상호 SSL 인증 구성

상호 SSL을 사용하면 Tableau Desktop, Tableau Mobile 및 기타 승인된 Tableau 클라이언트의 사용자에게 안전한 Tableau Server 직접 액세스 환경을 제공할 수 있습니다. 상호 SSL을 사용할 경우 유효한 SSL 인증서가 있는 클라이언트가 Tableau Server에 연결하면 Tableau Server가 클라이언트 인증서를 확인하고 클라이언트 인증서의 사용자 이름을 기반으로 사용자를 인증합니다. 클라이언트에 유효한 SSL 인증서가 없으면 Tableau Server가 연결을 거부할 수 있습니다.

상호 SSL이 실패할 경우 사용자 이름/암호 인증을 대신 사용하도록 Tableau Server를 구성할 수도 있습니다. 또한 사용자는 대체 인증이 구성되었는지 여부와 관계없이 REST API를 사용하여 사용자 이름 및 비밀번호(있는 경우)로 로그인할 수 있습니다.

사용자 인증 세션 시간 제한

사용자가 상호 SSL을 사용하여 로그인하는 경우 인증 세션은 Tableau Server 전역 인증 세션 구성을 제어하는 것과 동일한 방법으로 제어됩니다.

웹 브라우저를 사용하여 Tableau Server에 연결하는 클라이언트에 대한 전역 인증 세션 구성은 보안 강화 검사 목록에 설명되어 있습니다. 10. 세션 수명 구성 확인을 참조하십시오.

연결된 클라이언트(Tableau Desktop, Tableau Mobile, Tableau Prep Builder 및 Bridge)에 대한 세션은 OAuth 토큰을 사용하여 세션을 다시 설정함으로써 사용자를 로그인 상태로 유지합니다. 기본적으로 OAuth 클라이언트 토큰은 1년 후에 재설정됩니다. 클라이언트 토큰은 14일 이내에 사용되지 않으면 만료됩니다. 이러한 값은 refresh_token.absolute_expiry_in_secondsrefresh_token.idle_expiry_in_seconds 옵션을 설정하여 변경할 수 있습니다. tsm configuration set 옵션을 참조하십시오.

인증서 사용

상호 SSL을 사용하도록 설정하고 구성하기 전에 외부 SSL을 구성해야 합니다. 외부 SSL은 Tableau Server를 클라이언트에 인증하고 외부 SSL을 구성할 때 필요한 인증서 및 키를 사용하여 세션을 암호화합니다.

상호 SSL의 경우 추가 인증서 파일이 필요합니다. 이 파일은 CA 인증서 파일을 연결한 것입니다. 파일 유형은 .crt여야 합니다. "CA"는 Tableau Server에 연결할 클라이언트 컴퓨터에 인증서를 발급하는 인증 기관입니다. CA 인증서 파일 업로드 작업에서 신뢰가 설정되고 Tableau Server는 이 신뢰를 통해 클라이언트 컴퓨터가 제시하는 개별 인증서를 인증할 수 있습니다.

재해 복구 계획의 일부로, Tableau Server에서 떨어진 안전한 위치에 인증서 및 해지(해당하는 경우) 파일의 백업을 보관하는 것이 좋습니다. Tableau Server에 추가하는 인증서 및 해지 파일은 클라이언트 파일 서비스에 의해 저장되고 다른 노드에 배포됩니다. 그러나 파일은 복구 가능한 형식으로 저장되지 않습니다. 자세한 내용은 Tableau Server 클라이언트 파일 서비스를 참조하십시오.

RSA 키 및 ECDSA 곡선 크기

상호 SSL에 사용되는 CA 인증서에는 키 강도가 2048인 RSA 키 또는 곡선 크기가 256인 ECDSA가 포함되어야 합니다.

해당하는 구성 키 를 설정하여 덜 안전한 크기를 수락하도록 Tableau Server를 구성할 수 있습니다.

