외부 ID 저장소가 있는 배포의 사용자 관리
이 항목에서는 외부 ID 저장소를 사용하여 Tableau Server 사용자를 관리하는 경우 숙지해야 할 중요한 기술 세부 정보에 대해 설명합니다. Tableau Server는 LDAP를 사용하여 외부 디렉터리에 대한 연결을 지원합니다. 이 시나리오에서 Tableau Server는 사용자를 시스템 사용자로 외부 LDAP 디렉터리에서 Tableau Server 리포지토리로 가져옵니다.
임의 LDAP 디렉터리
Tableau의 시스템 사용자 이름은 LDAP 구성의 일부로 설정한 임의 특성일 수 있습니다(예: "cn"). 개별 사용자 가져오기와 그룹 동기화 기능 모두 마찬가지입니다. 자세한 내용은 외부 ID 저장소 구성 참조를 참조하십시오.
로그인 시 사용자 바인딩 동작
DN에 추가된 사용자 이름 바인딩을 허용하도록 LDAP 구성을 업데이트해야 할 수 있습니다. 특히 Tableau Server가 OpenLDAP와 같이 UPN 또는 이메일 주소를 사용자 이름으로 사용하는 임의 LDAP 디렉터리로 구성된 경우 LDAP 구성을 업데이트해야 합니다.
Tableau Server는 로그인 중에 제공된 사용자 이름을 기반으로 지정된 사용자를 검색합니다. 그런 다음 DN에 추가된 사용자 이름으로 바인딩을 시도합니다. Tableau Server가 GSSAPI로 구성된 경우 username@REALM(도메인 이름)이 사용됩니다.
Active Directory
이 항목의 나머지 내용은 Active Directory 사용자 관리 및 기본적인 Active Directory 스키마 및 도메인 개념에 익숙한 사용자를 대상으로 합니다.
Active Directory에 설치하는 경우 Active Directory 도메인에 가입된 컴퓨터에 Tableau Server를 설치해야 합니다.
참고: 사용자 및 그룹 동기화와 관련하여 LDAP ID 저장소가 구성된 Tableau Server는 Active Directory와 동등합니다. Tableau Server의 Active Directory 동기화 기능은 올바르게 구성된 LDAP 디렉터리 솔루션에서 원활하게 작동합니다.
Active Directory 사용자 인증과 Tableau Server
Tableau Server에서 모든 사용자 이름은 리포지토리로 관리되는 Tableau Server ID 저장소에 저장됩니다. Tableau Server가 Active Directory 인증을 사용하도록 구성된 경우 먼저 Active Directory에서 ID 저장소로 사용자 ID를 가져와야 합니다. 사용자가 Tableau Server에 로그인하면 사용자 인증을 담당하는 Active Directory로 자격 증명이 전달됩니다. Tableau Server는 이 인증을 수행하지 않습니다. (기본적으로는 NTLM이 인증에 사용되지만 Kerberos 또는 SAML을 사용하도록 설정하여 Single Sign-On 기능을 제공할 수 있습니다. 그러나 모든 경우 인증은 Active Directory가 담당합니다.) 그러나 ID 저장소에 저장된 Tableau 사용자 이름은 Tableau Server에 대한 권한 및 사용 권한과 연결됩니다. 그러므로 인증이 확인된 후에는 Tableau Server에서 Tableau 리소스에 대한 사용자 액세스(권한 부여)를 관리합니다.
Active Directory 사용자 이름 특성 및 Tableau Server
Active Directory는 다양한 특성을 사용하여 사용자 개체를 고유하게 식별합니다. (자세한 내용은 MSDN 웹 사이트에서 User Naming Attributes(링크가 새 창에서 열림)(사용자 명명 특성)를 참조하십시오.) Tableau Server에서는 두 가지 Active Directory 사용자 명명 특성이 사용됩니다.
sAMAccountName
. 이 특성은 원래 이전 버전의 Windows에서 사용하도록 설계된 로그온 이름을 지정합니다. 대부분의 조직에서 이 이름은 인증을 위해example\jsmith
와 같은 형식을 사용하여 NetBIOS 이름과 결합됩니다. 여기서example
은 NetBIOS 이름이고jsmith
는sAMAccountName
값입니다. 애초에 Windows에 맞춰 설계되었기 때문에sAMAccountName
값은 20자를 초과할 수 없습니다.Windows Active Directory 사용자 및 컴퓨터 관리 콘솔에서 이 값은 사용자 개체의 계정 탭에서 레이블이 사용자 로그온 이름(Windows 2000 이전)인 필드에 표시됩니다.
userPrincipalName
(UPN). 이 특성은jsmith@example.com
형식으로 사용자 이름을 지정하며, 여기서jsmith
는 UPN 접두사이고@example.com
은 UPN 접미사입니다.Windows의 Active Directory 사용자 및 컴퓨터 관리 콘솔에서 UPN은 사용자 개체의 계정 탭에 있는 두 개 필드인 사용자 로그온 이름 필드와 그 옆에 있는 도메인 드롭다운 목록을 연결한 것입니다.
Active Directory의 사용자 추가
서버 환경에서 직접 입력하거나 CSV 파일을 만들고 사용자를 가져와 Active Directory의 사용자를 개별적으로 추가할 수 있습니다. Active Directory를 통해 그룹을 만들고 그룹의 모든 사용자를 가져오는 방법으로 Active Directory 사용자를 추가할 수도 있습니다. 결과는 사용하는 접근 방식에 따라 달라질 수 있습니다.
UPN 접두사를 사용자 이름으로 가져오기
전체 UPN을 사용자 이름으로 가져올 수 없습니다.
대부분의 경우 Tableau Server가 ID 저장소로 가져오는 사용자 이름은 sAMAccountName 값입니다. 이 동작의 예외에 대한 자세한 내용은 Tableau 기술 자료에서 Active Directory를 사용하는 표준이 아닌 시나리오에서 UPN 접두사를 사용자 이름으로 가져오기(링크가 새 창에서 열림)를 참조하십시오.
사용자 그룹 추가
Active Directory 사용자 그룹을 가져오는 경우 Tableau는 그룹의 모든 사용자를 sAMAccountName
을 사용하여 가져옵니다.
Active Directory에서 사용자 제거 시 동기화 동작
Active Directory 동기화 작업을 통해 Tableau Server에서 사용자를 자동으로 제거할 수는 없습니다. 사용자를 Active Directory의 그룹에서 비활성화하거나 삭제하거나 제거해도 Tableau Server에는 계속 남아 있어 사용자의 계정을 완전히 제거하기 전에는 사용자의 콘텐츠를 감사하고 다시 할당할 수 있습니다.
하지만 Tableau Server는 Active Directory에서 사용자 개체의 상태가 변경되는 방식에 따라 사용자 개체를 다르게 처리합니다. Active Directory에서 사용자를 삭제/비활성화하거나 Active Directory의 동기화된 그룹에서 사용자를 제거하는 두 가지 경우가 있을 수 있습니다.
Active Directory에서 사용자를 삭제하거나 비활성화한 다음 Tableau Server에서 해당 사용자의 그룹을 동기화하는 경우 다음 작업이 실행됩니다.
- 동기화한 Tableau Server 그룹에서 사용자가 제거됩니다.
- 사용자의 역할이 "라이선스 없음”으로 설정됩니다.
- 사용자는 계속 모든 사용자 그룹에 속합니다.
- 사용자가 Tableau Server에 로그인할 수 없게 됩니다.
Active Directory의 그룹에서 사용자를 제거하고 Tableau Server에서 해당 그룹을 동기화하는 경우 다음 작업이 실행됩니다.
- 동기화한 Tableau Server 그룹에서 사용자가 제거됩니다.
- 사용자 역할이 유지되며 “라이선스 없음”으로 설정되지 않습니다.
- 사용자는 계속 모든 사용자 그룹에 속합니다.
- 사용자는 여전히 Tableau Server에 대한 사용 권한을 가지고 모든 사용자 그룹에 권한이 부여된 모든 항목에 액세스할 수 있습니다.
두 경우 모두 Tableau Server에서 사용자를 제거하려면 서버 관리자가 Tableau Server의 서버 사용자 페이지에서 사용자를 삭제해야 합니다.
