사이트 관련 SAML 구성

SSO(Single Sign-On)를 사용하도록 설정하고 여러 IdP(SAML ID 공급자) 또는 IdP 응용 프로그램을 사용하는 경우 다중 사이트 환경에서 사이트 관련 SAML을 사용합니다. 사이트 SAML을 사용하도록 설정하면 각 사이트에 대한 IdP 또는 IdP 응용 프로그램을 지정하거나, 일부 사이트에서 SAML을 사용하고 다른 사이트는 기본 서버 전체 인증 방법을 사용하도록 구성할 수 있습니다.

모든 서버 사용자가 SAML을 사용하고 동일한 IdP 응용 프로그램을 통해 로그인하게 하려면 서버 전체 SAML 구성을 참조하십시오.

사이트 관련 SAML 사용을 위한 필수 요건

사이트 수준에서 SAML SSO(Single Sign-On)를 사용하도록 설정하기 전에 다음 요구 사항이 충족되는지 확인하십시오.

  • Tableau Server ID 저장소가 로컬 ID 저장소로 구성되어 있어야 합니다.

     Tableau Server가 Active Directory 또는 OpenLDAP와 같은 외부 ID 저장소로 구성된 경우 사이트 관련 SAML을 구성할 수 없습니다.

  • 사용 중인 환경과 IdP가 일반적인 SAML 요구 사항을 충족하는지 확인하십시오.

    다음과 같은 일부 기능은 서버 전체 SAML 배포에서만 지원됩니다.

    • 비밀번호로 보호되는 키 파일은 사이트별 SAML 배포에서 지원되지 않습니다.
  • 사이트별 SAML을 구성하기 전에 서버 전체 SAML을 구성해야 합니다. 서버 전체 SAML을 사용하도록 설정할 필요는 없지만 사이트별 SAML에는 서버 전체 구성이 필요합니다. 서버 전체 SAML 구성을 참조하십시오.

  • SAML 인증서 파일의 위치를 기록합니다. 사이트 관련 SAML을 지원하도록 서버 구성할 때 이 위치를 제공해야 합니다.

    자세한 내용은 서버 전체 SAML 구성에 대한 항목에서 제 위치에 메타데이터 및 인증서 파일 배치를 참조하십시오.

  • Tableau Server를 서비스 공급자로 IdP에 추가합니다. 이 정보는 IdP가 제공하는 설명서에서 찾을 수 있습니다.

  • 사이트 SAML IdP를 호스팅하는 컴퓨터의 시스템 클록과 Tableau Server를 호스팅하는 컴퓨터의 시스템 클록이 서로 59초 내에 있는지 확인합니다. Tableau Serer에는 Tableau Server 컴퓨터와 IdP 간의 응답 차이(시간 차이)를 조정하는 구성 옵션이 없습니다.

사이트별 SAML과 관련된 서버 전체 설정

반환 URL 및 엔터티 ID: 사이트별 SAML을 구성하는 설정에서 Tableau는 이러한 설정에 따라 사이트 관련 반환 URL 및 엔터티 ID를 제공합니다. 사이트 관련 반환 URL 및 엔터티 ID는 수정할 수 없습니다. 이러한 구성은 서버 전체 SAML 구성에 설명된 대로 TSM을 통해 설정됩니다.

인증 수명 및 응답 차이: 사이트별 설정, 최대 인증 수명 및 응답 차이는 사이트 관련 SAML에 적용되지 않습니다. 이러한 구성은 하드 코딩됩니다.

  • 최대 인증 수명은 IdP의 인증 토큰이 발급된 후 유효한 기간을 나타냅니다. 사이트 관련 SAML의 하드 코딩된 최대 인증 수명은 24일입니다.
  • 응답 차이는 Tableau Server 시간과 어설션을 만든 시간(IdP 서버 시간 기준)의 차이 중 여전히 메시지 처리를 허용하는 최대 시간(초)입니다. 이에 대한 하드 코딩된 사이트 관련 값은 59초입니다.

Username: 필수 항목입니다. 서버 전체 SAML 구성 특성에 더해 사이트 관련 SAML 구성 특성도 “username”으로 설정해야 합니다.

참고: 사이트 관련 SAML이 서버 전체 SAML 기본값으로 성공적으로 작동하려면 wgserver.saml.idpattribute.username 구성 키를 사용하여 서버 전체 SAML에 구성된 사용자 이름 특성이 'username'이어야 합니다. 서버 전체 SAML에 사용된 IdP는 'username'이라는 특성으로 사용자 이름을 전달해야 합니다.

HTTP POST 및 HTTP REDIRECT: 사이트별 SAML의 경우 Tableau Server는 HTTP-POST, HTTP-REDIRECT 및 HTTP-POST-SimpleSign을 지원합니다.

사이트 관련 SAML을 지원하도록 서버 구성

위에 나와 있는 필수 요건을 완료한 후 다음 명령을 실행하여 서버를 사이트 관련 SAML을 지원하도록 구성할 수 있습니다.

  1. 서버 전체 SAML 구성. 최소한 다음 TSM 명령을 실행해야 합니다(이미 서버 전체 SAML을 구성한 경우 2단계로 건너뜀).

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. 사이트 SAML을 사용하도록 설정합니다. 다음 명령을 실행합니다.

    tsm authentication sitesaml enable

    tsm pending-changes apply

명령 정보

sitesaml enable 명령을 실행하면 Tableau Server 웹 UI에서 각 사이트의 설정 페이지에 인증 탭이 표시됩니다. SAML을 지원하도록 서버를 구성한 후 사이트의 SAML 구성 단계를 계속하고 인증 탭의 설정을 구성할 수 있습니다.

