Skip to main content

Lista de permissões para validação de pares

O Alteryx adicionou verificações de segurança para a funcionalidade relacionada à abertura de conexões TLS ou SSL, por exemplo, conexões com URLs

É necessário que a conexão com um serviço esteja protegida por TLS e que o servidor conectado forneça um certificado válido e confiável assinado por uma autoridade de certificação (CA). A validação deve percorrer toda a cadeia de CAs até o certificado raiz e validar os certificados em relação à lista de autoridades de certificação confiáveis do Microsoft Windows Certificate Stores. No momento, não há suporte para Linux.

  • Esse recurso foi inicialmente habilitado nas versões 2022.1+ do Designer-FIPS e 2022.2 do Server-FIPS e não há como desabilitá-lo.

  • A "Validação de pares" agora também está habilitada para as versões 2022.3+ não-FIPS.

Configurar lista de permissões para "Validação de pares"

Sabemos que alguns administradores e usuários podem ter problemas com essa alteração. Especialmente com fluxos de trabalho existentes ou ambientes de servidor que usam conexões inseguras ou conexões TLS que usam certificados autoassinados, inválidos ou não confiáveis.

Para contornar esses problemas e continuar a usar conexões inseguras ou conexões TLS que usam certificados que falham na validação, é necessário adicionar uma exceção à "Lista de permissões".

  • A "Lista de permissões" contém entradas de sites de URL que normalmente falham com a "Validação de pares" habilitada.

  • Adicione exceções de URL ao arquivo de texto chamado PeerValidationBypass.txt.

  • O arquivo deve ser colocado em C:\ProgramData\Alteryx\PeerValidationBypass.txt.

  • Se o arquivo não existir, a "Validação de pares" será ativada por padrão. No entanto, observe que a existência do arquivo não desativa a "Validação de pares". Isso permite que o Designer e o Server ignorem a "Validação de pares" ao se conectar aos sites específicos listados no arquivo.

Requisitos do PeerValidationBypass.txt

As entradas no arquivo PeerValidationBypass.txt devem seguir algumas regras:

  • Uma entrada de FQDN (Fully Qualified Domain Name ou, em português, Nome de Domínio Totalmente Qualificado) por linha.

  • Digite apenas o nome do host.

  • Remova o protocol:// do início do URL.

  • Remova qualquer caminho, consulta e senha do URL.

  • Não deixe linhas em branco entre as entradas.

Using Wildcards

You can configure PeerValidationBypass.txt with FQDNs and IPv4 addresses that contain wildcard characters.

A domain name is a simple structure made of several fields, separated by dots and read from right to left. An example domain name is help.alteryx.com where…

  • The Top-Level Domain (TLD) is com.

  • The labels follow the TLD. alteryx is Label1 and help is Label2.

    • A label is a case-insensitive character sequence anywhere from one to sixty-three characters in length.

    • It contains only the letters A through Z, digits 0 through 9, and the hyphen (-) character (which can’t be the first or last character in the label).

  • The label located right before the TLD is also called a Secondary Level Domain (SLD), alteryx in the example above.

    Nota

    A domain name might consist of one field only, or it might consist of two, three, or more than three fields. A fully qualified domain name (FQDN) is always labeled in the format:

    hostname.SLD.TLD

When PeerValidationBypass.txt is parsed to determine whether a particular endpoint’s TLS certificate should be validated, the parser interprets wildcards as follows:

  • An asterisk (*) character matches 0 or more valid label characters.

  • A question mark (?) character matches exactly 1 valid label character.

Domain Name Entry Details

For a domain name entry…

  • If TLD is a country code TLD, wildcard characters are not allowed in the last three fields. Wildcard matching is performed in Label 3 and onwards.

  • If TLD is not a country code TLD, wildcard characters are not allowed in the last two fields. Wildcard matching is performed in Label 2 and onwards.

Example Invalid Domain Name Entries

???.*.com.fr, alteryx*.help.n?t, alteryx.*.net, and hello.world.example*.???

IPv4 Address Entry Details

For an IPv4 address entry…

  • Wildcard characters are not allowed in the first two fields.

  • Wildcard matching is performed in the last two fields.

Example Invalid IPv4 Entries

192.*.*.23, ???.*.123.234, and *.10.100.200

Exemplo de entrada

Example 1

Suppose Peer Validation blocks this URL:

https://ThisIsATest.com/?category.id=External

In the PeerValidationBypass.txt file, enter this:

ThisIsATest.com

Example 2

Suppose you want to block these URLs with a similar pattern:

  • https://example.ThisIsATest.com/?category.id=External

  • https://warning.ThisIsATest.com/?category.id=External

  • https://info.ThisIsATest.com/?category.id=External

In the PeerValidationBypass.txt file you can block all 3 with one entry, using a wildcard:

*.ThisIsATest.com

Example 3

To block visit.country.france.fr and work.country.france.fr, enter this in the PeerVAlidationBypass.txt file:

*.country.france.fr

Nota

TLD is a country code. As a result, wildcard characters are not allowed in the last 3 fields: country.france.fr.

Example 4

To block the 123.12.123.1 and 123.12.123.2 IPv4 addresses, in the PeerValidationBypass.txt file, enter this:

123.12.123.?

Observações adicionais

  • Depois de editar o PeerValidationBypass.txt, sempre que você usar cURL/OpenSSL nas ferramentas do Alteryx, ele procurará uma correspondência. Se o Designer ou o Server encontrar uma correspondência, a "Validação de pares" será desativada.

  • Observe que os produtos FIPS ignoram a "Lista de permissões".

  • Para evitar erros com a "Validação de pares" SSL quando o servidor externo exigir um certificado SSL assinado por uma CA intermediária, adicione a CA intermediária necessária à pasta Trusted Root Certification Authorities - Certificates no Microsoft Management Console.

Nesta secção: