사이트에서 SAML 인증 사용

사이트 또는 TCM에서 SAML 인증 사용

이 항목에서는 사이트 또는 TCM(Tableau Cloud Manager)에서 SAML을 사용하도록 설정하고 SSO(Single Sign-On) 사용자를 선택하는 방법을 설명합니다. 또한 SAML에서 기본 Tableau 인증으로 전환하는 단계도 제공합니다. SAML을 사용하도록 설정하기 전에 Tableau Bridge에서 인증 유형을 변경할 때의 효과을 포함하여 Tableau Cloud에 대한 SAML 요구 사항을 검토하십시오.

참고: TCM에 대해 SAML 인증을 사용하려면 별도의 설정과 Tableau Cloud의 앱 통합이 필요합니다.

이 항목은 인증 및 SAML 인증의 작동 방식에 포함된 정보를 숙지한 것으로 가정합니다.

IdP별 구성 정보

이 항목의 후반부에 있는 섹션의 단계에서는 Tableau Cloud 사이트 또는 TCM에서 SAML을 구성할 때 IdP의 설명서와 함께 사용할 수 있는 기본적인 단계를 제공합니다. 다음과 같은 IdP에 대한 IdP별 구성 단계를 사용할 수 있습니다.

SAML 사용

Tableau Cloud의 경우

Tableau Cloud 사이트에 사이트 관리자로 로그인하고 설정 > 인증을 선택합니다.
인증 탭에서 새 구성 단추를 클릭하고 인증 드롭다운에서 SAML을 선택한 다음 구성의 이름을 입력합니다.
참고: 2025년 1월(Tableau 2024.3) 이전에 만든 구성은 이름을 바꿀 수 없습니다.

TCM의 경우

또는 TCM에서 다음을 수행합니다.

TCM에 Cloud 관리자로 로그인하고 설정 > 인증을 선택합니다.
추가 인증 방법 사용 확인란을 선택하고 인증 드롭다운에서 SAML을 선택합니다.
구성(필수) 드롭다운 화살표를 클릭합니다.

SAML 구성 단계

이 섹션에서는 Tableau Cloud 또는 TCM 설정 페이지의 인증 탭에 나타나는 구성 단계에 대해 설명합니다.

참고: 이 과정을 완료하려면 IdP에서 제공하는 설명서가 필요합니다. SAML 연결을 위한 서비스 제공업체를 구성 또는 정의하거나 응용 프로그램을 추가하는 항목을 참조하십시오.

1단계: IdP에서 메타데이터 내보내기

IdP로 이동하여 IdP 계정에 로그인하고 IdP 설명서에 명시된 지침에 따라 IdP 메타데이터를 다운로드합니다. IdP의 메타데이터를 사용하면 Tableau Cloud 또는 TCM을 사용하여 IdP에 연결할 수 있습니다.

1단계의 경우 IdP의 설명서에 서비스 공급자로 메타데이터를 제공하는 방법이 안내되어 있을 수도 있습니다. 이 경우 SAML 메타데이터 파일을 다운로드하도록 안내하거나 XML 코드를 보여 줍니다. XML 코드를 보여 주는 경우 코드를 복사하여 새 텍스트 파일에 붙여 넣은 다음 .xml 확장명으로 파일을 저장합니다.

2단계: Tableau에 메타데이터 업로드

Tableau Cloud의 경우 Tableau Cloud의 새 구성 페이지에서 IdP로부터 다운로드했거나 제공된 XML에서 수동으로 구성한 메타데이터 파일(.xml)을 가져옵니다.

TCM의 경우 TCM의 인증 페이지에서 IdP로부터 다운로드했거나 제공된 XML에서 수동으로 구성한 메타데이터 파일(.xml)을 가져옵니다.

참고:

IdP 메타데이터를 업로드한 후, IdP 엔터티 ID 및 IdP SSO 서비스 URL 필드가 자동으로 채워집니다.
구성을 편집하는 경우 Tableau가 올바른 IdP 엔터티 ID 및 SSO 서비스 URL을 사용할 수 있도록 메타데이터 파일을 업로드해야 합니다.
새로운 메타데이터 파일을 업로드해야 하는 경우 IdP 메타데이터 지우기 단추를 사용할 수 있습니다.

3단계: 특성 매핑

특성에는 인증, 권한 부여 및 사용자에 대한 기타 정보가 포함됩니다.

참고: Tableau Cloud 또는 TCM을 사용하려면 SAML 응답의 NameID 특성이 필요합니다. Tableau의 사용자 이름을 매핑할 다른 특성을 제공해도 되지만 응답 메시지에는 NameID 특성이 포함되어야 합니다.

