ID 풀 설정 및 관리
ID 풀을 만들고 관리하려면 Tableau REST OpenAPI를 사용하여 프로그래밍 방식으로 ID 풀 메서드(링크가 새 창에서 열림)를 호출해야 합니다. ID 풀에 사용자를 추가하거나 관리하려면 직접 또는 Tableau REST API를 통해 Tableau Server UI(사용자 인터페이스)를 사용할 수 있습니다.
ID 풀 설정 프로세스는 다음 단계로 요약됩니다.
- Tableau Server를 구성하고 세션을 설정합니다.
- 새 로컬 ID 저장소 인스턴스를 설정하여 사용자를 프로비저닝합니다. 참고: Tableau Server 설치 중에 TSM에서 구성한 외부 ID 저장소 또는 기존 로컬 ID 저장소를 사용하려면 이 단계를 건너뛸 수 있습니다.
- OIDC(OpenID Connect)를 사용하여 Tableau Server 사용자 인증을 위한 인증을 설정합니다.
- 구성한 ID 저장소와 OIDC 인증을 사용하는 ID 풀을 만듭니다.
- Tableau Server UI 또는 REST API를 통해 ID 풀에 사용자를 추가하여 사용자가 Tableau Server에 로그인할 수 있도록 합니다.
설정이 완료되면 ID 풀에 대한 테스트, 관리 및 문제 해결을 수행할 수 있습니다.
참고: Salesforce Developer의 Postman 작업 영역에서 Postman 모음인 ID 풀(링크가 새 창에서 열림)을 사용하여 이 항목에 설명된 방법에 대해 알아보고 개발하고 테스트할 수 있습니다.
필수 요건
ID 풀을 시작하기 전에 다음 요구 사항을 충족해야 합니다.
- OIDC IdP(ID 공급자)(예: Okta) 통합이 이미 구성되어 있음
- Tableau Server 2023.1 이상을 실행하고 있음
- ID 마이그레이션(링크가 새 창에서 열림)을 수행한 경우 - 이 작업은 새 Tableau Server 배포와 Tableau Server 업그레이드 모두에 필요합니다.
시작하기
1단계: Tableau Server 구성 및 세션 설정
ID 풀 설정과 관련된 변경을 지원하려면 일회성으로 TSM을 구성하고 세션 및 호스트 변수를 선언해야 합니다.
클러스터의 초기 노드(TSM이 설치된 노드)에서 관리자로 명령 프롬프트를 엽니다.
다음 명령을 실행합니다.
tsm configuration set -k gateway.external_url -v http://<host>
tsm pending-changes apply
예를 들어 다음 명령을 실행하여 Tableau Server(http://myco)를 구성할 수 있습니다.
tsm configuration set -k gateway.external_url -v http://myco
tsm pending-changes apply
자세한 내용은 gateway.external_url(링크가 새 창에서 열림)을 참조하십시오.
(선택 사항) 다음 명령을 실행하여 초기 풀(TSM 구성됨)에 대한 설명을 추가합니다.
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "<description>"
tsm pending-changes apply
예를 들어 다음 명령을 실행하여 "Sign-in for MyCo employees(MyCo 직원용 로그인)"라는 설명을 추가할 수 있습니다.
tsm configuration set -k wgserver.authentication.identity_pools.default_pool_description -v "Sign-in for MyCo employees"
tsm pending-changes apply
자세한 내용은 wgserver.authentication.identity_pools.default_pool_description(링크가 새 창에서 열림)을 참조하십시오.
Tableau Server에 사이트 관리자로 로그인하고 다음을 수행합니다.
- 브라우저의 개발자 도구로 이동하고 응용 프로그램 쿠키로 이동합니다.
- workgroup_session_id 값을 기록합니다.
예를 들어 Chrome에서 작업 중인 경우 Tableau Server 홈 페이지의 아무 위치를 오른쪽 클릭하고 검사를 오른쪽 클릭하여 선택합니다. 상단 탐색 패널에서 Application을 클릭하고 왼쪽 탐색 패널에서 Cookies를 클릭합니다. Cookies 아래에서 Tableau Server 이름(예: like http://myco.com)을 클릭하고 가운데 패널의 workgroup_session_id 값을 기록합니다.
Tableau REST OpenAPI를 사용하여 ID 풀을 요청하는 데 사용 중인 스크립트 또는 API 개발자 도구에서 다음을 수행합니다.
- workgroup_session_id 값을 전역 변수로 추가합니다.
- 또한 포트 80, 호스트(사용하는 Tableau Server URL) 및 프로토콜(HTTP 또는 HTTPS)을 전역 변수에 추가합니다.
예를 들어 다음 표는 Tableau Server(http://myco)에 필요한 전역 변수를 보여줍니다.
전역 변수 | 값 |
---|---|
작업 그룹 세션 ID | XxX_XxbcDefDwGVzPu1hCQ|Xxk5Z6OroPCLEDTKkwDxaeA0YzrIY04f|xx608d3c-fc01-4e40-ae5e-9b2131e4eXxx |
포트 | 80 |
호스트 | http://myco |
프로토콜 | HTTP |
2단계: ID 저장소 설정
Tableau Server 사용자를 가져오거나 프로비저닝하려면 ID 저장소를 구성해야 합니다.
ID 풀을 설정할 때 신규 또는 기존 로컬 ID 저장소(링크가 새 창에서 열림)를 사용할 수 있습니다. 또는 Tableau Server 설치 중에 외부 ID 저장소가 구성된 경우 외부 ID 저장소(링크가 새 창에서 열림)로 AD(Active Directory) 또는 LDAP(Lightweight Directory Access Protocol) 중 하나를 사용할 수 있습니다.
참고: Tableau Server 설치 중에 TSM에서 구성한 AD 또는 LDAP 인스턴스가 아닌 새 AD 또는 LDAP 인스턴스(일명, 초기 풀(TSM 구성됨))는 ID 풀에 구성할 수 없습니다.
새 로컬 ID 저장소를 설정하려면 아래 절차를 따르십시오. 기존 로컬 ID 저장소 또는 Tableau Server 설치 중에 구성한 ID 저장소를 사용하려는 경우 3단계: 인증 설정으로 건너뜁니다.
Tableau REST API에 Sign In(링크가 새 창에서 열림) 요청을 전송하여 자격 증명 토큰을 생성합니다.
예
URI
POST https://myco/api/3.19/auth/signin
자격 증명 토큰이 생성되면 자격 증명 토큰을 모든 후속 API 요청의 헤더에 추가합니다.
Tableau REST API OpenAPI를 통해 ID 저장소 구성(링크가 새 창에서 열림) 끝점을 호출하여 ID 저장소를 구성합니다.
요청에서 다음을 지정합니다.
- Type. 유형 값은 로컬 ID 저장소 유형의 경우 항상 0입니다. Tableau Server 설치 중에 TSM에서 구성한 ID 저장소 또는 기존 로컬 ID 저장소를 사용하려는 경우 새 로컬 ID 저장소 인스턴스를 설정할 필요가 없습니다. 대신 아래의 3단계: 인증 설정으로 건너뜁니다.
- Name. 이름은 고유해야 합니다.
- Display name. 이는 선택 사항입니다.
예
URI
https://myco/api/services/authn-service/identity-stores/
요청 본문(JSON)
{ "type": "0", "name": "Local identity store #1", "display_name": "Local identity store #1" }
응답 본문
없음
3단계: 인증 설정
OIDC(OpenID Connect) 인증 방법을 구성하여 사용자를 인증할 수 있습니다.
참고: OIDC는 현재 ID 풀에 사용하는 ID 저장소 유형과 관계없이 ID 풀에 구성 가능한 유일한 인증 방법입니다.
ID 저장소를 설정한 후 Tableau REST API OpenAPI를 사용하여 인증 구성 만들기(링크가 새 창에서 열림) 끝점을 호출합니다.
요청에서 다음을 지정합니다.
인증 유형. 인증 유형 값은 "
OIDC
"입니다.- iFrame. iFrame 기본값은 "
false
"입니다. OIDC 클라이언트 ID, 클라이언트 암호, 구성 URL, ID 클레임, 클라이언트 인증 및 사용자 이름 클레임이 필요합니다.
- 클라이언트 ID, 클라이언트 암호는 OIDC IdP에서 제공합니다.
- 구성 URL도 IdP에서 제공합니다. URL은 일반적으로 다음 형식을 사용할 수 있습니다.
https://<idp_url>/.well-known/openid-configuration
. - ID 클레임의 기본값은 "
sub
"입니다. 자세한 내용은 sub 클레임 변경을 참조하십시오. - 클라이언트 인증의 기본값은 "
CLIENT_SECRET_BASIC
"입니다. - 사용자 이름 클레임의 기본값은 "
email
"입니다. 자세한 내용은 기본값: 이메일 클레임을 사용하여 사용자 매핑을 참조하십시오.
사용자 이름 클레임 정보
Tableau에서 사용자 이름 클레임은 ID 일치 목적으로 사용됩니다. Tableau Server에 사용자를 추가할 때 식별자를 제공하면 사용자 이름 클레임에 제공된 값과 일치하는 값을 찾는 데 식별자가 사용됩니다. 식별자를 제공하지 않으면 Tableau Server에 설정된 사용자 이름으로 기본 설정됩니다.
참고:
- AD를 ID 저장소로 사용하는 ID 풀에 이 인증 구성을 사용하려는 경우 할당된 사용자의 사용자 이름 클레임에 AD sAMAccountName 값이 있어야 합니다.
- LDAP를 ID 저장소로 사용하는 ID 풀에 이 인증 구성을 사용하려는 경우 할당된 사용자의 사용자 이름 클레임에 LDAP username 값이 있어야 합니다.
예
URI
https://myco/api/services/authn-service/auth-configurations/
요청 본문(JSON)
{
"auth_type": "OIDC",
"iframed_idp_enabled": true,
"oidc": {
"client_id": "Xxx1hotzhjv4tyCxxX",
"client_secret": "XxXx2NCxY-BiLu_xxXwr2lJZLziT_7sw9Fi6xxx",
"config_url": "https://admin.okta.com/.well-known/openid-configuration",
"custom_scope": "",
"id_claim": "sub",
"username_claim": "email",
"client_authentication": "CLIENT_SECRET_BASIC",
"essential_acr_values": "",
"voluntary_acr_values": "",
"prompt": "login,consent",
"connection_timeout": 100,
"read_timeout": 100,
"ignore_domain": false,
"ignore_jwk": false
}
}
응답 본문
없음
4단계: ID 풀 만들기
Tableau Server 설치 중에 구성한 ID 저장소에 따라 ID 풀을 만들 때 다음과 같은 ID 저장소 및 인증 방법 조합 중 단 하나를 사용할 수 있습니다.
- AD ID 저장소+ OIDC 인증
- LDAP ID 저장소+ OIDC 인증
- 로컬 ID 저장소 + OIDC 인증
처음 2개 조합은 초기 풀(TSM 구성됨)이 AD 또는 LDAP를 사용하도록 구성되어 있어야 합니다.
아래에 설명된 절차는 마지막 조합인 '로컬 ID 저장소 + OIDC 인증'으로 ID 풀을 생성합니다.
OIDC 인증을 구성한 후 Tableau REST API OpenAPI를 사용하여 ID 풀 만들기(링크가 새 창에서 열림) 끝점을 호출합니다.
요청에서 다음을 지정합니다.
ID 풀의 이름과 설명. ID 풀 이름과 설명은 Tableau Server 방문 페이지의 모든 사용자에게 표시됩니다.
ID 저장소 인스턴스 ID 및 인증 유형 인스턴스 ID
참고:
- ID 저장소 인스턴스 ID와 인증 유형 인스턴스 ID를 확인하려면 ID 저장소 나열(링크가 새 창에서 열림) 및 인증 구성 나열(링크가 새 창에서 열림) 끝점을 호출하면 됩니다.
Tableau Server 설치 중에 TSM에서 구성한 ID 저장소를 사용하는 ID 풀을 만들려는 경우 ID 저장소 인스턴스 값은 항상
'1'
입니다.
예
URI
https://myco/api/services/authn-service/identity-pools/
요청 본문(JSON)
{ "name": "MyCo contractors", "identity_store_instance": "2", "auth_type_instance": "0", "is_enabled": true, "description": "Sign-in for MyCo contractors" }
예제 응답 본문
없음
ID 풀을 만든 후 IdP 구성으로 이동하여 로그인 리디렉션 URI를
http://<host>/authn-service/authenticate/oidc/<identity_pool_id>/login.
으로 설정합니다.예를 들어
http://myco/authn-service/authenticate/oidc/xXxgfe21-74d2-3h78-bdg6-g2g6h1234567/login
입니다.참고: ID 풀의 ID를 확인하려면 ID 풀 나열(링크가 새 창에서 열림) 끝점을 호출하면 됩니다.
참고:
- 조직에 필요한 수의 ID 풀을 만들 수 있습니다.
- 초기 풀(TSM 구성됨)에 따라 다른 ID 저장소 유형 및 인증 방법이 지원됩니다. 자세한 내용은 인증을 참조하십시오.
5단계: ID 풀에 사용자 추가
Tableau Server를 직접 사용하여 ID 풀에 사용자를 추가할 수 있습니다. Tableau Server에 로그인하려면 사용자가 초기 풀(TSM 구성됨)에 속해 있거나 ID 풀에 사용자를 추가해야 합니다. 사용자를 ID 풀에 추가하는 워크플로우는 ID 풀에 구성된 ID 저장소에 따라 변경될 수 있습니다.
아래의 절차는 Tableau Server UI를 통해 ID 풀에 사용자를 추가하는 방법을 설명합니다. 그러나 Tableau REST API를 통해 ID 풀에 사용자 추가(링크가 새 창에서 열림) 끝점을 호출하여 ID 풀에 사용자를 추가할 수도 있습니다.
Tableau Server UI에 관리자로 로그인합니다.
왼쪽 탐색 패널에서 사용자(또는 다중 사이트 Tableau Server의 경우 모든 사이트 > 사용자)를 선택합니다.
사용자 추가 단추를 클릭하고 새 사용자 만들기 또는 파일에서 사용자 가져오기를 선택합니다.
새 사용자 만들기의 경우:
새 사용자를 추가할 ID 풀을 선택하고 다음을 클릭합니다.
AD 또는 LDAP ID 저장소로 구성된 ID 풀을 선택한 경우 사용자 이름을 입력하고 사이트 멤버십과 사이트 역할을 할당합니다. 작업을 마치면 사용자 가져오기 단추를 클릭합니다.
로컬 ID 저장소로 구성된 ID 풀을 선택한 경우 사용자 이름을 입력합니다. 대화 상자가 확장되고 표시 이름, 식별자(대부분의 경우), 이메일 주소를 추가하고 사이트 및 사이트 역할을 설정할 수 있게 됩니다. 작업을 마치면 사용자 만들기 단추를 클릭합니다.
사용자 이름과 사이트 멤버십 및 사이트 역할 할당 방법에 대한 자세한 내용은 사용자의 사이트 역할 설정을 참조하십시오.
Tableau의 사용자 이름 및 식별자 정보
사용자 이름은 시스템 사용자를 나타내는 정보입니다. 식별자는 사용자 이름 정보를 보완하는 데 사용되며 외부 ID 저장소에서 사용자 이름 대신 사용할 수 있습니다.
Tableau에서 사용자 이름은 Tableau에 로그인할 때 사용되는 변경 불가능한 값이고, 식별자는 Tableau의 ID 구조에서 사용자와 일치하는 사용자 이름을 찾는 데 사용되는 변경 가능한 값입니다. 식별자를 사용하면 사용자 이름에서 벗어남으로써 Tableau를 보다 유연하게 사용할 수 있습니다. 외부 ID 저장소에서 사용자 이름이 변경되는 경우 Tableau Server 관리자는 식별자를 업데이트하여 사용자를 올바른 사용자 이름에 연결할 수 있습니다.
기존 사용자를 ID 풀에 추가할 때 식별자를 설정하는 기능을 사용하는 것이 좋을 수 있습니다. 예를 들어 로컬 ID 저장소로 구성된 ID 풀의 기존 사용자를 AD ID 저장소로 구성된 ID 풀에 추가하려는 경우 사용자 이름을 입력하여 해당 사용자에게 연결된 식별자를 검색할 수 있습니다. 반대로, AD ID 저장소로 구성된 ID 풀의 기존 사용자를 로컬 ID 저장소로 구성된 ID 풀에 추가하려는 경우에는 선택적으로 식별자를 입력할 수 있습니다. 로컬 ID 저장소와 로컬 인증으로 구성된 초기 풀(TSM 구성됨)에 사용자를 추가할 때는 예외가 적용됩니다. 이 경우 해당 사용자에 대한 식별자를 설정할 수 없습니다.
