Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server

Tableau Server sur Windows inclut désormais Tableau Services Manager (TSM), qui remplace l'utilitaire de configuration et l'outil de ligne de commande tabadmin. Si vous avez besoin d'aide avec une version antérieure de Tableau Server, consultez la page Aide de Tableau.

Vous pouvez configurer Tableau Server pour l'utilisation de communications chiffrées SSL (Secure Sockets Layer) sur tout le trafic HTTP externe. Le paramétrage de SSL permet de sécuriser l'accès à Tableau Server et garantir que les informations sensibles transmises entre le serveur ou les clients Tableau (par exemple Tableau Desktop, l'interface REST API, etc.) sont protégées. Les étapes permettant de configurer le serveur pour SSL sont décrites dans cette rubrique ; toutefois, vous devez tout d'abord acquérir un certificat provenant d'une autorité de confiance puis importer les fichiers du certificat dans Tableau Server.

L'authentification SSL mutuel n'est pas prise en charge sur Tableau Mobile.

Exigences relatives aux certificats SSL

Obtenez un certificat Apache SSL provenant d'une autorité de confiance (par exemple, Verisign, Thawte, Comodo, GoDaddy, etc.). Vous pouvez également utiliser un certificat interne émis par votre société. Les certificats des caractères génériques, qui vous permettent d'utiliser SSL avec de nombreux noms d'hôtes dans le même domaine, sont pris en charge.

Lorsque vous acquérez un certificat SSL pour les communications externes vers et depuis Tableau Server, suivez ces recommandations et ces exigences :

  • Si votre entreprise émet des certificats avec un PKI local, ou si vous utilisez des certificats qui ne sont pas émis par une autorité de certification approuvée, vous aurez besoin d'un fichier de certificat d'une autorité de certification pour identifier l'autorité de certification approuvée.

    Le fichier de certificat CA doit être un certificat x509 PEM valide portant l'extension .crt. Si vous avez plusieurs autorités de certification (CA) approuvées, copiez et collez tout le contenu de chaque certificat CA, y compris "BEGIN CERTIFICATE" et "END CERTIFICATE" dans un nouveau fichier, puis enregistrez le fichier en tant que CAs.crt.

  • Utilisez un certificat SSL SHA-2 (256 ou 512 bits). La plupart des navigateurs ne se connectent plus à un serveur présentant un certificat SHA-1 .

  • Outre le fichier de certificat, vous devez également acquérir un fichier de clé de certificat SSL correspondant. Le fichier de la clé doit être un fichier de clé privée RSA ou DSA (avec l'extension .key par convention).

    Vous pouvez choisir de protéger par mot de passe le fichier de clé. La phrase de passe que vous entrez pendant la configuration sera chiffrée en période d'inactivité. Toutefois, si vous souhaitez utiliser le même certificat pour SSL et SAML, vous devez utiliser un fichier de clé qui n'est pas protégé par une phrase de passe.

  • Un fichier de chaîne de certificats est requis pour Tableau Desktop sur le Mac. Le fichier de chaîne est une concaténation de tous les certificats constituant la chaîne de certificats du certificat du serveur. Tous les certificats présents dans le fichier doivent être de type x509 PEM et l'extension du fichier doit être .crt (et non pas .pem).

  • Dans le cas de sous-domaines multiples, Tableau Server prend en charge les certificats avec caractères génériques.

  • Tableau Server prend en charge les certificats répertoriant plusieurs domaines, adresses IP ou noms d'hôtes dans le champ SAN (Subject Alternative Names).

Remarque : si vous comptez configurer Tableau Server pour l'authentification unique avec SAML, consultez À propos des fichiers de certificat et de clé dans les exigences en matière d'authentification SAML pour déterminer s'il faut utiliser les mêmes fichiers de certificat à la fois pour SSL et SAML.

Configuration de SSL pour un cluster

Il est possible de configurer un cluster Tableau Server pour qu'il utilise SSL. Si le nœud initial est le seul nœud qui exécute le processus de passerelle (ce qui est le cas par défaut), vous devez configurer SSL uniquement sur ce nœud en procédant comme décrit dans cette rubrique.

SSL avec plusieurs passerelles

Un cluster Tableau Server à haute disponibilité peut intégrer plusieurs passerelles, derrière un équilibrage de charge. Si vous configurez ce type de cluster pour SSL, les possibilités suivantes s'offrent à vous :

  • Configurer l'équilibrage de charge pour SSL : Le trafic est chiffré à partir des navigateurs Web clients vers l'équilibrage de charge. Le trafic entre l'équilibrage de charge et les processus des passerelles Tableau Server n'est pas chiffré. Vous n'avez pas besoin d'effectuer une quelconque configuration SSL dans Tableau Server. L'ensemble est géré par l'équilibrage de charge.

