Loading

Die Anmeldung bei Tableau Server 2021.2 schlägt aufgrund von Nachrichtensignaturen fehl.

Veröffentlichungsdatum: Nov 30, 2023
Beschreibung
Nach einem Upgrade auf Tableau Server 2021.2 oder höher, bei dem SAML für die Benutzerauthentifizierung verwendet wird, können sich Tableau Server-Benutzer nicht anmelden und der folgende Fehler wird in den VizPortal-Protokollen angezeigt:

org.springframework.security.authentication.AuthenticationServiceException: Digest algorithm SHA-1 is blocklisted (Digest-Algorithmus SHA-1 wurde auf Blockliste gesetzt.)


 

Cause

Tableau Server 2021.2 blockiert automatisch eingehende Assertions für die SAML-Authentifizierung, die standardmäßig mit SHA-1 signiert sind. 
Lösung

Bevor Sie beginnen, ermitteln Sie, ob Ihre Tableau Server-Installation betroffen ist.

Führen Sie auf dem Computer, auf dem Tableau Server läuft, den folgenden Befehl aus:
tsm configuration get -k "wgserver.saml.blocklisted_digest_algorithms"

Wenn Tableau Server "sha1" zurückgibt, trifft dieser Artikel auf Ihr Problem zu.

Idealerweise verwenden Sie Option 1 und aktualisieren Ihre IdP-Konfiguration, um SHA-256 zum Signieren aller ausgehenden Assertions zu verwenden. Wenn Ihr IdP nur SHA-1 unterstützt, verwenden Sie Option 2.

Option 1: Aktualisieren Sie Ihre IdP-Konfiguration, um SHA-256 oder stärker zum Signieren ausgehender Assertions zu verwenden.

Öffnen Sie Ihr IdP-Konto und aktualisieren Sie die Signieralgorithmen, die zum Signieren der Nachricht verwendet werden. Dies ist ein IdP-spezifischer Vorgang, daher finden Sie Anweisungen in der Dokumentation Ihres IdP.

Option 2 (Problemumgehung): Wenn Sie bereits ein Upgrade durchgeführt haben und sich nicht bei Tableau Server anmelden können, aber Ihren IdP nicht aktualisieren können

  1. Deaktivieren Sie die neue Standard-Blockliste mit dem folgenden Befehl:
    tsm configuration set -k "wgserver.saml.blocklisted_digest_algorithms" -v ""
  2. Führen Sie tsm pending-changes apply aus.

Führen Sie die folgenden Schritte schnellstmöglich durch:

Sobald Sie in der Lage sind, Ihren idP zu aktualisieren, um einen sichereren Signieralgorithmus zu verwenden, aktivieren Sie die Blockliste mit dem folgenden Befehl wieder:
tsm configuration set -k “wgserver.saml.blocklisted_digest_algorithms” -v “sha1”
Führen Sie dann folgenden Befehl aus:
tsm pending-changes apply

 
Zusätzliche Ressourcen
Es können auch Probleme mit der SAML-Konfiguration auftreten, da die Sicherheitsattribute in den in Tableau hochgeladenen Zertifikaten validiert werden. Siehe Tableau Server mit SAML-Authentifizierung startet nicht oder verweigert die Anmeldung nach dem Upgrade auf Tableau Server 2021.2.

Standardmäßig lehnt Tableau Server 2021.2 und neuer das Hochladen von Zertifikaten mit dem SHA-1-Signaturhash oder mit einer Schlüsselstärke von weniger als RSA2048 und ECDSA256 ab, wenn Tableau Server für die SAML-Authentifizierung konfiguriert wird (sowohl sitespezifisch als auch serverweit). Tableau Server lehnt standardmäßig auch SAML-Assertions ab, die mit dem SHA-1-Algorithmus signiert sind. Es ist wichtig zu beachten, dass es mehrere Stellen gibt, an denen SHA-1 und eine Validierung der Schlüsselgröße sowohl auf der Tableau- als auch auf der IdP-Seite auftritt. Es gibt also mehrere Stellen und Zeitpunkte, an denen eine Validierung erforderlich ist. Beispiele:
    • Mit SHA-1 signierte Zertifikate, die über TSM (GUI) hochgeladen werden und von Tableau Server zum Signieren der an den IdP gesendeten Anfrage verwendet werden
    • Zertifikate in den IdP-Metadaten, die zur Verifizierung der vom IdP erhaltenen AuthnResponse (Signatur) unter Verwendung des öffentlichen Schlüssels im Zertifikat verwendet werden
    • Eingehende Assertions, die mit SHA-1 signiert und gehasht sind (DigestMethod auf SHA-1 und SignatureMethod auf SHA-1 eingestellt)
    • Eingehende Assertions mit Zertifikaten, die mit SHA-1 signiert sind
    • Ausgehende Assertions, die mit SHA-1 signiert und gehasht sind (DigestMethod auf SHA-1 und SignatureMethod auf SHA-1 eingestellt)

Hinweis: Der tsm SAML-Konfigurationsschlüssel wgserver.saml.sha256 ist immer noch ein gültiger Konfigurationsschlüssel, um sicherzustellen, dass alle von Tableau Server gesendeten ausgehenden Anfragen mit SHA-256 signiert werden. Dieser Schlüssel kann zusammen mit den Blocklistenschlüsseln verwendet werden, um eine Konfiguration zu unterstützen, bei der Ihr IdP SHA-256-signierte Anfragen empfangen muss, aber möglicherweise Assertions mit SHA-1 ausstellt, oder bei der Tableau Server mit Zertifikaten konfiguriert ist, die mit SHA-1 signiert wurden. Der Standardwert für diesen Schlüssel ist nun "true", sodass alle ausgehenden SAML-Nachrichten standardmäßig mit SHA-256 signiert werden.
 
Nummer des Knowledge-Artikels

001534667

 
Laden
Salesforce Help | Article