상호 인증 중에 클라이언트 인증서를 사용자에게 매핑

상호(양방향) SSL 인증을 사용하는 경우 클라이언트는 인증 프로세스의 일부로 Tableau Server에 클라이언트 인증서를 에 제시합니다. 그러면 Tableau Server에서 클라이언트 인증서의 사용자 정보를 알려진 사용자 ID에 매핑합니다. Tableau Server가 클라이언트 매핑을 수행하기 위해 사용하는 전략은 조직의 클라이언트 인증서에 포함된 콘텐츠에 따라 달라집니다.

이 항목에서는 클라이언트 인증서에 포함된 정보가 사용자 ID에 매핑되는 방식과 Tableau Server가 매핑을 수행하는 방식을 변경하는 방법에 대해 설명합니다. 매핑이 실행되는 방식과 매핑의 변경 필요성을 파악하려면 조직에서 사용하는 클라이언트 인증서의 구조를 알아야 합니다.

사용자 이름 매핑 옵션

Tableau Server에서는 다음 방식 중 하나를 사용하여 클라이언트 인증서를 사용자 ID에 매핑합니다.

  • Active Directory. Tableau Server가 사용자 인증에 Active Directory를 사용하도록 구성된 경우 Tableau Server는 클라이언트 인증서를 받으면 Active Directory로 인증서를 전달하고, 이어서 인증서가 Active Directory ID에 매핑됩니다. 인증서의 모든 명시적 사용자 이름 정보는 무시됩니다.

    참고: 이 방식을 사용하려면 Active Directory의 사용자 계정에 대한 클라이언트 인증서가 게시되어 있어야 합니다.

  • UPN(사용자 계정 이름). UPN(사용자 계정 이름) 필드에 사용자 이름이 저장되도록 클라이언트 인증서를 구성할 수 있습니다. Tableau Server는 UPN 값을 읽고 해당 값을 Active Directory의 사용자나 로컬 사용자에게 매핑합니다.

  • CN(일반 이름). 인증서의 CN(일반 이름) 필드에 사용자 이름이 저장되도록 클라이언트 인증서를 구성할 수 있습니다. Tableau Server는 CN 값을 읽고 해당 값을 Active Directory의 사용자나 로컬 사용자에게 매핑합니다.

서버에서 Active Directory 인증과 UPN 또는 CN 사용자 이름 매핑을 구성한 경우 사용자 이름은 다음 형식 중 하나여야 합니다.

username, domain/username 또는 username@domain.

예: jsmith, example.org/jsmith 또는 jsmith@example.org

서버가 로컬 인증을 사용하는 경우 UPN 또는 CN 필드의 이름 형식은 미리 결정되지 않지만 필드의 이름이 서버의 사용자 이름과 일치해야 합니다.

인증서 매핑 변경

tsm authentication mutual-ssl <commands> 명령을 사용하여 Tableau Server에서 클라이언트 인증서를 사용자 ID에 매핑합니다. 

tsm authentication mutual-ssl configure -m <value>

사용할 수 있는 값은 ldap(Active Directory 매핑), upn(UPN 매핑) 또는 cn(CN 매핑)입니다.

Tableau Server를 처음 설치하고 구성할 때 서버에 서버의 인증 유형과 일치하는 기본 사용자 이름 매핑이 설정됩니다.

  • 서버가 Active Directory를 사용하도록 구성되어 있으면 인증서의 사용자 ID에 대한 매핑에도 Active Directory가 사용됩니다.

  • 서버가 로컬 인증을 사용하도록 구성되어 있으면 인증서의 UPN 필드에서 사용자 이름 값을 가져옵니다.

Tableau Server가 사용자 이름을 ID에 매핑하는 방식에 대한 기본 동작이 서버 구성에 맞지 않는 경우 다음 명령 집합을 실행하여 CN 값을 사용하도록 매핑을 변경합니다.

tsm authentication mutual-ssl configure -m cn

tsm pending-changes apply

보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

다중 도메인 조직에서 사용자 이름 매핑 모호성 해결

인증서의 UPN 또는 CN 필드에 있는 사용자 이름이 모호한 경우가 있습니다. 이 모호성으로 인해 사용자 이름이 서버의 사용자 ID에 매핑될 때 예기치 않은 결과가 발생할 수 있습니다.

예를 들어 Tableau Server에 도메인을 포함하지 않는 사용자 이름이 제공되는 경우 서버는 기본 도메인을 사용하여 사용자 이름을 ID에 매핑합니다. 이로 인해 사용자 이름이 잘못 매핑될 수 있으며, 사용자에게 다른 사용자의 ID 및 사용 권한이 할당될 수 있습니다.

특히 다음과 같은 조건이 적용되는 환경에서 이 문제가 발생할 수 있습니다.

  • 조직이 다중 Active Directory 도메인을 지원합니다.

  • 서버가 Active Directory 인증을 사용하도록 구성되어 있습니다.

  • 서버가 UPN 또는 CN 매핑을 사용하도록 구성되어 있습니다.

  • 사용자 이름이 같지만 도메인이 다른 사용자가 있습니다. 예를 들어 jsmith@example.orgjsmith@example.com이 있습니다.

  • 인증서의 UPN 또는 CN 필드에 있는 사용자 이름이 사용자 이름의 일부로 도메인을 포함하지 않습니다. 예를 들어 jsmith만 표시합니다.

잘못된 사용자 이름 매핑을 방지하려면 클라이언트 인증서가 도메인을 포함하는 정규화된 사용자 이름을 포함하는지 확인해야 합니다. 예를 들어 jsmith@example.org 또는 example.org/jsmith 형식을 사용해야 합니다.

피드백을 제공해 주셔서 감사합니다!