กำหนดค่าโมดูลการตรวจสอบสิทธิด้วยเกตเวย์อิสระ
แนวปฏิบัติด้านความปลอดภัยทั่วไปจะอนุญาตให้คำขอที่ผ่านการตรวจสอบสิทธิแล้วเท่านั้นสามารถผ่านไฟร์วอลล์ภายในของเซิร์ฟเวอร์ DMZ ได้ เกตเวย์อิสระรองรับวิธีการตรวจสอบสิทธิแบบดั้งเดิมของ Tableau Server แต่ยังรวมถึงพร็อพเพอร์ตี้การกำหนดค่าที่อนุญาตให้รวมโมดูลที่โหลดได้ Apache httpd สำหรับการตรวจสอบสิทธิแบบกำหนดเอง
ตัวอย่างเช่น เมื่อกำหนดค่า SAML บน Tableau Server และการกำหนดค่าโมดูลการตรวจสอบสิทธิแบบกำหนดเอง คุณสามารถกำหนดให้ผู้ใช้ทั้งหมดตรวจสอบสิทธิด้วย IdP ของคุณที่เกตเวย์อิสระ เฉพาะผู้ใช้ที่ได้รับการตรวจสอบสิทธิแล้วเท่านั้นจึงจะสามารถเข้าถึง Tableau Server ซึ่งสามารถตรวจสอบสิทธิและให้สิทธิเข้าถึงของผู้ใช้ได้
หากต้องการคำอธิบายโดยละเอียดเพิ่มเติมของสคีมาการตรวจสอบสิทธิ์นี้ โปรดดูที่การตรวจสอบสิทธิ์ล่วงหน้าด้วยโมดูล AuthN(ลิงก์จะเปิดในหน้าต่างใหม่) ในคู่มือการปรับใช้ทั่วทั้งองค์กร
หากต้องการกำหนดค่าโมดูลการตรวจสอบสิทธิ คุณต้องทำตามขั้นตอนต่อไปนี้
- สร้างไฟล์การกำหนดค่าโมดูลการตรวจสอบสิทธิ เมื่อการตั้งค่าเสร็จสิ้น แต่ละโมดูลและคำสั่งการกำหนดค่าจะถือว่าเป็นตัวเลือก Include ซึ่งทำให้ไฟล์ที่รวมเป็นส่วนหนึ่งตามตรรกะของการกำหนดค่า httpd โดยรวม
- คัดลอกไฟล์การกำหนดค่าไปยังคอมพิวเตอร์แต่ละเครื่องที่เรียกใช้เกตเวย์อิสระ ไฟล์ทั้งหมดจะต้องคัดลอกไปยังตำแหน่งเดียวกันบนคอมพิวเตอร์ของเกตเวย์อิสระแต่ละเครื่อง แต่ละไฟล์แมปกับพร็อพเพอร์ตี้การกำหนดค่าที่จัดการโดย Tableau Server
- ตั้งค่าพร็อพเพอร์ตี้การกำหนดค่าด้วยคำสั่ง
tsm configuration set
บน Tableau Server
ห้ามแก้ไขไฟล์การกำหนดค่า httpd (httpd.conf) บนเกตเวย์อิสระเนื่องจากเกตเวย์อิสระมีตรรกะในการอัปเดตการกำหนดค่า httpd ตามการเปลี่ยนแปลงที่ทำกับคำสั่ง TSM บน Tableau Server
ตัวอย่างการกำหนดค่าโมดูลการตรวจสอบสิทธิ์
หากต้องการตัวอย่างการกำหนดค่าโมดูลการตรวจสอบสิทธิ์แบบครบวงจร โปรดดูตัวอย่างการกำหนดค่าการตรวจสอบสิทธิ์: SAML ที่มี IdP ภายนอก(ลิงก์จะเปิดในหน้าต่างใหม่)ในคู่มือการปรับใช้ทั่วทั้งองค์กร ตัวอย่างจะอธิบายวิธีตั้งค่าและกำหนดค่า SAML ด้วย IdP ของ Okta และโมดูลการตรวจสอบสิทธิ์ Mellon สำหรับการปรับใช้ Tableau Server บนการปรับใช้ Linux ที่เรียกใช้ใน AWS ถึงแม้ว่าตัวอย่างจะอธิบายถึงกระบวนการสำหรับ Linux เอาไว้เท่านั้น แต่ตัวอย่างการกำหนดค่ายังมีประโยชน์สำหรับ Tableau Server บน Windows อีกด้วย
พร็อพเพอร์ตี้การกำหนดค่า
