在相互驗證過程中將用戶端憑證對應到使用者


使用相互(雙向)SSL 驗證時,用戶端會在驗證過程中將其憑證提供給 Tableau ServerTableau Server 然後將用戶端憑證中的使用者資訊對應到已知的使用者識別。Tableau Server用於執行用戶端對應的原則取決於組織用戶端憑證的內容。

本主題論述有關用戶端憑證中的資訊對應到使用者身分的方式,以及如何變更 Tableau Server 執行該對應的方式。若要瞭解對應的發生方式以及您是否需要變更對應,您必須知道組織中用戶端憑證的組建方式。

使用者名對應選項

Tableau Server 使用以下方法之一將用戶端憑證對應到使用者身分:

  • Active Directory。如果已將 Tableau Server 設定為使用 Active Directory 進行使用者驗證,則在 Tableau Server 收到用戶端憑證時, 它會將憑證傳送至 Active Directory,從而將憑證對應至 Active Directory 身分。將忽略憑證中的任何顯式使用者名資訊。

    附註:此方法要求對 Active Directory 中的使用者帳戶發佈用戶端憑證。

  • 使用者主體名稱 (UPN)。用戶端憑證可以設定為將使用者名存儲在使用者主體名稱欄位中。Tableau Server 將讀取 UPN 值,並將其對應到 Active Directory 中的使用者或本機使用者。

  • 公用名稱 (CN)。用戶端憑證可以設定為將使用者名存儲在憑證的公用名稱欄位中。Tableau Server 將讀取 CN 值,並將其對應到 Active Directory 中的使用者或本機使用者。

如果為 Active Directory 驗證和 UPN 或 CN 使用者名對應設定伺服器,請按以下其中一種格式來放置使用者名:

usernamedomain/usernameusername@domain

例如:jsmithexample.org/jsmithjsmith@example.org

如果伺服器使用本機驗證,則不會預先確定 UPN 或 CN 欄位中名稱的格式,但欄位中的名稱必須與伺服器上的使用者名相符。

變更憑證對應

您可以在 Tableau Server 中使用 tsm authentication mutual-ssl <commands> 命令將用戶端憑證對應到使用者身分: 

tsm authentication mutual-ssl configure -m <value>

可能的值為 ldap(適用於 Active Directory 對應)、upn(適用於 UPN 對應)或 cn(適用於 CN 對應)。

首次安裝和設定 Tableau Server 時,伺服器會設定預設使用者名對應以相符伺服器的驗證類型:

  • 如果伺服器設定為使用 Active Directory,則它也使用 Active Directory 用於將憑證對應到使用者身分。

  • 如果伺服器設定為使用本機驗證,則伺服器將從憑證的 UPN 欄位中獲取使用者名值

如果 Tableau Server 將使用者名對應到身分的預設行為對於伺服器設定不正確,請執行以下一組命令將對應變更為使用 CN 值:

tsm authentication mutual-ssl configure -m cn

tsm pending-changes apply

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply

解決多域組織中的使用者名對應不明確問題

在某些情況下,憑證的 UPN 或 CN 欄位中的使用者名可能不明確。這種不明確性可能會導致在將使用者名對應到伺服器上的使用者身分時出現意外結果。

例如,如果使用不包含域的使用者名來顯示 Tableau Server,則伺服器使用預設域將該使用者名對應到某個身分。這可能導致使用者名對應不正確,從而可能會為使用者指派不同的使用者身分和權限。

特別是在以下條件適用的環境中會出現這種情況:

  • 您的組織支援多個 Active Directory 域。

  • 伺服器設定為使用 Active Directory 驗證。

  • 伺服器設定為使用 UPN 或 CN 對應。

  • 一些使用者具有相同的使用者名,但具有不同的網域。例如 jsmith@example.orgjsmith@example.com

  • 憑證的 UPN 或 CN 欄位中的使用者名未將域包括為使用者名的一部分—例如,欄位將顯示 jsmith

為了避免出現不正確的使用者名對應,請使用 jsmith@example.orgexample.org/jsmith 格式,確保用戶端憑證包括帶域的完全限定使用者名。

返回頂端
感謝您的意見反應!已成功提交您的意見回饋。謝謝!