사용자 이름:(필수) 사용자의 사용자 이름(이메일 주소)을 저장하는 특성의 이름을 입력합니다.
이메일 주소: (선택 사항) 사용자가 사용자 이름과 다른 이메일 주소로 알림을 받을 수 있도록 하기 위해 인증 프로세스 중에 IdP가 사용하는 이메일 주소가 포함된 특성의 이름을 입력합니다. 이메일 주소 특성은 알림 목적으로만 사용되며 로그인에는 사용되지 않습니다.
표시 이름: (선택 사항이지만 권장) 일부 IdP는 이름과 성에 별도의 특성을 사용하지만 나머지 IdP는 한 특성에 전체 이름을 저장합니다.
IdP가 이름을 저장하는 방식에 해당하는 단추를 선택합니다. 예를 들어 IdP가 이름과 성을 한 특성에서 결합하는 경우 표시 이름을 선택한 다음 특성 이름을 입력합니다.

4단계: 내장된 뷰에 대한 기본값 선택

참고: Tableau Cloud에만 적용됩니다.

사용자가 내장된 뷰에 로그인할 때 사용할 방법을 선택합니다. IdP의 로그인 양식을 표시하는 개별 팝업 창을 열거나 iframe(인라인 프레임)을 사용하는 옵션을 선택할 수 있습니다.

중요: iframe은 클릭재킹 공격에 취약할 수 있기 때문에 일부 IdP는 iframe을 통한 로그인을 지원하지 않습니다. 클릭재킹은 공격자가 사용자의 클릭이나 내용 입력을 유도하는 공격입니다. 이렇게 하기 위해 관련이 없는 페이지 위에 있는 투명한 계층에 공격할 페이지를 표시합니다. Tableau Cloud의 경우 공격자가 사용자 자격 증명을 수집하거나 인증된 사용자가 설정을 변경하도록 유도할 수 있습니다. 자세한 내용은 Open Web Application Security Project 웹 사이트에서 Clickjacking(링크가 새 창에서 열림)(클릭재킹)을 참조하십시오.

IdP가 iframe을 통한 로그인을 지원하지 않는 경우 별도의 팝업 창에서 인증을 선택합니다.

4단계: Tableau 메타데이터 가져오기(TCM)

TCM과 IdP 간에 SAML 연결을 만들려면 두 서비스 간에 필수 메타데이터를 교환해야 합니다. TCM에서 메타데이터를 가져오려면 다음 방법 중 하나를 선택합니다. 올바른 옵션을 확인하려면 IdP의 SAML 구성 설명서를 참조하십시오.

Tableau Cloud SAML 엔터티 ID, ACS(Assertion Consumer Service) URL 및 X.509 인증서를 포함하는 XML 파일을 다운로드하려면 메타데이터 내보내기 단추를 선택합니다.
IdP에서 필수 정보를 다른 방식으로 요구하는 경우 인증서 다운로드를 선택합니다. 예를 들어 Tableau Cloud 엔터티 ID, ACS URL 및 X.509 인증서를 별도의 위치에서 입력해야 할 수 있습니다.

5단계: Tableau 메타데이터 가져오기(Tableau Cloud)

Tableau Cloud과 IdP 간에 SAML 연결을 만들려면 두 서비스 간에 필수 메타데이터를 교환해야 합니다. Tableau Cloud에서 메타데이터를 가져오려면 다음 방법 중 하나를 선택합니다. 올바른 옵션을 확인하려면 IdP의 SAML 구성 설명서를 참조하십시오.

Tableau Cloud SAML 엔터티 ID, ACS(Assertion Consumer Service) URL 및 X.509 인증서를 포함하는 XML 파일을 다운로드하려면 메타데이터 내보내기 단추를 선택합니다.
IdP에서 필수 정보를 다른 방식으로 요구하는 경우 인증서 다운로드를 선택합니다. 예를 들어 Tableau Cloud 엔터티 ID, ACS URL 및 X.509 인증서를 별도의 위치에서 입력해야 할 수 있습니다.

5단계: IdP 구성(TCM)

5단계의 경우 IdP 설명서에서 명시하는 지침을 사용하여 TCM 메타데이터를 제출합니다.

6단계: IdP 구성(Tableau Cloud)

6단계의 경우 IdP 설명서에서 명시하는 지침을 사용하여 Tableau Cloud 메타데이터를 제출합니다.

