Liste des autorisations de validation par les pairs
Alteryx a ajouté des contrôles de sécurité pour les fonctionnalités liées à l'ouverture de connexions TLS ou SSL, par exemple, les connexions aux URL
Pour effectuer cette action, la connexion à un service doit être sécurisée par TLS et le serveur connecté doit fournir un certificat valide signé par une autorité de certification de confiance. La validation doit remonter toute la chaîne d'autorité de certification jusqu'au certificat racine et valider les certificats par rapport à la liste des autorités de certification de confiance des magasins de certificats de Microsoft Windows. Linux n'est pas encore pris en charge.
Cette fonctionnalité a été initialement activée sur Designer-FIPS 2022.1+ et Server-FIPS 2022.2 et il n'y a aucun moyen de la désactiver.
Le paramètre Validation par les pairs est désormais également activé pour les versions non FIPS 2022.3 et ultérieures.
Configuration de la Liste des autorisations pour le paramètre Validation par les pairs
Nous savons que certains administrateurs et utilisateurs pourraient rencontrer des problèmes liés à ce changement, en particulier, avec des workflows existants ou des environnements de Server qui utilisent des connexions non sécurisées ou des connexions TLS qui utilisent des certificats auto-signés, non valides ou non fiables.
Pour contourner ces problèmes et continuer à utiliser des connexions non sécurisées ou des connexions TLS utilisant des certificats dont la validation a échoué, vous devez ajouter une exception à la Liste des autorisations.
Cette liste contient des entrées de sites URL qui échouent normalement lorsque le paramètre Validation par les pairs est activé.
Ajoutez les exceptions d'URL au fichier texte nommé
PeerValidationBypass.txt.Vous devez placer le fichier sous
C:\ProgramData\Alteryx\PeerValidationBypass.txt.Si le fichier n'existe pas, le paramètre Validation par les pairs est activé par défaut. Cependant, notez que l'existence du fichier ne désactive pas ce paramètre. Elle permet à Designer et à Server d'ignorer la validation par les pairs lors de la connexion aux sites répertoriés dans le fichier.
Critères du fichier PeerValidationBypass.txt
Les entrées du fichier PeerValidationBypass.txt doivent respecter plusieurs règles :
Ne saisissez qu'un nom de domaine complet (FQDN) par ligne.
Ne saisissez que le nom d'hôte.
Supprimez la partie
protocole://au début de l'URL.Supprimez tout chemin, requête et mot de passe de l'URL.
Ne laissez pas de lignes vides entre les entrées.
Using Wildcards
You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.
A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…
The Top-Level Domain (TLD) is
com.The labels follow the TLD.
alteryxis Label1 andhelpis Label2.A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.
It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).
The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.
Note
A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:
hostname.SLD.TLD
When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:
An asterisk (*) character matches 0 or more valid label characters.
A question mark (?) character matches exactly 1 valid label character.
Domain Name Entry Details
For a domain name entry…
If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.
If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.
Example Invalid Domain Name Entries
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???
IPv4 Address Entry Details
For an IPv4 address entry…
Wildcard characters are not allowed in the first two fields.
Wildcard matching is performed in the last two fields.
Example Invalid IPv4 Entries
192.*.*.23, ???.*.123.234, and *.10.100.200
Exemple d'entrée
Example 1
Suppose Peer Validation blocks this URL:
https://ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file, enter this:
ThisIsATest.com
Example 2
Suppose you want to block these URLs with a similar pattern:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:
*.ThisIsATest.com
Example 3
To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:
*.country.france.fr
Note
TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.
Example 4
To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:
123.12.123.?
Remarques supplémentaires
Après modification du fichier
PeerValidationBypass.txt, chaque fois que vous utilisez cURL/OpenSSL dans les outils Alteryx, une correspondance est recherchée. Si Designer ou Server trouve une correspondance, ils désactivent le paramètre Validation par les pairs.Notez que les produits FIPS ignorent la Liste des autorisations.
Afin d'éviter toute erreur avec la validation SSL par les pairs lorsque le serveur externe nécessite un certificat SSL signé par une autorité de certification intermédiaire, ajoutez l'autorité requise au dossier Trusted Root Certification Authorities - Certificates dans la console MMC (Microsoft Management Console).