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

tsm configuration set 옵션을 참조하십시오.

클라이언트 인증서 요구 사항

상호 SSL을 통해 Tableau Server에 인증하는 사용자는 최소 보안 요구 사항을 충족하는 클라이언트 인증서를 제시해야 합니다.

서명 알고리즘

클라이언트 인증서는 SHA-256 이상의 서명 알고리즘을 사용해야 합니다.

상호 SSL 인증용으로 구성된 Tableau Server는 SHA-1 서명 알고리즘을 사용하는 클라이언트 인증서가 있는 사용자의 인증을 차단합니다.

SHA-1 클라이언트 인증서를 사용하여 로그인을 시도하는 사용자에게 "로그인할 수 없음" 오류가 발생하고 VizPortal 로그에 다음 오류가 표시됩니다.

Unsupported client certificate signature detected: [certificate Signature Algorithm name]

ssl.client_certificate_login.blocklisted_signature_algorithms tsm 구성 옵션을 설정하여 덜 안전한 SHA-1 서명 알고리즘을 수락하도록 Tableau Server를 구성할 수 있습니다.

RSA 키 및 ECDSA 곡선 크기

상호 SSL에 사용되는 클라이언트 인증서에는 키 강도가 2048인 RSA 키 또는 곡선 크기가 256인 ECDSA가 포함되어야 합니다.

Tableau Server에서 이러한 요구 사항을 충족하지 않는 클라이언트 인증서의 상호 인증 요청은 실패합니다. 해당하는 구성 키 를 설정하여 덜 안전한 크기를 수락하도록 Tableau Server를 구성할 수 있습니다.

  • ssl.client_certificate_login.min_allowed.rsa_key_size
  • ssl.client_certificate_login.min_allowed.elliptic_curve_size

tsm configuration set 옵션을 참조하십시오.

  1. Tableau Server에서 들어오고 나가는 외부 HTTP 트래픽에 대해 SSL 구성.

  2. 브라우저에서 TSM을 엽니다.

    https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.

  3. 구성 탭에서사용자 ID 및 액세스 > 인증 방법을 선택합니다.

  4. 인증 방법의 드롭다운 메뉴에서 상호 SSL을 선택합니다.

  5. 상호 SSL 아래에서 상호 SSL 사용 및 클라이언트 인증서를 사용한 자동 로그인을 선택합니다.

  6. 파일 선택을 클릭하고 CA(인증 기관) 인증서 파일을 서버에 업로드합니다.

    이 파일(.crt)은 클라이언트 인증에 사용되는 CA 인증서가 포함된 일체형 파일입니다. 업로드하는 파일은 다양한 PEM 인코딩 인증서 파일의 우선 순위 기준 연결이어야 합니다.

  7. 조직의 나머지 SSL 구성 정보를 입력합니다.

    사용자 이름 형식: 상호 SSL을 사용하도록 Tableau Server를 구성하면 서버가 클라이언트 인증서에서 사용자 이름을 확인하여 클라이언트 사용자에 대한 직접 로그인을 설정할 수 있습니다. Tableau Server가 사용하는 이름은 Tableau Server에서 사용자 인증이 구성된 방식에 따라 달라집니다.

    • 로컬 인증 - Tableau Server에서 인증서의 UPN(사용자 계정 이름)을 사용합니다.
    • Active Directory(AD) - Tableau Server에서 LDAP(Lightweight Directory Access Protocol)를 사용하여 사용자 이름을 가져옵니다.

    또는 클라이언트 인증서의 CN(일반 이름)을 사용하도록 Tableau Server를 설정할 수 있습니다.

    상호 SSL 구성 스크린샷

  8. 구성 정보를 입력한 후 보류 중인 변경 내용 저장을 클릭합니다.

  9. 페이지 맨 위에서 보류 중인 변경 내용을 클릭합니다.