6단계: 구성 테스트 및 SAML 문제 해결(TCM)

잠긴 시나리오를 방지하려면 SAML 구성을 테스트하는 것이 좋습니다. 구성을 테스트하면 사용자의 인증 유형을 SAML로 변경하기 전에 SAML을 올바르게 구성했는지 확인할 수 있습니다. 구성을 성공적으로 테스트하려면 로그인할 수 있는 사용자가 IdP에 이미 프로비저닝되어 있고 SAML 인증 유형이 구성된 상태로 Tableau Cloud 또는 TCM에 추가된 사용자가 한 명 이상 있는지 확인합니다.

TCM에 성공적으로 로그인할 수 없는 경우 인증 페이지에 나와 있는 문제 해결 단계를 시작하십시오. 이러한 단계에 따라도 문제가 해결되지 않는 경우 SAML 문제 해결을 참조하십시오.

7단계: 구성 테스트 및 SAML 문제 해결(Tableau Cloud)

Tableau Cloud에 성공적으로 로그인할 수 없는 경우 새 구성 페이지에 나와 있는 문제 해결 단계를 시작하십시오. 이러한 단계에 따라도 문제가 해결되지 않는 경우 SAML 문제 해결을 참조하십시오.

사용자 관리

기존 Tableau Cloud 또는 TCM 사용자를 선택하거나 SSO(Single Sign-On)를 위해 승인하려는 새로운 사용자를 추가합니다.

사용자를 추가하거나 가져올 때 사용자의 인증 유형도 지정합니다. 사용자를 추가한 후 사용자 페이지에서 언제라도 사용자의 인증 유형을 변경할 수 있습니다.

자세한 내용은 다음 중 하나를 참조하십시오.

사이트에 사용자 추가 또는 Tableau Cloud의 사용자 가져오기 항목
TCM의 경우 Tableau Cloud Manager로 사용자 관리 항목

내장된 뷰의 기본 인증 유형

참고: Tableau Cloud에만 적용됩니다.

사용자가 인증 유형을 선택하도록 허용
이 옵션을 선택하면 팝업 창만 지원됩니다. 이 팝업 창에서 뷰가 내장된 위치에 SSO(Single Sign-On) 인증을 사용하는 로그인 단추와 Tableau 자격 증명을 대체 방법으로 사용하는 링크의 두 가지 옵션이 나타납니다.
팁: 이 옵션을 선택하면 사용자가 선택할 로그인 옵션을 알아야 합니다. 사용자를 Single Sign-On 사이트에 추가한 후 사용자에게 보내는 알림을 통해 사용자에게 다양한 로그인 시나리오에서 사용할 인증 유형을 알릴 수 있습니다. 예를 들어 내장된 뷰, Tableau Desktop, Tableau Bridge, Tableau Mobile 등을 사용할 수 있습니다.
Tableau 및 MFA
이 옵션을 사용하면 사이트에서 SAML을 지원하는 경우에도 사용자가 다단계 인증이 포함된 Tableau 자격 증명을 사용하여 로그인해야 합니다. Tableau 및 MFA를 사용하여 로그인하려면 사용자가 Tableau Cloud에 로그인할 때마다 신원을 확인할 수 있는 인증 방법을 설정해야 합니다. 자세한 내용은 다단계 인증 및 Tableau Cloud를 참조하십시오.
인증 구성 목록
특정 구성 옵션을 선택한 경우 사용자가 내장된 뷰에 로그인할 수 있는 방법은 위 6단계에서 명명된 구성에 대해 구성한 설정에 따라 결정됩니다.

Tableau 인증 사용

SAML을 사용하도록 사이트 또는 테넌트를 구성한 경우 일부 또는 모든 사용자가 Tableau 자격 증명을 사용하여 로그인하도록 설정을 변경할 수 있습니다.

더 이상 ID 공급자를 통해 인증을 처리하지 않으려는 경우 또는 모든 사용자에게 Tableau 자격 증명을 사용한 로그인을 요청하려는 경우 사이트 또는 테넌트 수준에서 인증 유형을 변경할 수 있습니다. 아래 사이트 인증 유형 변경 섹션을 참조하십시오.
일부 사용자는 계속해서 SAML을 사용하고 다른 사용자는 Tableau를 사용하도록 하려면 사용자 수준에서 인증 유형을 변경할 수 있습니다. 자세한 내용은 사용자 인증 유형 설정을 참조하십시오.

사이트 인증 유형 변경

Tableau Cloud의 경우

2025년 1월(Tableau 2024.3)부터 사이트에서 다중 인증 유형 및 방법을 사용하도록 설정할 수 있습니다. 사이트에서 사용할 수 있는 인증을 변경하려면 인증 구성을 사용 또는 사용하지 않도록 설정합니다.

