서버 전체 SAML 구성
Tableau Server의 모든 SSO(Single Sign-On) 사용자가 단일 SAML ID 공급자(IdP)를 통해 인증하게 하려면 서버 전체 SAML을 구성합니다. 또한 다중 사이트 환경에서 사이트 관련 SAML을 구성하려는 경우에도 첫 번째 단계로 서버 전체 SAML을 구성합니다.
서버 전체 SAML을 구성하고 사이트 구성 준비를 마쳤으면 사이트 관련 SAML 구성을 참조하십시오.
여기에서 제공하는 SAML 구성 단계에서는 다음과 같은 가정을 합니다.
SAML 항목에 설명되어 있는 Tableau Server의 SAML 인증 구성 옵션에 대해 잘 알고 있습니다.
환경이 SAML 요구 사항을 충족하는지 확인하고 해당 요구 사항에 설명된 SAML 인증서 파일을 구했습니다.
시작하기 전에
재해 복구 계획의 일부로, Tableau Server에서 떨어진 안전한 위치에 인증서 및 IdP 파일의 백업을 보관하는 것이 좋습니다. Tableau Server에 업로드하는 SAML 자산 파일은 클라이언트 파일 서비스에 의해 저장되고 다른 노드에 배포됩니다. 그러나 이러한 파일은 복구 가능한 형식으로 저장되지 않습니다. 자세한 내용은 Tableau Server 클라이언트 파일 서비스를 참조하십시오.
참고: 또한 SSL에 대해 동일한 인증서 파일을 사용하는 경우 SAML 구성에 기존 인증서 위치를 사용할 수 있으며 이 절차의 뒷부분에서 IdP 메타데이터 파일을 다운로드할 때 이 파일을 해당 디렉터리에 추가할 수 있습니다. 자세한 내용은 SAML 요구 사항에서 SAML에 대한 SSL 인증서 및 키 파일 사용를 참조하십시오.
클러스터에서 Tableau Server를 실행 중인 경우 SAML을 사용하도록 설정하면 SAML 인증서, 키 및 메타데이터 파일이 전체 노드에 자동으로 배포됩니다.
이 절차에서는 SAML 인증서가 서버 구성에 올바르게 저장되고 배포되도록 TSM에 SAML 인증서를 업로드해야 합니다. 이 절차의 TSM 웹 인터페이스를 실행하는 로컬 컴퓨터의 브라우저에서 SAML 파일을 사용할 수 있어야 합니다.
이전 섹션의 권장 방법에 따라 SAML 파일을 수집하여 Tableau Server에 저장한 경우 파일을 저장한 Tableau Server 컴퓨터에서 TSM 웹 인터페이스를 실행합니다.
다른 컴퓨터에서 TSM 웹 인터페이스를 실행하는 경우 계속하기 전에 모든 SAML 파일을 로컬에 복사해야 합니다. 아래 절차에 따를 때 로컬 컴퓨터의 파일을 찾아 TSM에 업로드합니다.
브라우저에서 TSM을 엽니다.
https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.
구성 탭에서 사용자 ID 및 액세스를 선택한 다음 인증 방법 탭을 선택합니다.

인증 방법에서 SAML을 선택합니다.
SAML 섹션이 나타나면 GUI에서 1단계를 완료하여 다음 설정을 입력합니다(아직 서버에 대해 SAML을 사용하도록 설정하는 확인란은 선택하지 않음).
Tableau Server 반환 URL - Tableau Server 사용자가 액세스하는 URL입니다(예: https://tableau-server).
https://localhost 또는 후행 슬래시가 있는 URL(예: http://tableau_server/)은 지원되지 않습니다.
SAML 엔터티 ID - 엔터티 ID를 통해 IdP에서 Tableau Server 설치를 고유하게 식별합니다.
여기에 Tableau Server URL을 다시 입력할 수 있습니다. 나중에 사이트 관련 SAML을 사용하도록 설정하려는 경우 이 URL을 각 사이트의 고유 ID에 대한 기반으로 사용할 수 있습니다.
SAML 인증서 및 키 파일 - 파일 선택을 클릭하여 이러한 파일 각각을 업로드합니다.
PKCS#8 암호로 보호되는 키 파일을 사용하는 경우 TSM CLI를 사용하여 암호를 입력해야 합니다.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>GUI의 1단계에 필요한 정보를 입력하면 GUI에서 2단계의 XML 메타데이터 파일 다운로드 단추를 사용할 수 있게 됩니다.
이제 위 GUI의 1단계에서 서버에 대한 SAML 인증 설정 확인란을 선택합니다.
나머지 SAML 설정을 완료합니다.
2단계와 3단계를 위해 Tableau Server와 IdP 간에서 메타데이터를 교환합니다. (이 과정이 IdP의 설명서에서 확인해야 할 사항입니다.)
XML 메타데이터 파일 다운로드를 선택하고 파일 위치를 지정합니다.
다른 IdP인 경우 IdP 계정으로 이동하여 Tableau Server를 해당 응용 프로그램(서비스 공급자 자격)으로 추가하고 적절한 Tableau 메타데이터를 제공합니다.
IdP 웹 사이트 또는 설명서의 지침에 따라 IdP의 메타데이터를 다운로드합니다. .xml 파일을 SAML 인증서 및 키 파일이 보관된 위치와 동일한 위치에 저장합니다. 예를 들면 다음과 같습니다.
/var/opt/tableau/tableau_server/data/saml/idp-metadata.xmlTSM 웹 UI로 돌아갑니다. GUI 4단계의 경우 IdP 메타데이터 파일의 경로를 입력한 다음 파일 선택을 클릭합니다.

5단계에서 경우에 따라 Tableau Server 구성의 어설션 값을 IdP에서 전달한 어설션 이름과 일치하도록 변경해야 할 수 있습니다.
IdP의 SAML 구성에서 어설션 이름을 찾을 수 있습니다. IdP에서 다른 어설션 이름이 전달되면 동일한 어설션 값을 사용하도록 Tableau Server를 업데이트해야 합니다.
팁: “어설션”은 핵심 SAML 구성 요소이며 매핑 어설션의 개념이 처음에는 다소 어려워 보일 수 있습니다. 어설션을 표 형식 데이터 개념으로 이해하면 쉽습니다. 어설션(특성) 이름이 표의 열 머리글에 해당합니다. 즉, 해당 열에 나타날 수 있는 값의 예가 아닌 “머리글” 이름을 입력합니다.
6단계의 경우 사용자에게 SSO(Single Sign-On) 환경을 제공할 Tableau 응용 프로그램을 선택합니다.
참고: Tableau Mobile 앱 버전 19.225.1731 이상을 실행 중인 장치에서는 모바일 액세스를 사용하지 않도록 설정하는 옵션이 무시됩니다. 이러한 버전을 실행하는 장치에서 SAML을 사용하지 않도록 설정하려면 Tableau Server에서 SAML을 클라이언트 로그인 옵션으로 사용하지 않도록 설정해야 합니다.
SAML 로그아웃 리디렉션 경우 IdP가 싱글 로그아웃(SLO)을 지원한다면 사용자가 로그아웃한 후 리디렉션될 페이지를 Tableau Server 반환 URL에 입력한 경로의 상대 경로로 입력합니다.
(선택 사항) 7단계에서 다음을 수행합니다.
AuthNContextClassRef특성에 대해 쉼표로 구분된 값을 추가합니다. 이 특성이 사용되는 방법에 대한 자세한 내용은 SAML 호환성 참고 사항 및 요구 사항을 참조하십시오.사용자 이름의 일부(즉,
domain\username)로 도메인이 전송되지 않는 경우 도메인 특성을 지정합니다. 자세한 내용은 여러 도메인을 실행하는 경우을 참조하십시오.
(선택 사항) 8단계에서 SAML 인증에서 사용자 특성 캡처 사용 확인란을 선택합니다. 사용자 특성에 대한 자세한 내용은 사용자 특성을 사용하여 데이터 액세스 사용자 지정 및 제어을 참조하십시오.

구성 정보를 입력한 후 보류 중인 변경 내용 저장을 클릭합니다.
페이지 맨 위에서 보류 중인 변경 내용을 클릭합니다.

