Konfigurera autentiseringsmodulen med oberoende gateway

En vanlig säkerhetspraxis är att endast tillåta autentiserade förfrågningar att komma igenom den inre brandväggen på DMZ-servrarna. Oberoende gateway har stöd för traditionella Tableau Server-autentiseringsmetoderna. Den inkluderar dock även konfigurationsegenskaper som gör det möjligt att integrera en laddningsbar Apache httpd-modul för anpassad autentisering.

Att till exempel konfigurera SAML på Tableau Server och konfigurera en anpassad autentiseringsmodul låter dig kräva att alla användare autentiseras med din IdP vid systemets oberoende gateway. Endast de användare som är autentiserade kan därefter komma åt Tableau Server, som sedan kan autentisera och auktorisera användaråtkomst.

En mer detaljerad förklaring av detta autentiseringsschema finns i Förautentisering med en AuthN-modul(Länken öppnas i ett nytt fönster) i driftsättningsguiden.

Du måste utföra följande steg för att konfigurera autentiseringsmodulen:

  1. Generera autentiseringsmodulens konfigurationsfiler. När installationen är slutförd bearbetas varje modul och dess konfigurationsdirektiv som Inkludera-alternativ. Detta gör att de inkluderade filerna blir en logisk del av den övergripande httpd-konfigurationen.
  2. Kopiera konfigurationsfilerna till varje dator som kör oberoende gateway. Alla filer måste kopieras till samma platser på varje dator med oberoende gateway. Varje fil mappas till en konfigurationsegenskap som hanteras av Tableau Server.
  3. Ställ in konfigurationsegenskaperna med kommandot tsm configuration set på Tableau Server.

Redigera inte httpd-konfigurationsfilen (httpd.conf) på oberoende gateway då den innehåller logik som kan uppdatera httpd-konfigurationen baserat på ändringar gjorda med TSM-kommandon på Tableau Server.

Exempel på konfiguration av autentiseringsmodul

För ett exempel på en komplett konfiguration av autentiseringsmodul, se Exempel på autentiseringskonfiguration: SAML med extern IdP(Länken öppnas i ett nytt fönster) i driftsättningsguiden. I följande exempel beskrivs hur du installerar och konfigurerar SAML med IdP för Okta och Mellon-autentiseringsmodulen för Tableau Server på Linux som kör AWS. Även om exemplet beskriver processen för Linux, är konfigurationsexemplet också användbart för Tableau Server på Windows.

Konfigurationsegenskaper

Följande tabell visar de olika konfigurationsfilerna som du kan används som referens. Varje fil mappas till en konfigurationsegenskap som ställs in på Tableau Server. Använd snedstreck (/) i sökvägen, även i Windows (Apache httpd-konvention). Du behöver endast definiera de egenskaper som krävs för att skapa din anpassade autentiseringskonfiguration. Hoppa över alla konfigurationsegenskaper som inte behövs.

KonfigurationsegenskapBeskrivning
gateway.tsig.authn_module_blockVisas i slutet av uppsättningen med normalt laddade Apache httpd-moduler. Avsikten är att filen innehåller ett eller flera LoadModule-direktiv. Själva modulerna bör identifieras med fullständiga sökvägar.
gateway.tsig.authn_global_blockDyker upp efter allaLoadModule-referenser och före de flesta andra Apache httpd-direktiv. Avsikten är att skapa en plats för alla konfigurationsdirektiv som behövs för den anpassade modulen.
gateway.tsig.authn_globalbottom_blockDyker upp längst ner i konfigurationsfilen och då återigen på global nivå. Avsikten är att skapa en plats för alla konfigurationsdirektiv som behövs för den anpassade modulen och som specifikt måste komma efter olika andra direktiv. (Det är osannolikt att du behöver detta.)
gateway.tsig.authn_location_blockDyker upp i ett <Location "/">-block som täcker alla URL:er.
gateway.tsig.authn_directory_blockDetta dyker upp i ett <Directory "/">-block som täcker alla sökvägar till filer som tillhandahålls av oberoende gateway. (Det är osannolikt att du behöver detta. De flesta filer som tillhandahålls av oberoende gateway är icke-känsliga statiska tillgångar, såsom bilder och JavaScript-filer.)
gateway.tsig.authn_virtualhost_block

Visas inuti en eller två <VirtualHost> block: ett för TLS (om aktiverat) och ett för icke-TLS. Om den är konfigurerad ingår samma fil på båda platser. Om du behöver skilja de två ärendena åt kan du använda standardmiljövariabeln Apache httpd HTTPS.