Tableau Cloud 사이트에 사이트 관리자로 로그인합니다.
설정 > 인증을 선택합니다.
동작 메뉴를 클릭하고 사용 또는 사용 안 함을 선택하여 사이트에 대한 인증 구성을 사용 또는 사용하지 않도록 설정합니다..

SAML 구성을 비활성화한 후에도 메타데이터 및 IdP 정보는 보존됩니다. 따라서 나중에 다시 SAML을 사용하도록 설정할 경우 SAML 연결을 IdP로 다시 설정할 필요가 없습니다.

TCM의 경우

Cloud 관리자로 TCM에 로그인합니다.
설정 > 인증을 선택합니다.
추가 인증 방법 사용 확인란의 선택을 제거합니다.

SAML 인증서 업데이트

Tableau 사이트 메타데이터에 사용되는 인증서는 Tableau에서 제공하며 구성할 수 없습니다. SAML에 대한 인증서를 업데이트하려면 새 인증서를 IdP에 업로드하고 메타데이터를 Tableau Cloud와 다시 교환해야 합니다.

Tableau Cloud의 경우

사이트에 사이트 관리자로 로그인하고 설정 > 인증을 선택합니다.
인증 유형에서 업데이트하려는 SAML 구성으로 이동하고 동작 메뉴를 클릭한 후 편집을 선택합니다.
새 탭 또는 창을 열고 IdP 계정에 로그인합니다.
IdP의 설명서에 제공된 지침을 사용하여 새 SAML 인증서를 업로드합니다.
Tableau Cloud에 제공할 새 XML 메타데이터 파일을 다운로드합니다.
Tableau Cloud의 구성 편집 페이지로 돌아가 2단계에서 IdP에서 다운로드한 메타데이터 파일을 업로드합니다.
페이지를 아래로 스크롤하여 저장하고 계속 단추를 클릭합니다.

TCM의 경우

TCM에 Cloud 관리자로 로그인하고 설정 > 인증을 선택합니다.
인증 드롭다운에서 SAML > 구성(필수)을 선택합니다.
새 탭 또는 창을 열고 IdP 계정에 로그인합니다.
IdP의 설명서에 제공된 지침을 사용하여 새 SAML 인증서를 업로드합니다.
TCM에 제공할 새 XML 메타데이터 파일을 다운로드합니다.
TCM의 인증 페이지로 돌아가 2단계에서 IdP에서 다운로드한 메타데이터 파일을 업로드합니다.
페이지를 아래로 스크롤하여 저장하고 계속 단추를 클릭합니다.

사용자 특성을 사용하여 데이터 액세스 사용자 지정 및 제어

사용자 특성은 조직에서 정의한 사용자 메타데이터입니다. 사용자 특성은 일반적인 ABAC(특성 기반 액세스 제어) 권한 부여 모델에서 액세스 권한을 결정하는 데 사용할 수 있습니다. 사용자 특성은 직무, 부서 소속, 관리 수준 등 사용자 프로필의 모든 측면을 포함할 수 있습니다. 또한 사용자가 로그인한 위치 또는 언어 기본 설정과 같은 런타임 사용자 컨텍스트와 연관될 수 있습니다.

워크플로우에 사용자 특성을 포함하면 데이터 액세스 및 개인화를 통해 사용자 환경을 제어하고 사용자 지정할 수 있습니다.

데이터 액세스: 사용자 특성을 사용하여 데이터 보안 정책을 적용할 수 있습니다. 이를 통해 사용자는 자신이 볼 권한을 부여받은 정보만 볼 수 있습니다.
개인 설정: 위치 및 역할과 같은 사용자 특성을 전달하면 액세스하는 사용자와 관련된 정보만 표시하도록 콘텐츠를 사용자 지정할 수 있으므로 필요한 정보를 더 쉽게 찾을 수 있습니다.

사용자 특성을 전달하는 단계 요약

워크플로우에서 사용자 특성을 사용하도록 설정하는 프로세스는 다음 단계로 요약됩니다.

사용자 특성 설정 사용
어설션에 사용자 특성 포함
콘텐츠 작성자가 사용자 특성 함수와 관련 필터를 포함하는지 확인
콘텐츠 검토

1단계: 사용자 특성 설정 사용

보안상의 이유로 사이트 관리자가 사용자 특성 설정을 사용하도록 설정한 경우에만 인증 워크플로우에서 사용자 특성의 유효성이 검사됩니다.

