Tableau Cloud에 대한 SAML 요구 사항

Tableau Cloud에서 SAML을 구성하기 전에 요구 사항을 충족하기 위해 필요한 사항을 확인하십시오.

Tableau 구성을 위한 ID 공급자(IdP) 요구 사항

SAML 사용을 위해 Tableau Cloud를 구성하려면 다음이 필요합니다.

  • Tableau Cloud 사이트에 대한 관리자 액세스 권한. SAML을 사용하도록 설정할 Tableau Cloud 사이트에 관리자로 액세스할 수 있어야 합니다.

  • SSO를 사용하여 Tableau Cloud에 액세스할 사용자의 목록. Tableau Cloud에 대한 SSO(Single Sign-On) 액세스를 허용할 사용자의 사용자 이름을 수집해야 합니다.

  • SAML 2.0을 지원하는 IdP 계정. 외부 ID 공급자의 계정이 필요합니다. 몇 가지 예로 PingFederate, SiteMinder 및 Open AM이 있습니다. IdP는 SAML 2.0을 지원해야 하며 해당 계정에 대한 관리자 액세스 권한이 있어야 합니다.

  • SHA256은 서명 알고리즘으로 사용됩니다. 2020년 5월부터 Tableau Cloud는 SHA-1 알고리즘으로 서명된 IdP 어설션 및 인증서를 차단합니다.

  • XML 메타데이터 가져오기 및 내보내기를 지원하는 IdP 공급자. 수동으로 생성된 파일이 작동할 수 있지만 Tableau 기술 지원 부서는 파일 생성이나 관련 문제 해결에 대한 지원을 제공하지 않습니다.

  • 최대 토큰 수명을 24일(2073600초) 이하로 적용하는 IdP 공급자. IdP가 Tableau Cloud의 최대 수명 설정(2073600초)보다 긴 최대 토큰 수명을 허용하는 경우 Tableau Cloud는 토큰을 유효한 것으로 인식하지 않습니다. 이 시나리오에서 사용자는 Tableau Cloud에 로그인하려고 할 때 (로그인하지 못했습니다. 다시 시도하십시오.) 오류 메시지를 받게 됩니다.

  • MFA가 사용되는 SSO. 2022년 2월부로 Tableau Cloud에는 SAML SSO IdP(ID 공급자)를 통한 MFA(다단계 인증)가 필요합니다.

    중요: 이러한 요구 사항과 함께 MFA 사용 TableauID(링크가 새 창에서 열림)가 항상 구성되어 있는 전용 사이트 관리자 계정을 사용하는 것이 좋습니다. SAML 또는 IdP 관련 문제가 발생하는 경우 전용 MFA 사용 Tableau 계정을 사용하면 사이트에 항상 액세스할 수 있습니다.

     

SAML 호환성 참고 사항 및 요구 사항

  • SP 또는 IdP 초기화: Tableau Cloud에서는 IdP(ID 공급자) 또는 SP(서비스 공급자)에서 시작되는 SAML 인증을 지원합니다.

  • SLO(싱글 로그아웃): Tableau Cloud는 SP(서비스 공급자)에서 시작한 SLO와 IdP(ID 공급자)에서 시작한 SLO를 모두 지원합니다.

    참고: 사이트의 SLO URL을 확인하려면 Tableau Cloud 사이트에서 생성되는 메타데이터 XML 파일을 다운로드하고 이를 참조하십시오. 설정 > 인증으로 이동하여 이 파일을 찾을 수 있습니다. SAML 인증 유형 아래에서 구성(필수) 드롭다운 화살표를 클릭한 다음 1단계 방법 1의 메타데이터 내보내기 단추를 클릭합니다.

  • tabcmd 및 REST API: tabcmd 또는 REST API(링크가 새 창에서 열림)를 사용하려면 사용자가 TableauID 계정을 사용하여 Tableau Cloud에 로그인해야 합니다.

  • 암호화된 어설션: Tableau Cloud는 일반 텍스트 또는 암호화된 어설션을 지원합니다.

  • Tableau Bridge 재구성 필요: Tableau Bridge는 SAML 인증을 지원하지만 인증을 변경하려면 Bridge 클라이언트를 다시 구성해야 합니다. 자세한 내용은 Tableau Bridge에서 인증 유형을 변경할 때의 효과을 참조하십시오.

  • 필수 서명 알고리즘: 모든 새 SAML 인증서에 대해 Tableau Cloud에서는 SHA256(또는 이상) 서명 알고리즘을 요구합니다.

  • RSA 키 및 ECDSA 곡선 크기 IdP 인증서에는 키 강도가 2048인 RSA 키 또는 곡선 크기가 256인 ECDSA가 포함되어야 합니다.
  • NameID 특성: Tableau Cloud는 SAML 응답에 NameID 특성을 요구합니다.

