explícita do nome de usuário no certificado é ignorada.
Observação: Esta abordagem exige que os certificados do cliente sejam publicados para as contas de usuário no Active Directory.
Nome de usuário principal (UPN). Um certificado de cliente pode ser configurado para armazenar o nome de usuário no campo de nome de usuário principal. O Tableau Server lê o valor de UPN e usa-o para mapear um usuário no Active Directory ou para um usuário local.
Nome comum (CN). Um certificado de cliente pode ser criado para armazenar o nome de usuário no campo de nome comum do certificado. O Tableau Server lê o valor de CN e mapeia-o para usuário no Active Directory ou para um usuário local.
Se você configurar o servidor para a autenticação do Active Directory e o mapeamento do nome de usuário UPN ou CN, coloque o nome do usuário em um dos seguintes formatos:
username
, domain/username
ou username@domain
.
Por exemplo: jsmith
, example.org/jsmith
ou jsmith@example.org
.
Se o servidor usar a autenticação local, o formato do nome nos campos UPN ou NC não é predeterminado, mas o nome no campo deve corresponder a um nome de usuário no servidor.
Alterar o mapeamento de certificado
Use os comandos tsm authentication mutual-ssl <commands> para mapear um certificado de cliente para uma identidade de usuário no Tableau Server:
tsm authentication mutual-ssl configure -m <value>
Os valores possíveis são ldap
para o mapeamento do Active Directory, upn
para o mapeamento de UPN ou cn
para o mapeamento de CN.
Ao instalar e configurar o Tableau Server pela primeira vez, o servidor define o mapeamento de nome de usuário padrão para corresponder com o tipo de autenticação do servidor:
Se o servidor estiver configurado para usar o Active Directory, também usará o Active Directory para mapear o certificado para a identidade de usuário.
Se o servidor estiver configurado para usar a autenticação local, ele obterá o valor de nome de usuário do campo UPN no certificado.
Se o comportamento padrão de como o Tableau Server mapeia um nome de usuário para uma identidade não estiver correto na configuração do servidor, execute o conjunto de comandos a seguir para alterar o mapeamento e usar o valor CN:
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Analisar a ambiguidade de mapeamento do nome de usuário em empresas com vários domínios
Em algumas circunstâncias, o nome de usuário em um campo UPN ou CN pode ser ambíguo. Essa ambiguidade pode levar a resultados inesperados quando o nome de usuário for mapeado para uma identidade de usuário no servidor.
Por exemplo, se o Tableau Server for apresentado com um nome de usuário que não inclui um domínio, o servidor mapeará o nome do usuário para uma identidade usando o domínio padrão. Isso pode causar um mapeamento incorreto do nome de usuário, potencialmente atribuindo a um usuário uma identidade e permissões de usuário diferentes.
Isso pode ocorrer particularmente em ambientes onde as seguintes condições são aplicáveis:
Sua organização é compatível com vários domínios do Active Directory.
O servidor está configurado para usar a autenticação do Active Directory.
O servidor está configurado para usar mapeamento de UPN ou CN.
Alguns usuários têm o mesmo nome de usuário, mas diferentes domínios. Por exemplo,
jsmith@example.org
ejsmith@example.com
.O nome de usuário nos campos UPN ou CN do certificado não inclui o domínio como parte do nome de usuário, por exemplo, ele mostra
jsmith
.
Para evitar o mapeamento incorreto do nome de usuário, verifique se os certificados do cliente incluem nomes de usuário totalmente qualificados com o domínio, no formatojsmith@example.org
ou example.org/jsmith
.