KNOWLEDGE BASE

Tableau Server mit SAML-Authentifizierung startet nicht oder verweigert die Anmeldung nach dem Upgrade auf Tableau Server 2021.2


Veröffentlicht: 15 Jun 2020
Zuletzt geändert am: 06 Oct 2021

Problem

Nach einem Upgrade auf eine Version von Tableau Server 2021.2 oder höher, die SAML zur Benutzerauthentifizierung verwendet, kann Tableau Server nicht gestartet werden, da die Zertifikate nicht den Sicherheitseinstellungen entsprechen. In den VizPortal-Protokollen wird je nach verwendetem Schlüsseltyp einer der folgenden Fehler angezeigt. 

Digest-Algorithmus: 
SAML certificate validation failed (SAML-Zertifikatsvalidierung fehlgeschlagen)

und

The digest algorithm used by the current certificate is not allowed. (Der vom aktuellen Zertifikat verwendete Digest-Algorithmus ist nicht erlaubt.)

Zertifikatschlüssel/Elliptische Kurvengröße: 
Key size is smaller than the min allowed key size (Schlüsselgröße ist kleiner als die minimal zulässige Schlüsselgröße)

oder

Elliptic Curve size does not meet the required min allowed curve size (Die Größe der elliptischen Kurve entspricht nicht der erforderlichen Mindestgröße der Kurve)

Umgebung

Tableau Server 2021.2 und neuere Versionen

Lösung

Bevor Sie beginnen, ermitteln Sie, ob Ihre Tableau Server-Installation betroffen ist.

Überprüfen Sie die hochgeladenen Zertifikate, um die SAML-Authentifizierung zu konfigurieren. Führen Sie auf dem Computer, auf dem Tableau Server läuft, die folgenden Befehle aus:

tsm configuration get -k wgserver.saml.key.file 
tsm configuration get -k wgserver.saml.cert.file

Damit verifizieren Sie, dass sowohl der private als auch der öffentliche Schlüssel im Dateisystem das Minimum für Schlüssel- und Kurvengröße erfüllen und dass der Digest-Algorithmus nicht SHA1 ist. 

Alternativ können Sie die Metadaten-Datei des Service Providers (SP) über die TSM-GUI herunterladen. Der Inhalt des Tableau SP-Zertifikats ist dort eingefügt. Anweisungen finden Sie in Schritt 6a von Konfigurieren der serverweiten SAML.

Sie können die von Ihrem Identitätsanbieter (IdP) bereitgestellten Zertifikate überprüfen, indem Sie die IdP-Metadaten-xml-Datei von TSM herunterladen oder indem Sie sie erneut direkt von Ihrem IdP herunterladen. 

Idealerweise verwenden Sie Option 1, um alle Signieralgorithmen auf SHA-256 zu aktualisieren, einschließlich derjenigen für Ihren IdP. Siehe "Weitere Informationen" für alle möglichen Bereiche, in denen SHA-1 als Teil der SAML-Authentifizierung verwendet werden kann. 
Wenn Ihr IdP nur SHA-1 unterstützt, verwenden Sie Option 2. 
ZUM ANZEIGEN DER LÖSUNG KLICKEN
Option 1: Führen Sie ein Upgrade von SAML-Zertifikaten und IdP-Zertifikaten zur Verwendung von Strong-Digest-Algorithmen und Schlüsselattributen durch.
Aktualisieren der Tableau Server-Zertifikats- und -Schlüsseldateien
  1. Beenden Sie Tableau Server.
  2. Aktualisieren Sie das Zertifikat und den Schlüssel und stellen Sie sicher, dass sie SHA-256 und RSA 2048 oder ECDSA 256 in allen betroffenen Bereichen verwenden.
  3. Speichern Sie die neue Zertifikats- und Schlüsseldatei und ändern Sie dann die Zertifikats- und Schlüsseldatei auf der Registerkarte "SAML" von "Konfigurieren von Tableau Server".
  4. Weitere Informationen zum Konfigurieren von SAML-Zertifikaten und -Schlüsseldateien finden Sie unter Konfigurieren der serverweiten SAML.
  5. Exportieren Sie die XML-Metadaten von Tableau zum Austausch mit Ihrem IdP.

Aktualisieren Ihrer IdP-Metadaten
  1.  Gehen Sie zu Ihrem IdP-Konto und aktualisieren Sie gegebenenfalls das Zertifikat und/oder die Signieralgorithmen. Dies ist ein IdP-spezifischer Vorgang, daher finden Sie in der zugehörigen Dokumentation die entsprechenden Schritte dazu. Laden Sie ggf. die Tableau-Metadaten-XML-Datei hoch.
  2. Befolgen Sie die Anweisungen auf der Website oder in der Dokumentation des IdP, um die Metadaten des IdP herunterzuladen. Speichern Sie die .xml-Datei an demselben Ort, an dem sich auch Ihre SAML-Zertifikats- und Schlüsseldateien befinden.
  3. Laden Sie in TSM die IdP-Metadaten-XML-Datei hoch.
  4. Geben Sie das TSM-Kennwort ein und klicken Sie auf "OK".
  5. Starten Sie Tableau Server.
  6. Aktualisieren Sie für Site-spezifisches SAML die Metadaten-XML-Datei des IdP innerhalb der Site.
 
