ID 저장소

Tableau Server에는 사용자 및 그룹 정보를 관리하기 위한 ID 저장소가 필요합니다. ID 저장소에는 로컬 저장소와 외부 저장소의 두 가지 종류가 있습니다. Tableau Server를 설치할 때 로컬 ID 저장소나 외부 ID 저장소 중 하나를 구성해야 합니다.

ID 저장소 구성 옵션에 대한 자세한 내용은 identityStore 엔터티외부 ID 저장소 구성 참조를 참조하십시오.

로컬 ID 저장소

Tableau Server에 로컬 ID 저장소를 구성하면 모든 사용자 및 그룹 정보가 Tableau Server 리포지토리에서 저장되고 관리됩니다. 로컬 ID 저장소 시나리오에는 사용자 및 그룹에 대한 외부 출처가 없습니다.

외부 ID 저장소

Tableau Server를 외부 저장소로 구성할 경우 모든 사용자 및 그룹 정보가 외부 디렉터리 서비스에 의해 저장되고 관리됩니다. 사용자 및 그룹의 로컬 복사본이 Tableau Server 리포지토리에 존재해야 하므로 Tableau Server와 외부 ID 저장소가 동기화되어야 하지만 외부 ID 저장소가 모든 사용자 및 그룹 데이터의 마스터 원본입니다.

Tableau Server ID 저장소가 외부 LDAP 디렉터리와 통신하도록 구성된 경우 Tableau Server에 추가하는 모든 사용자(초기 admin 계정 포함)가 디렉터리에 계정이 있어야 합니다.

Tableau Server가 외부 LDAP 디렉터리를 사용하도록 구성된 경우 먼저 외부 디렉터리에서 Tableau Server 리포지토리로 사용자 ID를 시스템 사용자로 가져와야 합니다. 사용자가 Tableau Server에 로그인하면 사용자 인증을 담당하는 외부 디렉터리로 자격 증명이 전달됩니다. Tableau Server는 이 인증을 수행하지 않습니다. 그러나 ID 저장소에 저장된 Tableau 사용자 이름은 Tableau Server에 대한 권한 및 사용 권한과 연결됩니다. 그러므로 인증이 확인된 후에는 Tableau Server에서 Tableau 리소스에 대한 사용자 액세스(권한 부여)를 관리합니다.

Active Directory가 외부 사용자 저장소의 예입니다. Tableau Server는 Active Directory와 함께 사용하도록 최적화되어 있습니다. 예를 들어, 초기 노드 설정 구성를 사용하여 Active Directory 도메인에 가입된 컴퓨터에 Tableau Server를 설치하는 경우 설치 프로그램이 대부분의 Active Directory 설정을 검색하고 구성합니다. 반면, TSM CLI를 사용하여 Tableau Server를 설치하는 경우 사용자가 모든 Active Directory 설정을 지정해야 합니다. 이 경우 LDAP - Active Directory 템플릿을 사용하여 ID 저장소를 구성해야 합니다.

Active Directory에 설치하는 경우 Active Directory 도메인에 가입된 컴퓨터에 Tableau Server를 설치해야 합니다. 또한 배포하기 전에 외부 ID 저장소가 있는 배포의 사용자 관리를 검토하는 것이 좋습니다.

다른 모든 외부 저장소의 경우 Tableau Server는 ID 저장소와 통신하는 범용적인 방법으로 LDAP를 지원합니다. 예를 들어 유연한 스키마를 사용하는 OpenLDAP는 다양한 LDAP 서버 구현 중 하나입니다. Tableau Server는 OpenLDAP 서버를 쿼리하도록 구성될 수 있습니다. 이렇게 하려면 디렉터리 관리자가 스키마에 대한 정보를 제공해야 합니다. 설치 중에 초기 노드 설정 구성를 사용하여 다른 LDAP 디렉터리에 대한 연결을 구성해야 합니다.

LDAP 바인드

LDAP를 사용하여 사용자 저장소를 쿼리하려는 클라이언트는 세션을 인증하고 설정해야 합니다. 이 과정은 바인딩을 통해 수행됩니다. 바인딩 방법은 다양합니다. 단순 바인딩은 사용자 이름과 암호를 사용하여 인증합니다. 단순 바인딩을 사용하여 Tableau Server에 연결하는 조직의 경우 SSL로 암호화된 연결을 구성하는 것이 좋습니다. 그렇지 않으면 자격 증명이 일반 텍스트 형식으로 전송됩니다. Tableau Server가 지원하는 또 다른 바인딩 형식은 GSSAPI 바인딩입니다. GSSAPI에서는 Kerberos를 사용하여 인증합니다. Tableau Server 사용 사례에서 Tableau Server는 클라이언트이고 외부 사용자 저장소는 LDAP 서버입니다.

LDAP 및 GSSAPI(Kerberos) 바인딩

GSSAPI를 사용하여 LDAP 디렉터리에 바인딩하는 것이 좋습니다. GSSAPI로 바인딩하려면 Tableau Server 서비스용으로 특별하게 만들어진 keytab 파일이 필요합니다.

Active Directory 환경에 설치하고 Tableau Server를 설치하려는 컴퓨터가 이미 도메인에 가입된 경우 컴퓨터에 이미 구성 파일과 keytab 파일이 있을 수 있습니다. 이 경우 Kerberos 파일은 운영 체제 기능 및 인증을 위한 것입니다. 엄밀히 말하자면, 이러한 파일을 GSSAPI 바인딩에 사용할 수 있지만 사용하지 않는 것이 좋습니다. 대신 Active Directory 관리자에게 연락하여 Tableau Server 서비스용 keytab 파일을 요청하십시오. 자세한 내용은 Keytab 요구 사항 이해를 참조하십시오.

운영 체제에 도메인 인증을 위해 올바르게 구성된 keytab이 있다고 가정할 경우 GSSAPI 바인딩용 Kerberos keyfile만 있으면 Tableau Server의 기본 설치를 수행할 수 있습니다. 사용자 인증에 Kerberos를 사용할 계획인 경우 설치가 완료된 후 사용자 인증을 위한 Kerberos 구성데이터 원본에 대한 Kerberos 위임 작업을 수행하십시오.

LDAP over SSL

기본적으로 단순 바인딩을 사용하는 LDAP는 암호화되지 않습니다. 단순 바인딩으로 LDAP를 구성하는 경우 LDAPS(LDAP over SSL)를 사용하는 것이 좋습니다.

Tableau Server를 실행하는 컴퓨터에 LDAP용 인증서가 이미 설치되어 있는 경우 설치 과정에서 최소한의 구성만 하면 LDAPS가 작동합니다.

참고: 분산 배포에서 Tableau Server를 실행하는 경우 수동으로 SSL 인증서를 클러스터의 각 노드에 복사해야 합니다. Tableau Server 응용 프로그램 서버 프로세스가 구성된 노드에만 인증서를 복사하십시오. 클러스터 환경의 다른 공유 파일과 달리 LDAP에 사용되는 SSL 인증서는 클라이언트 파일 서비스에 의해 자동으로 배포되지 않습니다.

특히, Tableau Server를 설치하고 Tableau 키 저장소(C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks)에 유효한 인증서를 설치한 경우 ID 저장소를 구성할 때 SSL을 지정할 수 있습니다.

Java 키 저장소의 암호는 changeit입니다. (Java 키 저장소의 암호를 변경하지 마십시오.)

컴퓨터에 아직 LDAP 서버용으로 구성된 인증서가 설치되지 않은 경우 LDAP 서버용 SSL 인증서를 구해 Tableau 시스템 키 저장소로 가져와야 합니다.

"keytool" Java 도구를 사용하여 인증서를 가져옵니다. 기본 설치에서 이 도구는 Tableau Server의 C:\Program Files\Tableau\Tableau Server\packages\respository.<version>\jre\bin\keytool.exe에 설치됩니다.

관리자로 다음 명령을 실행하여 인증서를 가져옵니다(환경의 <variables>를 바꿔야 함).

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -import -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

 

클라이언트 인증

Tableau Server의 기본 사용자 인증은 로컬 및 외부 사용자 저장소 모두에서 사용자 이름 및 암호 로그인 방식입니다. 로컬 사용 사례에서 사용자 암호는 해시 처리된 암호로 리포지토리에 저장됩니다. 외부 사용 사례에서는 Tableau Server가 자격 증명을 외부 사용자 저장소에 전달하고 자격 증명의 유효성 여부에 대한 응답을 기다립니다. 외부 사용자 저장소는 Kerberos 또는 SSPI(Active Directory만 해당) 같은 다른 종류의 인증도 처리할 수 있지만 개념은 여전히 동일합니다. Tableau Server는 자격 증명이나 사용자를 외부 저장소에 위임하고 응답을 기다립니다.

사용자 이름-암호 로그인을 사용하지 않도록 Tableau Server를 구성할 수 있습니다. 이러한 시나리오에서는 신뢰할 수 있는 인증, OpenID 또는 SAML과 같은 다른 인증 방법을 사용할 수 있습니다. 자세한 내용은 인증을 참조하십시오.

피드백을 제공해 주셔서 감사합니다! 피드백을 제출하는 동안 오류가 발생했습니다. 다시 시도하거나 메시지를 보내주십시오.