서버 전체 SAML 구성
Tableau Server의 모든 SSO(Single Sign-On) 사용자가 단일 SAML ID 공급자(IdP)를 통해 인증하게 하려면 서버 전체 SAML을 구성합니다. 또한 다중 사이트 환경에서 사이트 관련 SAML을 구성하려는 경우에도 첫 번째 단계로 서버 전체 SAML을 구성합니다.
서버 전체 SAML을 구성하고 사이트 구성 준비를 마쳤으면 사이트 관련 SAML 구성을 참조하십시오.
여기에서 제공하는 SAML 구성 단계에서는 다음과 같은 가정을 합니다.
SAML 항목에 설명되어 있는 Tableau Server의 SAML 인증 구성 옵션에 대해 잘 알고 있습니다.
환경이 SAML 요구 사항을 충족하는지 확인하고 해당 요구 사항에 설명된 SAML 인증서 파일을 구했습니다.
시작하기 전에
재해 복구 계획의 일부로, Tableau Server에서 떨어진 안전한 위치에 인증서 및 IdP 파일의 백업을 보관하는 것이 좋습니다. Tableau Server에 업로드하는 SAML 자산 파일은 클라이언트 파일 서비스에 의해 저장되고 다른 노드에 배포됩니다. 그러나 이러한 파일은 복구 가능한 형식으로 저장되지 않습니다. 자세한 내용은 Tableau Server 클라이언트 파일 서비스를 참조하십시오.
참고: 또한 SSL에 대해 동일한 인증서 파일을 사용하는 경우 SAML 구성에 기존 인증서 위치를 사용할 수 있으며 이 절차의 뒷부분에서 IdP 메타데이터 파일을 다운로드할 때 이 파일을 해당 디렉터리에 추가할 수 있습니다. 자세한 내용은 SAML 요구 사항에서 SAML에 대한 SSL 인증서 및 키 파일 사용를 참조하십시오.
클러스터에서 Tableau Server를 실행 중인 경우 SAML을 사용하도록 설정하면 SAML 인증서, 키 및 메타데이터 파일이 전체 노드에 자동으로 배포됩니다.
이 절차에서는 SAML 인증서가 서버 구성에 올바르게 저장되고 배포되도록 TSM에 SAML 인증서를 업로드해야 합니다. 이 절차의 TSM 웹 인터페이스를 실행하는 로컬 컴퓨터의 브라우저에서 SAML 파일을 사용할 수 있어야 합니다.
이전 섹션의 권장 방법에 따라 SAML 파일을 수집하여 Tableau Server에 저장한 경우 파일을 저장한 Tableau Server 컴퓨터에서 TSM 웹 인터페이스를 실행합니다.
다른 컴퓨터에서 TSM 웹 인터페이스를 실행하는 경우 계속하기 전에 모든 SAML 파일을 로컬에 복사해야 합니다. 아래 절차에 따를 때 로컬 컴퓨터의 파일을 찾아 TSM에 업로드합니다.
브라우저에서 TSM을 엽니다.
https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.
구성 탭에서 사용자 ID 및 액세스를 선택한 다음 인증 방법 탭을 선택합니다.
인증 방법에서 SAML을 선택합니다.
SAML 섹션이 나타나면 GUI에서 1단계를 완료하여 다음 설정을 입력합니다(아직 서버에 대해 SAML을 사용하도록 설정하는 확인란은 선택하지 않음).
Tableau Server 반환 URL - Tableau Server 사용자가 액세스하는 URL입니다(예: https://tableau-server).
https://localhost 또는 후행 슬래시가 있는 URL(예: http://tableau_server/)은 지원되지 않습니다.
SAML 엔터티 ID - 엔터티 ID를 통해 IdP에서 Tableau Server 설치를 고유하게 식별합니다.
여기에 Tableau Server URL을 다시 입력할 수 있습니다. 나중에 사이트 관련 SAML을 사용하도록 설정하려는 경우 이 URL을 각 사이트의 고유 ID에 대한 기반으로 사용할 수 있습니다.
SAML 인증서 및 키 파일 - 파일 선택을 클릭하여 이러한 파일 각각을 업로드합니다.
PKCS#8 암호로 보호되는 키 파일을 사용하는 경우 TSM CLI를 사용하여 암호를 입력해야 합니다.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
GUI의 1단계에 필요한 정보를 입력하면 GUI에서 2단계의 XML 메타데이터 파일 다운로드 단추를 사용할 수 있게 됩니다.
이제 위 GUI의 1단계에서 서버에 대한 SAML 인증 설정 확인란을 선택합니다.
나머지 SAML 설정을 완료합니다.
GUI의 2단계와 3단계를 위해 Tableau Server와 IdP 간에서 메타데이터를 교환합니다. (이 과정이 IdP의 설명서에서 확인해야 할 사항입니다.)
XML 메타데이터 파일 다운로드를 선택하고 파일 위치를 지정합니다.
다른 IdP인 경우 IdP 계정으로 이동하여 Tableau Server를 해당 응용 프로그램(서비스 공급자 자격)으로 추가하고 적절한 Tableau 메타데이터를 제공합니다.
IdP 웹 사이트 또는 설명서의 지침에 따라 IdP의 메타데이터를 다운로드합니다. .xml 파일을 SAML 인증서 및 키 파일이 보관된 위치와 동일한 위치에 저장합니다. 예를 들면 다음과 같습니다.
/var/opt/tableau/tableau_server/data/saml/idp-metadata.xml
TSM 웹 UI로 돌아갑니다. GUI 4단계의 경우 IdP 메타데이터 파일의 경로를 입력한 다음 파일 선택을 클릭합니다.
GUI 5단계의 경우: 일부 경우 Tableau Server 구성의 어설션 값을 IdP에서 전달한 어설션 이름과 일치하도록 변경해야 할 수 있습니다.
IdP의 SAML 구성에서 어설션 이름을 찾을 수 있습니다. IdP에서 다른 어설션 이름이 전달되면 동일한 어설션 값을 사용하도록 Tableau Server를 업데이트해야 합니다.
팁: “어설션”은 핵심 SAML 구성 요소이며 매핑 어설션의 개념이 처음에는 다소 어려워 보일 수 있습니다. 어설션을 표 형식 데이터 개념으로 이해하면 쉽습니다. 어설션(특성) 이름이 표의 열 머리글에 해당합니다. 즉, 해당 열에 나타날 수 있는 값의 예가 아닌 “머리글” 이름을 입력합니다.
GUI 6단계의 경우 사용자에게 SSO(Single Sign-On) 환경을 제공할 Tableau 응용 프로그램을 선택합니다.
참고: Tableau Mobile 앱 버전 19.225.1731 이상을 실행 중인 장치에서는 모바일 액세스를 사용하지 않도록 설정하는 옵션이 무시됩니다. 이러한 버전을 실행하는 장치에서 SAML을 사용하지 않도록 설정하려면 Tableau Server에서 SAML을 클라이언트 로그인 옵션으로 사용하지 않도록 설정해야 합니다.
SAML 로그아웃 리디렉션 경우 IdP가 싱글 로그아웃(SLO)을 지원한다면 사용자가 로그아웃한 후 리디렉션될 페이지를 Tableau Server 반환 URL에 입력한 경로의 상대 경로로 입력합니다.
(선택 사항) GUI의 7단계에서 다음을 수행합니다.
AuthNContextClassRef
특성에 대해 쉼표로 구분된 값을 추가합니다. 이 특성이 사용되는 방법에 대한 자세한 내용은 SAML 호환성 참고 사항 및 요구 사항을 참조하십시오.사용자 이름의 일부(즉,
domain\username
)로 도메인이 전송되지 않는 경우 도메인 특성을 지정합니다. 자세한 내용은 여러 도메인을 실행하는 경우을 참조하십시오.
구성 정보를 입력한 후 보류 중인 변경 내용 저장을 클릭합니다.
페이지 맨 위에서 보류 중인 변경 내용을 클릭합니다.
변경 내용 적용 후 다시 시작을 클릭합니다.
시작하기 전에
시작하기 전에 다음을 수행하십시오.
IdP 웹 사이트 또는 응용 프로그램으로 이동하여 IdP의 메타데이터 XML 파일을 내보냅니다.
IdP의 메타데이터 XML에 다음 예제와 같이 바인딩이
HTTP-POST
로 설정되어 있는 SingleSignOnService 요소가 포함되어 있는지 확인합니다.<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
인증서 파일을 수집하여 Tableau Server로 가져옵니다.
Tableau Server 폴더에서 SAML이라는 새 폴더를 만들고 SAML 인증서 파일의 복사본을 해당 폴더에 배치합니다. 예를 들면 다음과 같습니다.
/var/opt/tableau/tableau_server/data/saml
1단계: 반환 URL, SAML 엔터티 ID 구성과 인증서 및 키 파일 지정
명령 프롬프트 셸을 열고 서버의 SAML 설정을 구성합니다(자리 표시자 값을 환경 경로 및 파일 이름으로 바꿈).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>
자세한 내용은
tsm authentication saml configure
를 참조하십시오.암호로 보호되는 PKCS#8 키를 사용하는 경우 다음과 같이 암호를 입력합니다.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
아직 Tableau Server에서 SAML을 사용하도록 설정하지 않은 경우, 예를 들어 SAML을 처음 구성하거나 사용하지 않도록 설정한 경우 지금 사용하도록 설정합니다.
tsm authentication saml enable
변경 내용을 적용합니다.
tsm pending-changes apply
보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우
pending-changes apply
명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다.--ignore-prompt
옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.
2단계: Tableau Server 메타데이터 생성 및 IdP 구성
다음 명령을 실행하여 Tableau Server에 필요한 XML 메타데이터 파일을 생성합니다.
tsm authentication saml export-metadata -f <file-name.xml>
파일 이름을 지정하거나,
-f
매개 변수를 생략하여 기본 파일 이름인samlmetadata.xml
을 사용할 수 있습니다.IdP의 웹 사이트 또는 해당 응용 프로그램에서 다음을 수행합니다.
Tableau Server를 서비스 공급자로 추가합니다.
이 작업을 수행하는 방법에 대한 자세한 내용은 IdP의 설명서를 참조하십시오. Tableau Server를 서비스 공급자로 구성하는 프로세스의 일부로,
export-metadata
명령에서 생성한 Tableau Server 메타데이터 파일을 가져옵니다.IdP가 username을 사용자를 확인하는 특성으로 사용하는지 확인합니다.
3단계: 어설션 일치
일부 경우 Tableau Server 구성의 어설션 값을 IdP에서 전달한 어설션 이름과 일치하도록 변경해야 할 수 있습니다.
IdP의 SAML 구성에서 어설션 이름을 찾을 수 있습니다. IdP에서 다른 어설션 이름이 전달되면 동일한 어설션 값을 사용하도록 Tableau Server를 업데이트해야 합니다.
팁: “어설션”은 핵심 SAML 구성 요소이며 매핑 어설션의 개념이 처음에는 다소 어려워 보일 수 있습니다. 어설션을 표 형식 데이터 개념으로 이해하면 쉽습니다. 어설션(특성) 이름이 표의 열 머리글에 해당합니다. 즉, 해당 열에 나타날 수 있는 값의 예가 아닌 “머리글” 이름을 입력합니다.
다음 표에서는 기본 어설션 값과 해당 값을 저장하는 구성 키를 보여 줍니다.
어설션 | 기본값 | 키 |
---|---|---|
사용자 이름 | username | wgserver.saml.idpattribute.username |
표시 이름 | displayName | Tableau는 이 특성 유형을 지원하지 않습니다. |
이메일 | email | Tableau는 이 특성 유형을 지원하지 않습니다. |
도메인 | (기본적으로 매핑되지 않음) | wgserver.saml.idpattribute.domain |
주어진 값을 변경하려면 적절한 키:값 쌍을 사용하여 tsm configuration set
명령을 실행하십시오.
예를 들어 username
어설션을 name
값으로 변경하려면 다음 명령을 실행합니다.
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
또는 tsm authentication saml map-assertions
명령을 사용하여 지정된 값을 변경할 수 있습니다.
예를 들어 도메인 어설션을 domain
이라는 값으로 설정하고 이 값을 “example.myco.com”으로 지정하려면 다음 명령을 실행합니다.
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
선택 사항: SAML을 사용하지 않도록 클라이언트 유형 설정
기본적으로 Tableau Desktop 및 Tableau Mobile 앱 모두 SAML 인증을 허용합니다.
IdP가 이 기능을 지원하지 않는 경우 다음 명령을 사용하여 Tableau 클라이언트에서 SAML 로그인을 사용하지 않도록 설정할 수 있습니다.
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
참고: Tableau Mobile 앱 버전 19.225.1731 이상을 실행 중인 장치에서는 --mobile-access disable
옵션이 무시됩니다. 이러한 버전을 실행하는 장치에서 SAML을 사용하지 않도록 설정하려면 Tableau Server에서 SAML을 클라이언트 로그인 옵션으로 사용하지 않도록 설정해야 합니다.
tsm pending-changes apply
선택 사항: AuthNContextClassRef 값 추가
AuthNContextClassRef
특성에 대해 쉼표로 구분된 값을 추가합니다. 이 특성이 사용되는 방법에 대한 자세한 내용은 SAML 호환성 참고 사항 및 요구 사항을 참조하십시오.
이 특성을 설정하려면 다음 명령을 실행합니다.
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
구성 테스트
웹 브라우저에서 새 페이지 또는 탭을 열고 Tableau Server URL을 입력합니다.
IdP의 로그인 양식으로 리디렉션됩니다.
Single Sign-On 사용자 이름 및 암호를 입력합니다.
IdP가 사용자의 자격 증명을 확인하고 다시 Tableau Server 시작 페이지로 리디렉션됩니다.