Blocket <Location "/tsighk">

Utöver det förväntade <Location "/">-blocket för normal förfrågningstrafik finns det även ett <Location "/tsighk"> -block som används för att hantera interna förfrågningar om rensning (HK) av oberoende gateway. Dessa HK-förfrågningar har sina egna autentiseringsskydd och fungerar inte med typiska anpassade lösningar för enkel inloggning.

Du kan behöva uttryckligen utesluta din anpassade modul från att försöka med autentisering för HK URL-en.

Konfigurera modulen först för att fastställa om du behöver utesluta den. Leta sedan efter HK-förfrågningar i åtkomstloggen för oberoende gateway. Du bör se minst en statuskontroll, en eller två gånger i minuten. Om dessa förfrågningar tar emot en 200-svarskod är allt förmodligen OK. Om dessa förfrågningar å andra sidan tar emot en 3xx-svarskod (omdirigerar till din anpassade autentiseringsleverantör), måste du korrigera detta.

Möjliga lösningar inkluderar:

  • <Location "/tsighk">-blocket innehåller direktivet AuthType None och det kan vara tillräckligt.
  • Oberoende gateway med httpd.conf har Apache httpd-standarddirektivet ProxyPreserveHost(Länken öppnas i ett nytt fönster) On. Om det finns en ovanlig omständighet som kräver att det är Av eller något annat värde, kan värdet ställas in med TSM-konfigurationsobjektet gateway.tsig.proxypreservehost.
  • Du kan behöva några modulspecifika direktiv för att kunna inaktivera din autentiseringsmodul för <Location "/tsighk">. Du kan inte direkt modifiera det blocket i httpd.conf-filen. Istället kan du skapa ett annat <Location "/tsighk">-block i din gateway.tsig.authn_global_block-fil och låta Apache httpd föra samman dem logiskt. Vissa versioner av mod_auth_mellon, som är en populär autentiseringsmodul med öppen källkod, kräver till exempel MellonEnable Off för sektioner där den inte gäller, även om AuthType None är inställt i dessa sektioner.
  • När du skapar en ytterligare <Location "/tsighk">-sektion – såsom beskrivs i föregående punkt – kan du se att ordningen för de olika sektionerna i httpd.conf-filen gör skillnad i hur de påverkar varandra. Standardsektionen <Location "/tsighk"> visas före standardsektionen <Location "/">. Om ditt experiment visar att en annan ordning behövs kanske du måste definiera en annan <Location "/">-sektion i ditt gateway.tsig.authn_global_block-block utöver en annan <Location "/tsighk">-sektion, i vilket fall du kanske inte behöver något i ett gateway.tsig.authn_location_block-block.

Felsök konfigurationen av en anpassad autentiseringsmodul

Ett bra sätt att förstå hur oberoende gateway skapar httpd.conf-filen är att konfigurera TSM-konfigurationsobjekten med värden som pekar på tomma filer på dina datorer med oberoende gateway. (Filerna måste finnas men de kan vara tomma.) Du kan sedan titta på httpd.conf-filen som oberoende gateway skapar för att få en konkret förståelse för var Include -direktiven för de olika konfigurationsfilerna faktiskt kommer att visas.

Konfigurationsproblem i oberoende gateway-httpd.conf kan resultera i att tsig-httpd-tjänsten inte kan startas. Andra konfigurationsproblem kan störa mottagningen av konfigurationsuppdateringar från oberoende gateway-kompanjontjänsten på Tableau Server-klustret. Efter att du har åtgärdat det som orsakade problemet kan du återställa genom att kopiera TSIG_DATA/config/httpd.conf.stub till TSIG_DATA/config/httpd.conf och sedan starta om tjänsten tsig-httpd.

Fler felsökningstips finns i Felsöka Oberoende gateway för Tableau Server(Länken öppnas i ett nytt fönster) i driftsättningsguiden. I driftsättningsguiden ges exempel på driftsättning av Tableau Server på Linux. Felsökningsstegen är användbara för Windows- eller Linux-versioner av Tableau Server.

Tack för din feedback!Din feedback har skickats in. Tack!