  10. 변경 내용 적용 후 다시 시작을 클릭합니다.

1단계: 외부 서버 통신에 SSL 필요

Tableau Server와 웹 클라이언트 사이의 외부 통신에 SSL을 사용하도록 Tableau Server를 구성하려면 다음과 같이 서버 인증서의 .crt 및 .key 파일에 대한 이름을 지정하여 external-ssl enable 명령을 실행합니다.

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key>

  • --cert-file--key-file의 경우 CA에서 발행한 SSL 인증서(.crt) 및 키(.key) 파일을 서버에 저장한 위치와 파일 이름을 지정합니다.

  • 위 명령에서는 Tableau Server에서 서버 관리자 사이트 역할을 가진 사용자로 로그인했다고 가정합니다. 또는 -u-p 매개 변수를 사용하여 관리자 사용자 및 암호를 지정할 수 있습니다.

  • 인증서 키 파일에 암호가 필요한 경우 --passphrase 매개 변수와 값을 포함시킵니다.

2단계: 상호 SSL 구성 및 사용

서버와 각 클라이언트 간에 상호 인증을 추가하고 Tableau 클라이언트 사용자가 자격 증명을 처음 제공한 이후에 직접 인증되도록 허용합니다.

  1. 다음 명령을 실행합니다.

    tsm authentication mutual-ssl configure --ca-cert <certificate-file.crt>

    --ca-cert에는 CA(인증 기관) 인증서 파일의 위치 및 파일 이름을 지정합니다.

    이 파일(.crt)은 클라이언트 인증에 사용되는 CA 인증서가 포함된 일체형 파일입니다. 업로드하는 파일은 다양한 PEM 인코딩 인증서 파일의 우선 순위 기준 연결이어야 합니다.

  2. 다음 명령을 실행하여 상호 SSL을 사용하도록 설정하고 변경 사항을 적용합니다.

    tsm authentication mutual-ssl enable

    tsm pending-changes apply

    보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

상호 SSL을 위한 추가 옵션

mutual-ssl configure를 사용하여 다음 옵션을 지원하도록 Tableau Server를 구성할 수 있습니다.

자세한 내용은 tsm authentication mutual-ssl <commands>를 참조하십시오.

대체 인증

Tableau Server가 상호 SSL을 사용하도록 구성되어 있는 경우 인증이 자동으로 수행되며 클라이언트에 유효한 인증서가 있어야 합니다. 사용자 이름과 암호 인증을 수락하는 대체 옵션을 사용하도록 Tableau Server를 구성할 수 있습니다.

tsm authentication mutual-ssl configure -fb true

위 옵션이 false로 설정되어 있어도 Tableau Serer는 REST API 클라이언트의 사용자 이름 및 암호 인증을 허용합니다.

사용자 이름 매핑

Tableau Server가 상호 SSL을 사용하도록 구성되어 있는 경우 서버가 클라이언트 인증서에서 사용자 이름을 가져와 사용자를 직접 인증합니다. Tableau Server가 사용하는 이름은 서버에서 사용자 인증이 구성된 방식에 따라 달라집니다.

  • 로컬 인증 - 인증서의 UPN(사용자 계정 이름)을 사용합니다.

  • AD(Active Directory) - LDAP(Lightweight Directory Access Protocol)를 사용하여 사용자 이름을 가져옵니다.

이러한 기본값을 재정의하여 일반 이름을 사용하도록 Tableau Server를 설정할 수 있습니다.

tsm authentication mutual-ssl configure -m cn

자세한 내용은 상호 인증 중에 클라이언트 인증서를 사용자에게 매핑을 참조하십시오.

CRL(인증서 해지 목록)

개인 키가 손상된 것으로 의심되거나 CA(인증 기관)가 인증서를 올바르게 발급하지 않은 경우 CRL을 지정해야 할 수 있습니다.

tsm authentication mutual-ssl configure -rf <revoke-file.pem>

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!