Mappa ett klientcertifikat till en användare under ömsesidig autentisering
När du använder ömsesidig (tvåvägs) SSL-autentisering, visar klienten sitt certifikat för Tableau Server som en del av autentiseringsprocessen. Tableau Server kartlägger sedan användaruppgifterna i klientcertifikatet till en känd användaridentitet. Den strategi som Tableau Server använder för att utföra klientkartläggning beror på innehållet i organisationens klientcertifikat.
I det här avsnittet diskuteras hur information i ett klientcertifikat kan kartläggas till en användaridentitet och hur man ändrar hur Tableau Server utför den kartläggningen. För att förstå hur kartläggningen går till och om du behöver ändra den måste du veta hur klientcertifikat är uppbyggda i din organisation.
Alternativ för kartläggning av användarnamn
Tableau Server använder en av följande metoder för att kartlägga ett klientcertifikat till en användaridentitet:
Active Directory. Om Tableau Server är konfigurerat att använda Active Directory för användarautentisering när Tableau Server får ett klientcertifikat, skickar det certifikatet till Active Directory, som kartlägger certifikatet till en Active Directory-identitet. All uttalad information om användarnamn i certifikatet ignoreras.
Obs! Detta tillvägagångssätt kräver att klientcertifikat publiceras för användarkontona i Active Directory.
User principal name (UPN). Ett klientcertifikat kan konfigureras för att lagra användarnamnet i fältet för User Principal Name. Tableau Server läser UPN-värdet och kartlägger det till en användare i Active Directory eller till en lokal användare.
Eget namn (EN). Ett klientcertifikat kan konfigureras för att lagra användarnamnet i fältet för Eget namn. Tableau Server läser CN-värdet och kartlägger det till en användare i Active Directory eller till en lokal användare.
Om du konfigurerar servern för Active Directory-autentisering och kartläggning av användarnamn med UPN eller EN anger du användarnamnet i ett av följande format:
username
, domain/username
, eller username@domain
.
Till exempel: jsmith
, example.org/jsmith
, or jsmith@example.org
.
Om servern använder lokal autentisering är inte formatet av namnet i UPN- eller CN-fälten förutbestämt, men namnet i fältet måste matcha ett användarnamn på servern.
Ändra kartläggningen av certifikat
Du använder kommandona tsm authentication mutual-ssl <kommandon> för att kartlägga ett klientcertifikat till en användaridentitet i Tableau Server:
tsm authentication mutual-ssl configure -m <value>
Möjliga värden är ldap
för Active Directory-kartläggning, upn
för UPN-kartläggning eller cn
för EN-kartläggning.
När du installerar och konfigurerar Tableau Server för första gången ställer servern in kartläggningen av standardanvändarnamnet så att den matchar serverns autentiseringstyp:
Om servern är konfigurerad att använda Active Directory använder den också Active Directory för att kartlägga certifikatet till användaridentiteten.
Om servern är konfigurerad att använda lokal autentisering får servern användarnamnvärdet från UPN-fältet i certifikatet.
Om standardbeteendet för hur Tableau Server kartlägger ett användarnamn till en identitet inte är korrekt för din serverkonfiguration, kör följande uppsättning kommandon för att ändra kartläggningen för att använda EN-värdet:
tsm authentication mutual-ssl configure -m cn
tsm pending-changes apply
Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply
en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt
, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.
Hantera tvetydighet mellan användarnamns kartläggning i flerdomänorganisationer
Under vissa omständigheter kan användarnamnet i ett certifikats UPN- eller EN-fält vara tvetydigt. Denna tvetydighet kan leda till oväntade resultat när användarnamnet kartläggs till en användaridentitet på servern.
Till exempel, om Tableau Server visas med ett användarnamn som inte innehåller en domän, kartlägger servern användarnamnet till en identitet med standarddomänen. Detta kan orsaka en felaktig kartläggning av användarnamn, vilket potentiellt kan tilldela en användare en annan användares identitet och behörigheter.
Detta kan särskilt förekomma i miljöer där följande villkor gäller:
Din organisation stöder flera Active Directory-domäner.
Servern har inte konfigurerats att använda Active Directory för autentisering.
Servern är konfigurerad att använda UPN- eller EN-kartläggning.
Vissa användare har samma användarnamn men olika domäner. Till exempel,
jsmith@example.org
ochjsmith@example.com
.Användarnamnet i certifikatets UPN- eller EN-fält inkluderar inte domänen som en del av användarnamnet – det visar till exempel
jsmith
.
För att undvika felaktig kartläggning av användarnamn, se till att klientcertifikaten innehåller fullt kvalificerade användarnamn med domänen, med formatet jsmith@example.org
eller example.org/jsmith
.