identityStore 엔터티

Tableau Server에는 사용자 및 그룹 정보를 저장하기 위한 ID 저장소가 필요합니다. ID 저장소를 처음 구성한다면 먼저 인증ID 저장소 항목을 검토하십시오. Tableau Server에서 ID 저장소를 설치한 후에는 서버를 다시 설치하지 않는 한 변경할 수 없습니다.

중요: 모든 엔터티 옵션은 대/소문자를 구분합니다.

시작하기 전에

다음 정보를 검토하십시오.

  • 로컬 ID 저장소를 사용하지 않는 경우 일부 LDAP 버전을 사용하게 됩니다. 이 경우 디렉터리/LDAP 관리자와 협력하여 LDAP 스키마 및 바인딩 요구 사항에 맞게 Tableau Server를 구성하십시오.

  • Tableau Server 구성은 Active Directory에 최적화되어 있습니다. Active Directory에 설치하는 경우 초기 노드 설정 구성를 사용하여 ID 저장소를 구성하는 것이 좋습니다.

  • LDAP 바인딩은 사용자 인증과 독립적입니다. 예를 들어 단순 바인딩을 사용하여 LDAP 디렉터리에 인증하도록 Tableau Server를 구성하고, 설치 후에 Kerberos를 사용하여 사용자를 인증하도록 Tableau Server를 구성할 수 있습니다.

  • 단순 바인딩을 사용할 때 보안되지 않는 연결을 통해 LDAP에 연결하지 마십시오. 기본적으로 단순 바인딩을 사용하는 LDAP는 일반 텍스트로 데이터를 전송합니다. 단순 바인딩을 사용하여 트래픽을 암호화하려면 LDAPS를 사용하십시오. 자세한 내용은 LDAP 외부 ID 저장소에 암호화된 채널 구성을 참조하십시오.

  • Tableau Server 서비스에서 LDAP 바인딩에 Kerberos 인증을 사용하려면 아래 섹션에 설명된 대로 GSSAPI 바인딩에 사용할 keytab 파일이 필요합니다. 자세한 내용은 Keytab 요구 사항 이해를 참조하십시오. Kerberos의 컨텍스트에서 Tableau Server 기본 설치 중에는 GSSAPI 바인딩만 있으면 됩니다. 서버를 설치한 후 사용자 인증을 위한 Kerberos 구성데이터 원본에 대한 Kerberos 위임을 수행할 수 있습니다.

  • 이 항목에서는 LDAP(디렉터리 서비스에 연결하기 위한 프로토콜)와 LDAP 서버(디렉터리 서비스의 구현)를 구분합니다. 예를 들어 slapd는 OpenLDAP 프로젝트의 일부인 LDAP 서버입니다.

  • 서버를 초기화하기 전에 LDAP 구성의 유효성을 검사합니다. 자세한 내용은 초기 노드 설정 구성을 참조하십시오.

  • 초기 구성의 일부로만 JSON 구성 파일을 가져옵니다. JSON 구성 파일을 가져와 Tableau Server를 초기화한 후 LDAP를 변경해야 하는 경우 JSON 파일을 다시 가져오려고 하지 마십시오. 대신 기본 tsm 명령이나 tsm configuration set 명령을 사용하여 개별 키를 변경합니다. 자세한 내용은 외부 ID 저장소 구성 참조를 참조하십시오.

구성 템플릿

이 섹션의 JSON 템플릿은 ID 저장소가 여러 개 있는 시나리오에서 Tableau Server를 구성하는 데 사용됩니다. 로컬 ID 저장소를 구성하는 경우가 아니라면 LDAP 환경과 관련된 구성 파일 템플릿을 선택하고 편집해야 합니다.

Tableau Identity Store Configuration Tool(링크가 새 창에서 열림)을 사용하여 LDAP JSON 구성 파일을 생성하는 것이 좋습니다. 이 도구 자체는 Tableau에서 지원되지 않습니다. 그러나 파일을 수동으로 만드는 대신 이 도구로 만든 JSON 파일을 사용해도 서버의 지원되는 상태가 변경되지는 않습니다.

편집할 ID 저장소 구성 템플릿을 선택합니다.

  • 로컬
  • LDAP - Active Directory
  • OpenLDAP - GSSAPI 바인딩
  • OpenLDAP - 단순 바인딩

구성 파일, 엔터티 및 키에 대한 자세한 설명은 구성 파일 예제를 참조하십시오.

로컬

조직에 아직 사용자 인증에 사용할 Active Directory 또는 LDAP 서버가 없는 경우 ID 저장소 유형을 로컬로 구성합니다. ID 저장소 유형으로 로컬을 선택한 경우 Tableau Server를 사용하여 사용자를 만들고 관리합니다.

Tableau Server에서 로컬 ID 저장소를 구성하는 다른 방법은 설치 GUI를 실행하고 설치 과정 중에 "로컬"을 선택하는 것입니다. 자세한 내용은 초기 노드 설정 구성을 참조하십시오.

{
  "configEntities": {
    "identityStore": {
       "_type": "identityStoreType",
       "type": "local"
     }
   }
}			
		

중요

아래 LDAP 구성 템플릿은 예제입니다. 제시된 템플릿은 조직에서 LDAP 연결을 구성하지 않습니다. 성공적으로 배포하려면 디렉터리 관리자와 협력하여 LDAP 템플릿 값을 편집해야 합니다.

또한 configEntities에서 참조되는 모든 파일은 로컬 컴퓨터에 위치해야 합니다. UNC 경로를 지정하지 마십시오.

LDAP - Active Directory

Tableau Server 구성은 Active Directory에 최적화되어 있습니다. Active Directory에 설치하는 경우 초기 노드 설정 구성를 사용하여 ID 저장소를 구성합니다.

Active Directory에 대한 암호화된 연결이 필요합니다. LDAP 외부 ID 저장소에 암호화된 채널 구성을 참조하십시오.

어떤 이유로든 TSM 웹 인터페이스에서 ID 저장소를 Active Directory와 통신하도록 구성할 수 없는 경우 이 JSON 템플릿을 사용하여 Tableau Server를 Active Directory에 연결하도록 구성합니다. 이 템플릿은 GSSAPI(Kerberos) 바인딩을 사용하여 Tableau Server 서비스를 Active Directory에 인증합니다. Tableau Server는 Active Directory 스키마를 지원합니다. 따라서 "directoryServiceType" 옵션을 "activedirectory"로 설정한 경우 "identityStoreSchemaType" 옵션에 스키마 정보를 제공할 필요가 없습니다.

Linux용 Tableau Server를 Active Directory 환경에 설치하고 Tableau Server를 설치하려는 컴퓨터가 이미 도메인에 가입된 경우 컴퓨터에 이미 Kerberos 구성 파일과 keytab 파일이 있을 수 있습니다. 엄밀히 말하자면, 이러한 파일을 GSSAPI 바인딩에 사용할 수 있지만 사용하지 않는 것이 좋습니다. 대신 Active Directory 관리자에게 연락하여 Tableau Server 서비스용 keytab 파일을 요청하십시오.

{
  "configEntities":{
    "identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"bind": "gssapi",
		"kerberosKeytab": "<path to local key tab file>",
		"kerberosConfig": "/etc/krb5.conf",
		"kerberosPrincipal": "your-principal@YOUR.DOMAIN"
		}
	}
}			

GSSAPI를 사용하여 Active Directory에 바인딩하는 것이 좋지만, 단순 바인딩 및 LDAPS로 연결할 수도 있습니다. 단순 바인딩으로 연결하려면 bind 항목을 simple로 변경하고 Kerberos 항목 3개를 제거한 다음 port/sslPort, usernamepassword 옵션을 추가합니다. 다음 예제에서는 단순 바인딩 json을 사용하는 Active Directory를 보여 줍니다.

{
  "configEntities":{
	"identityStore": {
		"_type": "identityStoreType",
		"type": "activedirectory",
		"domain": "your-domain.lan",
		"nickname": "YOUR-DOMAIN-NICKNAME",
		"directoryServiceType": "activedirectory",
		"hostname": "optional-ldap-server", 
		"sslPort": "636",
		"bind": "simple",
		"username": "username",
		"password": "password"	
		}
	}
}			
		

OpenLDAP - GSSAPI 바인딩

GSSAPI 바인딩을 사용하여 OpenLDAP를 구성하려면 아래의 템플릿을 사용합니다. 조직에서 Active Directory를 실행하는 경우에는 이 템플릿을 사용하지 마십시오. Active Directory에 설치하는 경우 위의 템플릿(LDAP - Active Directory)을 사용하십시오.

대부분의 경우 GSSAPI(Kerberos)와 함께 OpenLDAP를 사용하는 조직은 keytab 파일을 사용하여 자격 증명을 저장합니다. 다음 예에서는 keytab 파일이 인증 자격 증명에 사용됩니다.

하지만 usernamepassword 엔터티로 자격 증명을 제공할 수 있으며,

keytab 파일과 사용자 이름 및 암호 쌍을 동시에 지정할 수도 있습니다. 이 경우 Tableau Server는 keytab 파일을 사용하려고 시도하지만 어떤 이유로 인증이 실패하면 대체 인증으로 사용자 이름 및 암호 자격 증명을 사용합니다.

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "your-domain.lan",
			"nickname": "YOUR-DOMAIN-NICKNAME",
			"directoryServiceType": "openldap",
			"bind": "gssapi",
			"kerberosKeytab": "<path to local key tab file>",
			"kerberosConfig": "/etc/krb5.conf",
			"kerberosPrincipal": "your-principal@YOUR.DOMAIN",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		   }			
	  }			
}
		

OpenLDAP - 단순 바인딩

{
  "configEntities":{
		"identityStore": {
			"_type": "identityStoreType",
			"type": "activedirectory",
			"domain": "my.root",
			"nickname": "",
			"hostname": "optional-ldap-server",
			"port": "389",
			"directoryServiceType": "openldap",
			"bind": "simple",
			"username": "cn=username,dc=your,dc=domain",
			"password": "password",
			"identityStoreSchemaType": {
			   "userBaseFilter": "(objectClass=inetOrgPerson)",
			   "userUsername": "user",
			   "userDisplayName": "displayname",
			   "userEmail": "email",
			   "userCertificate": "certificate",
			   "userThumbnail": "thumbnail",
			   "userJpegPhoto": "photo",
			   "groupBaseFilter": "(objectClass=groupofNames)",
			   "groupName": "groupname",
			   "groupEmail": "groupemail",
			   "groupDescription": "groupdescription",
			   "member": "member",
			   "distinguishedNameAttribute": "",
			   "serverSideSorting": "",
			   "rangeRetrieval": "",
			   "userClassNames": ["inetOrgPerson","someClass2"],
			   "groupClassNames": ["groupOfUniqueNames1","groupOfUniqueNames2"]
			   }
		 }
  }
}			
		

구성 템플릿 참조

공유 ID 저장소 옵션

type
사용자 ID 정보를 저장하려는 위치입니다. local 또는 activedirectory입니다. (LDAP 서버에 연결하려는 경우 activedirectory를 선택합니다.)
domain
Tableau Server가 설치된 컴퓨터의 도메인입니다.
nickname
도메인 애칭입니다. Windows 환경에서는 NetBIOS 이름이라고도 합니다.
nickname 옵션은 모든 LDAP 엔터티에 필요합니다. 조직에 애칭/NetBIOS가 필요하지 않은 경우 빈 키를 전달합니다(예: "nickname": "").

LDAP GSSAPI 바인딩 옵션

directoryservicetype
연결하려는 디렉터리 서비스 유형입니다. activedirectory 또는 openldap입니다.
kerberosConfig
로컬 컴퓨터의 Kerberos 구성 파일 경로입니다. Active Directory 환경에 설치하는 경우 도메인에 가입된 컴퓨터에 존재할 수 있는 기존 Kerberos 구성 파일이나 keytab 파일을 사용하지 않는 것이 좋습니다. ID 저장소를 참조하십시오.
kerberosKeytab
로컬 컴퓨터의 Kerberos keytab 파일 경로입니다. Tableau Server 서비스 전용 키가 포함된 keytab 파일을 만들고 컴퓨터의 다른 응용 프로그램과 keytab 파일을 공유하지 않는 것이 좋습니다. 예를 들어 Linux에서는 keytab 파일을 /var/opt/tableau/keytab 디렉터리에 둘 수 있습니다.
kerberosPrincipal
호스트 컴퓨터에서 Tableau Server의 서비스 사용자 이름입니다. keytab에 이 사용자에 대한 사용 권한이 있어야 합니다. /etc/krb5.keytab에 있는 기존 시스템 keytab을 사용하지 마십시오. 새 서비스 사용자 이름(SPN)을 등록하는 것이 좋습니다. 지정된 keytab에 포함된 사용자를 확인하려면 klist -k 명령을 실행합니다. 자세한 내용은 Keytab 요구 사항 이해를 참조하십시오.

LDAP 단순 바인드 옵션

directoryservicetype
연결하려는 디렉터리 서비스 유형입니다. activedirectory 또는 openldap입니다.
hostname
LDAP 서버의 호스트 이름입니다. 이 값에 호스트 이름 또는 IP 주소를 입력할 수 있습니다. 여기에서 지정하는 호스트는 주 도메인의 사용자/그룹 쿼리에만 사용됩니다. 사용자/그룹 쿼리가 주 도메인이 아닌 다른 도메인에 있는 경우 Tableau Server는 이 값을 사용하지 않고 DNS를 쿼리하여 적절한 도메인 컨트롤러를 식별합니다.
port
이 옵션을 사용하여 LDAP 서버의 비보안 포트를 지정합니다. 일반 텍스트는 주로 389입니다.
sslPort
이 옵션을 사용하여 LDAPS를 사용하도록 설정합니다. LDAP 서버의 보안 포트를 지정합니다. LDAPS는 주로 포트 636입니다. LDAPS를 사용하려면 hostname 옵션도 지정해야 합니다. 자세한 내용은 LDAP 외부 ID 저장소에 암호화된 채널 구성을 참조하십시오.
username
디렉터리 서비스에 연결하는 데 사용할 사용자 이름입니다. 지정하는 계정에는 디렉터리 서비스에 쿼리할 수 있는 사용 권한이 있어야 합니다. Active Directory의 경우 사용자 이름(예: jsmith)을 입력합니다. LDAP 서버의 경우 연결에 사용할 사용자의 DN(고유 이름)을 입력합니다. 예를 들어 cn=username,dc=your-local-domain,dc=lan을 입력할 수 있습니다.
password
LDAP 서버에 연결하는 데 사용할 사용자의 암호입니다.

LDAPS 및 하위 도메인

Active Directory에서 LDAPS를 사용하고 하위 도메인에 연결하는 경우 다음 TSM 명령을 실행하여 하위 도메인에 대한 LDAPS 포트(TCP 636)를 구성해야 합니다. 이 명령은 subdomainFQDN:port를 지정하는 인수를 사용합니다.

예: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v subdomain1.lan:636,subdomain2.lan:636,subdomain3.lan:636

자세한 내용은 tsm configuration set 옵션을 참조하십시오.

공유 LDAP 옵션

다음 옵션은 일반 LDAP, OpenLDAP 또는 Active Directory 구현에서 설정할 수 있습니다.

bind
Tableau Server 서비스에서 LDAP 디렉터리 서비스로의 통신을 인증하기 위해 사용하려는 방법입니다. GSSAPI(Kerberos)의 경우 gssapi를 입력합니다.
domain
Active Directory 환경에서 Tableau Server가 설치되어 있는 도메인을 지정합니다. 예를 들어 "example.lan"을 지정합니다.
AD가 아닌 LDAP인 경우: 이 값에 입력하는 문자열이 사용자 관리 도구의 "도메인" 열에 표시됩니다. 임의의 문자열을 입력할 수 있지만 키를 비워 둘 수 없습니다.

root

LDAP만 해당합니다. Active Directory에는 지정하지 마십시오.
LDAP 루트에서 dc 구성 요소를 사용하지 않거나 더 복잡한 루트를 지정하려는 경우 LDAP 루트를 설정해야 합니다. "o=my,u=root" 형식을 사용하십시오. 예를 들어 example.lan 도메인의 경우 루트는 "o=example,u=lan"입니다.
membersRetrievalPageSize
이 옵션은 LDAP 쿼리가 반환하는 결과의 최대 수를 결정합니다.
예를 들어 Tableau Server가 50,000명의 사용자를 포함하는 LDAP 그룹을 가져오는 시나리오를 가정합니다. 이렇게 많은 수의 사용자를 단일 작업에서 가져오려고 하는 것은 좋은 방법이 아닙니다. 이 옵션을 1500으로 설정하면 Tableau Server는 첫 번째 응답에서 처음 1500명의 사용자를 가져옵니다. 해당 사용자를 처리한 후 Tableau Server는 LDAP 서버에서 다음 1500명의 사용자를 요청하는 식으로 계속 작업합니다.
이 옵션은 LDAP 서버의 요구 사항을 충족시키기 위해서만 수정하는 것이 좋습니다.

identityStoreSchemaType 옵션

LDAP 서버에 대한 LDAP 연결을 구성하는 경우 identityStoreSchemaType 개체에 LDAP 서버와 관련된 스키마 정보를 입력할 수 있습니다.

중요 Active Directory에 연결되는 경우("directoryServiceType": "activedirectory") 이러한 옵션을 구성하지 마십시오.

userBaseFilter
Tableau Server 사용자에게 사용할 필터입니다. 예를 들어 개체 클래스 특성 및 조직 단위 특성을 지정할 수 있습니다.
userUsername
LDAP 서버의 사용자 이름에 해당하는 특성입니다.
userDisplayName
LDAP 서버의 사용자 표시 이름에 해당하는 특성입니다.
userEmail
LDAP 서버의 사용자 이메일 주소에 해당하는 특성입니다.
userCertificate
LDAP 서버의 사용자 인증서에 해당하는 특성입니다.
userThumbnail
LDAP 서버의 사용자 축소판 이미지에 해당하는 특성입니다.
userJpegPhoto
LDAP 서버의 사용자 프로필 이미지에 해당하는 특성입니다.
groupBaseFilter
Tableau Server 사용자 그룹에게 사용할 필터입니다. 예를 들어 개체 클래스 특성 및 조직 단위 특성을 지정할 수 있습니다.
groupName
LDAP 서버의 그룹 이름에 해당하는 특성입니다.
groupEmail
LDAP 서버의 그룹 이메일 주소에 해당하는 특성입니다.
groupDescription
LDAP 서버의 그룹 설명에 해당하는 특성입니다.
member
그룹의 사용자 목록을 설명하는 특성입니다.
distinguishedNameAttribute
사용자의 고유 이름을 저장하는 특성입니다. 이 특성은 선택 사항이지만 LDAP 쿼리의 성능을 크게 향상시킵니다.
serverSideSorting
LDAP 서버가 쿼리 결과의 서버 측 정렬을 사용하도록 구성되어 있는지 여부입니다. LDAP 서버가 서버 측 정렬을 지원하는 경우 이 옵션을 true로 설정합니다. 잘못 구성하면 오류가 발생할 수 있으므로 LDAP 서버가 이 기능을 지원하는지 잘 모르겠으면 false를 입력하십시오.
rangeRetrieval
LDAP 서버가 요청에 대해 쿼리 결과 범위를 반환하도록 구성되어 있는지 여부입니다. 즉, 많은 사용자가 있는 그룹은 한 번에 전부 요청되는 대신 작은 집합으로 요청됩니다. 범위 검색을 지원하는 LDAP 서버는 대규모 쿼리에서 더 나은 성능을 제공합니다. LDAP 서버가 범위 검색을 지원하는 경우 이 옵션을 true로 설정합니다. 잘못 구성하면 오류가 발생할 수 있으므로 LDAP 서버가 범위 검색을 지원하는지 잘 모르겠으면 false를 입력하십시오.
groupClassNames
기본적으로 Tableau Server는 "group" 문자열을 포함하는 LDAP 그룹 개체 클래스를 찾습니다. LDAP 그룹 개체가 기본 클래스 이름과 맞지 않으면 이 값을 설정하여 기본값을 재정의하십시오. 여러 클래스 이름을 쉼표로 구분하여 입력할 수 있습니다. 이 옵션에는 문자열 목록을 사용하며, 각 클래스를 따옴표로 묶고 쉼표로 구분(공백 없이)한 후 대괄호로 묶어 전달해야 합니다. 예: ["basegroup","othergroup"].
userClassNames
기본적으로 Tableau Server는 “user” 및 “inetOrgPerson” 문자열을 포함하는 LDAP 사용자 개체 클래스를 찾습니다. LDAP 사용자 개체가 이러한 기본 클래스 이름을 사용하지 않으면 이 값을 설정하여 기본값을 재정의하십시오. 여러 클래스 이름을 쉼표로 구분하여 입력할 수 있습니다. 이 옵션에는 문자열 목록을 사용하며, 각 클래스를 따옴표로 묶고 쉼표로 구분(공백 없이)한 후 대괄호로 묶어 전달해야 합니다. 예: ["userclass1",userclass2”].

JSON 파일 가져오기

JSON 파일 편집을 마친 후 다음 명령으로 파일을 전달하고 설정을 적용합니다.

tsm settings import -f path-to-file.json

tsm pending-changes apply

보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!