파일에서 사용자 가져오기의 경우:
다음 열이 나열된 순서로 포함된 .csv 파일을 업로드합니다.
username, password, display name, license level, admin level, publishing capability, email address, identity pool name, identifier
참고: 사용자 이름과 비밀번호만 필수 열입니다. 그러나 ID 풀 이름을 지정하지 않으면 사용자가 초기 풀(TSM 구성됨)에 추가됩니다. 자세한 내용은 CSV 파일 가져오기 지침을 참조하십시오.
예를 들어 Henry Wilson과 Fred Suzuki를 General Contractors(일반 계약자) ID 풀에 추가하려는 경우 .csv에는 다음 값이 포함될 수 있습니다.
henryw,henrypassword,Henry Wilson,Viewer,None,yes,hwilson@myco.com,General Contractors,hwilson
freds,fredpassword,Fred Suzuki,Creator,None,no,fsuzuki@myco.com,General Contractors,fsuzuki
참고: ID 풀을 1개 이상 만든 경우 이러한 ID 풀의 멤버인 사용자에 대한 로그인 옵션을 포함하도록 Tableau Server 방문 페이지가 업데이트됩니다. 자세한 내용은 ID 풀을 사용하여 사용자 프로비저닝 및 인증을 참조하십시오.
ID 풀 테스트
ID 풀을 설정한 후 Tableau Server에서 로그아웃하고 ID 풀에 속하는 사용자로 다시 로그인하여 ID 풀을 테스트하는 것이 좋습니다. 로그인 프로세스를 완료하여 OIDC 인증이 올바르게 구성되었는지 확인하십시오.
참고: 1단계: Tableau Server 구성 및 세션 설정에서 초기 풀(TSM 구성됨)에 대한 선택적 설명을 구성했거나 Tableau Server에 대한 서버 설정(일반 및 사용자 지정) 노트가 있는 경우 이 설명은 초기 풀(TSM 구성됨)을 사용하여 로그인하는 사용자로 한정되며 로그인 사용자 지정 노트는 Tableau Server에 로그인하는 모든 사용자에게 적용된다는 점을 참고하십시오.
ID 풀 관리
서버 수준 및 사이트 수준 사용자 페이지에서 ID 풀의 사용자를 관리할 수 있습니다. 사용자 페이지에서는 ID 풀에 속하는 사용자와 ID 풀에 대한 요약 세부 정보를 볼 수 있습니다.
인증 구성 또는 ID 풀을 업데이트하고 로컬 ID 저장소 또는 ID 풀을 삭제하는 등의 다른 모든 ID 풀 관리 작업에는 ID 풀 메서드(링크가 새 창에서 열림)에 설명된 Tableau REST API OpenAPI를 사용합니다.
ID 풀 문제 해결
ID 풀의 제한 사항
ID 풀은 Tableau Server에서만 사용할 수 있습니다.
참고: ID 풀은 현재 서버 수준 구성에만 사용할 수 있습니다. ID 풀의 범위를 사이트로 지정할 수는 없습니다.
Tableau Server 방문 페이지에 IdP 오류가 표시됨
Tableau Server 방문 페이지에서 기본 로그인 옵션 아래의 ID 풀 로그인 옵션 옆에 IdP 관련 오류 메시지가 표시될 수 있습니다. 이 OIDC 인증 관련 문제는 1) Tableau Server가 외부 URL을 IdP로 보내도록 구성되지 않음 및 2) 전역 변수가 선언되지 않는다는 두 조건 중 하나 이상이 참일 때 발생할 수 있습니다.
이 문제를 해결하려면 위의 1단계: Tableau Server 구성 및 세션 설정에 설명된 절차를 완료하십시오.
Tableau Server 랜딩 페이지에 ID 풀이 표시되지 않음
ID 풀 기능이 사용되지 않도록 설정된 경우 다음 TSM 명령을 사용하여 다시 사용하도록 설정할 수 있습니다.
tsm configuration set -k features.IdentityPools -v true
tsm configuration set -k features.NewIdentityMode -v true
tsm configuration set -k wgserver.authentication.legacy_identity_mode.enabled -v false
tsm pending-changes apply
참고: 이러한 명령을 실행하면 Tableau Server가 다시 시작됩니다.