Loading

메시지 서명 때문에 Tableau Server 2021.2 로그인 실패

게시 일자: Nov 30, 2023
상세 설명
SAML을 사용자 인증에 사용하여 Tableau Server 2012.2 이상으로 업그레이드한 후 Tableau Server 사용자가 로그인할 수 없고 다음 오류가 VizPortal 로그에 표시됩니다.

org.springframework.security.authentication.AuthenticationServiceException: Digest algorithm SHA-1 is blocklisted"(org.springframework.security.authentication.AuthenticationServiceException: 다이제스트 알고리즘 SHA-1이 차단 목록에 추가됨)


 

Cause

Tableau Server 2021.2는 기본적으로 SHA1로 서명된 SAML 인증용 수신 어설션을 자동으로 차단합니다. 
솔루션

시작하기 전에 Tableau Server 설치에 영향이 있는지 여부 확인

Tableau Server를 실행하는 컴퓨터에서 다음 명령을 실행합니다.
tsm configuration get -k "wgserver.saml.blocklisted_digest_algorithms"

Tableau Server에서 "sha1"을 반환하는 경우 발생한 문제에 이 문서가 해당함을 의미합니다.

옵션 1을 사용하고, SHA-256을 사용해 모든 발신 어설션에 서명하도록 IdP 구성을 업그레이드하는 것이 좋습니다. IdP가 SHA-1만 지원하는 경우 옵션 2를 사용합니다.

옵션 1: SHA-256 이상을 사용하여 발신 어설션에 서명하도록 IdP 구성을 업그레이드합니다.

IDP 계정으로 이동하여 메시지를 서명하는 데 사용하는 서명 알고리즘을 업데이트합니다. 이 작업은 IdP에 따라 다르므로 지침은 IdP의 설명서를 참조하십시오.

옵션 2(해결 방법): 이미 Tableau Server를 업그레이드했지만 Tableau Server에 로그인할 수 없고 IdP를 업데이트할 수 없는 경우

  1. 다음 명령을 사용하여 새로운 기본 차단 목록을 사용하지 않도록 설정합니다.
    tsm configuration set -k "wgserver.saml.blocklisted_digest_algorithms" -v ""
  2. tsm pending-changes apply를 실행합니다.

최대한 빨리

더 안전한 서명 알고리즘을 사용하도록 IdP를 업데이트할 수 있으면 다음 명령으로 차단 목록을 다시 사용하도록 설정합니다.
tsm configuration set -k “wgserver.saml.blocklisted_digest_algorithms” -v “sha1”
그 후 다음을 실행합니다.
tsm pending-changes apply

 
추가 자원
Tableau에 업로드된 인증서에서 확인된 보안 특성 때문에 SAML 구성 문제가 발생할 수도 있습니다. Tableau Server 2021.2로 업그레이드한 후 SAML 인증을 사용하는 Tableau Server가 시작하는 데 실패하거나 로그인을 거부함을 참조하십시오.

기본적으로, Tableau Server 2021.2 이상 버전은 Tableau Server의 SAML 인증(사이트별 및 서버 전체 모두) 구성 시에 SHA-1 서명 해시가 있거나 키 강도가 RSA2048 및 ECDSA256보다 낮은 인증서의 업로드를 거부합니다. Tableau Server는 기본적으로 SHA-1 알고리즘으로 서명된 SAML 어셜션도 거부합니다. Tableau와 idP 쪽에 모두 SHA-1 및 키 크기 유효성 검사가 실시되는 여러 위치가 있으므로 유효성 검사가 요구되는 여러 위치와 시점이 있다는 사실을 주지해야 합니다. 예를 들면 다음과 같습니다.
    • Tableau Server가 IdP로 전송되는 요청에 서명하기 위해 사용하는 TSM(GUI)을 통해 업로드된 SHA-1로 서명된 인증서
    • IdP로부터 수신된 AuthnResponse(서명)를 인증서의 공개 키를 사용하여 확인하는 데 사용되는 IdP 메타데이터의 인증서
    • SHA-1(SHA-1로 설정된 DigestMethod와 SHA-1로 설정된 SignatureMethod)을 사용하여 서명 및 해싱된 수신 어설션
    • SHA-1을 사용하여 서명된 인증서가 있는 수신 어설션
    • SHA-1(SHA-1로 설정된 DigestMethod와 SHA-1로 설정된 SignatureMethod)을 사용하여 해싱 및 서명된 발신 어설션

참고: tsm SAML 구성 키 wgserver.saml.sha256은 여전히 Tableau Server에서 전송하는 모든 발신 요청이 SHA-256을 사용하여 서명되도록 보장하는 데 유효한 구성 키입니다. 이 키를 IdP가 SHA-256으로 서명된 요청 수신을 요구했지만 SHA-1을 사용하여 어설션을 발급하거나 Tableau Server가 SHA-1을 사용하여 서명된 인증서로 구성되었을 수 있는 구성을 지원하기 위해 차단 목록 키와 함께 사용할 수 있습니다. 이 키의 기본값은 이제 모든 발신 SAML 메시지가 기본적으로 SHA-256으로 서명되도록 true가 됩니다.
 
Knowledge 기사 번호

001534667

 
로드 중
Salesforce Help | Article