변경 내용 적용 후 다시 시작을 클릭합니다.
시작하기 전에
시작하기 전에 다음을 수행하십시오.
IdP 웹 사이트 또는 응용 프로그램으로 이동하여 IdP의 메타데이터 XML 파일을 내보냅니다.
IdP의 메타데이터 XML에 다음 예제와 같이 바인딩이
HTTP-POST로 설정되어 있는 SingleSignOnService 요소가 포함되어 있는지 확인합니다.<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
인증서 파일을 수집하여 Tableau Server로 가져옵니다.
Tableau Server 폴더에서 SAML이라는 새 폴더를 만들고 SAML 인증서 파일의 복사본을 해당 폴더에 배치합니다. 예를 들면 다음과 같습니다.
/var/opt/tableau/tableau_server/data/saml
1단계: 반환 URL, SAML 엔터티 ID 구성과 인증서 및 키 파일 지정
명령 프롬프트 셸을 열고 서버의 SAML 설정을 구성합니다(자리 표시자 값을 환경 경로 및 파일 이름으로 바꿈).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>자세한 내용은
tsm authentication saml configure를 참조하십시오.암호로 보호되는 PKCS#8 키를 사용하는 경우 다음과 같이 암호를 입력합니다.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>아직 Tableau Server에서 SAML을 사용하도록 설정하지 않은 경우, 예를 들어 SAML을 처음 구성하거나 사용하지 않도록 설정한 경우 지금 사용하도록 설정합니다.
tsm authentication saml enable변경 내용을 적용합니다.
tsm pending-changes apply보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우
pending-changes apply명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다.--ignore-prompt옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.
2단계: Tableau Server 메타데이터 생성 및 IdP 구성
다음 명령을 실행하여 Tableau Server에 필요한 XML 메타데이터 파일을 생성합니다.
tsm authentication saml export-metadata -f <file-name.xml>파일 이름을 지정하거나,
-f매개 변수를 생략하여 기본 파일 이름인samlmetadata.xml을 사용할 수 있습니다.IdP의 웹 사이트 또는 해당 응용 프로그램에서 다음을 수행합니다.
Tableau Server를 서비스 공급자로 추가합니다.
이 작업을 수행하는 방법에 대한 자세한 내용은 IdP의 설명서를 참조하십시오. Tableau Server를 서비스 공급자로 구성하는 프로세스의 일부로,
export-metadata명령에서 생성한 Tableau Server 메타데이터 파일을 가져옵니다.IdP가 username을 사용자를 확인하는 특성으로 사용하는지 확인합니다.
3단계: 어설션 일치
일부 경우 Tableau Server 구성의 어설션 값을 IdP에서 전달한 어설션 이름과 일치하도록 변경해야 할 수 있습니다.
IdP의 SAML 구성에서 어설션 이름을 찾을 수 있습니다. IdP에서 다른 어설션 이름이 전달되면 동일한 어설션 값을 사용하도록 Tableau Server를 업데이트해야 합니다.
팁: “어설션”은 핵심 SAML 구성 요소이며 매핑 어설션의 개념이 처음에는 다소 어려워 보일 수 있습니다. 어설션을 표 형식 데이터 개념으로 이해하면 쉽습니다. 어설션(특성) 이름이 표의 열 머리글에 해당합니다. 즉, 해당 열에 나타날 수 있는 값의 예가 아닌 “머리글” 이름을 입력합니다.
다음 표에서는 기본 어설션 값과 해당 값을 저장하는 구성 키를 보여 줍니다.
| 어설션 | 기본값 | 키 |
|---|---|---|
| 사용자 이름 | username | wgserver.saml.idpattribute.username |
| 표시 이름 | displayName | Tableau는 이 특성 유형을 지원하지 않습니다. |
| 이메일 | email | Tableau는 이 특성 유형을 지원하지 않습니다. |
| 도메인 | (기본적으로 매핑되지 않음) | wgserver.saml.idpattribute.domain |
주어진 값을 변경하려면 적절한 키:값 쌍을 사용하여 tsm configuration set 명령을 실행하십시오.
예를 들어 username 어설션을 name 값으로 변경하려면 다음 명령을 실행합니다.
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
또는 tsm authentication saml map-assertions 명령을 사용하여 지정된 값을 변경할 수 있습니다.
예를 들어 도메인 어설션을 domain이라는 값으로 설정하고 이 값을 “example.myco.com”으로 지정하려면 다음 명령을 실행합니다.
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
선택 사항: SAML을 사용하지 않도록 클라이언트 유형 설정
기본적으로 Tableau Desktop 및 Tableau Mobile 앱 모두 SAML 인증을 허용합니다.
IdP가 이 기능을 지원하지 않는 경우 다음 명령을 사용하여 Tableau 클라이언트에서 SAML 로그인을 사용하지 않도록 설정할 수 있습니다.
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
참고: Tableau Mobile 앱 버전 19.225.1731 이상을 실행 중인 장치에서는 --mobile-access disable 옵션이 무시됩니다. 이러한 버전을 실행하는 장치에서 SAML을 사용하지 않도록 설정하려면 Tableau Server에서 SAML을 클라이언트 로그인 옵션으로 사용하지 않도록 설정해야 합니다.
tsm pending-changes apply
선택 사항: AuthNContextClassRef 값 추가
AuthNContextClassRef 특성에 대해 쉼표로 구분된 값을 추가합니다. 이 특성이 사용되는 방법에 대한 자세한 내용은 SAML 호환성 참고 사항 및 요구 사항을 참조하십시오.
이 특성을 설정하려면 다음 명령을 실행합니다.
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
구성 테스트
웹 브라우저에서 새 페이지 또는 탭을 열고 Tableau Server URL을 입력합니다.

