Konfigurera autentiseringsmodulen med oberoende gateway
En vanlig säkerhetspraxis är att endast tillåta autentiserade förfrågningar att komma igenom den inre brandväggen på DMZ-servrarna. Oberoende gateway har stöd för traditionella Tableau Server-autentiseringsmetoderna. Den inkluderar dock även konfigurationsegenskaper som gör det möjligt att integrera en laddningsbar Apache httpd-modul för anpassad autentisering.
Att till exempel konfigurera SAML på Tableau Server och konfigurera en anpassad autentiseringsmodul låter dig kräva att alla användare autentiseras med din IdP vid systemets oberoende gateway. Endast de användare som är autentiserade kan därefter komma åt Tableau Server, som sedan kan autentisera och auktorisera användaråtkomst.
En mer detaljerad förklaring av detta autentiseringsschema finns i Förautentisering med en AuthN-modul(Länken öppnas i ett nytt fönster) i driftsättningsguiden.
Du måste utföra följande steg för att konfigurera autentiseringsmodulen:
- Generera autentiseringsmodulens konfigurationsfiler. När installationen är slutförd bearbetas varje modul och dess konfigurationsdirektiv som Inkludera-alternativ. Detta gör att de inkluderade filerna blir en logisk del av den övergripande httpd-konfigurationen.
- Kopiera konfigurationsfilerna till varje dator som kör oberoende gateway. Alla filer måste kopieras till samma platser på varje dator med oberoende gateway. Varje fil mappas till en konfigurationsegenskap som hanteras av Tableau Server.
- Ställ in konfigurationsegenskaperna med kommandot
tsm configuration set
på Tableau Server.
Redigera inte httpd-konfigurationsfilen (httpd.conf) på oberoende gateway då den innehåller logik som kan uppdatera httpd-konfigurationen baserat på ändringar gjorda med TSM-kommandon på Tableau Server.
Exempel på konfiguration av autentiseringsmodul
För ett exempel på en komplett konfiguration av autentiseringsmodul, se Exempel på autentiseringskonfiguration: SAML med extern IdP(Länken öppnas i ett nytt fönster) i driftsättningsguiden. I följande exempel beskrivs hur du installerar och konfigurerar SAML med IdP för Okta och Mellon-autentiseringsmodulen för Tableau Server på Linux som kör AWS. Även om exemplet beskriver processen för Linux, är konfigurationsexemplet också användbart för Tableau Server på Windows.
Konfigurationsegenskaper
Följande tabell visar de olika konfigurationsfilerna som du kan används som referens. Varje fil mappas till en konfigurationsegenskap som ställs in på Tableau Server.
Konfigurationsegenskap | Beskrivning |
---|---|
gateway.tsig.authn_module_block | Visas i slutet av uppsättningen med normalt laddade Apache httpd-moduler. Avsikten är att filen innehåller ett eller flera LoadModule -direktiv. Själva modulerna bör identifieras med fullständiga sökvägar. |
gateway.tsig.authn_global_block | Dyker upp efter allaLoadModule -referenser och före de flesta andra Apache httpd-direktiv. Avsikten är att skapa en plats för alla konfigurationsdirektiv som behövs för den anpassade modulen. |
gateway.tsig.authn_globalbottom_block | Dyker upp längst ner i konfigurationsfilen och då återigen på global nivå. Avsikten är att skapa en plats för alla konfigurationsdirektiv som behövs för den anpassade modulen och som specifikt måste komma efter olika andra direktiv. (Det är osannolikt att du behöver detta.) |
gateway.tsig.authn_location_block | Dyker upp i ett <Location "/"> -block som täcker alla URL:er. |
gateway.tsig.authn_directory_block | Detta dyker upp i ett <Directory "/"> -block som täcker alla sökvägar till filer som tillhandahålls av oberoende gateway. (Det är osannolikt att du behöver detta. De flesta filer som tillhandahålls av oberoende gateway är icke-känsliga statiska tillgångar, såsom bilder och JavaScript-filer.) |
gateway.tsig.authn_virtualhost_block | Visas inuti en eller två |
Blocket <Location "/tsighk">
Utöver det förväntade <Location "/">
-blocket för normal förfrågningstrafik finns det även ett <Location "/tsighk">
-block som används för att hantera interna förfrågningar om rensning (HK) av oberoende gateway. Dessa HK-förfrågningar har sina egna autentiseringsskydd och fungerar inte med typiska anpassade lösningar för enkel inloggning.
