OpenID Connect 사용 시 요구 사항

이 항목에서는 Tableau Server에서 OpenID Connect를 사용하는 데 필요한 요구 사항에 대해 설명합니다.

참고: TSM 인증 구성 명령은 Tableau Server 설치 중에 TSM에서 구성된 OIDC 인증에만 적용됩니다. ID 풀의 OIDC 인증 구성을 변경하려면 Tableau REST OpenAPI를 통해 인증 구성 업데이트(링크가 새 창에서 열림) 끝점을 사용하면 됩니다.

요구 사항 요약

  • IdP 계정

  • 로컬 ID 저장소

  • IdP 클레임- 사용자 매핑

  • 인증 컨텍스트

IdP 계정

OpenID Connect(OIDC) 프로토콜을 지원하는 IdP(ID 공급자)에 액세스할 수 있어야 합니다. IdP의 계정도 있어야 합니다. OpenID Connect는 많은 ID 공급자가 지원합니다. OIDC 프로토콜은 개방적이고 유연한 표준이기 때문에 표준의 모든 구현이 동일하지 않습니다. Tableau Server에서 OIDC를 구성할 때 IdP와 함께 작업하십시오.

Google IdP 구현은 Tableau Server에서 광범위하게 테스트되었으며 이러한 항목에 문서화된 구성의 대표 IdP입니다.

로컬 ID 저장소

Tableau Server에서 OpenID Connect를 사용하려면 다음 중 하나가 참이어야 합니다.

  • Tableau Server 설치 중에 TSM에서 OIDC를 구성하는 경우 Tableau Server가 로컬 ID 저장소를 사용하도록 구성되어 있어야 합니다. Active Directory와 같은 외부 디렉터리에서 사용자를 가져오는 대신 Tableau Server에서 명시적으로 사용자를 만들도록 서버를 구성해야 합니다. OpenID에서는 외부 ID 저장소로 사용자를 관리할 수 없습니다.
  • ID 풀(링크가 새 창에서 열림)을 사용하여 OIDC를 구성하는 경우 1) 로컬 ID 저장소로 OIDC를 구성하거나 2) Tableau Server 설치 중에 TSM에서 AD 또는 LDAP가 구성되어 있어야 합니다.

IdP 클레임- 사용자 매핑

Tableau Server에 성공적으로 로그인하려면 지정된 사용자를 OpenID에서 프로비저닝한 다음 Tableau Server의 사용자 계정에 매핑해야 합니다. OpenID는 클레임을 사용하여 사용자 계정 특성을 다른 응용 프로그램과 공유하는 방법을 사용합니다. 클레임에는 이메일, 전화 번호, 이름 등과 같은 사용자 계정 특성이 포함됩니다. Tableau Server에서 IdP 클레임을 사용자 계정에 매핑하는 방법을 확인하려면 OpenID Connect를 참조하십시오.

Tableau Server는 IdP 클레임을 사용하여 IdP의 사용자 계정을 Tableau Server에서 호스팅되는 사용자 계정에 매핑합니다. 기본적으로 Tableau Server는 IdP가 email 클레임을 전달할 것으로 예상합니다. 사용하는 IdP에 따라 다른 IdP 클레임을 사용하도록 Tableau Server를 구성해야 할 수 있습니다.

Google을 IdP로 사용하는 경우 기본값인 email 클레임을 사용하여 IdP ID를 Tableau Server 사용자 계정에 매핑합니다. Google을 IdP로 사용하지 않는 경우 해당 IdP에 문의하여 Tableau Server를 구성할 때 사용할 클레임을 확인하십시오.

기본값: 이메일 클레임을 사용하여 사용자 매핑

기본적으로 사용자의 Tableau Server 사용자 이름이 IdP ID 토큰의 email 클레임과 일치해야 합니다. 그러므로 기본 구성에서는 이메일 주소(UPN이라고도 함)를 Tableau Server 사용자 이름으로 사용해야 합니다. Google을 IdP로 사용하는 경우 Tableau Server의 사용자 이름은 사용자의 Gmail 주소여야 합니다(alice@gmail.com). 두 사용자가 동일한 이메일을 사용하지만 이메일 호스트가 다른 경우라도 전체 이메일 주소를 이 방식으로 사용하면 Tableau Server에서 사용자 이름의 고유성이 보장됩니다.

참고: Tableau Server에서 사용자 ID를 만들 때 사용자 이름, 비밀번호 그리고 경우에 따라 이메일 주소를 지정합니다. OpenID Connect를 기본 구성으로 사용하는 경우 사용자 이름(이메일 주소로 표시됨)은 IdP의 사용자 이름과 일치하는 값이어야 합니다. Tableau Server 사용자 ID에 선택적으로 지정한 이메일 주소는 OpenID 인증에 사용되지 않습니다.

도메인 이름 무시

IdP email 클레임을 Tableau Server의 사용자 이름과 일치시킬 때 이메일 주소의 도메인 부분을 무시하도록 Tableau를 구성할 수 있습니다. 이 시나리오에서 IdP의 email 클레임이 alice@example.com인 경우 Tableau Server에서 alice라는 사용자 이름만 일치시킵니다. 도메인 이름을 무시하는 옵션은 email 클레임의 사용자 이름 부분은 일치하지만 도메인 부분은 일치하지 않는 사용자가 Tableau Server에 이미 정의되어 있는 경우 유용할 수 있습니다.

중요: 예방 조치를 취하지 않고 사용자 도메인 이름을 무시하는 것은 권장하지 않습니다. 즉, IdP에서 만든 구성된 도메인 전체에서 사용자 이름이 고유한지 확인해야 합니다.

사용자 도메인 이름을 무시하도록 Tableau Server를 설정하면 의도치 않은 사용자가 로그온하게 될 수도 있습니다. IdP에 다중 도메인(example.comtableau.com)이 구성되어 있다고 가정합니다. 조직에 이름이 같지만 사용자 계정이 다른 두 사용자(alice@tableau.comalice@example.com)가 있는 경우 OpenID 프로비저닝 시퀀스를 먼저 완료하는 사용자가 IdP에서 sub 매핑을 요청하게 됩니다. 잘못된 사용자가 매핑되면 연결된 sub 값을 재설정할 때까지 다른 사용자가 로그온할 수 없게 됩니다.

IdP의 사용자 이름에서 도메인 이름을 무시하도록 Tableau Server를 구성하려면 tsm authentication openid configure --ignore-domaintrue로 설정합니다. 자세한 내용은 tsm authentication openid <commands>를 참조하십시오.

사용자 이름의 도메인을 무시하도록 tsm authentication openid configure --ignore-domain 옵션을 변경하려면 Tableau Server의 모든 사용자 이름에 도메인 이름이 있어야 합니다.

사용자 지정 클레임을 사용하여 사용자 매핑

OpenID Connect에 설명된 것과 같이 sub 클레임이 IdP 클레임에 포함되는 경우가 종종 있습니다. 일반적으로 sub 클레임은 지정된 사용자 계정을 식별하는 고유한 문자열입니다. sub 클레임을 사용할 때의 장점은 계정에 연결된 다른 사용자의 특성 또는 IdP 클레임(이메일, 전화 번호 등)이 업데이트되더라도 클레임이 변경되지 않는다는 것입니다. 기본적으로 Tableau Server는 IdP ID 토큰의 sub 클레임에 따라 OpenID 사용자를 식별하고 확인합니다.

OpenID sub 클레임 값은 Tableau Server의 해당하는 사용자에게 매핑되어야 합니다. sub 클레임은 임의 문자열이므로 첫 로그인 세션 중에 계정을 연결할 때 다른 클레임이 사용됩니다. 사용자가 처음으로 OpenID를 통해 Tableau Server에 로그인하면 Tableau가 OpenID 사용자 계정과 일치하는 Tableau Server 사용자 계정을 찾습니다. 기본적으로 Tableau는 email IdP 클레임을 사용하여 Tableau 사용자를 식별합니다. 그런 다음 OpenID의 sub 클레임으로 사용자 레코드를 업데이트합니다. ID 토큰에는 항상 sub 클레임과 함께 다른 클레임이 포함되므로 후속 세션에서는 sub 클레임을 통해서만 사용자가 식별됩니다.

일부 조직에서는 안정성 또는 IdP 지원 문제로 사용자 이름을 이메일 주소에 매핑하지 못할 수 있습니다. Tableau Server 10.2부터는 모든 임의 IdP 클레임의 사용자 계정을 Tableau Server 사용자 이름에 매핑할 수 있습니다.

사용하는 IdP 클레임은 해당하는 Tableau Server 사용자 이름에 정확히 매핑되어야 합니다. 아래의 예에서 사용자 이름은 kwilliams입니다.

Tableau Server의 ID를 매핑할 때 사용되는 IdP 클레임을 변경하려면 tsm authentication openid map-claims --user-name 명령을 사용합니다. 자세한 내용은 tsm authentication openid <commands>를 참조하십시오.

sub 클레임 변경

위에 설명된 것과 같이 sub 클레임은 초기 매핑 세션 후 Tableau Server가 사용자를 식별할 때 사용하는 식별자입니다. sub 클레임은 Tableau Server의 해당하는 사용자 계정에 기록됩니다. 사용하는 IdP에서 sub 클레임을 제공하지 않는 경우에는 대신 사용할 임의 클레임을 지정할 수 있습니다. sub 클레임과 마찬가지로 지정하는 클레임 값은 고유해야 하며 다른 사용자 클레임이 업데이트될 때 변경되지 않습니다.

기본 sub 클레임으로 다른 IdP 클레임을 지정하려면 tsm authentication openid map-claims --id 명령을 사용합니다. 자세한 내용은 tsm authentication openid <commands>를 참조하십시오.

여기서 arbitraryClaimsub 클레임을 대체하여 사용할 IdP 클레임의 이름입니다.

인증 컨텍스트

OpenID Connect IdP에 특정 인증 컨텍스트가 필요한 경우 vizportal.openid.essential_acr_valuesvizportal.openid.voluntary_acr_values 구성 키를 사용하여 필수 및 자발적 ACR 값 목록을 지정할 수 있습니다. 자세한 내용은 tsm configuration set 옵션을 참조하십시오.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!