사이트 관련 SAML 구성
SSO(Single Sign-On)를 사용하도록 설정하고 여러 IdP(SAML ID 공급자) 또는 IdP 응용 프로그램을 사용하는 경우 다중 사이트 환경에서 사이트 관련 SAML을 사용합니다. 사이트 SAML을 사용하도록 설정하면 각 사이트에 대한 IdP 또는 IdP 응용 프로그램을 지정하거나, 일부 사이트에서 SAML을 사용하고 다른 사이트는 기본 서버 전체 인증 방법을 사용하도록 구성할 수 있습니다.
모든 서버 사용자가 SAML을 사용하고 동일한 IdP 응용 프로그램을 통해 로그인하게 하려면 서버 전체 SAML 구성을 참조하십시오.
사이트 수준에서 SAML SSO(Single Sign-On)를 사용하도록 설정하기 전에 다음 요구 사항이 충족되는지 확인하십시오.
Tableau Server ID 저장소가 로컬 ID 저장소로 구성되어 있어야 합니다.
Tableau Server가 Active Directory 또는 OpenLDAP와 같은 외부 ID 저장소로 구성된 경우 사이트 관련 SAML을 구성할 수 없습니다.
사용 중인 환경과 IdP가 일반적인 SAML 요구 사항을 충족하는지 확인하십시오.
다음과 같은 일부 기능은 서버 전체 SAML 배포에서만 지원됩니다.
- 비밀번호로 보호되는 키 파일은 사이트별 SAML 배포에서 지원되지 않습니다.
사이트별 SAML을 구성하기 전에 서버 전체 SAML을 구성해야 합니다. 서버 전체 SAML을 사용하도록 설정할 필요는 없지만 사이트별 SAML에는 서버 전체 구성이 필요합니다. 서버 전체 SAML 구성을 참조하십시오.
SAML 인증서 파일의 위치를 기록합니다. 사이트 관련 SAML을 지원하도록 서버 구성할 때 이 위치를 제공해야 합니다.
자세한 내용은 서버 전체 SAML 구성에 대한 항목에서 제 위치에 메타데이터 및 인증서 파일 배치를 참조하십시오.
Tableau Server를 서비스 공급자로 IdP에 추가합니다. 이 정보는 IdP가 제공하는 설명서에서 찾을 수 있습니다.
사이트 SAML IdP를 호스팅하는 컴퓨터의 시스템 클록과 Tableau Server를 호스팅하는 컴퓨터의 시스템 클록이 서로 59초 내에 있는지 확인합니다. Tableau Serer에는 Tableau Server 컴퓨터와 IdP 간의 응답 차이(시간 차이)를 조정하는 구성 옵션이 없습니다.
반환 URL 및 엔터티 ID: 사이트별 SAML을 구성하는 설정에서 Tableau는 이러한 설정에 따라 사이트 관련 반환 URL 및 엔터티 ID를 제공합니다. 사이트 관련 반환 URL 및 엔터티 ID는 수정할 수 없습니다. 이러한 구성은 서버 전체 SAML 구성에 설명된 대로 TSM을 통해 설정됩니다.
인증 수명 및 응답 차이: 사이트별 설정, 최대 인증 수명 및 응답 차이는 사이트 관련 SAML에 적용되지 않습니다. 이러한 구성은 하드 코딩됩니다.
- 최대 인증 수명은 IdP의 인증 토큰이 발급된 후 유효한 기간을 나타냅니다. 사이트 관련 SAML의 하드 코딩된 최대 인증 수명은 24일입니다.
- 응답 차이는 Tableau Server 시간과 어설션을 만든 시간(IdP 서버 시간 기준)의 차이 중 여전히 메시지 처리를 허용하는 최대 시간(초)입니다. 이에 대한 하드 코딩된 사이트 관련 값은 59초입니다.
Username: 필수 항목입니다. 서버 전체 SAML 구성 특성에 더해 사이트 관련 SAML 구성 특성도 “username”으로 설정해야 합니다.
참고: 사이트 관련 SAML이 서버 전체 SAML 기본값으로 성공적으로 작동하려면 wgserver.saml.idpattribute.username 구성 키를 사용하여 서버 전체 SAML에 구성된 사용자 이름 특성이 'username'이어야 합니다. 서버 전체 SAML에 사용된 IdP는 'username'이라는 특성으로 사용자 이름을 전달해야 합니다.
HTTP POST 및 HTTP REDIRECT: 사이트별 SAML의 경우 Tableau Server는 HTTP-POST, HTTP-REDIRECT 및 HTTP-POST-SimpleSign을 지원합니다.
위에 나와 있는 필수 요건을 완료한 후 다음 명령을 실행하여 서버를 사이트 관련 SAML을 지원하도록 구성할 수 있습니다.
서버 전체 SAML 구성. 최소한 다음 TSM 명령을 실행해야 합니다(이미 서버 전체 SAML을 구성한 경우 2단계로 건너뜀).
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- 사이트 SAML을 사용하도록 설정합니다. 다음 명령을 실행합니다.
tsm authentication sitesaml enable
tsm pending-changes apply
명령 정보
sitesaml enable
명령을 실행하면 Tableau Server 웹 UI에서 각 사이트의 설정 페이지에 인증 탭이 표시됩니다. SAML을 지원하도록 서버를 구성한 후 사이트의 SAML 구성 단계를 계속하고 인증 탭의 설정을 구성할 수 있습니다.
보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply
명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt
옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.
pending-changes apply
실행 시 수행되는 명령 및 설정에 대해 검토하려면 다음 명령을 먼저 실행합니다.
tsm pending-changes list --config-only
이 섹션에서는 Tableau Server 설정 페이지의 인증 탭에 나타나는 구성 단계에 대해 설명합니다.
참고: 이 과정을 완료하려면 IdP에서 제공하는 설명서가 필요합니다. SAML 연결을 위한 서비스 제공업체를 구성 또는 정의하거나 응용 프로그램을 추가하는 항목을 참조하십시오.