เอนทิตี mutualSSLSettings


ก่อนที่คุณจะกำหนดค่า SSL ร่วม ให้ตรวจสอบ กำหนดค่า SSL สำหรับทราฟฟิก HTTP ภายนอกไปยังและจาก Tableau Server

เอนทิตี mutualSSLSettings จะรวมทั้งการกำหนดค่าของ SSL และ SSL ร่วมเข้าด้วยกัน SSL ร่วมนั้นกำหนดให้ต้องเปิดใช้งาน SSL ภายนอกและกำหนดค่าอย่างเหมาะสม

เอนทิตี TSM ใช้ JSON และคู่คีย์ค่า ใช้เทมเพลตไฟล์การกำหนดค่าด้านล่างเพื่อสร้างไฟล์ .json กำหนดค่าคีย์ที่เหมาะสมสำหรับสภาพแวดล้อมของคุณ จากนั้นให้ส่งไฟล์ .json ไปยัง Tableau Server ด้วยคำสั่งดังต่อไปนี้

tsm settings import -f <path-to-file.json>

tsm pending-changes apply

หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

เทมเพลตการกำหนดค่า

ใช้เทมเพลตนี้เพื่อกำหนดการตั้งค่า SSL ร่วม

สำคัญ: ตัวเลือกเอนทิตีทั้งหมดคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก

หากต้องการคำอธิบายเพิ่มเติมเกี่ยวกับไฟล์การกำหนดค่า เอนทิตี และคีย์ โปรดดู ตัวอย่างไฟล์การกำหนดค่า


{
  "configEntities": {
    "mutualSSLSettings": {
        "_type": "mutualSSLSettingsType",
        "sslEnabled": true,
        "proxyLogin": false,
        "clientCertRequired": true,
        "caCertFile": "required",
        "keyFileName": "required",
        "keyPassphrase": "",
        "chainFile": "",
        "revocationFile": "",
        "redirect": false,
        "fallbackToPassword": true,
        "protocols": "",
        "cipherSuite": "",
        "forceHttpsForPublicEmbed": false
    }
  }
}

การอ้างอิงไฟล์การกำหนดค่า

sslEnabled

เปิดใช้งาน SSL โดยนี่เป็นข้อกำหนดเบื้องต้นในการเปิดใช้งาน SSL ร่วม

clientCertRequired (MutualSSL)

ตั้งค่าเป็น "true" เพื่อเปิดใช้งานการตรวจสอบสิทธิ์ SSL ร่วม ตั้งค่าเป็น "false" เพื่อปิดใช้งาน

caCertFile (MutualSSL)

จำเป็น

ระบุไฟล์ใบรับรองที่ออกโดย CA สำหรับ SSL แบบยืนยันตัวตนทั้งสองฝั่ง เส้นทางไฟล์ต้องเป็นลักษณะที่ Tableau Server สามารถอ่านได้

certFileName

ระบุไฟล์ที่มีการเชื่อมโยงของใบรับรอง CA ที่เข้ารหัส PEM ซึ่งทำให้เกิดเป็นลูกโซ่ใบรับรองสำหรับใบรับรองเซิร์ฟเวอร์

หรือไฟล์อ้างอิงอาจจะเหมือนกับ caCertFile เมื่อใบรับรอง CA ผนวกเข้ากับใบรับรองเซิร์ฟเวอร์โดยตรงเพื่อความสะดวก

keyFileName

หากคีย์ไม่ได้รวมกับใบรับรอง ให้ใช้คีย์การกำหนดค่านี้เพื่อนำไปยังไฟล์คีย์ หากคุณมีทั้งคีย์ส่วนตัว RSA และ DSA จะสามารถกำหนดค่าได้ทั้งสองแบบพร้อมกัน (เช่น เพื่ออนุญาตให้ใช้การเข้ารหัส DSA อีกด้วย)

keyPassphrase

ไม่บังคับ วลีรหัสผ่านสำหรับไฟล์ใบรับรอง ข้อความรหัสผ่านที่คุณป้อนจะถูกเข้ารหัสในขณะที่ไม่ได้ใช้งาน

