Tableau Mobile의 인증 및 액세스 제어
지원되는 인증 방법
Tableau Server
Tableau Mobile은 Tableau Server에서 다음과 같은 인증 방법을 지원합니다.
방법 | Tableau Mobile의 고려 사항 |
---|---|
로컬(기본) 인증 | |
Kerberos |
|
SAML | |
NTLM | |
상호 SSL |
|
OpenID Connect |
|
이러한 방법을 구성하는 것에 대한 자세한 내용은 Windows(링크가 새 창에서 열림) 및 Linux(링크가 새 창에서 열림)에 대한 Tableau Server 도움말을 참조하십시오.
Tableau Cloud
Tableau Mobile은 Tableau Cloud에서 다음과 같은 세 가지 인증 방법을 모두 지원합니다.
- 기본 Tableau 방법
- OpenID Connect를 통한 Google 인증(장치 브라우저로 로그인이 설정되어 있어야 함)
- SAML
이러한 방법 구성에 대한 자세한 내용은 Tableau Cloud 도움말에서 인증(링크가 새 창에서 열림)을 참조하십시오.
장치 브라우저를 사용한 인증
휴대기기의 브라우저(Safari, Chrome) 대신 OpenID Connect(Google 포함) 및 상호 SSL 인증을 사용할 수 있습니다. 브라우저와 Tableau Mobile 사이에서 교환되는 정보는 OAuth PKCE(Proof Key for Code Exchange(링크가 새 창에서 열림))로 보호됩니다.
이 인증이 실행되려면 아래 지침에 따라 장치 브라우저로 로그인을 사용하도록 설정해야 합니다. 이 요구 사항의 한 가지 예외는 Android의 상호 SSL 인증입니다. 이 경우 구성을 변경할 필요가 없습니다.
Tableau Server(버전 2019.4 이상)
MDM 또는 MAM 시스템을 사용하는 경우 RequireSignInWithDeviceBrowser AppConfig 매개 변수를 true로 설정합니다. 또는 Tableau Server 사용자가 자신의 개별 기기에서 "장치 브라우저로 로그인" 설정을 사용하도록 설정할 수 있습니다. AppConfig 매개 변수는 사용자 설정을 재정의합니다.
Tableau Cloud
RequireSignInWithDeviceBrowser AppConfig 매개 변수를 true로 설정합니다. AppConfig 매개 변수를 설정하려면 MDM 또는 MAM 시스템을 사용하여 앱을 배포해야 합니다. Tableau Cloud의 경우 사용자 설정이 적용되지 않으므로 MDM 또는 MAM 시스템을 사용하지 않으면 Google 인증을 허용할 수 없습니다.
인증에 사용되는 기본 브라우저 재정의
브라우저를 인증에 사용하도록 Tableau Mobile을 구성하면 장치의 기본 브라우저가 사용됩니다(iOS의 경우 Safari이고 Android의 경우 Chrome). Microsoft Intune의 조건부 액세스를 사용하려면 인증에 Microsoft Edge를 사용하도록 Tableau Mobile을 구성해야 합니다. 그렇게 하려면 AppConfig 매개 변수 2개가 필요합니다.
RequireSignInWithDeviceBrowser
를true
로 설정하여 Tableau Mobile에서 인증에 브라우저를 사용하도록 만듭니다.OverrideDeviceBrowser
를Edge
로 설정하여 장치에서 인증에 사용되는 브라우저의 기본값을 Microsoft Edge로 변경합니다. 브라우저를 통한 로그인을 필수로 설정하지 않고 이 매개 변수를 변경하면 아무런 효과가 없습니다. 자세한 내용은 Tableau Mobile의 AppConfig 매개 변수를 참조하십시오.
Tableau Mobile의 AppConfig 매개 변수를 설정하는 것에 더해 Microsoft Intune 환경을 다음과 같이 구성합니다.
- Azure 앱 프록시를 사용하는 경우 사전 인증 방법으로 패스스루를 사용해야 합니다.
- 인증 방법은 SAML 또는 OpenID여야 합니다.
- ID 공급자는 Azure Active Directory여야 합니다.
사용자의 로그인 상태를 임시로 유지
Tableau Mobile 사용자의 로그인 상태를 임시로 유지하려면 연결된 클라이언트가 Tableau Cloud 또는 Tableau Server에서 사용되도록 설정되었는지 확인합니다. 이 기본 설정을 사용하지 않도록 설정하면 사용자가 서버에 연결할 때마다 로그인해야 합니다.
Tableau Cloud에 대한 연결된 클라이언트 설정 확인
- Tableau Cloud에 관리자로 로그인합니다.
- 설정을 선택한 후 인증 탭을 선택합니다.
