Configurar autenticação do SSL mútuo

Ao usar o SSL mútuo, é possível fornecer uma experiência de acesso direto ao Tableau Server a usuários do Tableau Desktop e a outros clientes aprovados do Tableau. Com o SSL mútuo, quando um cliente com um certificado SSL válido conecta-se ao Tableau Server, o Tableau Server confirma a existência do certificado do cliente e autentica o usuário, com base no nome de usuário no certificado. Se o cliente não tiver um certificado SSL válido, o Tableau Server poderá recusar a conexão. Você também pode configurar o Tableau Server para retornar à autenticação de nome de usuário/senha se houver falha no SSL mútuo.

A autenticação por SSL mútuo não é compatível com o Tableau Mobile.

  1. Configurar o SSL para tráfego de HTTP externo e do Tableau Server.

  2. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  3. Na guia Configuração, selecione Identidade e acesso do usuário > Método de autenticação.

  4. Em Método de autenticação, selecione SSL mútuo no menu suspenso.

  5. Em SSL Mútuo, selecione Usar SSL mútuo e entrar automaticamente com os certificados do cliente.

  6. Clique em Selecionar arquivo e faça upload do certificado emitido pela autoridade de certificação (CA) no servidor.

    Esse deve ser um certificado x509 codificado por PEM válido com a extensão .crt.

  7. Insira as informações de configuração SSL restantes da sua empresa.

    Formato do nome de usuário: quando o Tableau Server estiver configurado para SSL mútuo, o servidor vai obter o nome de usuário do certificado do cliente, para que possa estabelecer um logon direto para o usuário cliente. O nome usado pelo Tableau Server dependerá de como o Tableau Server é configurado para a autenticação do usuário:

    • Autenticação local—O Tableau Server usa UPN (User Principal Name) do certificado.
    • Active Directory (AD)— O Tableau Server usa LDAP (Lightweight Directory Access Protocol) para obter o nome do usuário.

    Como alternativa, você pode definir o Tableau Server para usar o CN (Common Name) do certificado do cliente.

    Configure mutual SSL screenshot

  8. Clique em Salvar alterações pendentes após ter inserido as informações de configuração.

  9. Clique em Alterações pendentes na parte superior da página:

  10. Clique em Aplicar alterações e reiniciar.

Etapas 1: exigir o SSL para comunicação de servidor externa

Para configurar o Tableau Server para usar o SSL para comunicação externa entre o Tableau Server e os clientes da Web, execute o comando external-ssl enable da forma a seguir, ao fornecer os nomes para os arquivos de certificado .crt e.key do servidor:

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • Para --cert-file e --key-file, especifique o nome de arquivo e a localização onde os arquivos de chave (.key) e de certificado SSL(.crt) emitidos pela CA do servidor foram salvos.

  • O comando acima pressupõe que o logon foi feito com um usuário que tem a função de site Administrador de servidor no Tableau Server. Em vez disso, use os parâmetros -u e -p para especificar um usuário administrador e uma senha.

  • Se o arquivo de chave de certificado exigir uma frase secreta, inclua o parâmetro --passphrase e o valor.

Etapas 2: usar o SSL mútuo

Adicione a autenticação mútua entre o servidor e cada cliente, além de permitir que usuários clientes do Tableau sejam autenticados diretamente depois de fornecerem suas credenciais pela primeira vez.

  1. Execute o seguinte comando:

    tsm authentication mutual-ssl configure -cert-file <file.crt>

    Para --cert-file, especifique a localização e o nome do arquivo de certificado CA (.crt) do servidor, conforme a etapa anterior para SSL externo.

    Consulte as seções restantes neste artigo para se informar sobre opções adicionais que talvez queira incluir com o comando mutual-ssl configure.

  2. Execute os comandos a seguir para habilitar SSL mútuo e aplicar as alterações:

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Opções adicionais para SSL mútuo

É possível usar mutual-ssl configure para configurar o Tableau Server para suportar as opções a seguir.

Para obter mais informações, consulte tsm authentication mutual-ssl <commands>.

Autenticação de fallback

Quando o Tableau Server for configurado para SSL mútuo, a autenticação é automática e os clientes devem ter um certificado válido. É possível configurar o Tableau Server para permitir uma opção de fallback, aceitar a autenticação do nome de usuário e da senha.

tsm authentication mutual-ssl configure -fb true

O Tableau Server aceita autenticação com nome de usuário e senha de clientes REST API, mesmo que a opção acima esteja definida como false.

Mapeamento de nome de usuário

Quando o Tableau Server está configurado para SSL mútuo, o servidor autenticará o usuário diretamente ao obter o nome de usuário do certificado de cliente. O nome que o Tableau Server usa depende de como o servidor é configurado para a autenticação do usuário:

  • Autenticação local: usa o UPN (User Principal Name; Nome de usuário principal) do certificado.

  • Active Directory (AD): usa o LDAP (Lightweight Directory Access Protocol; Protocolo leve de acesso ao diretório) para obter o nome de usuário.

É possível substituir um destes padrões para definir que o Tableau Server use o nome comum.

tsm authentication mutual-ssl configure -m cn

Para obter mais informações, consulte Mapeamento de um certificado de cliente para um usuário durante a autenticação mútua

Lista de revogação de certificados (CRL)

Pode ser preciso especificar uma CRL se suspeitar que uma chave privada foi comprometida ou se uma autoridade de certificação (CA) não emitiu um certificado corretamente.

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

Obrigado pelo feedback! Ocorreu um erro ao enviar seu feedback. Tente novamente ou envie-nos uma mensagem..