Du kan behöva uttryckligen utesluta din anpassade modul från att försöka med autentisering för HK URL-en.
Konfigurera modulen först för att fastställa om du behöver utesluta den. Leta sedan efter HK-förfrågningar i åtkomstloggen för oberoende gateway. Du bör se minst en statuskontroll, en eller två gånger i minuten. Om dessa förfrågningar tar emot en 200-svarskod är allt förmodligen OK. Om dessa förfrågningar å andra sidan tar emot en 3xx-svarskod (omdirigerar till din anpassade autentiseringsleverantör), måste du korrigera detta.
Möjliga lösningar inkluderar:
<Location "/tsighk">
-blocket innehåller direktivetAuthType None
och det kan vara tillräckligt.- Oberoende gateway med httpd.conf har Apache httpd-standarddirektivet
ProxyPreserveHost(Länken öppnas i ett nytt fönster) On
. Om det finns en ovanlig omständighet som kräver att det är Av eller något annat värde, kan värdet ställas in med TSM-konfigurationsobjektetgateway.tsig.proxypreservehost
. - Du kan behöva några modulspecifika direktiv för att kunna inaktivera din autentiseringsmodul för
<Location "/tsighk">
. Du kan inte direkt modifiera det blocket i httpd.conf-filen. Istället kan du skapa ett annat<Location "/tsighk">
-block i dingateway.tsig.authn_global_block
-fil och låta Apache httpd föra samman dem logiskt. Vissa versioner av mod_auth_mellon, som är en populär autentiseringsmodul med öppen källkod, kräver till exempelMellonEnable Off
för sektioner där den inte gäller, även omAuthType None
är inställt i dessa sektioner. - När du skapar en ytterligare
<Location "/tsighk">
-sektion – såsom beskrivs i föregående punkt – kan du se att ordningen för de olika sektionerna i httpd.conf-filen gör skillnad i hur de påverkar varandra. Standardsektionen<Location "/tsighk">
visas före standardsektionen<Location "/">
. Om ditt experiment visar att en annan ordning behövs kanske du måste definiera en annan<Location "/">
-sektion i dittgateway.tsig.authn_global_block
-block utöver en annan<Location "/tsighk">
-sektion, i vilket fall du kanske inte behöver något i ettgateway.tsig.authn_location_block
-block.
Felsök konfigurationen av en anpassad autentiseringsmodul
Ett bra sätt att förstå hur oberoende gateway skapar httpd.conf-filen är att konfigurera TSM-konfigurationsobjekten med värden som pekar på tomma filer på dina datorer med oberoende gateway. (Filerna måste finnas men de kan vara tomma.) Du kan sedan titta på httpd.conf-filen som oberoende gateway skapar för att få en konkret förståelse för var Include
-direktiven för de olika konfigurationsfilerna faktiskt kommer att visas.
Konfigurationsproblem i oberoende gateway-httpd.conf kan resultera i att tsig-httpd
-tjänsten inte kan startas. Andra konfigurationsproblem kan störa mottagningen av konfigurationsuppdateringar från oberoende gateway-kompanjontjänsten på Tableau Server-klustret. Efter att du har åtgärdat det som orsakade problemet kan du återställa genom att kopiera TSIG_DATA/config/httpd.conf.stub
till TSIG_DATA/config/httpd.conf
och sedan starta om tjänsten tsig-httpd
.
Fler felsökningstips finns i Felsöka Oberoende gateway för Tableau Server(Länken öppnas i ett nytt fönster) i driftsättningsguiden. I driftsättningsguiden ges exempel på driftsättning av Tableau Server på Linux. Felsökningsstegen är användbara för Windows- eller Linux-versioner av Tableau Server.