Skip to main content

Liste des autorisations de validation par les pairs

Alteryx a ajouté des contrôles de sécurité pour les fonctionnalités liées à l'ouverture de connexions TLS ou SSL, par exemple, les connexions aux URL https:// qui utilisent cURL et OpenSSL. Vous pouvez ajuster les contrôles de sécurité grâce au paramètre Validation par les pairs.

Pour effectuer cette action, la connexion à un service doit être sécurisée par TLS et le serveur connecté doit fournir un certificat valide signé par une autorité de certification de confiance. La validation doit remonter toute la chaîne d'autorité de certification jusqu'au certificat racine et valider les certificats par rapport à la liste des autorités de certification de confiance des magasins de certificats de Microsoft Windows. Linux n'est pas encore pris en charge.

  • Cette fonctionnalité a été initialement activée sur Designer-FIPS 2022.1+ et Server-FIPS 2022.2 et il n'y a aucun moyen de la désactiver.

  • Le paramètre Validation par les pairs est désormais également activé pour les versions non FIPS 2022.3 et ultérieures.

Configuration de la Liste des autorisations pour le paramètre Validation par les pairs

Nous savons que certains administrateurs et utilisateurs pourraient rencontrer des problèmes avec cette modification, en particulier avec les workflows existants ou des environnements de Server qui utilisent des connexions non sécurisées ou des connexions TLS qui utilisent des certificats auto-signés, non valides ou non fiables.

Pour contourner ces problèmes et continuer à utiliser des connexions non sécurisées ou des connexions TLS utilisant des certificats dont la validation a échoué, vous devez ajouter une exception à la Liste des autorisations.

  • Cette liste contient des entrées de sites URL qui échouent normalement lorsque le paramètre Validation par les pairs est activé.

  • Ajoutez les exceptions d'URL au fichier texte nommé PeerValidationBypass.txt.

  • Vous devez placer le fichier sous C:\ProgramData\Alteryx\PeerValidationBypass.txt.

  • Si le fichier n'existe pas, le paramètre Validation par les pairs est activé par défaut. Cependant, notez que l'existence du fichier ne désactive pas ce paramètre. Elle permet à Designer et à Server d'ignorer la validation par les pairs lors de la connexion aux sites répertoriés dans le fichier.

Critères du fichier PeerValidationBypass.txt

Les entrées du fichier PeerValidationBypass.txt doivent respecter plusieurs règles :

  • Ne saisissez qu'un nom de domaine complet (FQDN) par ligne.

  • Saisissez uniquement le nom de domaine ou l'adresse IP.

  • Supprimez la partie protocole:// au début de l'URL.

  • Supprimez tout chemin, requête et mot de passe de l'URL.

  • Ne laissez pas de lignes vides entre les entrées.

Utilisation de caractères génériques

Vous pouvez configurer PeerValidationBypass.txt avec des FQDN et des adresses IPv4 contenant des caractères génériques.

Un nom de domaine est une structure simple composée de plusieurs champs, séparés par des points et lus de droite à gauche. Un exemple de nom de domaine est help.alteryx.com où…

  • Le domaine de premier niveau (TLD) est com.

  • Les étiquettes suivent le TLD. alteryx correspond à l'étiquette 1 et help correspond à l'étiquette 2.

    • Une étiquette est une séquence de caractères insensible à la casse, dont la longueur peut varier entre un et 63 caractères.

    • Elle contient uniquement les lettres A à Z, les chiffres 0 à 9 et le tiret (-) (qui ne peut pas être le premier ou le dernier caractère de l'étiquette).

  • L'étiquette située juste avant le TLD est également appelée domaine de deuxième niveau (SLD), Alteryx dans l'exemple ci-dessus.

    Note

    Un nom de domaine peut se composer d'un seul champ ou de deux, trois ou plus de trois champs. Un nom de domaine complet (FQDN) est toujours étiquetté au format :

    hostname.SLD.TLD

Lorsque PeerValidationBypass.txt est analysé pour déterminer si le certificat TLS d'un point de terminaison particulier doit être validé, l'analyseur interprète les caractères génériques comme suit :

  • Un astérisque (*) correspond à 0 caractère d'étiquette valide ou plus.

  • Un point d'interrogation (?) correspond exactement à un caractère d'étiquette valide.

Détails de la saisie du nom de domaine

Pour une entrée de nom de domaine…

  • Si le TLD est un TLD de code pays, les caractères génériques ne sont pas autorisés dans les 3 derniers champs. La correspondance avec les caractères génériques est effectuée à partir de l'étiquette 3.

  • Si le TLD n'est pas un TLD de code pays, les caractères génériques ne sont pas autorisés dans les deux derniers champs. La correspondance avec les caractères génériques est effectuée à partir de l'étiquette 2.

Exemple d'entrées de nom de domaine non valides

???.*.com.fr, alteryx*.help.n?t, alteryx.*.net et hello.world.example*.???

Détails de la saisie d'adresse IPv4

Pour une entrée d'adresse IPv4…

  • Les caractères génériques ne sont pas autorisés dans les deux premiers champs.

  • La correspondance avec des caractères génériques est effectuée dans les deux derniers champs.

Exemple d'entrées IPv4 non valides

192.*.*.23, ???.*.123.234, and *.10.100.200

Exemple d'entrées

Exemple 1

Supposons que le paramètre Validation par les pairs bloque l'URL suivante :

https://ThisIsATest.com/?category.id=External

Dans le fichier PeerValidationBypass.txt, saisissez ceci :

ThisIsATest.com

Exemple 2

Supposons que vous souhaitiez bloquer ces URL avec un modèle similaire :

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

Dans le fichier PeerValidationBypass.txt, vous pouvez bloquer les 3 avec une seule entrée, en utilisant un caractère générique :

*.ThisIsATest.com

Exemple 3

Pour bloquer visit.country.france.fr et work.country.france.fr, entrez ceci dans le fichier PeerVAlidationBypass.txt :

*.country.france.fr

Note

Le TLD est un code de pays. Par conséquent, les caractères génériques ne sont pas autorisés dans les 3 derniers champs : country.france.fr

Exemple 4

Pour bloquer les adresses IPv4 123.12.123.1 et 123.12.123.2, entrez ceci dans le fichier PeerValidationBypass.txt :

123.12.123. ?

Remarques supplémentaires

  • Après modification du fichier PeerValidationBypass.txt, chaque fois que vous utilisez cURL/OpenSSL dans les outils Alteryx, une correspondance est recherchée. Si Designer ou Server trouve une correspondance, ils désactivent le paramètre Validation par les pairs.

  • Notez que les produits FIPS ignorent la Liste des autorisations.

  • Afin d'éviter les erreurs avec la validation SSL par les pairs lorsque le serveur externe nécessite un certificat SSL signé par une autorité de certification intermédiaire, ajoutez l'autorité requise au dossier Trusted Root Certification Authorities - Certificates dans la console MMC (Microsoft Management Console).

Dans cette section​: