AD FS로 SAML 구성

AD FS(Active Directory Federation Services)를 SAML ID 공급자로 구성하고 Tableau Cloud를 지원되는 SSO(Single Sign-On) 응용 프로그램에 추가할 수 있습니다. SAML 및 Tableau Cloud에 AD FS를 통합하면 사용자가 표준 네트워크 자격 증명을 사용하여 Tableau Cloud에 로그인할 수 있습니다.

참고: 

  • 이러한 단계는 타사 응용 프로그램에 의존하기 때문에 당사가 모르는 사이에 변경될 수 있습니다. 여기에 설명된 단계가 IdP 계정에 표시되는 화면과 일치하지 않는 경우 일반적인 SAML 구성 단계IdP 설명서와 함께 사용할 수 있습니다.
  • 2022년 2월부터 Tableau Cloud에는 SAML SSO IdP(ID 공급자)를 통한 MFA(다단계 인증)가 필요합니다.

필수 요건

AD FS로 Tableau Cloud 및 SAML을 구성하려면 환경에 다음이 필요합니다.

  • AD FS 2.0 이상 및 IIS가 설치되어 있으며 Microsoft Windows Server 2008 R2 이상을 실행하는 서버

  • AD FS 서버에 보안을 적용하는 것이 좋습니다(예: 역방향 프록시 사용). 방화벽 외부에서 AD FS 서버에 액세스할 수 있게 되면 Tableau Cloud에서 AD FS가 호스팅하는 로그인 페이지로 사용자를 리디렉션할 수 있습니다.

  • TableauID 인증을 사용하는 사이트 관리자 계정 SAML Single Sign-On에 실패하더라도 사이트 관리자로 Tableau Cloud에 로그인할 수 있습니다.

1단계: Tableau Cloud에서 메타데이터 내보내기

  1. 사이트 관리자로 Tableau Cloud에 로그인합니다.

    Tableau Cloud에서 사용할 사이트가 여러 개인 경우 사이트 드롭다운 목록에서 SAML을 활성화할 사이트를 선택합니다.

  2. 설정 > 인증을 선택합니다.
  3. 인증 탭에서 추가 인증 방법 사용 확인란을 선택하고 SAML을 선택한 다음 구성(필수) 드롭다운 화살표를 클릭합니다.

    인증 설정

  4. 1단계 방법 1: 메타데이터 내보내기에서 메타데이터 내보내기 단추를 클릭하여 Tableau Cloud SAML 엔터티 ID, ACS(Assertion Consumer Service) URL 및 X.509 인증서가 포함된 XML 파일을 다운로드합니다.

2단계: Tableau Cloud의 로그인 요청을 허용하도록 AD FS 구성

Tableau Cloud 로그인 요청을 허용하도록 AD FS를 구성하려면 여러 단계를 처리해야 하며, 이러한 단계는 Tableau Cloud XML 메타데이터 파일을 AD FS에 가져오는 것부터 시작됩니다.

  1. 다음 중 하나를 수행하여 신뢰 당사자 트러스트 추가 마법사를 엽니다.

  2. Windows Server 2008 R2:

    1. 시작 메뉴> 관리 도구 > AD FS 2.0을 선택합니다.

    2. AD FS 2.0트러스트 관계에서 신뢰 당사자 트러스트 폴더를 마우스 오른쪽 단추로 클릭한 다음 신뢰 당사자 트러스트 추가를 클릭합니다.

    Windows Server 2012 R2:

    1. 서버 관리자를 연 다음 도구 메뉴에서 AD FS 관리를 클릭합니다.

    2. AD FS 관리동작 메뉴에서 신뢰 당사자 트러스트 추가를 클릭합니다.

  3. 신뢰 당사자 트러스트 추가 마법사에서 시작을 클릭합니다.

  4. 데이터 원본 선택 페이지에서 파일에서 신뢰 당사자에 대한 데이터 가져오기를 선택한 다음 찾아보기를 클릭하고 Tableau Cloud XML 메타데이터 파일을 찾습니다. 기본적으로 이 파일의 이름은 samlspmetadata.xml입니다.

  5. 다음을 클릭한 후 표시 이름 지정 페이지표시 이름참고 상자에 신뢰 당사자 트러스트에 대한 이름 및 설명을 입력합니다.

  6. 다음을 클릭하여 지금 다단계 인증을 구성하시겠습니까? 페이지를 건너뜁니다.

  7. 다음을 클릭하여 발급 권한 부여 규칙 선택 페이지를 건너뜁니다.

  8. 다음을 클릭하여 트러스트 추가 준비 완료 페이지를 건너뜁니다.

  9. 마침 페이지에서 마법사를 끝내면 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기 확인란을 선택한 다음 닫기를 클릭합니다.

이제 클레임 규칙 편집 대화 상자에서 작업하여 AD FS가 전송하는 어설션이 Tableau Cloud의 예상 어설션과 일치하는지 확인하는 규칙을 추가합니다. 최소한 Tableau Cloud에는 이메일 주소가 필요합니다. 그러나 이메일 주소에 더해 이름과 성을 포함하면 AD 계정과 동일한 사용자 이름이 Tableau Cloud에 표시될 수 있습니다.

  1. 클레임 규칙 편집 대화 상자에서 규칙 추가를 클릭합니다.

  2. 규칙 유형 선택 페이지의 클레임 규칙 템플릿에서 LDAP 특성을 클레임으로 보내기를 선택한 후 다음을 클릭합니다.

  3. 클레임 규칙 구성 페이지의 클레임 규칙 이름에 쉽게 알 수 있는 규칙 이름을 입력합니다.

  4. 특성 저장소에서 Active Directory를 선택하고 아래에 표시된 것처럼 매핑을 완성한 다음 마침을 클릭합니다.

  5. 매핑은 대/소문자를 구분하며 맞춤법이 정확해야 하므로 입력을 다시 한 번 확인하십시오. 이 표에서는 일반적인 특성과 클레임 매핑을 보여 줍니다. 사용 중인 특정 Active Directory 구성의 특성을 확인하십시오.

    참고: Tableau Cloud를 사용하려면 SAML 응답의 NameID 특성이 필요합니다. Tableau Cloud의 사용자 이름을 매핑할 다른 특성을 제공해도 되지만 응답 메시지에는 NameID 특성이 포함되어야 합니다.

    LDAP 특성나가는 클레임 유형

    AD FS 버전에 따라:

    User-Principal-Name
    또는
    E-Mail-Addresses

     

    email
    또는
    E-Mail Address

    Given-NamefirstName
    SurnamelastName

AD FS 2016 이상을 실행하는 경우 모든 클레임 값을 통과시키는 규칙을 추가해야 합니다. 이전 버전의 AD FS를 실행하는 경우 다음 절차로 건너뛰어 AD FS 메타데이터를 내보냅니다.

  1. 규칙 추가를 클릭합니다.
  2. 클레임 규칙 템플릿에서 Pass Through or Filter an Incoming Claim(들어오는 클레임 통과 또는 필터링)을 선택합니다.
  3. 클레임 규칙 이름에 Windows를 입력합니다.
  4. 규칙 편집 - Windows 팝업에서 다음을 수행합니다.
    • Incoming claim type(들어오는 클레임 유형)에서 Windows account name(Windows 계정 이름)을 선택합니다.
    • Pass through all claim values(모든 클레임 값 통과)를 선택합니다.
    • 확인을 클릭합니다.

이제 나중에 Tableau Cloud로 가져올 AD FS 메타데이터를 내보냅니다. 또한 메타데이터가 Tableau Cloud에 대해 올바르게 구성되고 인코딩되었는지 확인한 다음 SAML 구성에 대한 다른 AD FS 요구 사항을 확인합니다.

  1. AD FS 페더레이션 메타데이터를 XML 파일로 내보낸 다음 https://<adfs 서버 이름>/federationmetadata/2007-06/FederationMetadata.xml에서 파일을 다운로드합니다.

  2. Sublime Text 또는 Notepad++ 같은 텍스트 편집기에서 메타데이터 파일을 열고 BOM이 없는 UTF-8로 올바르게 인코딩되었는지 확인합니다.

    파일에 다른 인코딩 유형이 표시되면 텍스트 편집기에서 올바른 인코딩으로 저장하십시오.

  3. AD FS가 양식 기반 인증을 사용하는지 확인합니다. 브라우저 창에서 로그인이 수행되므로 이 유형의 인증을 기본적으로 사용하도록 AD FS를 설정해야 합니다.

    c:\inetpub\adfs\ls\web.config를 편집하여 태그를 검색하고 목록의 첫 줄에 표시되도록 이동합니다. IIS가 파일을 자동으로 다시 로드할 수 있도록 파일을 저장합니다.

    참고: c:\inetpub\adfs\ls\web.config 파일이 보이지 않으면 AD FS 서버에 IIS가 설치 및 구성되지 않은 것입니다.

  4. 추가 AD FS 신뢰 당사자 식별자를 구성합니다. 이렇게 하면 시스템에서 모든 SAML 로그아웃 관련 AD FS 문제가 해결됩니다.

    다음 작업 중 하나를 수행합니다.

    Windows Server 2008 R2:

    1. AD FS 2.0에서 앞서 Tableau Cloud에 대해 만든 신뢰 당사자를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    2. 식별자 탭의 신뢰 당사자 식별자 상자에 https://<tableauservername>/public/sp/metadata를 입력한 다음 추가를 클릭합니다.

    Windows Server 2012 R2:

    1. AD FS 관리신뢰 당사자 트러스트 목록에서 앞서 Tableau Cloud에 대해 만든 신뢰 당사자를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    2. 식별자 탭의 신뢰 당사자 식별자 상자에 https://<tableauservername/public/sp/metadata를 입력한 다음 추가를 클릭합니다.

    참고: Tableau Server에서 AD FS를 동일한 인스턴스에 대한 단일 신뢰 당사자로 사용할 수 있습니다. 하지만 AD FS를 동일한 인스턴스에 대한 다중 신뢰 당사자로 사용할 수 없습니다. 예를 들어 여러 사이트 SAML 사이트 또는 서버 전체 및 사이트 SAML 구성에 사용할 수 없습니다.