HINWEIS: Ab Version 2021.2 steht ein tabcmd-Dienstprogramm zur Verfügung, mit dem Sie Ihre IdP-Metadaten überprüfen können, wenn Sie Site-SAML für viele Sites eingerichtet haben. Auf diese Weise lässt sich leichter feststellen, welche Ihrer Websites möglicherweise unsichere IdP-Metadaten haben. Siehe tabcmd validateidpmetadata.
 
ZUM ANZEIGEN DER LÖSUNG KLICKEN
Option 2 (Problemumgehung): Wenn Sie bereits ein Upgrade durchgeführt haben und Tableau Server nicht starten können
  1. Deaktivieren Sie die neue Standard-Blockliste für den Digest-Algorithmus mit dem folgenden Befehl:
    tsm configuration set -k "wgserver.saml.blocklisted_digest_algorithms" -v ""
    tsm pending-changes apply
  2. Deaktivieren Sie die neuen Einstellungen für die Schlüsselüberprüfung, indem Sie die folgenden Befehle verwenden:
    tsm configuration set -k "wgserver.saml.min.allowed.rsa_key_size" -v "0"

    und/oder

    tsm configuration set -k "wgserver.saml.min.allowed.elliptic_curve_size" -v "0"

    (je nach dem von Ihnen verwendeten Schlüsseltyp) und führen Sie dann folgenden Befehl aus:
    tsm pending-changes apply
  3. Starten Sie Tableau Server.

Hinweis: Sie können Tableau Server in diesem Format so lange wie nötig normal ausführen, wenn diese Sicherheitseinstellungen deaktiviert sind.

Führen Sie die folgenden Schritte schnellstmöglich durch:
  1. Aktualisieren Sie SAML- und IdP-Zertifikate, um SHA-256 oder stärker zu verwenden, wie in Option 1 oben beschrieben.
  2. Starten Sie Tableau Server neu.
  3. Aktivieren Sie die Sicherheitseinstellungen erneut mit dem folgenden Befehl:
tsm configuration set -k “wgserver.saml.blocklisted_digest_algorithms” -v “sha1”

tsm configuration set -k “wgserver.saml.min.allowed.rsa_key_size” -v “2048”

und/oder

tsm configuration set -k “wgserver.saml.min.elliptic_curve_size” -v “256”

und führen Sie dann den Befehl "tsm pending-changes apply" aus.
 

Ursache

Tableau Server 2021.2 blockiert standardmäßig automatisch sha1-Zertifikate.
Um zu überprüfen, ob Ihre Instanz sha-1 blockiert oder nicht, können Sie folgenden Befehl ausführen:
tsm configuration get -k "wgserver.saml.blocklisted_digest_algorithms"

Wenn Tableau Server "sha1" zurückgibt, blockiert Tableau Server SHA1-Zertifikate.

Zusätzliche Informationen

Standardmäßig lehnt Tableau Server 2021.2 und neuer das Hochladen von Zertifikaten mit dem SHA-1-Signaturhash ab, wenn Tableau Server für die SAML-Authentifizierung konfiguriert wird, und Tableau Server lehnt standardmäßig mit dem SHA-1-Algorithmus signierte SAML-Assertions ab. Es ist wichtig zu beachten, dass es mehrere Stellen gibt, an denen SHA-1 sowohl auf der Tableau- als auch auf der idP-Seite verwendet werden könnte. Es gibt also mehrere Stellen und Zeitpunkte, an denen eine Validierung erforderlich ist. Beispiel:
  • Mit SHA-1 signierte Zertifikate, die über TSM (CLI und GUI) hochgeladen werden und von Tableau Server zum Signieren der an den IdP gesendeten Anfrage verwendet werden
  • Zertifikate in den IdP-Metadaten, die zur Verifizierung der vom IdP erhaltenen AuthnResponse (Signatur) unter Verwendung des öffentlichen Schlüssels im Zertifikat verwendet werden
  • Eingehende Assertions, die mit SHA-1 signiert und gehasht sind (DigestMethod auf SHA-1 und SignatureMethod auf SHA-1 eingestellt)
  • Eingehende Assertions mit Zertifikaten, die mit SHA-1 signiert sind
  • Ausgehende Assertions, die mit SHA-1 signiert und gehasht sind (DigestMethod auf SHA-1 und SignatureMethod auf SHA-1 eingestellt)
  • Ausgehende Assertions mit Zertifikaten, die mit SHA-1 signiert sind

Hinweis: Die tsm SAML-Konfigurationsentität wgserver.saml.sha256 ist immer noch ein gültiger Konfigurationsschlüssel, um sicherzustellen, dass alle von Tableau Server gesendeten ausgehenden Assertions mit SHA-256 signiert werden. Dies kann zusammen mit diesen Sperrlistenschlüsseln verwendet werden, um eine Konfiguration zu unterstützen, bei der Ihr idP mit SHA-256 signierte Assertions verlangt, aber Ihre eingehenden Assertions oder hochgeladenen Zertifikate mit SHA-1 signiert wurden. Der Standardwert dieses Schlüssels ist nun "true", so dass alle ausgehenden SAML-Assertions standardmäßig mit SHA-256 signiert werden.

Hinweis: Diese Einstellungen zur Einschränkung der Zertifikateigenschaften sind in Tableau Server 2021.1 verfügbar, aber nicht standardmäßig aktiviert. Sie können jedoch in 2021.1 auf diese Probleme treffen, wenn Sie die Einstellungen für wgserver.saml.blocklisted_digest_algorithms
wgserver.saml.min.allowed.rsa_key_size or wg.server.saml.min.elliptic_curve_size.
Hat dieser Artikel das Problem gelöst?