Autenticação confiável
Quando você insere exibições do Tableau Server em páginas da Web, todos que visitarem a página deverão ser um usuário licenciado no Tableau Server. Ao visitarem a página, os usuários são solicitados a entrarem no Tableau Server para que possam ver a exibição. Caso já tenha uma maneira de autenticar usuários na página da Web ou em seu aplicativo web, você pode evitar essa solicitação e evitar que seus usuários precisem entrar duas vezes configurando a autenticação confiável.
A autenticação confiável simplesmente significa que você configurou um relacionamento confiável entre o Tableau Server e um ou mais servidores Web. Quando o Tableau Server recebe solicitações desses servidores Web confiáveis, ele supõe que o servidor já foi tratado, independentemente de a autenticação ser necessária.
Se seu servidor Web usar SSPI (Security Support Provider Interface), você não precisará configurar a autenticação confiável. É possível inserir exibições, e seus usuários terão acesso seguro a elas desde que sejam usuários e membros licenciados do Tableau Server do seu Active Directory.
Observação: os navegadores de cliente devem ser configurados para permitir cookies de terceiros se desejar usar autenticação confiável com exibições inseridas.
Como funciona a autenticação confiável
O diagrama abaixo descreve como a autenticação confiável funciona entre o navegador da Web do cliente, seu servidor Web e o Tableau Server.
O usuário visita a página da Web: quando um usuário visita a página da Web com a exibição inserida do Tableau Server, a página da Web envia uma solicitação GET a seu servidor Web para o HTML dessa página.
O servidor Web envia POSTS ao Tableau Server: o servidor Web envia uma solicitação POST ao Tableau Server confiável (por exemplo, https://<server_name>/trusted
, não https://<server_name>
). Essa solicitação POST deve ter um parâmetro username
. O valor de username
deve ser o nome de um usuário licenciado do Tableau Server. Se o Tableau Server estiver hospedando vários sites e a exibição estiver em um site que não seja o site padrão, a solicitação POST também deverá incluir um parâmetro target_site
.
O Tableau Server cria um ticket: O Tableau Server verifica o endereço IP ou o nome de host do servidor Web (192.168.1.XXX no diagrama acima) que enviou a solicitação POST. Se o servidor Web estiver listado como um host confiável, o Tableau Server criará um ticket na forma de uma cadeia de caracteres exclusiva. Os tickets devem ser resgatados em até três minutos, a contar de quando foram emitidos. O Tableau Server responde à solicitação POST com esse ticket. Ou se houver um erro e não for possível criar o ticket, o Tableau Server responderá com um valor de -1
. O servidor deve ter um endereço IPv4. Os endereços IPv6 não são compatíveis Para obter mais informações, consulte Valor de ticket -1 retornado pelo Tableau Server.
O servidor Web passa a URL para o navegador: O servidor Web constrói a URL para a exibição e a insere no HTML da página. O tíquete está incluído (por exemplo,https://<server_name>/trusted/<unique_ticket>/views/<view_name>
) O servidor Web passa o HTML de volta ao navegador da Web do cliente.
O navegador solicita a exibição do Tableau Server: o navegador da Web do cliente envia uma solicitação GET ao Tableau Server que inclui a URL com o ticket.
O Tableau Server resgata o ticket: o Tableau Server resgata o ticket, cria uma sessão, conecta o usuário, remove o ticket da URL e envia a URL final da exibição inserida para o cliente.
A sessão permite ao usuário acessar qualquer uma das exibições que teria acesso se estivesse conectado ao servidor. Na configuração padrão, os usuários autenticados com tickets confiáveis têm acesso restrito, para que apenas as exibições estejam disponíveis. Eles não podem acessar pastas de trabalho, páginas de projeto ou outro conteúdo hospedado no servidor.
Para alterar este comportamento, consulte a opção wgserver.unrestricted_ticket
em Opções do tsm configuration set.
Como um ticket confiável é armazenado?
O Tableau Server armazena tíquetes confiáveis no repositório do Tableau Server usando o seguinte processo:
- O Tableau Server gera um ticket de duas partes: a primeira é uma ID exclusiva (UUID) codificada com Base64 e a segunda é uma cadeia de caracteres secreta aleatória de 24 caracteres.
- O Tableau Server utiliza hash na cadeia de caracteres secreta e armazena-a com a ID exclusiva no repositório. A função hash usa a cadeia de caracteres secreta como entrada e um algoritmo para calcular uma cadeia de caracteres exclusiva. A cadeia de caracteres exclusiva protege a segurança da cadeia de caracteres secreta de usuários não autorizados.
- O Tableau Server envia a UUID com Base64 e a cadeia de caracteres aleatória com 24 caracteres original para o cliente.
- O cliente retorna a UUID com Base64 e a cadeia de caracteres aleatória com 24 caracteres original para o Tableau Server, como parte da solicitação para uma exibição.
- O Tableau Server localiza o par de cadeias de caracteres com a UUID com Base64 e, em seguida, usa hash na cadeia de caracteres aleatória para verificar se corresponde a hash armazenada no repositório.
Esse processo garante que qualquer conteúdo de ticket armazenado no Tableau Server não possa ser usado para representar usuários ou acessar conteúdo protegido por autenticação. No entanto, como o ticket confiável completo é enviado via HTTP entre o Tableau Server e o cliente, o processo depende da transmissão segura e criptografada de dados HTTP. Portanto, recomendamos que você só implante tickets confiáveis via SSL/TLS ou por outra camada de criptografia de rede.