Loading

Error al iniciar sesión en Tableau Server 2021.2 debido a las firmas de mensajes

Fecha de publicación: Nov 30, 2023
Descripción
Después de actualizar a Tableau Server 2021.2 o versiones posteriores con autenticación SAML, los usuarios de Tableau Server no pueden iniciar sesión, y se muestra el siguiente error en los registros de VizPortal:

org.springframework.security.authentication.AuthenticationServiceException: Digest algorithm SHA-1 is blocklisted" (el algoritmo de resumen SHA-1 está en la lista de bloqueo)


 

Cause

De forma predeterminada, Tableau Server 2021.2 bloquea automáticamente las afirmaciones entrantes para la autenticación SAML que están firmadas con SHA1. 
Solución

Antes de comenzar, identifique si la instalación de Tableau Server se vio afectada.

En el equipo donde se ejecuta Tableau Server, ejecute el siguiente comando:
tsm configuration get -k "wgserver.saml.blocklisted_digest_algorithms"

Si Tableau Server muestra "sha1", este artículo se aplica a su problema.

Lo ideal es que use la opción 1 con el fin de actualizar la configuración del IdP con el objetivo de que utilice SHA-256 para firmar todas las afirmaciones salientes. Si su IdP solo admite SHA-1, use la opción 2.

Opción 1: actualice la configuración del IdP con el fin de que utilice la función SHA-256 o una más segura para firmar las afirmaciones salientes.

Vaya a su cuenta de IdP y actualice los algoritmos de firma que utiliza para firmar los mensajes. Esta operación es específica del IdP, por lo que debe consultar las instrucciones en la documentación del IdP.

Opción 2 (solución alternativa): si ya completó la actualización y no puede iniciar sesión en Tableau Server ni actualizar el IdP, siga estos pasos:

  1. Deshabilite la nueva lista de bloqueo con el siguiente comando:
    tsm configuration set -k "wgserver.saml.blocklisted_digest_algorithms" -v ""
  2. Ejecute tsm pending-changes apply

Lo antes posible

Una vez que haya logrado actualizar el IdP, con el fin de que utilice un algoritmo de firma más seguro, vuelva a habilitar la lista de bloqueo con el siguiente comando:
tsm configuration set -k “wgserver.saml.blocklisted_digest_algorithms” -v “sha1”
y, luego, ejecute:
tsm pending-changes apply

 
Recursos adicionales
Es posible que también tenga problemas con la configuración de SAML debido a los atributos de seguridad validados en los certificados cargados en Tableau. Consulte Tableau Server con autenticación SAML no se puede iniciar o rechaza el inicio de sesión después de que se actualiza a Tableau Server 2021.2

De manera predeterminada, Tableau Server 2021.2 y las versiones posteriores rechazarán la carga de certificados con el hash de firma SHA-1 o con una severidad de clave menor que RSA de 2048 bits y ECDSA de 256 bits al configurar Tableau Server para la autenticación SAML (tanto específica para el sitio como en todo el servidor). Además, de forma predeterminada, Tableau Server rechazará las afirmaciones SAML firmadas con el algoritmo SHA-1. Es importante destacar que la validación de SHA-1 y del tamaño de las claves se realiza en varios lugares tanto en Tableau como en IdP, por lo que se requiere validación en varios lugares y momentos. Por ejemplo:
    • Certificados firmados con SHA-1 y cargados mediante TSM (GUI) que Tableau Server utiliza para firmar la solicitud que se envía al IdP
    • Certificados en metadatos de IdP que se utilizan para verificar la firma AuthnResponse recibida de IdP mediante la clave pública del certificado
    • Confirmaciones entrantes con hash y firmadas con SHA-1 (DigestMethod establecido en SHA-1 y SignatureMethod establecido en SHA-1)
    • Confirmaciones entrantes con certificados firmados con SHA-1
    • Confirmaciones salientes con hash y firmadas con SHA-1 (DigestMethod establecido en SHA-1 y SignatureMethod establecido en SHA-1)

Nota: la clave wgserver.saml.sha256 de configuración de SAML en TSM sigue siendo una clave de configuración válida para garantizar que todas las solicitudes salientes que Tableau Server envíe se firmen con SHA-256. Esta clave puede usarse junto con las claves de la lista de bloqueo para admitir una configuración en la que el IdP pueda haber requerido recibir solicitudes firmadas con SHA-256, pero que es posible que emita afirmaciones con SHA-1, o en la que Tableau Server pueda estar configurado con certificados que se firmaron con SHA-1. El valor predeterminado de esta clave ahora será true, por lo que todos los mensajes SAML salientes se firmarán con SHA-256 de forma predeterminada.
 
Número del artículo de conocimiento

001534667

 
Cargando
Salesforce Help | Article