ID 저장소
Tableau Server에는 사용자 및 그룹 정보를 관리하기 위한 ID 저장소가 필요합니다. ID 저장소에는 로컬 저장소와 외부 저장소의 두 가지 종류가 있습니다. Tableau Server를 설치할 때 로컬 ID 저장소나 외부 ID 저장소 중 하나를 구성해야 합니다.
ID 저장소 구성 옵션에 대한 자세한 내용은 identityStore 엔터티 및 외부 ID 저장소 구성 참조를 참조하십시오. 단일 ID 저장소 모델의 유연성을 개선하는 방법에 대한 자세한 내용은 ID 풀을 사용하여 사용자 프로비저닝 및 인증을 참조하십시오.
로컬 ID 저장소
Tableau Server에 로컬 ID 저장소를 구성하면 모든 사용자 및 그룹 정보가 Tableau Server 리포지토리에서 저장되고 관리됩니다. 로컬 ID 저장소 시나리오에는 사용자 및 그룹에 대한 외부 출처가 없습니다.
외부 ID 저장소
Tableau Server를 외부 저장소로 구성할 경우 모든 사용자 및 그룹 정보가 외부 디렉터리 서비스에 의해 저장되고 관리됩니다. 사용자 및 그룹의 로컬 복사본이 Tableau Server 리포지토리에 존재해야 하므로 Tableau Server와 외부 ID 저장소가 동기화되어야 하지만 외부 ID 저장소는 모든 사용자 및 그룹 데이터에 대한 신뢰할 수 있는 원본입니다.
Tableau Server ID 저장소가 외부 LDAP 디렉터리와 통신하도록 구성된 경우 Tableau Server에 추가하는 모든 사용자(초기 admin 계정 포함)가 디렉터리에 계정이 있어야 합니다.
Tableau Server가 외부 LDAP 디렉터리를 사용하도록 구성된 경우 먼저 외부 디렉터리에서 Tableau Server 리포지토리로 사용자 ID를 시스템 사용자로 가져와야 합니다. 사용자가 Tableau Server에 로그인하면 사용자 인증을 담당하는 외부 디렉터리로 자격 증명이 전달됩니다. Tableau Server는 이 인증을 수행하지 않습니다. 그러나 ID 저장소에 저장된 Tableau 사용자 이름은 Tableau Server에 대한 권한 및 사용 권한과 연결됩니다. 그러므로 인증이 확인된 후에는 Tableau Server에서 Tableau 리소스에 대한 사용자 액세스(권한 부여)를 관리합니다.
Active Directory가 외부 사용자 저장소의 예입니다. Tableau Server는 Active Directory와 함께 사용하도록 최적화되어 있습니다. 예를 들어, 초기 노드 설정 구성를 사용하여 Active Directory 도메인에 가입된 컴퓨터에 Tableau Server를 설치하는 경우 설치 프로그램이 대부분의 Active Directory 설정을 검색하고 구성합니다. 반면, TSM CLI를 사용하여 Tableau Server를 설치하는 경우 사용자가 모든 Active Directory 설정을 지정해야 합니다. 이 경우 LDAP - Active Directory 템플릿을 사용하여 ID 저장소를 구성해야 합니다.
Active Directory에 설치하는 경우 외부 ID 저장소가 있는 배포의 사용자 관리를 검토하는 것이 좋습니다.
다른 모든 외부 저장소의 경우 Tableau Server는 ID 저장소와 통신하는 범용적인 방법으로 LDAP를 지원합니다. 예를 들어 유연한 스키마를 사용하는 OpenLDAP는 다양한 LDAP 서버 구현 중 하나입니다. Tableau Server는 OpenLDAP 서버를 쿼리하도록 구성될 수 있습니다. 이렇게 하려면 디렉터리 관리자가 스키마에 대한 정보를 제공해야 합니다. 설치 중에 초기 노드 설정 구성를 사용하여 다른 LDAP 디렉터리에 대한 연결을 구성해야 합니다.
LDAP 바인드
LDAP를 사용하여 사용자 저장소를 쿼리하려는 클라이언트는 세션을 인증하고 설정해야 합니다. 이 과정은 바인딩을 통해 수행됩니다. 바인딩 방법은 다양합니다. 단순 바인딩은 사용자 이름과 암호를 사용하여 인증합니다. 단순 바인딩을 사용하여 Tableau Server에 연결하는 조직의 경우 SSL로 암호화된 연결을 구성하는 것이 좋습니다. 그렇지 않으면 자격 증명이 일반 텍스트 형식으로 전송됩니다. Tableau Server가 지원하는 또 다른 바인딩 형식은 GSSAPI 바인딩입니다. GSSAPI에서는 Kerberos를 사용하여 인증합니다. Tableau Server 사용 사례에서 Tableau Server는 클라이언트이고 외부 사용자 저장소는 LDAP 서버입니다.
LDAP 및 GSSAPI(Kerberos) 바인딩
keytab 파일을 사용하여 LDAP 서버에 인증하는 GSSAPI를 사용하여 LDAP 디렉터리에 바인딩하는 것이 좋습니다. Tableau Server 서비스용으로 특별하게 만들어진 keytab 파일이 필요합니다. 또한 SSL/TLS를 사용하여 LDAP 서버와의 채널을 암호화하는 것이 좋습니다. 자세한 내용은 LDAP 외부 ID 저장소에 암호화된 채널 구성을 참조하십시오.
Active Directory 환경에 설치하고 Tableau Server를 설치하려는 컴퓨터가 이미 도메인에 가입된 경우 컴퓨터에 이미 구성 파일과 keytab 파일이 있을 수 있습니다. 이 경우 Kerberos 파일은 운영 체제 기능 및 인증을 위한 것입니다. 엄밀히 말하자면, 이러한 파일을 GSSAPI 바인딩에 사용할 수 있지만 사용하지 않는 것이 좋습니다. 대신 Active Directory 관리자에게 연락하여 Tableau Server 서비스용 keytab 파일을 요청하십시오. 자세한 내용은 Keytab 요구 사항 이해를 참조하십시오.
운영 체제에 도메인 인증을 위해 올바르게 구성된 keytab이 있다고 가정할 경우 GSSAPI 바인딩용 Kerberos keyfile만 있으면 Tableau Server의 기본 설치를 수행할 수 있습니다. 사용자 인증에 Kerberos를 사용할 계획인 경우 설치가 완료된 후 사용자 인증을 위한 Kerberos 구성 및 데이터 원본에 대한 Kerberos 위임 작업을 수행하십시오.
LDAP over SSL
기본적으로 임의의 LDAP 서버에 대한 단순 바인딩을 사용하는 LDAP는 암호화되지 않습니다. LDAP 서버와의 바인딩 세션을 설정하는 데 사용되는 사용자 자격 증명은 Tableau Server와 LDAP 서버 간에서 일반 텍스트로 전달됩니다. Tableau Server와 LDAP 서버 간의 채널을 암호화하는 것이 가장 좋습니다.
버전 2021.2부터 Linux 기반 Tableau Server에서 Active Directory를 ID 저장소로 사용하는 경우 암호화된 LDAP 채널이 필요합니다. 2021.2 이상을 설치하거나 업그레이드하기 전에 유효한 SSL/TSL 인증서를 설치해야 합니다. 권장되지는 않지만 기본적인 암호화된 LDAP 채널을 사용하지 않도록 설정할 수도 있습니다. Active Directory 및 기타 LDAP 서버를 사용하거나 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 LDAP 외부 ID 저장소에 암호화된 채널 구성을 참조하십시오.
시스템 사용자 및 그룹
Linux 기반 Tableau Server에서는 적절한 작동을 위해 한 사용자와 두 그룹을 사용합니다. 사용자 및 그룹은 로컬이거나 LDAP 디렉터리 서비스에서 제공될 수 있습니다.
사용자
Tableau Server를 사용하려면 서비스 계정이 필요합니다. 이 계정은 일반적인 로그인 권한이 있는 권한 없는 사용자입니다. 기본적으로 Tableau Server 설치는 서비스 계정으로 로컬 사용자 tableau를 만듭니다.
Tableau Server 서비스 계정에 기존 사용자 계정을 사용하려면 설치 중에 계정 생성을 사용하지 않도록 설정해야 합니다.
특히 initialize-tsm 스크립트를 실행할 때 --disable-account-creation 옵션을 설정해야 합니다. 또한 --unprivileged-user 옵션을 사용하여 계정 이름을 지정해야 합니다. 지정한 계정이 존재하지 않는 경우 initialize-tsm 스크립트가 계정을 만듭니다. 자세한 내용은 initialize-tsm 스크립트의 도움말 출력을 참조하십시오.
--unprivileged-user 옵션을 사용하여 기존 계정을 지정하려면 해당 사용자 계정이 일반적인 로그인 권한이 있는 권한이 없는 사용자인지 확인하십시오. 다음 특성을 사용하여 계정을 구성하십시오.
셸을
/bin/bash으로 설정합니다.편의를 위해 홈 디렉터리를 데이터 디렉터리 경로로 설정하는 것이 좋습니다. 계정에는 홈 디렉터리에 대한 소유권 및 쓰기 권한이 있어야 합니다.
설정 중에 권한이 없는 다른 계정을 지정하는 경우 동일한 사용자를 수동으로 systemd-journal 그룹에 추가해야 합니다. tsm maintenance ziplogs 명령을 실행할 때 Tableau Server에서 일부 서비스(예: 데이터에 질문)의 로그를 수집하려면 권한이 없는 사용자가 systemd-journal 그룹의 멤버여야 합니다. 권한이 없는 사용자가 이 그룹의 멤버가 아니면 영향을 받는 서비스의 로그가 ziplogs에 포함되지 않습니다.
그룹
Tableau Server가 작동하려면 2개의 그룹이 필요합니다.
기본 설치에서 로컬 tableau 서비스 계정은 tableau라는 주 그룹에 속합니다. 하지만 설치 중에 다른 권한이 없는 사용자를 지정하는 경우 해당 대체 계정의 주 그룹이 사용됩니다. 편의를 위해 루트 권한을 획득할 필요 없이 Tableau Server 로그 파일을 읽을 수 있도록 임의의 계정을 이 그룹에 추가할 수 있습니다.
두 번째 그룹은 TSM(Tableau 서비스 관리자)에 인증할 수 있는 사용자에게 권한을 부여하는 데 사용됩니다. 이 그룹의 모든 사용자는 TSM에 명령을 보낼 수 있으므로 이 그룹은 Tableau Server 관리자로만 제한해야 합니다. 기본적으로 이 그룹의 이름은 tsmadmin입니다.
기본 이름을 사용하지 않으려는 경우에는 run initialize-tsm을 실행할 때 --tsm-authorized-group 옵션을 사용하여 그룹 이름을 지정해야 합니다. 자세한 내용은 initialize-tsm 스크립트의 도움말 출력을 참조하십시오.
클라이언트 인증
Tableau Server의 기본 사용자 인증은 로컬 및 외부 사용자 저장소 모두에서 사용자 이름 및 암호 로그인 방식입니다. 로컬 사용 사례에서 사용자 암호는 해시 처리된 암호로 리포지토리에 저장됩니다. 외부 사용 사례에서는 Tableau Server가 자격 증명을 외부 사용자 저장소에 전달하고 자격 증명의 유효성 여부에 대한 응답을 기다립니다. 외부 사용자 저장소는 Kerberos 같은 다른 종류의 인증도 처리할 수 있지만 개념은 여전히 동일합니다. Tableau Server는 자격 증명이나 사용자를 외부 저장소에 위임하고 응답을 기다립니다.
사용자 이름-암호 로그인을 사용하지 않도록 Tableau Server를 구성할 수 있습니다. 이러한 시나리오에서는 신뢰할 수 있는 인증, OpenID 또는 SAML과 같은 다른 인증 방법을 사용할 수 있습니다. 인증을 참조하십시오.
일부 경우 Tableau Server의 사용자 이름 + DN 형식으로 바인딩 작업을 허용하도록 LDAP 외부 디렉터리를 업데이트해야 합니다. 로그인 시 사용자 바인딩 동작을 참조하십시오.