기술 자료

Tableau Server 2021.2로 업그레이드한 후 SAML 인증을 사용하는 Tableau Server가 시작하는 데 실패하거나 로그인을 거부함


게시 날짜: 15 Jun 2020
마지막 수정 날짜: 08 Nov 2022

문제

SAML을 사용자 인증에 사용하는 Tableau Server 2021.2 이상 버전으로 업그레이드한 후 인증서가 보안 설정을 충족하지 않기 때문에 Tableau Server를 시작하는 데 실패하고, 사용된 키 유형에 따라 다음 오류 중 하나가 VizPortal 로그에 표시됩니다. 

다이제스트 알고리즘: 
SAML certificate validation failed(SAML 인증서 유효성 검사 실패)



The digest algorithm used by the current certificate is not allowed.(현재 인증서에서 사용하는 다이제스트 알고리즘이 허용되지 않습니다.)

인증서 키/타원 곡선 크기: 
Key size is smaller than the min allowed key size(키 크기가 최소 허용 키 크기보다 작음)

또는

Elliptic Curve size does not meet the required min allowed curve size(타원 곡선 크기가 필요한 최소 허용 곡선 크기에 부합하지 않음)

환경

Tableau Server 2021.2 버전 이상

해결 방법

시작하기 전에 Tableau Server 설치에 영향이 있는지 여부 확인

SAML 인증을 구성하기 위해 업로드된 인증서를 확인합니다. Tableau Server를 실행하는 컴퓨터에서 다음 명령을 실행하여 파일 시스템의 비공개 키와 공개 키가 모두 최소 키/곡선 크기를 충족하고 Digest Algorithm이 SHA-1이 아닌지 확인하세요.

tsm configuration get -k wgserver.saml.key.file 
tsm configuration get -k wgserver.saml.cert.file

또는 TSM GUI를 통해 서비스 제공업체(SP) 메타데이터 파일을 다운로드할 수 있으며, 이 파일에 Tableau SP 인증서 내용이 붙여넣기됩니다. 지침은 서버 전체 SAML 구성의 6a 단계를 참조하세요.

IdP 메타데이터 xml 파일을 TSM에서 다운로드하거나 이 파일을 IdP에서 직접 다시 다운로드하여 ID 공급자(IdP)가 제공한 인증서를 확인할 수 있습니다. 

옵션 1을 사용해 IdP의 서명 알고리즘을 포함한 모든 서명 알고리즘을 SHA-256로 업그레이드하는 것이 좋습니다.  SHA-1을 SAML 인증의 일부로 사용할 수 있는 모든 가능한 부분에 대해서는 "추가 정보"를 참조하세요. 

IdP가 SHA-1만 지원하는 경우 옵션 2를 사용합니다. 
클릭하여 해결 방법 확장
옵션 1: SAML 인증서와 IdP 인증서를 업그레이드하여 강력한 다이제스트 알고리즘과 키 특성 사용
Tableau Server 인증서 및 키 파일 업데이트
  1. Tableau Server를 중지합니다.
  2. 영향을 받는 모든 부분에서 SHA-256과 RSA 2048 또는 ECDSA 256을 사용하도록 인증서와 키를 업데이트합니다.
  3. 새 인증서와 키 파일을 저장한 다음 Tableau Server 구성의 SAML 탭에서 인증서 및 키 파일을 변경합니다.
  4. SAML 인증서 및 키 파일 구성에 대한 자세한 내용은 서버 전체 SAML 구성을 참조하세요.
  5. IdP와 교환할 Tableau 메타데이터의 XML을 내보냅니다.

IdP 메타데이터 업데이트
  1.  IdP 계정으로 이동하여 인증서 및/또는 서명 알고리즘을 적절히 업데이트합니다. 이 작업은 IdP에 따라 다르므로 이 작업을 수행하는 절차는 해당 IdP의 설명서를 참조하세요. 해당하는 경우 Tableau 메타데이터 XML 파일을 업로드합니다.
  2. IdP의 웹사이트 또는 설명서에 있는 지침에 따라 IdP의 메타데이터를 다운로드합니다. .xml 파일을 SAML 인증서 및 키 파일이 있는 위치와 같은 위치에 저장합니다.
  3. TSM 안에서 IdP 메타데이터 XML 파일을 업로드합니다.
  4. TSM 비밀번호를 입력한 후 OK(확인)를 클릭합니다.
  5. Tableau Server를 시작합니다.
  6. 사이트별 SAML의 경우, 해당 사이트 안에서 IdP의 메타데이터 xml 파일을 업데이트합니다.
 
참고: 2021.2부터는 여러 사이트에 대해 사이트 SAML을 설정한 경우 tabcmd 유틸리티를 사용하여 IdP 메타데이터를 검사할 수 있습니다. 이렇게 하면 안전하지 않은 IdP 메타데이터가 있을 수 있는 사이트를 식별하는 부담을 줄일 수 있습니다. tabcmd validateidpmetadata를 참조하세요.
 
클릭하여 해결 방법 확장
옵션 2(해결 방법): 이미 Tableau Server를 업그레이드했지만 시작할 수 없는 경우
  1. 다음 명령을 사용하여 새로운 기본 다이제스트 알고리즘 차단 목록을 사용하지 않도록 설정합니다.
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  2. 사용하는 키 유형에 따라, 다음 명령을 사용하여 새로운 키 유효성 검사 설정을 사용하지 않도록 설정합니다.
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    및/또는

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    그 후 다음을 실행합니다.
    tsm pending-changes apply
  3. Tableau Server를 시작합니다.
 
클릭하여 해결 방법 확장
옵션 3(해결 방법): Tableau Server를 업그레이드할 수 없고 SHA-1 키/알고리즘이 필요한 경우
 
  1. Tableau Server를 중지합니다.
  2. 다음 명령을 사용하여 새로운 기본 다이제스트 알고리즘 차단 목록을 사용하지 않도록 설정합니다.
    tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v ""
    tsm pending-changes apply
  3. 사용하는 키 유형에 따라, 다음 명령을 사용하여 새로운 키 유효성 검사 설정을 사용하지 않도록 설정합니다.
    tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v "0"

    또는 (사용하는 키 유형에 따라)

    tsm configuration set -k wgserver.saml.min_allowed.elliptic_curve_size -v "0"

    다음을 실행합니다.
    tsm pending-changes apply
  4. Tableau Server(Windows) (Linux)를 업그레이드합니다.

참고: 이런 보안 설정을 사용하지 않도록 설정한 상태에서 Tableau Server를 이 형태로 필요한 시간 동안 정상적으로 실행할 수 있습니다.

최대한 빨리 다음 작업을 수행하세요.
  1. 위의 옵션 1에 서술된 대로 SHA-256 또는 보다 강력한 방법을 사용하도록 SAML 인증서와 IdP 인증서를 업그레이드합니다.
  2. Tableau Server를 다시 시작합니다.
  3. 다음 명령을 사용하여 보안 설정을 다시 사용하도록 설정합니다.
tsm configuration set -k wgserver.saml.blocklisted_digest_algorithms -v “sha1”

tsm configuration set -k wgserver.saml.min_allowed.rsa_key_size -v “2048”

또는

tsm configuration set -k wgserver.saml.min.elliptic_curve_size -v “256”

그런 다음 tsm pending-changes apply를 실행합니다.
 

원인

Tableau Server 2021.2는 SHA-1 서명 해시가 있는 인증서를 자동으로 차단합니다.
다음 명령을 실행하여 인스턴스에서 SHA-1을 차단하는지 여부를 확인할 수 있습니다.
tsm configuration get -k wgserver.saml.blocklisted_digest_algorithms

Tableau Server에서 "sha1"을 반환하는 경우 Tableau Server가 SHA-1 인증서를 차단함을 의미합니다.

추가 정보

Tableau Server 2021.2 이상에서는 기본적으로 SAML 인증을 사용하도록 Tableau Server를 구성할 때 SHA-1 서명 해시를 사용한 인증서 업로드를 거부하고, Tableau Server는 기본적으로 SHA-1 알고리즘을 사용하여 서명된 SAML 어설션을 거부합니다. Tableau와 idP 쪽에 모두 SHA-1을 사용할 수 있는 여러 위치가 있으므로 유효성 검사가 요구되는 여러 위치와 시점이 있다는 사실을 주지해야 합니다. 예를 들면 다음과 같습니다.
  • Tableau Server가 IdP로 전송되는 요청에 서명하기 위해 사용하는 TSM(CLI와 GUI)을 통해 업로드된 SHA-1로 서명된 인증서
  • IdP로부터 수신된 AuthnResponse(서명)를 인증서의 공개 키를 사용하여 확인하는 데 사용되는 IdP 메타데이터의 인증서
  • SHA-1(SHA-1로 설정된 DigestMethod와 SHA-1로 설정된 SignatureMethod)을 사용하여 서명 및 해싱된 수신 어설션
  • SHA-1을 사용하여 서명된 인증서가 있는 수신 어설션
  • SHA-1(SHA-1로 설정된 DigestMethod와 SHA-1로 설정된 SignatureMethod)을 사용하여 해싱 및 서명된 발신 어설션
  • SHA-1을 사용하여 서명된 인증서로 서명된 발신 어설션

참고: tsm SAML 구성 엔티티 wgserver.saml.sha256은 여전히 Tableau Server에서 전송하는 모든 발신 어설션이 SHA-256을 사용하여 서명되도록 보장하는 유효한 구성 키이며, idP에서 SHA-256으로 서명된 어설션을 요구했지만 수신 어설션 또는 업로드된 인증서가 SHA-1로 서명되었을 수 있는 구성을 지원하기 위해 이런 차단 목록 키와 함께 사용할 수 있습니다. 이제 이 키의 기본값은 True(참)가 되어 모든 발신 SAML 어설션이 기본적으로 SHA-256을 사용하여 서명됩니다.

참고: 인증서 속성을 제한하기 위한 이러한 설정은 Tableau Server 2021.1에서 사용할 수 있지만, 기본적으로 켜져 있지는 않습니다. 하지만 wgserver.saml.blocklisted_digest_algorithms,
wgserver.saml.min_allowed.rsa_key_size or wg.server.saml.min.elliptic_curve_size.
이 문서로 문제가 해결되었습니까?