Tableau 클라이언트 응용 프로그램에서 SAML SSO 사용

Tableau Cloud 사용자에게 SAML 자격 증명이 있는 경우에도 Tableau Desktop 또는 Tableau Mobile 앱에서 사이트에 로그인할 수 있습니다. 최고의 호환성을 위해서는 Tableau 클라이언트 응용 프로그램 버전이 Tableau Cloud 버전과 일치해야 합니다.

Tableau Desktop 또는 Tableau Mobile에서 Tableau Cloud에 연결하는 경우 서비스 공급자가 시작한 연결을 사용합니다.

인증된 사용자를 다시 Tableau 클라이언트로 리디렉션

사용자가 Tableau Cloud에 로그인하는 경우 Tableau Cloud는 IdP에 SAML 요청(AuthnRequest)을 보내며, 이 요청에는 Tableau 응용 프로그램의 RelayState 값이 포함됩니다. 사용자가 Tableau Desktop 또는 Tableau Mobile 같은 Tableau 클라이언트에서 Tableau Cloud에 로그인한 경우 Tableau에 대한 IdP의 SAML 응답에서 RelayState 값이 반환되어야 합니다.

이 시나리오에서 RelayState 값이 적절하게 반환되지 않으면 사용자가 로그인한 응용 프로그램으로 리디렉션되는 것이 아니라 웹 브라우저에서 사용자의 Tableau Cloud 홈 페이지로 이동됩니다.

ID 공급자 및 내부 IT 팀과 협력하여 IdP의 SAML 응답에 이 값이 포함되는지 확인합니다.

Tableau Bridge에서 인증 유형을 변경할 때의 효과

사이트의 인증 유형을 변경하거나 IdP를 수정하면 예약된 추출 새로 고침에 Tableau Bridge를 사용하는 게시자가 클라이언트의 연결을 해제했다가 다시 연결하고 새 방법 또는 IdP 구성을 사용하여 다시 인증해야 합니다.

레거시 일정의 경우 Bridge 클라이언트 연결을 해제하면 모든 데이터 원본이 제거되므로 새로 고침 일정을 다시 설정해야 합니다. 온라인 일정의 경우 클라이언트를 다시 연결한 후 Bridge 클라이언트 풀을 다시 구성해야 합니다.

Tableau Cloud 사이트에서 직접 실행되는 Bridge 라이브 쿼리 또는 새로 고침(예: 클라우드의 기초 데이터에 대한 라이브 쿼리 또는 새로 고침)에는 인증 유형을 변경해도 영향을 미치지 않습니다.

인증 유형을 변경하기 전에 Bridge 사용자에게 사이트 인증에 대한 변경 내용을 알리는 것이 좋습니다. 그렇지 않을 경우 Bridge 클라이언트에서 인증 오류가 표시되거나 빈 데이터 원본 영역이 열릴 때 인증 유형이 변경된 것을 알게 됩니다.

XML 데이터 요구 사항

Tableau Cloud 및 IdP에서 생성된 XML 메타데이터 문서를 사용하여 SAML을 구성합니다. 인증 프로세스 중에 IdP 및 Tableau Cloud는 이러한 XML 문서를 사용하여 인증 정보를 교환합니다. XML이 이러한 요구 사항을 충족하지 않으면 SAML을 구성할 때 또는 사용자가 로그인을 시도할 때 오류가 발생할 수 있습니다.

HTTP POST 및 HTTP REDIRECT: Tableau Cloud는 SAML 통신을 위한 HTTP POST 및 REDIRECT 요청을 지원합니다. IdP가 내보낸 SAML 메타데이터 XML 문서에서 Binding 특성은 다음으로 설정될 수 있습니다.

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

SAML 어설션을 사용한 동적 그룹 멤버십:

2024년 6월(Tableau 2024.2)부터 SAML이 구성되어 있고 해당 기능의 설정이 사용하도록 설정된 경우 IdP(ID 공급자)가 전송한 SAML XML 응답에 포함된 사용자 지정 클레임을 통해 그룹 멤버십을 동적으로 제어할 수 있습니다.

구성된 경우 사용자 인증 중에 IdP는 사용자를 어설션할 그룹(https://tableau.com/groups)과 그룹 이름(예: "Group1" 및 "Group2")이라는 두 개의 사용자 지정 그룹 멤버십 클레임이 포함된 SAML 어설션을 전송합니다. Tableau는 어설션의 유효성을 검사한 다음 그룹 및 콘텐츠(사용 권한이 해당 그룹에 따라 달라짐)에 대한 액세스를 허용합니다.

자세한 내용은 어설션을 사용한 동적 그룹 멤버십를 참조하십시오.

SAML XML 응답 예시

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!