Skip to main content

ピア検証許可リスト

Alteryxは、cURLやOpenSSLを使用するhttps://のURLへの接続など、TLSまたはSSL接続を開く際の機能にセキュリティチェックを追加しました。ピア検証設定でセキュリティチェックを調整することができます。

これには、サービスへの接続がTLSで保護され、接続されたサーバーが有効で信頼されたCA署名付き証明書を提供することが必要です。CAチェーンのルート証明書まですべて検証し、Microsoft Windows Certificate Storesの信頼された認証局のリストと照合して証明書を検証する必要があります。現時点ではLinuxはサポートされていません。

  • これは、2022.1以降のDesigner-FIPSと2022.2 Server-FIPSのリリースで初めて有効となった機能で、無効にすることはできません。

  • また、ピア検証はFIPS非対応2022.3以降のリリースでも有効になりました。

ピア検証の許可リストを設定する

この変更により、一部の管理者およびユーザーの環境でエラーが発生する可能性があります。特に、安全でない接続を利用する既存のワークフローまたはサーバー環境、または自己署名証明書、無効な証明書、または信頼されていない証明書を使用するTLS接続で発生することがあります。

これらの問題を回避し、検証に失敗した証明書を利用する安全でない接続またはTLS接続を引き続き使用するには、許可リストに例外を追加する必要があります。

  • 許可リストには、ピア検証が有効になっている場合に通常失敗するURLサイトのエントリが格納されます。

  • PeerValidationBypass.txtという名前のテキストファイルにURLの例外を追加します。

  • ファイルは、C:\ProgramData\Alteryx\PeerValidationBypass.txtに格納する必要があります。

  • ファイルが存在しない場合、ピア検証は既定で有効になります。ただし、ファイルが存在しても、ピア検証は無効になりません。DesignerとServerでは、ファイル内にリストされている特定のサイトに接続する際にピア検証を無視することができます。

PeerValidationBypass.txtの要件

PeerValidationBypass.txtファイルへのエントリではいくつかのルールに従う必要があります。

  • 1行につき完全修飾ドメイン名(FQDN)を1つエントリする。

  • ホスト名のみを入力する。

  • URLの先頭からprotocol://を削除する。

  • URLからパス、クエリ、およびパスワードを削除する。

  • エントリの間に空白行を挿入しない。

エントリの例

ピア検証で次のURLがブロックされる場合:

https://ThisIsATest.com/?category.id=External

PeerValidationBypass.txtファイルで、次のように入力します。

ThisIsATest.com

その他の注記事項

  • PeerValidationBypass.txtを編集した後に、AlteryxツールでcURL/OpenSSLを使用すると、常に一致するものが検索されるようになります。DesignerまたはServerで一致が検出されると、ピア検証がオフになります。

  • FIPS製品では許可リストは無視されます。

  • 外部サーバーが中間CAによって署名されたSSL証明書を必要とする場合にSSLピア検証でエラーが発生しないようにするには、必要な中間CAをMicrosoft管理コンソールの[Trusted Root Certification Authorities] - [Certificates]フォルダーに追加します。

このセクションの内容: