Tableau Server에서 AD FS로 SAML 구성

AD FS(Active Directory Federation Services)를 SAML ID 공급자로 구성하고 Tableau Server를 지원되는 SSO(Single Sign-On) 응용 프로그램에 추가할 수 있습니다. SAML 및 Tableau Server에 AD FS를 통합하면 사용자가 표준 네트워크 자격 증명을 사용하여 Tableau Server에 로그인할 수 있습니다.

필수 요건

AD FS로 Tableau Server 및 SAML을 구성하려면 환경에 다음이 필요합니다.

  • AD FS 2.0 이상 및 IIS가 설치되어 있으며 Microsoft Windows Server 2008 R2 이상을 실행하는 서버

  • AD FS 서버에 보안을 적용하는 것이 좋습니다(예: 역방향 프록시 사용). 방화벽 외부에서 AD FS 서버에 액세스할 수 있게 되면 Tableau Server에서 AD FS가 호스팅하는 로그인 페이지로 사용자를 리디렉션할 수 있습니다.

  • SHA-2(256 또는 512비트) 암호화를 사용하여 암호화되고 다음 섹션에 나열된 추가 요구 사항을 충족하는 SSL 인증서

1단계: AD FS에 대한 SSL 연결 확인

AD FS에는 SSL 연결이 필요합니다. 아직 완료하지 않은 경우 위에 명시된 요구 사항을 충족하는 인증서를 사용하여 Tableau Server에서 들어오고 나가는 외부 HTTP 트래픽에 대해 SSL 구성의 단계를 완료합니다.

또는 SSL이 종료(일반적으로 SSL 오프로딩이라고 함)되는 위치에서 리버스 프록시 또는 로드 부하 분산 장치가 작동하도록 Tableau Server를 구성한 경우 외부 SSL을 구성할 필요가 없습니다.

2단계: Tableau Server에서 SAML 구성

Tableau Server 메타데이터를 XML 파일로 다운로드하여 서버 전체 SAML 구성의 단계를 완료합니다. 그런 다음 이 위치로 돌아와 다음 섹션을 계속합니다.

3단계: Tableau Server의 로그인 요청을 허용하도록 AD FS 구성

참고: 이러한 단계는 타사 응용 프로그램에 의존하기 때문에 당사가 모르는 사이에 변경될 수 있습니다.

Tableau Server 로그인 요청을 허용하도록 AD FS를 구성하려면 여러 단계를 처리해야 하며, 이러한 단계는 Tableau Server XML 메타데이터 파일을 AD FS에 가져오는 것부터 시작됩니다.

  1. 다음 중 하나를 수행하여 신뢰 당사자 트러스트 추가 마법사를 엽니다.

  2. Windows Server 2008 R2:

    1. 시작 메뉴> 관리 도구 > AD FS 2.0을 선택합니다.

    2. AD FS 2.0트러스트 관계에서 신뢰 당사자 트러스트 폴더를 마우스 오른쪽 단추로 클릭한 다음 신뢰 당사자 트러스트 추가를 클릭합니다.

    Windows Server 2012 R2:

    1. 서버 관리자를 연 다음 도구 메뉴에서 AD FS 관리를 클릭합니다.

    2. AD FS 관리동작 메뉴에서 신뢰 당사자 트러스트 추가를 클릭합니다.

  3. 신뢰 당사자 트러스트 추가 마법사에서 시작을 클릭합니다.

  4. 데이터 원본 선택 페이지에서 파일에서 신뢰 당사자에 대한 데이터 가져오기를 선택한 다음 찾아보기를 클릭하고 Tableau Server XML 메타데이터 파일을 찾습니다. 기본적으로 이 파일의 이름은 samlspmetadata.xml입니다.

  5. 다음을 클릭한 후 표시 이름 지정 페이지표시 이름참고 상자에 신뢰 당사자 트러스트에 대한 이름 및 설명을 입력합니다.

  6. 다음을 클릭하여 지금 다단계 인증을 구성하시겠습니까? 페이지를 건너뜁니다.

  7. 다음을 클릭하여 발급 권한 부여 규칙 선택 페이지를 건너뜁니다.

  8. 다음을 클릭하여 트러스트 추가 준비 완료 페이지를 건너뜁니다.

  9. 마침 페이지에서 마법사를 끝내면 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기 확인란을 선택한 다음 닫기를 클릭합니다.

이제 클레임 규칙 편집 대화 상자에서 작업하여 AD FS가 전송하는 어설션이 Tableau Server의 예상 어설션과 일치하는지 확인하는 규칙을 추가합니다. 최소한 Tableau Server에는 이메일 주소가 필요합니다. 그러나 이메일 주소에 더해 이름과 성을 포함하면 AD 계정과 동일한 사용자 이름이 Tableau Server에 표시될 수 있습니다.

  1. 클레임 규칙 편집 대화 상자에서 규칙 추가를 클릭합니다.

  2. 규칙 유형 선택 페이지의 클레임 규칙 템플릿에서 LDAP 특성을 클레임으로 보내기를 선택한 후 다음을 클릭합니다.

  3. 클레임 규칙 구성 페이지의 클레임 규칙 이름에 쉽게 알 수 있는 규칙 이름을 입력합니다.

  4. 특성 저장소에서 Active Directory를 선택하고 아래에 표시된 것처럼 매핑을 완성한 다음 마침을 클릭합니다.

  5. 매핑은 대/소문자를 구분하며 맞춤법이 정확해야 하므로 입력을 다시 한 번 확인하십시오. 이 표에서는 일반적인 특성과 클레임 매핑을 보여 줍니다. 사용 중인 특정 Active Directory 구성의 특성을 확인하십시오.

    LDAP 특성나가는 클레임 유형
    SAM-Account-Name이름 ID
    SAM-Account-Nameusername
    Given-NamefirstName
    SurnamelastName

AD FS 2016 이상을 실행하는 경우 모든 클레임 값을 통과시키는 규칙을 추가해야 합니다. 이전 버전의 AD FS를 실행하는 경우 다음 절차로 건너뛰어 AD FS 메타데이터를 내보냅니다.

  1. 규칙 추가를 클릭합니다.
  2. 클레임 규칙 템플릿에서 Pass Through or Filter an Incoming Claim(들어오는 클레임 통과 또는 필터링)을 선택합니다.
  3. 클레임 규칙 이름에 Windows를 입력합니다.
  4. 규칙 편집 - Windows 팝업에서 다음을 수행합니다.
    • Incoming claim type(들어오는 클레임 유형)에서 Windows account name(Windows 계정 이름)을 선택합니다.
    • Pass through all claim values(모든 클레임 값 통과)를 선택합니다.
    • 확인을 클릭합니다.

이제 나중에 Tableau Server로 가져올 AD FS 메타데이터를 내보냅니다. 또한 메타데이터가 Tableau Server에 대해 올바르게 구성되고 인코딩되었는지 확인한 다음 SAML 구성에 대한 다른 AD FS 요구 사항을 확인합니다.

  1. AD FS 페더레이션 메타데이터를 XML 파일로 내보낸 다음 https://<adfs 서버 이름>/federationmetadata/2007-06/FederationMetadata.xml에서 파일을 다운로드합니다.

  2. Sublime Text 또는 Notepad++ 같은 텍스트 편집기에서 메타데이터 파일을 열고 BOM이 없는 UTF-8로 올바르게 인코딩되었는지 확인합니다.

    파일에 다른 인코딩 유형이 표시되면 텍스트 편집기에서 올바른 인코딩으로 저장하십시오.

  3. AD FS가 양식 기반 인증을 사용하는지 확인합니다. 브라우저 창에서 로그인이 수행되므로 이 유형의 인증을 기본적으로 사용하도록 AD FS를 설정해야 합니다.

    c:\inetpub\adfs\ls\web.config를 편집하여 태그를 검색하고 목록의 첫 줄에 표시되도록 이동합니다. IIS가 파일을 자동으로 다시 로드할 수 있도록 파일을 저장합니다.

    참고: c:\inetpub\adfs\ls\web.config 파일이 보이지 않으면 AD FS 서버에 IIS가 설치 및 구성되지 않은 것입니다.

  4. (선택 사항) 이 단계는 AD FS가 사이트 관련 SAML의 IDP로 구성된 경우에만 필수입니다. 서버 전체 SAML에서 AD FS가 IDP로 구성된 경우에는 이 단계가 필요하지 않습니다.

    추가 AD FS 신뢰 당사자 식별자를 구성합니다. 이렇게 하면 시스템에서 모든 SAML 로그아웃 관련 AD FS 문제가 해결됩니다.

    다음 작업 중 하나를 수행합니다.

    Windows Server 2008 R2:

    1. AD FS 2.0에서 앞서 Tableau Server에 대해 만든 신뢰 당사자를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    2. 식별자 탭의 신뢰 당사자 식별자 상자에 https://<tableauservername>/public/sp/metadata를 입력한 다음 추가를 클릭합니다.

    Windows Server 2012 R2:

    1. AD FS 관리신뢰 당사자 트러스트 목록에서 앞서 Tableau Server에 대해 만든 신뢰 당사자를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

    2. 식별자 탭의 신뢰 당사자 식별자 상자에 https://<tableauservername/public/sp/metadata를 입력한 다음 추가를 클릭합니다.

    참고: Tableau Server에서 AD FS를 동일한 인스턴스에 대한 단일 신뢰 당사자로 사용할 수 있습니다. 하지만 AD FS를 동일한 인스턴스에 대한 다중 신뢰 당사자로 사용할 수 없습니다. 예를 들어 여러 사이트 SAML 사이트 또는 서버 전체 및 사이트 SAML 구성에 사용할 수 없습니다.

4단계: Tableau Server에 AD FS 메타데이터 제공

  1. TSM 웹 UI로 돌아가서 구성 > 사용자 ID 및 액세스 > 인증 방법 탭으로 이동합니다.

  2. SAML 구성 창의 4단계에서, AD FS에서 내보낸 XML 파일의 위치를 입력하고 업로드를 선택합니다.

    SAML IDP 메타데이터를 업로드하는 TSM UI 영역이 하이라이트된 스크린샷

  3. 서버 전체 SAML 구성에 지정된 대로 나머지 단계를 완료합니다(어설션 일치 및 클라이언트 유형 액세스 권한 지정).

  4. 변경 내용 저장하고 적용합니다.

  5. SAML을 처음 구성하는 것이 아닌 경우 다음 단계를 수행합니다.

    1. Tableau Server를 중지하고, TSM CLI를 열어 다음 명령을 실행합니다.

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a 7776000

    2. 변경 내용을 적용합니다.

      tsm pending-changes apply

      보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!