SAML 문제 해결
이 항목에서는 SAML 인증을 구성할 때 발생할 수 있는 문제를 해결하기 위한 정보를 제공합니다.
SAML 및 자동 로그온 사용
SAML을 사용 중이며 Tableau Server가 Active Directory를 사용하도록 구성된 경우 자동 로그온 사용도 선택하지 마십시오. 동일한 서버 설치에서 자동 로그온과 SAML을 함께 사용할 수는 없습니다.
SAML 구성 시 HTTP 상태 500 오류
경우에 따라 HTTP 상태 500 오류가 나타나고, SAML을 사용하도록 설정한 후 브라우저에서 Tableau Server URL로 이동하면 다음 오류가 나타날 수 있습니다.
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
이 오류를 해결하려면 다음을 확인하십시오.
SAML 탭에 지정된 SSO 프로필의 IdP URL이 올바릅니다.
IdP에서 서비스 공급자를 생성하는 동안 제공한 SSO 프로필의 IdP URL이 올바릅니다.
IdP가
HTTP-POST요청을 사용하도록 구성되어 있습니다. (리디렉션 및 SOAP는 지원되지 않습니다.)
이러한 설정 중 하나라도 올바르지 않은 경우 설정을 적절하게 수정한 후 Tableau Server에서 XML 메타데이터 문서를 생성하고 내보내는 것부터 시작하여 SAML 구성 단계를 다시 수행합니다.
이러한 설정이 올바르지만 계속 오류가 발생하는 경우 SAML 요구 사항의 설명에 따라 Tableau Server 및 IdP에서 생성된 메타데이터 XML을 검토합니다.
명령줄에서 로그인
Tableau Server가 SAML을 사용하도록 구성되어 있어도 tabcmd 또는 Tableau Data Extract 명령줄 유틸리티(링크가 새 창에서 열림)(Tableau Desktop과 함께 제공됨)를 사용하여 Tableau Server에 로그인하는 경우 인증에 SAML이 사용되지 않습니다. 이러한 도구를 사용하려면 Tableau Server를 처음 설치할 때 인증(로컬 인증 또는 AD)을 구성해야 합니다.
로그인 실패: 사용자를 찾지 못함
로그인이 실패하고 다음과 같은 메시지가 나타납니다.
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
이 오류는 대개 Tableau Server에 저장되어 있는 사용자 이름과 IdP에서 제공되는 사용자 이름이 일치하지 않는다는 의미입니다. 이 오류를 해결하려면 두 사용자 이름이 일치해야 합니다. 예를 들어 강현수의 사용자 이름이 IdP에 kanghs로 저장되면 Tableau Server에도 kanghs로 저장되어야 합니다.
로그인 실패: SSL 오프로딩
로그온이 실패하고 다음과 같은 메시지가 나타납니다.
Unable to Sign In - Invalid username or password.
또한 vizportal 로그(debug 모드로 설정되어 있음)에 다음과 같은 메시지가 포함되어 있습니다.
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
참고:SAML 관련 이벤트를 기록하려면 vizportal.log.level이 debug로 설정되어야 합니다. 자세한 내용은 로그 수준 변경을 참조하십시오.
이 메시지 조합은 Tableau Server에 연결하기 위해 SSL을 오프로딩하는 외부 프록시 서버가 잘못 구성되었음을 나타냅니다. 이 문제를 해결하려면 KB 문서 업그레이드한 후 SAML에서 "로그인할 수 없음" 및 "잘못된 사용자 이름 또는 암호" 오류 발생(영어)(링크가 새 창에서 열림)을 참조하십시오.
SAML 오류 로그
SAML 인증은 외부에서 수행됩니다따라서 인증 관련 문제 해결이 어려울 수. 있지만 로그인 시도가 에 기록됩니다. 로그 파일의 스냅샷을 만들고 이 스냅샷을 사용하여 문제를 해결할 수 있습니다. 자세한 내용은 로그 파일 스냅샷(로그 아카이브)를 참조하십시오.
참고: SAML 관련 이벤트를 기록하려면 vizportal.log.level이 debug로 설정되어야 합니다. 자세한 내용은 로그 수준 변경을 참조하십시오.
압축을 푼 로그 파일 스냅샷의 다음 파일에서 SAML 오류를 확인할 수 있습니다.
\vizportal\vizportal-<n>.log응용 프로그램 프로세스(vizportal.exe)가 인증을 처리하므로 SAML 응답은 해당 프로세스로 기록됩니다.
후행 슬래시
SAML 탭에서 Tableau Server에서 반환하는 URL이 슬래시로 끝나지 않는지 확인하십시오.
올바름: http://tableau_server
올바르지 않음: http://tableau_server/
연결 확인
구성하려는 Tableau Server에 직접 양방향 트래픽을 허용하는 방화벽에 경로 지정 가능한 IP 주소나 NAT가 있어야 합니다.
Tableau Server에서 텔넷을 실행하여 SAML IdP로 연결을 시도하여 연결 테스트를 수행할 수 있습니다. 예: C:\telnet 12.360.325.10 80
위의 테스트는 IdP 상에서 HTTP 포트(80)로 연결하게 되고 HTTP 헤더를 수신하게 됩니다.
다수의 도메인
SAML 탭에서 Tableau Server 도메인 특성을 비워 두고 SAML 어설션에서 domain\username 형식의 도메인이 검색되는지 확인합니다.
올바른 형식: <empty>
잘못된 형식: yourdomain.com