Tableau Cloud에 로그인하고 설정 > 인증을 클릭합니다.
인증 워크플로우에서 사용자 액세스 제어 제목 아래에서 인증 워크플로우에서 사용자 특성 캡처 사용 확인란을 선택합니다.

사이트 설정에 대한 자세한 내용은 인증 워크플로우의 사용자 액세스 제어를 참조하십시오.

2단계: 어설션에 사용자 특성 포함

어설션에 사용자 특성이 포함되어 있는지 확인합니다.

참고: scp 또는 scope 특성을 제외하고 SAML 응답의 특성에는 4096자 제한이 적용됩니다. 사용자 특성을 포함하여 응답의 특성이 이 제한을 초과하는 경우 Tableau는 해당 특성을 제거하고 대신 ExtraAttributesRemoved 특성을 전달합니다. 그런 다음 콘텐츠 작성자는 특성이 감지되었을 때 사용자에게 콘텐츠를 표시하는 방법을 결정하기 위해 ExtraAttributesRemoved 특성이 포함된 계산을 만들 수 있습니다.

예

South 지역에 위치한 관리자인 Fred Suzuki라는 직원이 있다고 가정하겠습니다. Fred가 보고서를 검토할 때 South 지역의 데이터만 볼 수 있도록 해야 합니다. 이와 같은 시나리오에서는 아래 예와 같이 SAML 응답에 Region 사용자 특성을 포함할 수 있습니다.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

3단계: 콘텐츠 작성자가 특성 함수를 포함하는지 확인

콘텐츠 작성자가 사용자 특성 함수와 관련 필터를 포함하여 콘텐츠에 표시할 수 있는 데이터를 제어해야 합니다. 사용자 특성 어설션이 Tableau로 전달되도록 하려면 콘텐츠에 다음 사용자 특성 함수 중 하나가 포함되어야 합니다.

USERATTRIBUTE('attribute_name')
USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

콘텐츠 작성자가 사용하는 함수는 사용자 특성이 단일 값을 반환하는지 아니면 여러 값을 반환하는지에 따라 달라집니다. 이러한 함수에 대한 자세한 내용과 각 함수의 예는 Tableau 도움말의 사용자 함수(링크가 새 창에서 열림)를 참조하십시오.

참고:

Tableau Desktop 또는 Tableau Cloud에서 작성하는 경우 이러한 함수를 사용하는 콘텐츠의 미리 보기를 사용할 수 없습니다. 함수는 NULL 또는 FALSE 값을 반환합니다. 사용자 함수가 예상대로 작동하는지 확인하려면 작성자가 콘텐츠를 사용할 수 있도록 설정한 후 함수를 검토하는 것이 좋습니다.
콘텐츠가 예상대로 렌더링될 수 있도록 콘텐츠 작성자는 ExtraAttributesRemoved 특성을 사용하는 계산을 포함하려 할 수 있습니다. 이 계산은 1) 해당 특성의 존재 여부를 확인하고 2) 특성이 존재할 경우 콘텐츠에 대해 수행할 작업을 결정합니다(예: 메시지 표시). SAML XML의 특성이 4096자를 초과하는 경우 Tableau는 ExtraAttributesRemoved 특성만 추가하고 scp 또는 scope를 제외한 다른 모든 특성을 제거합니다. 이는 최적의 성능을 보장하고 저장소 제한을 준수하기 위한 것입니다.

예

위의 2단계: 어설션에 사용자 특성 포함에서 설명한 예를 계속 진행하겠습니다. 'Region' 사용자 특성 어설션을 통합 문서에 전달하기 위해 작성자는 USERATTRIBUTEINCLUDES를 포함할 수 있습니다. 예를 들어 USERATTRIBUTEINCLUDES('Region', [Region])와 같습니다. 여기서, 'Region'은 사용자 특성이고 [Region]은 데이터의 열입니다. 작성자는 새 계산을 사용하여 Manager 및 Sales 데이터가 있는 테이블을 만들 수 있습니다. 계산이 추가되면 통합 문서는 예상대로 'False' 값을 반환합니다.

내장된 통합 문서에서 South 지역과 연관된 데이터만 표시하려는 경우 작성자는 필터를 만들고 South 지역이 'True'일 때 값을 표시하도록 필터를 사용자 지정할 수 있습니다. 필터를 적용하면 함수가 'False' 값을 반환하고 필터는 'True' 값만 표시하도록 사용자 지정되기 때문에 통합 문서가 예상대로 비어 있게 됩니다.