- 연결된 클라이언트에서 클라이언트가 이 Tableau Cloud 사이트에 자동으로 연결하도록 허용 설정을 확인합니다.
자세한 내용은 Tableau Cloud 도움말에서 연결된 클라이언트에서 사이트 액세스를 참조하십시오.
Tableau Server에 대한 연결된 클라이언트 설정 확인
- Tableau Server에 관리자로 로그인합니다.
- 사이트 메뉴에서 모든 사이트 관리를 선택한 다음 설정 > 일반을 선택합니다.
- 연결된 클라이언트에서 클라이언트가 Tableau Server에 자동으로 연결하도록 허용 설정을 확인합니다.
자세한 내용은 Tableau Server 도움말에서 자동 클라이언트 인증 사용 안 함을 참조하십시오.
Tableau Server 사용자 로그인 유지 시간 변경
연결된 클라이언트 설정이 사용되도록 설정되지 않은 경우 Tableau Mobile의 세션 길이는 Tableau Server 제한의 영향을 받습니다. 연결된 클라이언트 설정이 사용되도록 설정되면 Tableau Mobile은 토큰이 유효한 경우에 한해서 OAuth 토큰을 사용하여 세션을 다시 설정하고 사용자의 로그인 상태를 유지합니다.
연결된 클라이언트의 토큰 값 변경
사용자를 로그인 상태로 유지하기 위해 Tableau Mobile은 새로 고침 토큰을 인증 시스템에 보냅니다. 그러면 인증 시스템이 새 액세스 토큰을 휴대기기로 전송합니다. 관리자는 새로 고침 토큰의 설정을 조정하여 사용자 로그인 유지 시간을 변경할 수 있습니다.
Tableau 서비스 관리자의 명령줄 인터페이스에서 다음 옵션을 설정합니다.
- refresh_token.idle_expiry_in_seconds
만료 전까지 토큰을 사용하지 않는 시간(초)을 설정합니다. 기본값은 1,209,600이며 14일에 해당합니다. 유휴 토큰이 만료되지 않도록 하려면 -1 값을 입력합니다.
- refresh_token.absolute_expiry_in_seconds
새로 고침 토큰이 완전히 만료되기 전까지 남은 시간(초)을 설정합니다. 기본값은 31,536,000이며 365일에 해당합니다. 토큰이 만료되지 않도록 하려면 -1 값을 입력합니다.
- refresh_token.max_count_per_user
각 사용자에 대해 발급될 수 있는 새로 고침 토큰의 최대 수를 설정합니다. 기본값은 24입니다. 토큰 제한을 완전히 제거하려면 -1 값을 입력합니다.
위의 옵션을 설정하려면 명령줄 인터페이스에서 다음 구문을 사용합니다.
tsm configuration set -k <config.key> -v <config_value>
.
예를 들어 새로 고침 토큰의 수를 사용자당 5개로 제한하려면 다음을 입력합니다.
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
자세한 내용은 Tableau Server 도움말에서 TSM configuration set 옵션(링크가 새 창에서 열림)을 참조하십시오.
Tableau Server에 대한 세션 제한 변경
연결된 클라이언트를 사용하지 않도록 설정하면 Tableau Server의 세션 제한에 따라 Tableau Mobile의 세션 길이가 결정됩니다. 토큰이 유효한 한 새로 고침 토큰은 세션을 다시 설정하기 때문에 이러한 제한은 연결된 클라이언트에 영향을 주지 않습니다. 자세한 내용은 Tableau Server 도움말에서 세션 수명 구성 확인을 참조하십시오.
Tableau 서비스 관리자의 명령줄 인터페이스에서 다음 옵션을 설정합니다.
Tableau 세션이 만료되고 로그인을 다시 요청하기 전까지 남은 시간(분)을 설정합니다. 기본값은 240입니다.
추가적인 보안을 위한 앱 잠금 사용
장시간 유지되는 인증 토큰을 사용하면 사용자가 로그인된 상태를 유지하여 데이터에 원활하게 액세스할 수 있습니다. 하지만 이로 인해 Tableau Mobile에서 데이터 액세스가 공개되는 것과 관련된 우려가 있을 수 있습니다. 사용자에게 더 자주 로그인하도록 요구하는 대신 앱 잠금을 사용하여 사용자에게 콘텐츠에 액세스하는 안전하지만 간단한 방법을 제공할 수 있습니다.