  • Configurer Tableau Server pour SSL : Le trafic est chiffré à partir des navigateurs Web clients vers l'équilibrage de charge, et à partir de ce dernier vers les processus des passerelles Tableau Server. Pour obtenir plus d'informations, passez à la section suivante.

Informations de configuration supplémentaires pour les environnements de cluster Tableau Server

Si vous souhaitez utiliser SSL sur tous les nœuds Tableau Server exécutant un processus de passerelle, effectuez la procédure suivante.

  1. Configurez l'équilibrage de charge externe pour l'interconnexion SSL.

    Ou, si vous souhaitez utiliser un port autre que 443, vous pouvez configurer l'équilibrage de charge externe pour interrompre le port non standard pour le client. Dans ce scénario, vous allez ensuite configurer l'équilibrage de charge pour vous connecter à Tableau Server via le port 443. Pour obtenir de l'aide, reportez-vous à la documentation fournie pour l'équilibreur de charge.

  2. Assurez-vous que le certificat SSL est généré pour le nom d'hôte de l'équilibreur de charge.

  3. Configurez le nœud initial Tableau Server pour SSL.

  4. Placez les mêmes certificats SSL et fichiers de clés que ceux utilisés pour le nœud initial sur chaque nœud Tableau Server suivant qui exécute un processus de passerelle. Utilisez le même emplacement de dossier sur tous les ordinateurs.

  5. Si vous utilisez SSL mutuel, placez le fichier de certificat de l'autorité de certification SSL au même emplacement sur tous les ordinateurs exécutant un processus de passerelle.

    Les nœuds suivants ne nécessitent aucune configuration supplémentaire.

Exemple

Supposons un cluster comportant un nœud Tableau Server initial et trois nœuds supplémentaires avec des processus de passerelle qui s'exécutent sur le nœud initial, le nœud 2 et le nœud 3. Dans cette situation, configurez l'instance Tableau Server initiale pour SSL, puis copiez le même certificat SSL et les mêmes fichiers de clé sur le nœud 2 et le nœud 3, au même emplacement que sur le nœud initial.

Préparer l'environnement

Placez les fichiers du certificat dans un dossier nommé SSL, situé au même niveau que le dossier Tableau Server 2019.2. Par exemple :

C:\Program Files\Tableau\Tableau Server\SSL

Tableau ServerCet emplacement accorde au compte qui exécute Tableau Server les autorisations nécessaires pour les fichiers. Vous aurez peut-être besoin de créer ce dossier.

Configurer SSL sur Tableau Server

Utilisez la méthode avec laquelle vous vous sentez le plus à l'aise.

  1. Ouvrez TSM dans un navigateur :

    https://<tsm-computer-name>:8850. Pour plus d'informations, consultez Se connecter à l'interface utilisateur Web Tableau Services Manager.

  2. Dans l'onglet Configuration, sélectionnez Sécurité > SSL externe.

  3. Sous SSL serveur Web externe, sélectionnez Activer SSL pour la communication serveur.

  4. Téléchargez les fichiers de clé et de certificat, et si nécessaire chargez le fichier de chaîne et entrez la clé de phrase de passe :

    Configure  SSL screenshot

  5. Cliquez sur Enregistrer les modifications en attente.

  6. Cliquez sur Modifications en attente en haut de la page :

  7. Cliquez sur Appliquer les modifications et redémarrer.

Après avoir copié les fichiers de certificat sur l'ordinateur local, exécutez les commandes suivantes :

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Consultez la référence de commande suivante sur tsm security external-ssl enable pour déterminer si vous souhaitez inclure des options supplémentaires pour external-ssl enable. Tableau fournit des recommandations spécifiques pour l'option --protocols.

La commande external-ssl enable command importe les informations depuis les fichiers .crt et .key. Si vous exécutez cette commande sur un nœud du cluster Tableau Server, elle distribue également les informations aux autres nœuds de passerelle.

La commande pending-changes apply affiche une invite qui vous informe que Tableau Server sera alors redémarré si le serveur est en cours d'exécution. L'invite s'affiche même si le serveur est arrêté, mais dans ce cas, il n'y a pas de redémarrage. Vous pouvez supprimer l'invite à l'aide de l'option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Pour plus d'informations, consultez tsm pending-changes apply.

Redirection de port et journalisation

Après que le serveur a été configuré pour SSL, il accepte les demandes vers le port non-SSL (la valeur par défaut est le port 80) et les redirige automatiquement vers le port SSL 443.

Remarque : Tableau Server prend uniquement en charge le port 443 comme port sécurisé. Il n'est pas possible de l'exécuter sur un ordinateur sur lequel une autre application utilise le port 443.

Les erreurs SSL sont consignées dans le journal à l'emplacement suivant. Utilisez ce journal pour dépanner les problèmes de validation et de cryptage :

\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log

Nous vous remercions de votre participation ! Une erreur s'est produite lors de l'envoi de vos commentaires.