Tableau Cloud에 대한 SAML 요구 사항
Tableau Cloud에서 SAML을 구성하기 전에 요구 사항을 충족하기 위해 필요한 사항을 확인하십시오.
- Tableau 구성을 위한 ID 공급자(IdP) 요구 사항
- SAML 호환성 참고 사항 및 요구 사항
- Tableau 클라이언트 응용 프로그램에서 SAML SSO 사용
- Tableau Bridge에서 인증 유형을 변경할 때의 효과
- XML 데이터 요구 사항
Tableau 구성을 위한 ID 공급자(IdP) 요구 사항
SAML 사용을 위해 Tableau Cloud를 구성하려면 다음이 필요합니다.
Tableau Cloud 사이트에 대한 관리자 액세스 권한. SAML을 사용하도록 설정할 Tableau Cloud 사이트에 관리자로 액세스할 수 있어야 합니다.
SSO를 사용하여 Tableau Cloud에 액세스할 사용자의 목록. Tableau Cloud에 대한 SSO(Single Sign-On) 액세스를 허용할 사용자의 사용자 이름을 수집해야 합니다.
SAML 2.0을 지원하는 IdP 계정. 외부 ID 공급자의 계정이 필요합니다. 몇 가지 예로 PingFederate, SiteMinder 및 Open AM이 있습니다. IdP는 SAML 2.0을 지원해야 하며 해당 계정에 대한 관리자 액세스 권한이 있어야 합니다.
SHA256은 서명 알고리즘으로 사용됩니다. 2020년 5월부터 Tableau Cloud는 SHA-1 알고리즘으로 서명된 IdP 어설션 및 인증서를 차단합니다.
XML 메타데이터 가져오기 및 내보내기를 지원하는 IdP 공급자. 수동으로 생성된 파일이 작동할 수 있지만 Tableau 기술 지원 부서는 파일 생성이나 관련 문제 해결에 대한 지원을 제공하지 않습니다.
최대 토큰 수명을 24일(2073600초) 이하로 적용하는 IdP 공급자. IdP가 Tableau Cloud의 최대 수명 설정(2073600초)보다 긴 최대 토큰 수명을 허용하는 경우 Tableau Cloud는 토큰을 유효한 것으로 인식하지 않습니다. 이 시나리오에서 사용자는 Tableau Cloud에 로그인하려고 할 때 (로그인하지 못했습니다. 다시 시도하십시오.) 오류 메시지를 받게 됩니다.
MFA가 사용되는 SSO. 2022년 2월부로 Tableau Cloud에는 SAML SSO IdP(ID 공급자)를 통한 MFA(다단계 인증)가 필요합니다.
중요: 이러한 요구 사항과 함께 MFA 사용 TableauID(링크가 새 창에서 열림)가 항상 구성되어 있는 전용 사이트 관리자 계정을 사용하는 것이 좋습니다. SAML 또는 IdP 관련 문제가 발생하는 경우 전용 MFA 사용 Tableau 계정을 사용하면 사이트에 항상 액세스할 수 있습니다.
SAML 호환성 참고 사항 및 요구 사항
SP 또는 IdP 초기화: Tableau Cloud에서는 IdP(ID 공급자) 또는 SP(서비스 공급자)에서 시작되는 SAML 인증을 지원합니다.
SLO(싱글 로그아웃): Tableau Cloud는 SP(서비스 공급자)에서 시작한 SLO와 IdP(ID 공급자)에서 시작한 SLO를 모두 지원합니다.
참고: 사이트의 SLO URL을 확인하려면 Tableau Cloud 사이트에서 생성되는 메타데이터 XML 파일을 다운로드하고 이를 참조하십시오. 설정 > 인증으로 이동하여 이 파일을 찾을 수 있습니다. SAML 인증 유형 아래에서 구성(필수) 드롭다운 화살표를 클릭한 다음 1단계 방법 1의 메타데이터 내보내기 단추를 클릭합니다.
tabcmd 및 REST API: tabcmd 또는 REST API(링크가 새 창에서 열림)를 사용하려면 사용자가 TableauID 계정을 사용하여 Tableau Cloud에 로그인해야 합니다.
일반 텍스트 어설션: Tableau Cloud는 암호화된 어설션을 지원하지 않습니다.
