War diese Seite hilfreich?
Ja Nein

Konfigurieren der gegenseitigen SSL-Authentifizierung

Tableau Server für Windows beinhaltet nun Tableau Services Manager (TSM), der das Konfigurationsdienstprogramm und das tabadmin-Befehlszeilentool ersetzt. Wenn Sie Hilfe zu einer früheren Version von Tableau Server benötigen, schlagen Sie auf der Seite Tableau-Hilfe nach.

Mittels gegenseitigem SSL können Sie Benutzern von Tableau Desktop und von anderen Tableau-genehmigten Clients einen sicheren Direktzugriff auf Tableau Server bereitstellen. Wenn ein über ein gültiges SSL-Zertifikat verfügender Client unter Verwendung von gegenseitigem SSL eine Verbindung zu Tableau Server herstellt, bestätigt Tableau Server das Vorhandensein des Clientzertifikats und authentifiziert den Benutzer anhand des Benutzernamens im Clientzertifikat. Wenn der Client kein gültiges SSL-Zertifikat besitzt, kann Tableau Server die Verbindung verweigern. Sie können Tableau Server auch so konfigurieren, dass automatisch die Authentifizierung mittels Benutzername/Kennwort verwendet wird, wenn die gegenseitige SSL-Authentifizierung fehlschlägt.

Die gegenseitige SSL-Authentifizierung wird in Tableau Mobile nicht unterstützt.

  1. Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.

  2. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  3. Wählen Sie auf der Registerkarte Konfiguration Benutzeridentität und Zugriff > Authentifizierungsmethode.

  4. Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode die Option Gegenseitiges SSL aus.

  5. Wählen Sie unter "Gegenseitiges SSL" die Option Gegenseitiges SSL verwenden und automatisch mit Clientzertifikaten anmelden aus.

  6. Klicken Sie auf Datei auswählen und laden Sie Ihr von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat auf den Server hoch.

    Das Zertifikat muss ein gültiges PEM-codiertes x509-Zertifikat mit der Erweiterung ".crt" sein.

  7. Geben Sie alle weiteren SSL-Konfigurationsinformationen für Ihre Organisation ein.

    Benutzernamenformat: Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, erhält der Server den Benutzernamen aus dem Clientzertifikat. Damit kann er den Clientbenutzer direkt anmelden. Der von Tableau Server verwendete Name hängt davon ab, wie Tableau Server für die Benutzerauthentifizierung konfiguriert ist:

    • Lokale Authentifizierung: Tableau Server verwendet den UPN (User Principal Name) aus dem Zertifikat.
    • Active Directory (AD): Tableau Server ruft den Benutzernamen über LDAP (Lightweight Directory Access-Protokoll) ab.

    Alternativ können Sie Tableau Server auch so einrichten, dass der CN (Common Name) aus dem Clientzertifikat verwendet wird.

    Configure mutual SSL screenshot

  8. Klicken Sie nach Eingabe Ihrer Konfigurationsinformationen auf Ausstehende Änderungen speichern.

  9. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  10. Klicken Sie auf Änderungen anwenden und neu starten.

1 Anfordern von SSL für die externe Serverkommunikation

Führen Sie den Befehl external-ssl enable wie folgt unter Angabe der Namen für die .crt- und .key-Dateien des Serverzertifikats aus, um Tableau Server für die Verwendung von SSL für die externe Kommunikation zwischen Tableau Server und Webclients zu konfigurieren:

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • Geben Sie für --cert-file und --key-file den Speicherort und den Dateinamen an, an bzw. unter dem Sie das von der Zertifizierungsstelle des Servers ausgestellte SSL-Zertifikat (.crt) und die Schlüsseldateien (.key) gespeichert haben.

  • Bei obigem Befehl wird davon ausgegangen, dass Sie als ein Benutzer angemeldet sind, der über die Site-Rolle Serveradministrator für Tableau Server verfügt. Stattdessen können Sie die Parameter -u und -p verwenden, um einen Administratorbenutzer und das Kennwort anzugeben.

  • Verwenden Sie den Parameter --passphrase und den Wert, sofern für die Zertifikatschlüsseldatei eine Passphrase erforderlich ist.

2 Verwenden von gegenseitigem SSL

Fügen Sie die gegenseitige Authentifizierung zwischen dem Server und jedem Client hinzu und erlauben Sie, dass Tableau-Clientbenutzer direkt authentifiziert werden, nachdem sie erstmals ihre Anmeldeinformationen angegeben haben.

  1. Führen Sie den folgenden Befehl aus:

    tsm authentication mutual-ssl configure -cert-file <file.crt>

    Geben Sie für --cert-file den Speicherort und den Dateinamen der Zertifikatsdatei der Zertifizierungsstelle (.crt) so an, wie dies im vorherigen Schritt für externes SSL beschrieben wird.

    Informationen zu zusätzlichen Optionen, die Sie ggf. zusammen mit dem Befehl mutual-ssl configure verwenden möchten, finden Sie in den verbleibenden Abschnitten dieses Artikels.

  2. Führen Sie die folgenden Befehle aus, um gegenseitiges SSL zu aktivieren und die Änderungen zu übernehmen:

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    Der Befehl pending-changes apply zeigt eine Meldung an, die Sie darüber informiert, dass dadurch Tableau Server neu gestartet wird, wenn der Server ausgeführt wird. Die Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Weitere Informationen finden Sie unter tsm pending-changes apply.

Zusätzliche Optionen für gegenseitiges SSL

Sie können mutual-ssl configure verwenden, um Tableau Server für die Unterstützung der folgenden Optionen zu konfigurieren.

Weitere Informationen finden Sie unter tsm authentication mutual-ssl <commands>.

Fallback-Authentifizierung

Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, erfolgt die Authentifizierung automatisch, und der Client muss ein gültiges Zertifikat besitzen. Sie können Tableau Server für das Erlauben einer Fallback-Option konfigurieren, um die Authentifizierung mittels Benutzername und Kennwort zu akzeptieren.

tsm authentication mutual-ssl configure -f true

Zuordnen von Benutzernamen

Wenn Tableau Server für gegenseitiges SSL konfiguriert ist, authentifiziert der Server den Benutzer direkt, indem er den Benutzernamen aus seinem Clientzertifikat abruft. Der von Tableau Server verwendete Name hängt davon ab, wie der Server für die Benutzerauthentifizierung konfiguriert ist:

  • Lokale Authentifizierung: verwendet den UPN (User Principal Name) aus dem Zertifikat.

  • Active Directory (AD): ruft den Benutzernamen über LDAP (Lightweight Directory Access-Protokoll) ab.

Sie können einen dieser Standardwerte überschreiben, um Tableau Server für die Verwendung des Common Name festzulegen.

tsm authentication mutual-ssl configure -m cn

Weitere Informationen finden Sie unter Zuordnen eines Clientzertifikats zu einem Benutzer während der gegenseitigen Authentifizierung.

Zertifikatsperrliste (CRL)

Sie müssen ggf. eine Zertifikatsperrliste (Certificate Revocation List, CRL) angeben, wenn Sie den Verdacht haben, dass ein privater Schlüssel manipuliert wurde oder eine Zertifizierungsstelle ein Zertifikat nicht ordnungsgemäß ausgestellt hat.

tsm authentication mutual-ssl configure -r <revoke-file.pem>