Loading

Tableau Server con autenticación SAML no se puede iniciar o rechaza el inicio de sesión después de que se actualiza a Tableau Server 2021.2

Fecha de publicación: Dec 9, 2022
Descripción
Después de actualizar a Tableau Server 2021.2 o una versión posterior que use SAML para la autenticación del usuario, Tableau Server no puede iniciarse porque los certificados no cumplen con la configuración de seguridad. Se muestra uno de los siguientes errores en los registros de VizPortal, según el tipo de clave utilizado. 

Algoritmo de resumen: 
SAML certificate validation failed (Error en la validación del certificado SAML)

y

The digest algorithm used by the current certificate is not allowed (No se permite el algoritmo de resumen usado por el certificado actual)

Clave de certificado/Tamaño de curva elíptica: 
Key size is smaller than the min allowed key size (El tamaño de la clave es más pequeño que el mínimo permitido)

O

Elliptic Curve size does not meet the required min allowed curve size (El tamaño de la curva elíptica no cumple con el mínimo permitido)

Cause

Tableau Server 2021.2 bloquea automáticamente los certificados con hash de firma de SHA-1.
Para verificar si su instancia los está bloqueando, puede ejecutar el siguiente comando:
tsm configuration get -k wgserver.saml.blocklisted_digest_algorithms

Si Tableau Server devuelve "sha1", significa que está bloqueando los certificados SHA-1.
Solución

Antes de comenzar, identifique si la instalación de Tableau Server se vio afectada.

Compruebe los certificados cargados a fin de configurar la autenticación SAML. En el equipo donde se ejecuta Tableau Server, utilice los siguientes comandos para comprobar que las claves pública y privada en el sistema de archivos cumplan el tamaño mínimo de clave y curva y que el algoritmo de resumen no sea SHA1.

tsm configuration get -k wgserver.saml.key.file 
tsm configuration get -k wgserver.saml.cert.file

Como alternativa, puede descargar el archivo de metadatos del proveedor de servicios (SP) a través de la GUI de TSM; el contenido del certificado de SP de Tableau está pegado allí. Para ver instrucciones, consulte el paso 6a de Configurar SAML en todo el servidor.

Puede comprobar los certificados proporcionados por su proveedor de identidad (IdP); para ello, descargue desde TSM el archivo XML de metadatos del IdP o descargue los certificados otra vez directamente desde su IdP. 

Se recomienda que use la opción 1 para actualizar todos los algoritmos de firma a SHA-256, incluidos los de su IdP.  Consulte "Información adicional" para conocer todas las posibles áreas donde SHA-1 puede usarse como parte de la autenticación SAML. 

Si su IdP solo admite SHA-1, use la opción 2. 
HAGA CLIC PARA EXPANDIR LA SOLUCIÓN
Opción 1: Actualizar los certificados SAML y de IdP para utilizar atributos de claves y algoritmos de resumen seguros
Actualizar los archivos de clave y de certificado de Tableau Server
  1. Detenga Tableau Server
  2. Actualice el certificado y la clave, y asegúrese de que utilicen SHA-256 y RSA 2048 o ECDSA 256 en todas las áreas afectadas.
  3. Guarde los archivos de clave y certificado nuevos y, a continuación, vaya a la pestaña SAML de Configurar Tableau Server para cambiarlos.
  4. Si desea obtener más información para configurar los archivos de clave y certificado SAML, consulte Configurar SAML en todo el servidor.
  5. Exporte el archivo XML de los metadatos de Tableau para intercambiar con su IdP.

Actualizar los metadatos de su IdP
  1.  Vaya a su cuenta de IdP y actualice el certificado o los algoritmos de firma según corresponda. Esta operación es específica del IdP, por lo que debe consultar los pasos del proceso en la documentación del IdP. Cargue el archivo XML de metadatos de Tableau si corresponde.
  2. Siga las instrucciones en el sitio web o la documentación del IdP para descargar los metadatos del IdP. Guarde el archivo .xml en la misma ubicación de los archivos de clave y certificado SAML.
  3. En TSM, cargue el archivo XML de metadatos del IdP.
  4. Escriba la contraseña de TSM y haga clic en Aceptar.
  5. Inicie Tableau Server.
  6. En el caso del certificado SAML específico del sitio, actualice el archivo XML de metadatos del IdP dentro del sitio.
 