도메인 애칭
Tableau Server에서 도메인 애칭은 Windows NetBIOS 도메인 이름에 해당합니다. Windows Active Directory 포리스트에서 FQDN(정규화된 도메인 이름)에는 모든 임의의 NetBIOS 이름이 포함될 수 있습니다. NetBIOS 이름은 사용자가 Active Directory에 로그인할 때 도메인 식별자로 사용됩니다.
예를 들어 FQDN west.na.corp.lan
은 NetBIOS 이름(애칭) SEATTLE
로 구성될 수 있습니다. 이 도메인에 있는 사용자 jsmith
는 다음 사용자 이름 중 하나를 사용하여 Windows에 로그온할 수 있습니다.
west.na.corp.example.com\jsmith
SEATTLE\jsmith
사용자가 FQDN 대신 NetBIOS 이름을 사용하여 Tableau Server에 로그인하도록 하려면 사용자 로그인이 설정된 각 도메인에 대한 애칭 값을 확인해야 합니다. 각 도메인의 애칭 값을 보고 설정하는 방법에 대한 자세한 내용은 editdomain을 참조하십시오.
여러 도메인 지원
다음과 같은 경우 Tableau Server 컴퓨터의 도메인과 다른 도메인의 사용자 및 그룹을 추가할 수 있습니다.
서버 도메인과 사용자 도메인 간에 양방향 신뢰가 설정되었습니다.
서버 도메인이 사용자 도메인을 신뢰합니다(단일 방향 신뢰). Active Directory 배포를 위한 도메인 신뢰 요구 사항을 참조하십시오.
서버가 아닌 도메인의 사용자 또는 그룹을 처음으로 추가하는 경우에는 정규화된 도메인 이름과 사용자/그룹 이름을 지정해야 합니다. 해당 도메인에서 사용자 또는 그룹을 추가할 때 도메인 애칭과 NetBIOS 이름이 일치하는 경우 애칭을 사용하여 추가할 수 있습니다. Tableau Server에서 여러 도메인에 연결하는 경우 TSM에서 wgserver.domain.whitelist
(버전 2020.3 이하) 또는 wgserver.domain.accept_list
(버전 2020.4 이상) 옵션을 설정하여 Tableau Server에서 연결하는 다른 도메인도 지정해야 합니다. 자세한 내용은 wgserver.domain.whitelist 또는 wgserver.domain.accept_list를 참조하십시오.
중복되는 표시 이름
여러 도메인에서 사용자 표시 이름이 고유하지 않은 경우 Tableau에서 동일한 표시 이름을 가진 사용자를 관리할 때 혼동이 발생할 수 있습니다. Tableau Server에 동일한 이름을 가진 두 명의 사용자가 표시됩니다. 예를 들어 example.lan 도메인과 example2.lan 도메인을 운영하는 조직이 있다고 할 때, 두 도메인 모두에 John Smith라는 사용자가 있는 경우 이 사용자를 그룹 및 다른 관리 작업에 추가하면 Tableau Server에서 혼동이 발생합니다. 이 시나리오에서는 한 사용자의 Active Directory 표시 이름을 업데이트하여 계정을 차별화하는 것이 좋습니다.
NetBIOS 이름을 사용하여 Tableau Server에 로그인
사용자는 도메인 애칭(NetBIOS 이름)(예: SEATTLE\jsmith
)을 사용하여 Tableau Server에 로그인할 수 있습니다.
Tableau Server는 지정된 FQDN에 대한 NetBIOS 이름을 쿼리할 수 없습니다. 따라서 Tableau에서는 지정된 FQDN의 애칭이 네임스페이스의 첫 번째 항목에 따라 설정됩니다. 예를 들어 FQDN이 west.na.corp.lan
인 경우 Tableau에서 애칭이 west
로 설정됩니다.
그러므로 사용자가 애칭을 사용하여 로그인하기 전에 Tableau Server의 도메인 애칭을 업데이트해야 할 수 있습니다. 애칭을 업데이트하지 않을 경우 사용자가 정규화된 도메인 이름을 사용하여 로그인해야 합니다. 자세한 내용은 Tableau 기술 자료에서 Users From New Domain Unable to Log In and Do Not Appear in User List(링크가 새 창에서 열림)(새로운 도메인의 사용자가 로그인할 수 없음 침 사용자 목록에 나타나지 않음)를 참조하십시오.