Tableau Bridge 재구성 필요: Tableau Bridge는 SAML 인증을 지원하지만 인증을 변경하려면 Bridge 클라이언트를 다시 구성해야 합니다. 자세한 내용은 Tableau Bridge에서 인증 유형을 변경할 때의 효과을 참조하십시오.
필수 서명 알고리즘: 모든 새 SAML 인증서에 대해 Tableau Cloud에서는 SHA256(또는 이상) 서명 알고리즘을 요구합니다.
- RSA 키 및 ECDSA 곡선 크기 IdP 인증서에는 키 강도가 2048인 RSA 키 또는 곡선 크기가 256인 ECDSA가 포함되어야 합니다.
NameID 특성: Tableau Cloud는 SAML 응답에 NameID 특성을 요구합니다.
Tableau 클라이언트 응용 프로그램에서 SAML SSO 사용
Tableau Cloud 사용자에게 SAML 자격 증명이 있는 경우에도 Tableau Desktop 또는 Tableau Mobile 앱에서 사이트에 로그인할 수 있습니다. 최고의 호환성을 위해서는 Tableau 클라이언트 응용 프로그램 버전이 Tableau Cloud 버전과 일치해야 합니다.
Tableau Desktop 또는 Tableau Mobile에서 Tableau Cloud에 연결하는 경우 서비스 공급자가 시작한 연결을 사용합니다.
인증된 사용자를 다시 Tableau 클라이언트로 리디렉션
사용자가 Tableau Cloud에 로그인하는 경우 Tableau Cloud는 IdP에 SAML 요청(AuthnRequest)을 보내며, 이 요청에는 Tableau 응용 프로그램의 RelayState 값이 포함됩니다. 사용자가 Tableau Desktop 또는 Tableau Mobile 같은 Tableau 클라이언트에서 Tableau Cloud에 로그인한 경우 Tableau에 대한 IdP의 SAML 응답에서 RelayState 값이 반환되어야 합니다.
이 시나리오에서 RelayState 값이 적절하게 반환되지 않으면 사용자가 로그인한 응용 프로그램으로 리디렉션되는 것이 아니라 웹 브라우저에서 사용자의 Tableau Cloud 홈 페이지로 이동됩니다.
ID 공급자 및 내부 IT 팀과 협력하여 IdP의 SAML 응답에 이 값이 포함되는지 확인합니다.
Tableau Bridge에서 인증 유형을 변경할 때의 효과
사이트의 인증 유형을 변경하거나 IdP를 수정하면 예약된 추출 새로 고침에 Tableau Bridge를 사용하는 게시자가 클라이언트의 연결을 해제했다가 다시 연결하고 새 방법 또는 IdP 구성을 사용하여 다시 인증해야 합니다.
레거시 일정의 경우 Bridge 클라이언트 연결을 해제하면 모든 데이터 원본이 제거되므로 새로 고침 일정을 다시 설정해야 합니다. 온라인 일정의 경우 클라이언트를 다시 연결한 후 Bridge 클라이언트 풀을 다시 구성해야 합니다.
Tableau Cloud 사이트에서 직접 실행되는 Bridge 라이브 쿼리 또는 새로 고침(예: 클라우드의 기초 데이터에 대한 라이브 쿼리 또는 새로 고침)에는 인증 유형을 변경해도 영향을 미치지 않습니다.
인증 유형을 변경하기 전에 Bridge 사용자에게 사이트 인증에 대한 변경 내용을 알리는 것이 좋습니다. 그렇지 않을 경우 Bridge 클라이언트에서 인증 오류가 표시되거나 빈 데이터 원본 영역이 열릴 때 인증 유형이 변경된 것을 알게 됩니다.
XML 데이터 요구 사항
Tableau Cloud 및 IdP에서 생성된 XML 메타데이터 문서를 사용하여 SAML을 구성합니다. 인증 프로세스 중에 IdP 및 Tableau Cloud는 이러한 XML 문서를 사용하여 인증 정보를 교환합니다. XML이 이러한 요구 사항을 충족하지 않으면 SAML을 구성할 때 또는 사용자가 로그인을 시도할 때 오류가 발생할 수 있습니다.
Tableau Cloud는 SAML 통신을 위한 HTTP POST 및 REDIRECT 요청을 지원합니다. IdP가 내보낸 SAML 메타데이터 XML 문서에서 Binding 특성은 HTTP-POST, HTTP-REDIRECT 또는 HTTP-POST-SimpleSign으로 설정되어야 합니다.