内容:

相互 SSL

  • 版本 :2022.1 及更高版本

使用相互 SSL,您可以为 Tableau Desktop、Tableau Mobile 和其他认可的 Tableau 客户端的用户提供安全的 Tableau Server 直接访问体验。

使用相互 SSL,您可以为 Tableau Desktop、Tableau Mobile 和其他认可的 Tableau 客户端的用户提供安全的 Tableau Server 直接访问体验。借助相互 SSL,当具有有效 SSL 证书的客户端连接到 Tableau Server 时,Tableau Server 将确认存在客户端证书,并基于客户端证书中的用户名对用户进行身份验证。如果客户端没有有效的 SSL 证书,则 Tableau Server 会拒绝连接。

您也可以将 Tableau Server 配置为在相互 SSL 失败的情况下回退为使用用户名/密码身份验证。此外,无论是否配置回退身份验证,用户都可以使用用户名和密码(如果存在)通过 REST API 登录。

用户身份验证会话时间限制

当用户使用相互 SSL 登录时,身份验证会话的管理方法与管理 Tableau Server 全局身份验证会话配置的方法相同。

对于使用 Web 浏览器连接到 Tableau Server 的客户端,安全强化检查表中描述了全局身份验证会话的配置,请参见 9.验证会话生命周期配置

连接的客户端(Tableau Desktop、Tableau Mobile、Tableau Prep Builder 和 Bridge)的会话使用 OAuth 令牌通过重新建立会话来保持用户登录。默认情况下,OAuth 客户端令牌会在一年后重置。如果客户端令牌在 14 天内未使用,则它将过期。可通过设置 refresh_token.absolute_expiry_in_secondsrefresh_token.idle_expiry_in_seconds 选项来更改这些值。请参见 tsm configuration set 选项

证书使用情况

在启用和配置相互 SSL 之前,您必须配置外部 SSL。外部 SSL 向客户端验证 Tableau Server,并使用配置外部 SSL 时所需的证书和密钥加密会话。

对于相互 SSL,需要额外的证书文件。该文件是 CA 证书文件的级联。文件类型必须为 .crt。“CA”是向连接到 Tableau Server 的客户端计算机颁发证书的证书颁发机构。上传 CA 证书文件的操作会建立信任,使 Tableau Server 能够对客户端计算机提供的单个证书进行身份验证。

作为灾难恢复计划的一部分,我们建议将证书和吊销(如果适用)文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书和吊销文件将由客户端文件服务存储并分发到其他节点。但是,这些文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务

RSA 密钥和 ECDSA 曲线大小

用于相互 SSL 的 CA 证书的 RSA 密钥强度必须为 2048,或者 ECDSA 曲线大小为 256。

您可以通过设置相应的配置键来将 Tableau Server 配置为接受安全性较低的大小:

  • ssl.client_certificate_login.min_allowed.rsa_key_size

  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

请参见 tsm configuration set 选项

客户端证书要求

使用双向 SSL 向 Tableau Server 进行身份验证的用户必须提供满足最低安全要求的客户端证书。

签名算法

客户端证书必须使用 SHA-256 或更强的签名算法。

配置为相互 SSL 身份验证的 Tableau Server 将阻止通过使用 SHA-1 签名算法客户端证书进行用户身份验证。

尝试使用 SHA-1 客户端证书登录的用户遇到“Unable to sign in”(无法登录)错误,并且 VizPortal 日志将出现以下错误:

Unsupported client certificate signature detected: [certificate Signature Algorithm name]

您可以通过设置 ssl.client_certificate_login.blocklisted_signature_algorithms tsm 配置选项,将 Tableau Server 配置为接受不太安全的 SHA-1 签名算法。

RSA 密钥和 ECDSA 曲线大小

用于相互 SSL 的客户端证书的 RSA 密钥强度必须为 2048,或者 ECDSA 曲线大小为 256。

Tableau Server 将拒绝来自不符合这些要求的客户端证书的相互身份验证请求。您可以通过设置相应的配置键来将 Tableau Server 配置为接受安全性较低的大小:

  • ssl.client_certificate_login.min_allowed.rsa_key_size

  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

请参见 tsm configuration set 选项

  1. 针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL

  2. 在浏览器中打开 TSM:

    https://

  3. “配置”选项卡上,选择“用户身份和访问”>“身份验证方法”

  4. “身份验证方法”下的下拉菜单中选择“相互 SSL”

  5. 在“相互 SSL”下,选择“通过客户端证书使用相互 SSL 和自动登录”

  6. 单击“选择文件”,并将您的证书颁发机构 (CA) 证书文件上载到服务器。

    该文件 (.crt) 是一个一体式文件,其中包括用于客户端身份验证的 CA 证书。您上载的文件必须是各种 PEM 编码的证书文件的级联,按优先顺序排列。

  7. 输入组织的其余 SSL 配置信息。

    用户名格式:当 Tableau Server 配置为使用相互 SSL 时,服务器将从客户端证书中获取用户名,以便能够为客户端用户建立直接登录。Tableau Server 使用的名称取决于如何配置 Tableau Server 来进行用户身份验证。

    或者,您可以将 Tableau Server 设置为使用客户端证书中的 CN(公用名称)。

    配置相互 SSL 屏幕截图

    • 本地身份验证 — Tableau Server 使用证书中的 UPN(用户主体名称)。

    • Active Directory (AD)Tableau Server使用 LDAP(轻量级目录访问协议)来获取用户名。

  8. 输入配置信息后,单击“保存待处理的更改”

  9. 单击页面顶部的“待定更改”

  10. 单击“应用更改并重新启动”