ตารางต่อไปนี้จะอธิบายไฟล์การกำหนดค่าต่างๆ ที่คุณอาจใช้อ้างอิงได้ แต่ละไฟล์จะแมปกับพร็อพเพอร์ตี้การกำหนดค่าที่ตั้งค่าบน Tableau Server
พร็อพเพอร์ตี้การกำหนดค่า | คำอธิบาย |
---|---|
gateway.tsig.authn_module_block | ปรากฏที่ส่วนท้ายของชุดโมดูล Apache httpd ที่โหลดตามปกติ จุดประสงค์คือเพื่อให้ไฟล์มีคำสั่ง LoadModule อย่างน้อยหนึ่งคำสั่ง โมดูลควรระบุด้วยพาธแบบเต็ม |
gateway.tsig.authn_global_block | ปรากฏหลังการอ้างอิง LoadModule ทั้งหมด และก่อนหน้าคำสั่ง Apache httpd อื่นๆ ส่วนใหญ่ จุดประสงค์คือเพื่อให้จัดเตรียมตำแหน่งสำหรับคำสั่งการกำหนดค่าที่จำเป็นโดยโมดูลที่กำหนดเอง |
gateway.tsig.authn_globalbottom_block | ปรากฏที่ด้านล่างสุดของไฟล์การกำหนดค่า อีกครั้งที่ระดับส่วนกลาง จุดประสงค์คือเพื่อให้มีตำแหน่งสำหรับคำสั่งการกำหนดค่าที่จำเป็นโดยโมดูลที่กำหนดเองซึ่งต้องมาหลังจากคำสั่งอื่นๆ โดยเฉพาะ (คุณน่าจะไม่ต้องการสิ่งนี้) |
gateway.tsig.authn_location_block | ปรากฏในบล็อก <Location "/"> ซึ่งครอบคลุมพาธ URL ทั้งหมด |
gateway.tsig.authn_directory_block | ซึ่งปรากฏขึ้นภายในบล็อก <Directory "/"> ซึ่งครอบคลุมพาธทั้งหมดไปยังไฟล์ที่ให้บริการโดยเกตเวย์อิสระ (คุณไม่น่าจะต้องการสิ่งนี้ ไฟล์ส่วนใหญ่ที่ให้บริการโดยเกตเวย์อิสระเป็นเนื้อหาแบบคงที่ที่ไม่ละเอียดอ่อน เช่น รูปภาพและไฟล์ JavaScript) |
gateway.tsig.authn_virtualhost_block | ปรากฏในบล็อก |
บล็อก <Location "/tsighk">
นอกจากบล็อก <Location "/">
ที่คาดไว้สำหรับการรับส่งข้อมูลคำขอปกติแล้ว ยังมีบล็อก <Location "/tsighk">
ที่ใช้เพื่อให้บริการคำขอดูแลทำความสะอาดภายในเกตเวย์อิสร (HK) คำขอ HK เหล่านี้จะมีเจ้าหน้าที่ตรวจสอบสิทธิของตนเองและจะไม่ทำงานกับโซลูชัน SSO แบบกำหนดเองทั่วไป
คุณอาจต้องแยกโมดูลที่กำหนดเองออกจากการพยายามตรวจสอบสิทธิสำหรับพาธ HK URL อย่างชัดเจน
หากต้องการพิจารณาว่าคุณจำเป็นต้องยกเว้นโมดูลของคุณหรือไม่ ให้กำหนดค่าโมดูลก่อน จากนั้นค้นหาคำขอ HK ในบันทึกการเข้าถึงเกตเวย์อิสระ คุณควรเห็นการตรวจสอบสถานะอย่างน้อยหนึ่งครั้งหรือสองครั้งต่อนาที หากคำขอเหล่านั้นได้รับรหัสตอบกลับ 200 รายการดังกล่าวก็อาจเป็นไปได้ ในทางกลับกัน หากคำขอเหล่านั้นได้รับรหัสตอบกลับ 3xx (การเปลี่ยนพาธไปยังผู้ให้บริการตรวจสอบสิทธิแบบกำหนดเองของคุณ) คุณจำเป็นต้องดำเนินการบางอย่าง
วิธีแก้ปัญหาที่เป็นไปได้ ได้แก่
- บล็อก
<Location "/tsighk">
มีคำสั่งAuthType None
และอาจเพียงพอต่อการแก้ปัญหานี้ - เกตเวย์อิสระ httpd.conf มีคำสั่ง Apache httpd
ProxyPreserveHost(ลิงก์จะเปิดในหน้าต่างใหม่) On