หมายเหตุ: หากคุณสร้างไฟล์คีย์ใบรับรองด้วยวลีรหัสผ่าน คุณจะใช้คีย์ใบรับรอง SSL ซ้ำสำหรับ SAML ไม่ได้

revocationFile

ระบุเส้นทางไฟล์ของไฟล์รายการเพิกถอนใบรับรอง SSL CA (สกุล .crl)

Redirect

ค่าเริ่มต้น: true ระบุว่า Tableau Server ควรเปลี่ยนเส้นทางคำขอ HTTP เป็นคำขอ HTTPS ไปยังปลายทางที่เหมาะสมหรือไม่

clientCertMapping (MutualSSL)

ระบุวิธีสำหรับการดึงข้อมูลชื่อผู้ใช้จากใบรับรอง

ค่าที่ยอมรับ: ldap, upn, cn

  • สำหรับเซิร์ฟเวอร์ที่ใช้การตรวจสอบสิทธิ์ในเครื่อง การตั้งค่าเริ่มต้นคือ upn (ชื่อผู้ใช้หลัก)

  • เมื่อมีการกำหนดค่าการตรวจสอบสิทธิ์ของ Tableau Server สำหรับ Active Directory (AD) ค่าเริ่มต้นคือ ldap (Lightweight Directory Access Protocol) การตั้งเช่นนี้จะบอกให้เซิร์ฟเวอร์ไปยัง AD เพื่อยืนยันความถูกต้องของผู้ใช้ และจะไม่คำนึงถึงชื่อภายในใบรับรอง

คุณสามารถตั้ง cn สำหรับประเภทการตรวจสอบสิทธิ์ใดก็ได้เพื่อใช้ CN ในหัวข้อ DN ในใบรับรอง

หากต้องการข้อมูลเพิ่มเติม โปรดดู การแมปใบรับรองไคลเอ็นต์ไปยังผู้ใช้ในระหว่างการรับรองสิทธิ์ร่วม

fallbackToPassword (MutualSSL)

ตั้งค่าเป็น "true" เพื่อให้ผู้ใช้มีตัวเลือกในการเข้าสู่ระบบ Tableau Server ผ่านชื่อผู้ใช้และรหัสผ่าน หากการตรวจสอบสิทธิ์ SSL ร่วมไม่สำเร็จ ตั้งค่าเป็น "false" เพื่อไม่อนุญาตตัวเลือกฟอลล์แบ็กนี้

protocols

ระบุเวอร์ชันโปรโตคอล Transport Layer Security (TLS) ที่คุณต้องการอนุญาตหรือไม่อนุญาต

ค่าเริ่มต้น: "all -SSLv2 -SSLv3"

ทว่าเราขอแนะนำให้ใช้การตั้งค่าต่อไปนี้

"all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm security external-ssl enable หากต้องการข้อมูลทั่วไป โปรดดูเอกสารประกอบ Apache ฉบับออนไลน์

cipherSuite

ลงรายการเข้ารหัสเพื่ออนุญาตหรือไม่อนุญาตการทำงาน SSL

ค่าเริ่มต้น: "HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA:!IDEA:!SEED"

ดูรูปแบบรายการเข้ารหัสได้ที่หน้าการเข้ารหัส OpenSSL(ลิงก์จะเปิดในหน้าต่างใหม่) โปรดระมัดระวังเมื่อเปลี่ยนตัวเลือกนี้ ค่าเริ่มต้นไม่ยอมให้เกิดการเข้ารหัสที่ไม่ถือว่าปลอดภัยพออีกต่อไปแล้ว

proxyLogin

ค่าเริ่มต้น: false จะระบุว่า Tableau Server ใช้พร็อกซีสำหรับ SSL เมื่อเข้าสู่ระบบเท่านั้น โดยจะควบคุมโปรโตคอลที่เซิร์ฟเวอร์รายงานไปยัง Tableau Desktop สำหรับ API เข้าสู่ระบบ

forceHTTPForPublicEmbed

ค่าเริ่มต้น: false บังคับโค้ดสำหรับมุมมองแบบฝังที่ใช้ SSL

ย้อนกลับไปด้านบน