IdP의 로그인 양식으로 리디렉션됩니다.
Single Sign-On 사용자 이름 및 암호를 입력합니다.

IdP가 사용자의 자격 증명을 확인하고 다시 Tableau Server 시작 페이지로 리디렉션됩니다.
사용자 특성을 사용하여 데이터 액세스 사용자 지정 및 제어
사용자 특성은 조직에서 정의한 사용자 메타데이터입니다. 사용자 특성은 일반적인 ABAC(특성 기반 액세스 제어) 권한 부여 모델에서 액세스 권한을 결정하는 데 사용할 수 있습니다. 사용자 특성은 직무, 부서 소속, 관리 수준 등 사용자 프로필의 모든 측면을 포함할 수 있습니다. 또한 사용자가 로그인한 위치 또는 언어 기본 설정과 같은 런타임 사용자 컨텍스트와 연관될 수 있습니다.
워크플로우에 사용자 특성을 포함하면 데이터 액세스 및 개인화를 통해 사용자 환경을 제어하고 사용자 지정할 수 있습니다.
- 데이터 액세스: 사용자 특성을 사용하여 데이터 보안 정책을 적용할 수 있습니다. 이를 통해 사용자는 자신이 볼 권한을 부여받은 정보만 볼 수 있습니다.
- 개인 설정: 위치 및 역할과 같은 사용자 특성을 전달하면 액세스하는 사용자와 관련된 정보만 표시하도록 콘텐츠를 사용자 지정할 수 있으므로 필요한 정보를 더 쉽게 찾을 수 있습니다.
사용자 특성을 전달하는 단계 요약
워크플로우에서 사용자 특성을 사용하도록 설정하는 프로세스는 다음 단계로 요약됩니다.
- 사용자 특성 설정 사용
- 어설션에 사용자 특성 포함
- 콘텐츠 작성자가 사용자 특성 함수와 관련 필터를 포함하는지 확인
- 콘텐츠 검토
1단계: 사용자 특성 설정 사용
보안상의 이유로
브라우저에서 TSM을 엽니다.
https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.
구성 탭에서 사용자 ID 및 액세스 > 인증 방법을 선택합니다.
인증 방법의 드롭다운 메뉴에서 SAML을 선택합니다.
8단계의 SAML 인증에서 사용자 특성 캡처 사용 확인란을 선택합니다.
작업을 완료하면 다음을 수행합니다.
보류 중인 변경 내용 저장을 클릭합니다.
페이지 맨 위에서 보류 중인 변경 내용 단추를 클릭합니다.
변경 내용 적용 후 다시 시작을 클릭합니다.
2단계: 어설션에 사용자 특성 포함
어설션에 사용자 특성이 포함되어 있는지 확인합니다.
참고: scp 또는 scope 특성을 제외하고 SAML 응답의 특성에는 4096자 제한이 적용됩니다. 사용자 특성을 포함하여 응답의 특성이 이 제한을 초과하는 경우 Tableau는 해당 특성을 제거하고 대신 ExtraAttributesRemoved 특성을 전달합니다. 그런 다음 콘텐츠 작성자는 특성이 감지되었을 때 사용자에게 콘텐츠를 표시하는 방법을 결정하기 위해 ExtraAttributesRemoved 특성이 포함된 계산을 만들 수 있습니다.
예
South 지역에 위치한 관리자인 Fred Suzuki라는 직원이 있다고 가정하겠습니다. Fred가 보고서를 검토할 때 South 지역의 데이터만 볼 수 있도록 해야 합니다. 이와 같은 시나리오에서는 아래 예와 같이 SAML 응답에 Region 사용자 특성을 포함할 수 있습니다.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
3단계: 콘텐츠 작성자가 특성 함수를 포함하는지 확인
콘텐츠 작성자가 사용자 특성 함수와 관련 필터를 포함하여 콘텐츠에 표시할 수 있는 데이터를 제어해야 합니다. 사용자 특성 어설션이 Tableau로 전달되도록 하려면 콘텐츠에 다음 사용자 특성 함수 중 하나가 포함되어야 합니다.
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
콘텐츠 작성자가 사용하는 함수는 사용자 특성이 단일 값을 반환하는지 아니면 여러 값을 반환하는지에 따라 달라집니다. 이러한 함수에 대한 자세한 내용과 각 함수의 예는 Tableau 도움말의 사용자 함수(링크가 새 창에서 열림)를 참조하십시오.
참고:
- Tableau Desktop 또는 Tableau Cloud에서 작성하는 경우 이러한 함수를 사용하는 콘텐츠의 미리 보기를 사용할 수 없습니다. 함수는 NULL 또는 FALSE 값을 반환합니다. 사용자 함수가 예상대로 작동하는지 확인하려면 작성자가 콘텐츠를 사용할 수 있도록 설정한 후 함수를 검토하는 것이 좋습니다.
- 콘텐츠가 예상대로 렌더링될 수 있도록 콘텐츠 작성자는
ExtraAttributesRemoved특성을 사용하는 계산을 포함하려 할 수 있습니다. 이 계산은 1) 해당 특성의 존재 여부를 확인하고 2) 특성이 존재할 경우 콘텐츠에 대해 수행할 작업을 결정합니다(예: 메시지 표시). SAML XML의 특성이 4096자를 초과하는 경우 Tableau는ExtraAttributesRemoved특성만 추가하고scp또는scope를 제외한 다른 모든 특성을 제거합니다. 이는 최적의 성능을 보장하고 저장소 제한을 준수하기 위한 것입니다.
예
위의 2단계: 어설션에 사용자 특성 포함에서 설명한 예를 계속 진행하겠습니다. 'Region' 사용자 특성 어설션을 통합 문서에 전달하기 위해 작성자는 USERATTRIBUTEINCLUDES를 포함할 수 있습니다. 예를 들어 USERATTRIBUTEINCLUDES('Region', [Region])와 같습니다. 여기서, 'Region'은 사용자 특성이고 [Region]은 데이터의 열입니다. 작성자는 새 계산을 사용하여 Manager 및 Sales 데이터가 있는 테이블을 만들 수 있습니다. 계산이 추가되면 통합 문서는 예상대로 'False' 값을 반환합니다.