NOTA: A partir de la versión 2021.2, hay una utilidad tabcmd disponible que le permite inspeccionar los metadatos de su IdP si tiene el SAML del sitio configurado para varios sitios. Esto puede aliviar el esfuerzo de tener que identificar cuáles de sus sitios podrían tener metadatos de IdP no seguros. Consulte tabcmd validateidpmetadata.
 
HAGA CLIC PARA EXPANDIR LA SOLUCIÓN
Opción 2 (solución alternativa): Si ya completó la actualización y no puede iniciar Tableau Server, pruebe lo siguiente:
  1. Deshabilite la nueva lista de bloqueo del algoritmo de resumen con el siguiente comando:
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  2. Deshabilite la nueva configuración de validación de claves con los siguientes comandos:
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    o

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    Elija el comando según el tipo de clave que use; luego, ejecute:
    tsm pending-changes apply
  3. Inicie Tableau Server.
 
HAGA CLIC PARA EXPANDIR LA SOLUCIÓN
Opción 3 (solución alternativa): Si no puede actualizar Tableau Server y necesita el algoritmo/la clave SHA-1.
 
  1. Detenga Tableau Server.
  2. Deshabilite la nueva lista de bloqueo del algoritmo de resumen con el siguiente comando:
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  3. Deshabilite la nueva configuración de validación de claves con los siguientes comandos:
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    o (según el tipo de clave que use)

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    y ejecute:
    tsm pending-changes apply
  4. Actualice Tableau Server (Windows) (Linux).

Nota: Puede ejecutar Tableau Server normalmente siempre que lo necesite en este formato y con esta configuración de seguridad deshabilitada.

Lo antes posible:
  1. Actualice los certificados SAML y de IdP para utilizar un algoritmo SHA-256 o más seguro, como se describe en la opción 1.
  2. Reinicie Tableau Server.
  3. Vuelva a habilitar la configuración de seguridad con el siguiente comando:
tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v “sha1”

tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v “2048”

O bien

tsm configuration set -k wgserver.saml.min.elliptic_curve_size -v “256”

Luego, ejecute tsm pending-changes apply.
 
Recursos adicionales
De forma predeterminada, Tableau Server 2021.2 y las versiones posteriores rechazarán la carga de certificados con el hash de firma SHA-1 al configurar la autenticación de SAML en Tableau Server. Asimismo, Tableau Server rechazará, de forma predeterminada, las confirmaciones de SAML firmadas con el algoritmo SHA-1. Es importante destacar que SHA-1 podría utilizarse en varios lugares tanto en Tableau como en IdP, por lo que hay múltiples lugares y puntos en el tiempo que requieren validación. Por ejemplo:
  • Certificados firmados con SHA-1 y cargados mediante TSM (CLI y GUI) que Tableau Server utiliza para firmar la solicitud que se envía a IdP
  • Certificados en metadatos de IdP que se utilizan para verificar la firma AuthnResponse recibida de IdP mediante la clave pública del certificado
  • Confirmaciones entrantes con hash y firmadas con SHA-1 (DigestMethod establecido en SHA-1 y SignatureMethod establecido en SHA-1)
  • Confirmaciones entrantes con certificados firmados con SHA-1
  • Confirmaciones salientes con hash y firmadas con SHA-1 (DigestMethod establecido en SHA-1 y SignatureMethod establecido en SHA-1)
  • Confirmaciones salientes con certificados firmados con SHA-1

Nota: La entidad wgserver.saml.sha256 de configuración de SAML en TSM sigue siendo una clave de configuración válida para garantizar que todas las afirmaciones salientes enviadas a Tableau Server se firmen con SHA-256. Puede utilizarse junto a las claves de lista de bloqueo para admitir una configuración en la que su IdP pueda haber requerido confirmaciones firmadas con SHA-256, pero donde las confirmaciones entrantes o los certificados cargados se hayan firmado con SHA-1. El valor predeterminado de esta clave ahora será true (verdadero), por lo que todas las afirmaciones SAML salientes se firmarán con SHA-256 de forma predeterminada.

Nota: Esta configuración para restringir las propiedades de los certificados está disponible en Tableau Server 2021.1, pero no está activada de forma predeterminada. No obstante, es posible que estos problemas aparezcan en la versión 2021.1 si modifica la configuración de wgserver.saml.blocklisted_digest_algorithms
wgserver.saml.min_allowed.rsa_key_size or wg.server.saml.min.elliptic_curve_size.
Número del artículo de conocimiento

001472645

 
Cargando
Salesforce Help | Article