Amazon Athena에서 사용자 고유의 ID 공급자 사용
Tableau 2023.2부터 OAuth 2.0/OIDC를 사용하여 외부 ID 공급자의 ID를 Amazon Athena에 페더레이션할 수 있습니다.
ID 공급자에 따라 통합을 구성하는 데 여러 단계가 필요할 수 있습니다. Tableau는 Tableau 제품 구성 방법에 대한 세부적인 지침만 제공합니다. 이 문서에서 다루는 구성 프로세스는 개괄적인 수준의 정보입니다.
참고: Tableau 및 Salesforce 콘텐츠 외부의 단계와 링크는 업데이트되지 않거나 정확하지 않을 수 있습니다.
IDP(ID 공급자) 구성
Tableau Desktop 및 Tableau Server용 OAuth 클라이언트를 IDP에서 만듭니다. Desktop 클라이언트는 PKCE를 사용하도록 설정하고 http://localhost 리디렉션을 사용합니다.
권한 부여를 위해 사용자 지정 클레임을 역할에 추가합니다.
Tableau OAuth 구성 파일을 만듭니다. github의 설명서와 여기에서 예시를 참조하십시오. Tableau OAuth 구성 ID 앞에 "custom_"을 붙여야 합니다.
데스크톱 컴퓨터, Tableau Server 및 Tableau Cloud 사이트에 Tableau OAuth 구성 파일을 설치합니다.
AWS에서 IDP 구성
IDP 엔터티를 만듭니다. Amazon 설명서 웹 아이덴티티 페더레이션 및 OIDC ID 공급자 생성을 참조하십시오.
IDP에 대한 역할과 정책을 구체적으로 만듭니다. AWS 설명서에서 OIDC를 위한 역할 생성을 참조하십시오.
Athena에 대한 역할 구성
Athena에 필요한 정책을 연결할 수 있습니다. 이를 수행할 수 있는 방법은 여러 가지이며, 그중 한 가지 방법은 사용자 지정 클레임을 사용하는 것입니다. openID 토큰의 사용자 지정 클레임을 사용하여 역할에 권한을 부여할 수 있습니다. 이러한 역할에는 다른 리소스에 대한 액세스 권한이 부여됩니다. 자세한 내용은 다음을 참조하십시오.
Athena에 연결
사용자는 맡을 역할 ARN을 지정한 다음 이전에 설치된 OAuth 구성을 선택해야 합니다.
올바로 구성되면 사용자는 Tableau에 대해 토큰을 인증하고 권한을 부여할 수 있도록 IDP로 리디렉션됩니다. openid 및 새로 고침 토큰이 Tableau에 수신됩니다. AWS는 IDP에서 토큰과 서명을 검증하고, 토큰에서 클레임을 추출하고, 클레임과 IAM 역할의 매핑을 조회하고, Tableau가 사용자를 대신하여 역할을 맡는 것을 허용하거나 차단할 수 있습니다.
Okta 구성
Okta를 사용하는 경우 '조직 권한 부여 서버'보다는 '사용자 지정 권한 부여 서버'를 사용하는 것이 더 좋습니다. 사용자 지정 권한 부여 서버가 더 유연합니다. 기본적으로 생성된 'default'라는 사용자 지정 권한 부여 서버가 있습니다. 권한 부여 URL은 다음 예와 유사합니다.
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