3단계: Tableau Cloud에 AD FS 메타데이터 가져오기

  1. Tableau Cloud에서 설정인증으로 돌아갑니다.

  2. 4단계 Tableau에 메타데이터 업로드의 IdP 메타데이터 파일 상자에 AD FS에서 내보낸 파일 이름(FederationMetadata.xml)을 지정합니다.

  3. 5단계 특성 일치특성 일치를 건너뜁니다.

    Tableau Cloud에서 예상하는 특성 이름과 일치하는 클레임 규칙을 AD FS에서 이미 만들었습니다.

  4. 변경 내용 저장 단추를 클릭합니다.

  5. 다음 중 하나를 수행하여 사용자를 관리합니다.

    • 아직 사이트에 사용자를 추가하지 않은 경우 왼쪽 패널에서 사용자 페이지로 이동하여 사용자 추가를 클릭합니다. 그런 다음 사용자를 수동으로 추가하거나 사용자 정보가 포함된 CSV 파일을 가져올 수 있습니다. 자세한 내용은 사이트에 사용자 추가 또는 사용자 가져오기를 참조하십시오.

    • 사이트에 사용자를 이미 추가한 경우 왼쪽 패널에서 사용자 페이지로 이동하여 특정 사용자 옆의 동작을 클릭한 다음 인증을 클릭합니다. 인증 방법을 SAML로 변경하고 업데이트 단추를 클릭합니다.

  6. (선택 사항) 인증 페이지로 돌아가서 SAML 로그인을 테스트할 수 있도록 7단계 구성 테스트에서 구성 테스트 단추를 클릭합니다.

    잠긴 시나리오를 방지하려면 SAML 구성을 테스트하는 것이 좋습니다. 구성을 테스트하면 사용자의 인증 유형을 SAML로 변경하기 전에 SAML을 올바르게 구성했는지 확인할 수 있습니다. 구성을 성공적으로 테스트하려면 로그인할 수 있는 사용자가 IdP에 이미 프로비저닝되어 있고 SAML 인증 유형이 구성된 상태로 Tableau 클라우드에 추가된 사용자가 한 명 이상 있는지 확인합니다.

이제 Tableau Cloud 사이트에서 사용자가 AD FS 및 SAML을 사용하여 로그인할 수 있습니다. 사용자는 여전히 https://online.tableau.com으로 이동하지만 사용자 이름을 입력하면 페이지가 AD FS 로그인 페이지로 리디렉션되고(위 선택적인 테스트 단계와 같이), AD 자격 증명을 입력하라는 메시지가 표시됩니다.

참고: 오류가 발생하는 경우 SAML 로그인을 테스트하고 7단계. Tableau Cloud SAML 구성 단계의 구성을 테스트하고 로그 다운로드를 클릭한 다음 해당 정보를 사용하여 오류를 해결합니다.

추가 요구 사항 및 팁

  • AD FS와 Tableau Cloud 사이에 SAML 통합을 설정한 후 Tableau Cloud를 업데이트하여 Active Directory에서 수행한 특정 사용자 변경 사항을 반영해야 합니다. 사용자 추가 또는 제거를 예로 들 수 있습니다.

    사용자를 자동으로 또는 수동으로 추가할 수 있습니다.

    • 사용자 자동 추가: AD 변경 사항을 Tableau Cloud에 푸시하는 스크립트(PowerShell, Python 또는 배치 파일 사용)를 만듭니다. 스크립트에서는 tabcmd 또는 REST API를 사용하여 Tableau Cloud과 상호 작용할 수 있습니다.

    • 사용자 수동 추가: Tableau Cloud 웹 UI에 로그인하고, 사용자 페이지로 이동하고, 사용자 추가를 클릭하고, 사용자의 사용자 이름을 입력하거나 사용자 정보가 포함된 CSV 파일을 업로드합니다.

    참고: 사용자는 제거하지만 사용자가 소유한 콘텐츠 자산은 유지하려면 사용자를 제거하기 전에 콘텐츠의 소유자를 변경하십시오. 사용자를 삭제하면 사용자가 소유한 콘텐츠가 함께 삭제됩니다.

  • Tableau Cloud에서 사용자의 사용자 이름은 사용자의 고유 식별자입니다. Tableau Cloud의 로그인 요청을 허용하도록 AD FS를 구성하는 단계에 설명된 대로 사용자의 Tableau Cloud 사용자 이름은 AD에 저장된 사용자 이름과 일치해야 합니다.

  • 2단계: Tableau Cloud의 로그인 요청을 허용하도록 AD FS 구성에서 AD FS와 Tableau Cloud 사이에 이름, 성 및 사용자 이름 특성이 일치하도록 AD FS에 클레임 규칙을 추가했습니다. 또는 5단계. 특성 일치Tableau Cloud에서 사용하여 동일한 작업을 수행할 수 있습니다.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!