มาตรฐาน หากมีสถานการณ์ผิดปกติที่กำหนดให้ปิดหรือค่าอื่น ค่านั้นสามารถตั้งค่าด้วยรายการการกำหนดค่า TSMgateway.tsig.proxypreservehost
- คุณอาจต้องใช้คำสั่งเฉพาะโมดูลเพื่อปิดใช้งานโมดูลการตรวจสอบสิทธิของคุณสำหรับ
<Location "/tsighk">
คุณไม่สามารถแก้ไขบล็อกนั้นโดยตรงในไฟล์ httpd.conf คุณสามารถสร้างบล็อก<Location "/tsighk">
อื่นในไฟล์gateway.tsig.authn_global_block
ของคุณและให้ Apache httpd รวมเข้าด้วยกันตามตรรกะ ตัวอย่างเช่น mod_auth_mellon บางเวอร์ชัน ซึ่งเป็นโมดูลการตรวจสอบสิทธิโอเพนซอร์สยอดนิยม ต้องใช้MellonEnable Off
สำหรับส่วนที่ไม่ได้ปรับใช้ แม้ว่าจะมีการตั้งค่าAuthType None
ในส่วนเหล่านั้นก็ตาม - เมื่อสร้างส่วน
<Location "/tsighk">
เพิ่มเติมตามที่อธิบายไว้ในหัวข้อย่อยก่อนหน้านี้ คุณอาจพบว่าลำดับของลักษณะที่ปรากฏของส่วนต่างๆ ในไฟล์ httpd.conf ทำให้เกิดการโต้ตอบระหว่างกัน โดยส่วน<Location "/tsighk">
มาตรฐานจะปรากฏก่อนส่วน<Location "/">
มาตรฐาน หากการทดลองของคุณแสดงให้เห็นว่าจำเป็นต้องมีการเรียงลำดับที่แตกต่างกัน คุณอาจต้องกำหนดส่วน<Location "/">
อื่นในบล็อกgateway.tsig.authn_global_block
ของคุณ นอกเหนือจากส่วน<Location "/tsighk">
อื่น ซึ่งในกรณีนี้ คุณอาจไม่ต้องใช้อะไรในบล็อกgateway.tsig.authn_location_block
แก้ปัญหาการกำหนดค่าโมดูลการตรวจสอบสิทธิแบบกำหนดเอง
วิธีที่สะดวกในการทำความเข้าใจว่าเกตเวย์อิสระจะเขียนไฟล์ httpd.conf อย่างไร คือการตั้งค่ารายการการกำหนดค่า TSM ด้วยค่าที่ชี้ไปที่ไฟล์ว่างในคอมพิวเตอร์เกตเวย์อิสระ (ไฟล์ต้องมีอยู่ แต่สามารถเว้นว่างได้) จากนั้นคุณสามารถดูไฟล์ httpd.conf ของเกตเวย์อิสระเพื่อทำความเข้าใจได้อย่างชัดเจนว่าคำสั่ง Include
สำหรับไฟล์การกำหนดค่าต่างๆ จะปรากฏขึ้นที่ใด
ปัญหาการกำหนดค่าในเกตเวย์อิสระ httpd.conf อาจส่งผลให้บริการ tsig-httpd
ไม่สามารถเริ่มทำงานได้ ปัญหาการกำหนดค่าอื่นๆ อาจขัดขวางการรับการอัปเดตการกำหนดค่าจากบริการที่มาพร้อมกับเกตเวย์อิสระบนคลัสเตอร์ Tableau Server วิธีหนึ่งในการกู้คืนหลังจากที่คุณได้แก้ไขต้นเหตุที่ทำให้เกิดปัญหาแล้วคือ คัดลอกTSIG_DATA/config/httpd.conf.stub
ไปยัง TSIG_DATA/config/httpd.conf
แล้วเริ่มการทำงานของบริการ tsig-httpd
ใหม่
สำหรับเคล็ดลับการแก้ไขปัญหาเพิ่มเติม โปรดดูที่การแก้ไขปัญหาเกตเวย์อิสระของ Tableau Server(ลิงก์จะเปิดในหน้าต่างใหม่) ในคู่มือการปรับใช้ทั่วทั้งองค์กร (EDG) EDG จะมอบตัวอย่างการปรับใช้ Tableau Server บน Linux ขั้นตอนการแก้ไขปัญหามีประโยชน์สำหรับ Tableau Server เวอร์ชัน Windows หรือ Linux