내장된 통합 문서에서 South 지역과 연관된 데이터만 표시하려는 경우 작성자는 필터를 만들고 South 지역이 'True'일 때 값을 표시하도록 필터를 사용자 지정할 수 있습니다. 필터를 적용하면 함수가 'False' 값을 반환하고 필터는 'True' 값만 표시하도록 사용자 지정되기 때문에 통합 문서가 예상대로 비어 있게 됩니다.

4단계: 콘텐츠 검토
콘텐츠를 검토하고 유효성을 검사합니다.
예
위의 3단계: 콘텐츠 작성자가 특성 함수를 포함하는지 확인의 예로 마무리하겠습니다. Fred Suzuki의 사용자 컨텍스트가 South 지역이기 때문에 뷰의 Sales 데이터가 Fred Suzuki로 사용자 지정된 것을 확인할 수 있습니다.

통합 문서에 표시된 지역의 Manager는 자신의 지역과 연결된 값을 볼 수 있습니다. 예를 들어 West 지역의 Sawdie Pawthorne은 자신이 속한 지역과 관련된 데이터를 볼 수 있습니다.

통합 문서에서 해당 지역을 대표하지 않는 Manager에게는 빈 통합 문서가 표시됩니다.
알려진 문제와 제한 사항
사용자 특성 함수로 작업할 때 고려해야 할 몇 가지 알려진 문제 및 제한 사항이 있습니다.
