OpenID Connect

SSO(Single Sign-on)에 대해 OIDC(OpenID Connect)를 지원하도록 Tableau Cloud를 구성할 수 있습니다. OIDC는 Google, Salesforce 등의 IdP(ID 공급자)에 로그인할 수 있도록 지원하는 표준 인증 프로토콜입니다. IdP에 로그인하고 나면 자동으로 Tableau Cloud에 로그인됩니다.

OIDC 구성에는 여러 단계가 필요합니다. 이 섹션의 항목에서는 Tableau Cloud 및 OIDC 사용에 대한 일반 정보와 IdP 및 Tableau Cloud 구성 시퀀스를 제공합니다.

Tableau REST API를 사용하여 OIDC를 구성하려면 Tableau REST API 도움말에서 OpenID Connect 인증 방법(링크가 새 창에서 열림)을 참조하십시오.

인증 개요

이 섹션에서는 Tableau Cloud의 OIDC(OpenID Connect) 인증 프로세스에 대해 설명합니다.

1. 사용자가 클라이언트 컴퓨터에서 Tableau Cloud에 로그인하려고 합니다.

2. Tableau Cloud가 인증 요청을 IdP 게이트웨이로 리디렉션합니다.

3. 사용자가 자격 증명을 입력하고 IdP에 성공적으로 인증됩니다. IdP는 리디렉션 URL로 Tableau Cloud에 다시 응답합니다. 리디렉션 URL에는 사용자에 대한 인증 코드가 포함되어 있습니다.

4. 클라이언트가 Tableau Cloud로 리디렉션되고 인증 코드가 표시됩니다.

5. Tableau Cloud가 고유한 클라이언트 자격 증명과 함께 IdP에 클라이언트의 인증 코드를 제공합니다. Tableau Cloud는 IdP의 클라이언트이기도 합니다. 이 단계는 스푸핑 또는 메시지 가로채기(man-in-the-middle) 공격을 방지하기 위한 것입니다.

6. IdP가 액세스 토큰 및 ID 토큰을 Tableau Cloud에 반환합니다.

  • JWT(JSON Web Token) 유효성 검사: 기본적으로 Tableau Cloud는 IdP JWT에 대한 유효성 검사를 수행합니다. 검색 중에 Tableau Cloud는 IdP 구성 검색 문서에서 jwks_uri로 지정된 공개 키를 검색합니다. Tableau Cloud는 ID 토큰의 만료에 대한 유효성을 검사하고 JWS(JSON 웹 서명), 발급자(IdP) 및 클라이언트 ID를 확인합니다. JWT 프로세스에 대한 자세한 내용은 OIDC 설명서에서 10. Signatures and Encryption(서명 및 암호화)(링크가 새 창에서 열림)와 IETF 제안 표준 JSON Web Token(링크가 새 창에서 열림)에서 확인할 수 있습니다. IdP에서 지원하지 않는 경우가 아니라면 JWT 유효성 검사를 사용 설정된 상태로 두는 것이 좋습니다.

  • ID 토큰은 사용자의 특성 키 쌍 집합입니다. 이러한 키 쌍을 클레임이라고 합니다. 다음은 사용자의 IdP 클레임에 대한 예입니다.

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud가 IdP 클레임에서 사용자를 식별하고 1단계의 인증 요청을 완료합니다.이 프로세스에 다른 클레임을 사용하도록 Tableau Cloud를 구성할 수 있습니다. 자세한 내용은 요구 사항을 참조하십시오.

8. Tableau Cloud는 사용자에게 권한을 부여합니다.

Tableau Cloud와 OpenID Connect의 작동 방식

OIDC(OpenID Connect)는 서비스 제공업체(여기서 Tableau Cloud)와 IdP 사이에 교환하는 정보를 위한 다수의 옵션을 지원하는 유연한 프로토콜입니다. 다음 목록에 OIDC의 Tableau Cloud 구현에 대한 세부 정보가 나와 있습니다. 이러한 세부 정보는 Tableau Cloud에서 전송하고 예상하는 정보의 유형과 IdP를 구성하는 방법을 이해하는 데 도움이 될 수 있습니다.

  • Tableau Cloud에서는 OpenID Connect 설명서의 OpenID Connect 최종 사양(링크가 새 창에서 열림)에 설명된 대로 OpenID Authorization Code Flow만 지원합니다.

  • Tableau Cloud에서는 검색 또는 공급자 URL을 사용하여 IdP 메타데이터를 검색합니다.

  • Tableau Cloud에서는 client_secret_basic(기본값)client_secret_post 클라이언트 인증 그리고 OpenID Connect 사양에 지정된 기타 매개 변수가 지원됩니다. 이들은 Tableau REST API를 사용해서만 구성할 수 있습니다.

OIDC 어설션을 사용한 동적 그룹 멤버십

2024년 6월부터 OIDC 인증이 구성되어 있고 해당 기능의 설정이 사용하도록 설정된 경우 IdP(ID 공급자)가 전송한 JWT(JSON 웹 토큰)에 포함된 사용자 지정 클레임을 통해 그룹 멤버십을 동적으로 제어할 수 있습니다.

구성된 경우 사용자 인증 중에 IdP는 사용자를 어설션할 그룹(https://tableau.com/groups)과 그룹 이름(예: "Group1" 및 "Group2")이라는 두 개의 사용자 지정 그룹 멤버십 클레임이 포함된 OIDC 어설션을 전송합니다. Tableau는 어설션의 유효성을 검사한 다음 그룹 및 콘텐츠(사용 권한이 해당 그룹에 따라 달라짐)에 대한 액세스를 허용합니다.

자세한 내용은 어설션을 사용한 동적 그룹 멤버십를 참조하십시오.

JWK 예

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!