보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

pending-changes apply 실행 시 수행되는 명령 및 설정에 대해 검토하려면 다음 명령을 먼저 실행합니다.

tsm pending-changes list --config-only

사이트의 SAML 구성

이 섹션에서는 Tableau Server 설정 페이지의 인증 탭에 나타나는 구성 단계에 대해 설명합니다. 자체 호스팅 환경의 Tableau Server 설치에서는 서버 수준에서 사이트 관련 SAML 지원을 사용하도록 설정한 경우에만 이 페이지가 나타납니다.

참고: 이 과정을 완료하려면 IdP에서 제공하는 설명서가 필요합니다. SAML 연결을 위한 서비스 제공업체를 구성 또는 정의하거나 응용 프로그램을 추가하는 항목을 참조하십시오.

1단계: Tableau에서 메타데이터 내보내기

Tableau Server과 IdP 간에 SAML 연결을 만들려면 두 서비스 간에 필수 메타데이터를 교환해야 합니다. Tableau Server에서 메타데이터를 가져오려면 다음 방법 중 하나를 선택합니다. 올바른 옵션을 확인하려면 IdP의 SAML 구성 설명서를 참조하십시오.

  • Tableau ServerSAML 엔터티 ID, ACS(Assertion Consumer Service) URL 및 X.509 인증서를 포함하는 XML 파일을 다운로드하려면 메타데이터 내보내기 단추를 선택합니다.

    엔터티 ID는 사이트에 따라 다르며 서버에서 사이트 SAML을 사용하도록 설정할 때 지정한 서버 전체 엔터티 ID에 기반합니다. 예를 들어 https://tableau_server를 지정한 경우 사이트의 엔터티 ID는 다음과 같이 표시될 수 있습니다.

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Tableau가 생성하는 ACS URL 또는 사이트 관련 엔터티 ID는 수정할 수 없습니다.

  • IdP에서 필수 정보를 다른 방식으로 요구하는 경우 인증서 다운로드를 선택합니다. 예를 들어 Tableau Server 엔터티 ID, ACS URL 및 X.509 인증서를 별도의 위치에서 입력해야 할 수 있습니다.

    다음 이미지는 이러한 설정이 Tableau Cloud 및 Tableau Server에서 동일하다는 것을 보여주기 위해 편집되었습니다.

2단계 및 3단계: 외부 단계

2단계에서는 1단계에서 내보낸 메타데이터를 가져오기 위해 IdP 계정에 로그인하고 IdP의 설명서에 제공된 지침에 따라 Tableau Server 메타데이터를 제출합니다.

3단계의 경우 IdP의 설명서에 서비스 공급자로 메타데이터를 제공하는 방법이 안내되어 있을 수도 있습니다. 이 경우 메타데이터 파일을 다운로드하도록 안내하거나 XML 코드를 보여 줍니다. XML 코드를 보여 주는 경우 코드를 복사하여 새 텍스트 파일에 붙여 넣은 다음 .xml 확장명으로 파일을 저장합니다.

4단계: Tableau 사이트로 IdP 메타데이터 가져오기

Tableau Server인증 페이지에서 IdP로부터 다운로드했거나 제공된 XML에서 수동으로 구성한 메타데이터 파일을 가져옵니다.

참고: 구성을 편집하는 경우 Tableau가 올바른 IdP 엔터티 ID 및 SSO 서비스 URL을 사용할 수 있도록 메타데이터 파일을 업로드해야 합니다.

5단계: 특성 일치

특성에는 인증, 권한 부여 및 사용자에 대한 기타 정보가 포함됩니다. ID 공급자(IdP) 어설션 이름 열에 Tableau Server에 필요한 정보가 포함된 특성을 입력합니다.

  • 사용자 이름 또는 이메일:(필수) 사용자 이름 또는 이메일 주소를 저장하는 특성의 이름을 입력합니다.

  • 표시 이름: (선택 사항) 일부 IdP는 이름과 성에 별도의 특성을 사용하지만 나머지 IdP는 한 특성에 전체 이름을 저장합니다. 로컬 인증과 함께 SAML을 사용하는 경우 표시 이름 특성이 SAML IdP와 동기화되지 않습니다.

    IdP가 이름을 저장하는 방식에 해당하는 단추를 선택합니다. 예를 들어 IdP가 이름과 성을 한 특성에서 결합하는 경우 표시 이름을 선택한 다음 특성 이름을 입력합니다.

    Tableau Server에서 사이트 SAML을 구성하기 위한 5단계의 스크린샷 -- 특성 일치

6단계: 사용자 관리

기존 Tableau Server 사용자를 선택하거나 SSO(Single Sign-On)를 위해 승인하려는 새로운 사용자를 추가합니다.

사용자를 추가하거나 가져올 때 사용자의 인증 유형도 지정합니다. 사용자를 추가한 후 사용자 페이지에서 언제라도 사용자의 인증 유형을 변경할 수 있습니다.

자세한 내용은 사이트에 사용자 추가 또는 사용자 가져오기SAML용 사용자 인증 유형 설정을 참조하십시오.

중요: 사이트별 SAML을 사용하여 인증하는 사용자는 한 사이트에만 속할 수 있습니다. 사용자가 여러 사이트에 액세스해야 하는 경우 사용자 인증 유형을 서버 기본값으로 설정하십시오. 서버 관리자가 사이트별 SAML을 구성한 방식에 따라, 서버 기본값은 로컬 인증이거나 서버 전체 SAML일 수 있습니다.

7단계: 문제 해결

인증 페이지에 나와 있는 문제 해결 단계를 시작하십시오. 이러한 단계에 따라도 문제가 해결되지 않는 경우 SAML 문제 해결을 참조하십시오.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!