Tableau Mobile 앱 잠금은 Tableau Server 또는 Tableau Cloud에 사용자를 인증하는 것이 아니라 이미 로그인한 사용자에게 보안 계층을 제공하는 기능입니다. 앱 잠금을 사용하도록 설정하면 사용자가 기기 잠금 해제용으로 구성한 보안 방법을 사용하여 앱을 열어야 합니다. 지원되는 생체 인식 방법은 Face ID 또는 Touch ID(iOS) 및 지문, 얼굴 또는 홍채(Android)입니다. 지원되는 대체 방법은 암호 코드(iOS) 및 패턴, PIN 또는 비밀번호(Android)입니다.
앱 잠금 사용 전에 필요한 작업
Tableau Server 또는 Tableau Cloud에 대한 연결된 클라이언트 설정이 사용되도록 설정되었는지 확인하십시오. 자세한 내용은 사용자의 로그인 상태를 임시로 유지를 참조하십시오. 이 설정을 사용하도록 설정하지 않으면 사용자가 Tableau Server 또는 Tableau Cloud에 연결할 때마다 로그인해야 하므로 앱 잠금이 필요하지 않습니다.
Tableau Server의 경우 새로 고침 토큰의 만료 값을 조절하여 사용자가 로그인된 상태로 유지되는 기간을 정확하게 제어할 수 있습니다. 자세한 내용은 Tableau Server 사용자 로그인 유지 시간 변경을 참조하십시오. 앱 잠금은 기본 만료 값을 사용하는 토큰과 같이 장시간 유지되는 토큰과 함께 사용하도록 만들어졌습니다.
참고: Tableau Server 설치에서 역방향 프록시 서버를 사용하는 경우 사용자가 앱 잠금을 해제할 때 로그인해야 할 수 있습니다. 이렇게 되는 이유는 사용자의 역방향 프록시 토큰은 만료되었지만 사용자의 새로 고침 토큰은 여전히 활성 상태이기 때문입니다.
앱 잠금 사용 설정
Tableau Cloud의 경우
- Tableau Cloud에 관리자로 로그인합니다.
- 설정을 선택한 후 인증 탭을 선택합니다.
- Tableau Mobile 앱 잠금에서 앱 잠금 사용 설정을 선택합니다.
Tableau Server 버전 2019.4 이상의 경우
- Tableau Server에 관리자로 로그인합니다.
- 앱 잠금을 사용하도록 설정할 사이트로 이동합니다.
- 설정을 선택합니다.
- Tableau Mobile에서 앱 잠금 사용 설정을 선택합니다.
Tableau Server 버전 2019.3 이하의 경우
Tableau Server 버전 2019.3 이하에서는 앱 잠금을 사용하도록 설정하는 기능을 사용할 수 없지만 여전히 MDM 및 MAM 시스템의 AppConfig 매개 변수로 앱 잠금을 사용하도록 설정할 수 있습니다. 자세한 내용은 AppConfig 키에서 RequireAppLock를 참조하십시오.
사용자 실행 앱 잠금
사용자도 개별적으로 앱의 설정을 통해 기기의 앱 잠금을 사용하도록 설정할 수 있습니다. 하지만 관리자가 앱 잠금을 사용하도록 설정한 경우 사용자가 이 설정을 통해 사용하지 않도록 설정할 수 없습니다.
앱 잠금을 사용하도록 설정한 경우
앱 잠금을 사용하도록 설정한 후에는 로그인한 사용자가 앱을 열 때 앱 잠금을 해제해야 합니다. 사용자가 기기를 잠금 해제하는 방법을 설정하지 않은 경우 앱을 잠금 해제하는 방법을 설정하라는 메시지가 나타납니다.
앱 잠금을 해제하지 못한 사용자는 다시 시도하거나 Tableau에서 로그아웃해야 합니다. 생체 인식 방법을 사용하여 시도하거나 기기에 생체 인식이 구성되어 있지 않은 경우 앱 잠금 해제가 5번 실패하면 암호 코드와 같은 대체 방법을 사용하여 잠금 해제하라는 메시지가 나타납니다.
암호 코드를 사용하는 앱 잠금 해제가 반복적으로 실패하면 앱만이 아니라 전체 기기가 잠깁니다. 몇 번을 시도해야 이 잠금이 발생하는지는 기기마다 다릅니다. 기기를 잠금 해제하는 후속 시도는 시간 증가로 인해 지연됩니다.
Tableau Mobile의 Single Sign-On
SSO(Single Sign-On) 인증의 경우 Tableau Mobile은 모든 모바일 플랫폼에 대해 SAML 및 OpenID Connect를 지원하고 iOS 기기에 대해 Kerberos를 지원합니다.
SAML
Tableau Cloud 또는 Tableau Server가 SAML을 사용하도록 구성된 경우 Tableau Mobile 내에서 로그인을 위해 사용자가 자동으로 IdP(ID 공급자)로 리디렉션됩니다. 그러나 SAML은 SSO를 사용하는 다른 모바일 앱으로 자격 증명을 전달하지 않습니다. SAML을 사용할 때는 모바일 장치에서 Microsoft Intune을 사용하는 경우를 제외하고 장치에 특별한 구성이 필요하지 않습니다. Microsoft Intune에 SAML을 사용하도록 설정하려면 인증에 사용되는 기본 브라우저 재정의를 참조하십시오.
OpenID Connect
Tableau Server가 인증에 OpenID Connect를 사용하도록 구성되어 있거나 Tableau Cloud가 Google(OpenID Connect 기반)을 사용하도록 구성되어 있는 경우 SSO(Single Sign-On)는 휴대기기의 브라우저를 사용하여 외부 IdP(ID 공급자)에서 실행됩니다. 브라우저에서 SSO를 사용하도록 설정하려면 장치 브라우저를 사용한 인증을 참조하십시오. Microsoft Intune용으로 특별히 OpenID Connect를 사용하도록 설정하려면 인증에 사용되는 기본 브라우저 재정의를 참조하십시오.
Kerberos(iOS 및 Tableau Server만 해당)
Kerberos 인증을 사용하려면 조직에서 기기를 특별한 방식으로 구성해야 합니다. Kerberos 구성은 이 문서와 Tableau 지원 범위를 벗어나지만 아래에 시작할 때 도움이 되는 타사 리소스가 나와 있습니다.
iOS의 Kerberos Single Sign-on(링크가 새 창에서 열림) - Sam's Tech Notes 블로그
iOS의 SAP NetWeaver에 대한 모바일 Single Sign-On(링크가 새 창에서 열림) - SAP 커뮤니티 네트워크
구성 프로필 키 참조(링크가 새 창에서 열림) - iOS 개발자 라이브러리
구성 프로필을 설정할 때 Tableau Server에 액세스하는 데 사용되는 URL이 필요합니다. URLPrefixMatches 키에 대한 URL 문자열을 명시적으로 나열하도록 선택한 경우, 모든 프로토콜 옵션과 적절한 포트 번호를 사용하는 URL을 포함하십시오.
서버에서 SSL을 사용할 경우 사용자의 URL에 https 프로토콜 및 서버의 정규화된 도메인 이름을 사용해야 합니다. 또한 URL 중 하나는 443 포트를 지정해야 합니다.
예를 들어
https://fully.qualifed.domain.name:443/
및https://servername.fully.qualified.domain.name/
을 입력합니다.사용자가 로컬 서버 이름만 지정하여 Tableau Server에 액세스할 경우 로컬 서버 이름 변형도 포함해야 합니다.
예를 들어
http://servername/
및http://servername:80/
을 입력합니다.
참고: 로그아웃해도 기기에서 Kerberos 티켓이 지워지지 않습니다. 저장된 Kerberos 티켓은 계속 유효하며 기기를 사용하는 누구나 자격 증명을 제공하지 않고 사용자가 마지막으로 로그인한 서버 및 사이트에 액세스할 수 있습니다.
Tableau Cloud에서 사용자가 사이트를 쉽게 전환할 수 있도록 설정
Tableau Mobile의 사이트 전환기를 사용하면 사용자가 현재 사이트에서 로그아웃했다가 대상 사이트에 로그인할 필요 없이 액세스 권한이 있는 여러 Tableau 사이트 간에 전환할 수 있습니다. 사용자가 자격 증명을 다시 입력할 필요 없이 Tableau Cloud의 사이트 간에 전환할 수 있으려면 특정 조건이 충족되어야 합니다.
- 사용자의 Tableau 세션과 ID 공급자 세션이 대상 사이트에서 계속 활성 상태여야 합니다.
- '장치 브라우저로 로그인'이 사용되도록 설정되어 있어야 합니다. 자세한 내용은 장치 브라우저를 사용한 인증을 참조하십시오.
사용자가 전환할 사이트를 선택하면 앱이 장치의 브라우저로 리디렉션하여 ID 공급자와의 세션을 확인한 다음 대상 사이트로 전환합니다. 대상 사이트의 세션이 만료되었거나 '장치 브라우저로 로그인'이 사용되도록 설정되지 않은 경우 사용자는 자격 증명을 다시 입력해야 합니다.
세션 시간을 더 길게 설정하고 연결된 클라이언트 설정을 사용하도록 설정하면 사용자의 세션이 계속 활성 상태일 가능성을 높일 수 있습니다. 연결된 클라이언트에 대한 자세한 내용은 연결된 클라이언트에서 사이트 액세스를 참조하십시오.
참고: Tableau Server 사용자는 동일한 서버 인스턴스에 속한 사이트 간 전환을 위해 자격 증명을 다시 입력할 필요가 없습니다.