고객용 애플리케이션에 Databricks AI/BI 대시보드를 임베드하는 방법

Databricks AI/BI 대시보드 는 GTM(go-to-market) 팀을 위한 판매 보고서, 공급망 관리자를 위한 운영 대시보드, 리더십 검토를 위한 주간 KPI 등 내부 분석을 강화하는 데 자주 사용됩니다. 하지만 많은 조직에서 가장 가치 있는 분석은 고객, 공급업체 또는 파트너와 공유해야 하는 분석입니다. 이러한 인사이트는 제품 가치를 형성하고, 관계를 강화하며, 플랫폼을 차별화합니다.

외부 사용자를 위한 임베딩 을 사용하면 Databricks에 이미 존재하는 대시보드를 고객 또는 파트너용 애플리케이션내부에 직접 배치할 수 있습니다. 이 환경은 완전한 양방향이며 실시간으로 제공됩니다. 사용자는 Databricks 계정이 필요 없습니다. 그리고 Databricks는 사용자당 또는 세션당 요금이 아닌 compute를 기준으로 요금을 청구하므로 예측 불가능한 비용 발생 없이 분석을 수천 명의 뷰어로 확장할 수 있습니다.

이 가이드에서는 인증, 권한, 행 수준 필터링, 감사 가시성을 포함하여 외부 임베딩의 작동 방식과 안전하게 설정하는 방법을 단계별로 설명합니다.

내부 임베딩과 외부 임베딩 이해하기

Databricks AI/BI 대시보드를 삽입하는 방법에는 두 가지가 있습니다.

뷰어가 ID 공급자를 사용하여 로그인하는 조직 내부 사용자인 경우, 대시보드를 열고 Share, Embed code를 차례로 선택한 다음 생성된 iframe을 Confluence 또는 Salesforce 같은 도구에 붙여넣기만 하면 됩니다. 사용자가 포함된 대시보드를 열면 Databricks 자격 증명으로 로그인하며 Unity Catalog가 액세스 제어를 적용합니다. 이는 회사 내 팀, 부서 및 사업부에 가장 적합합니다. 이를 기본 대시보드 임베딩이라고 합니다. 자세한 내용은 이 동영상을 시청하세요.

그러나 이 방법은 대상이 외부 사용자이고 Databricks 계정이 없는 경우에는 작동하지 않습니다. 이 경우 개별 사용자가 아닌 서비스 주체(Service Principal)를 통해 인증하는 외부 사용자용 임베딩(Embedding for External Users) 을 사용합니다. 이를 통해 ID 공급자 외부의 사용자는 애플리케이션에서 발급한 안전하고 수명이 짧으며 범위가 지정된 토큰을 사용하여 대시보드와 상호 작용할 수 있습니다.

그 결과, 외부 뷰어에게는 AI/BI 대시보드가 애플리케이션 인터페이스의 자연스러운 확장처럼 보이는 원활한 삽입 환경이 제공됩니다.

외부 임베딩의 작동 방식 

상위 수준에서 애플리케이션은 각 외부 뷰어를 대신하여 Databricks로 인증합니다. 애플리케이션은 뷰어를 식별하고, 선택적으로 뷰어가 볼 수 있는 데이터를 제어하기 위한 필터 값을 포함하는 범위 지정 토큰을 요청합니다. Databricks는 서비스 주체의 권한을 사용하여 대시보드를 실행하고 해당 뷰어에게 허용된 데이터만 반환합니다. 사용자 활동은 추적되며 감사할 수 있습니다.

이 구조를 통해 새로운 사용자 ID를 프로비저닝할 필요 없이 안전하고 관리되는 방식으로 개인화된 데이터 환경을 제공할 수 있습니다.

단계별 설정

1. 호스트 애플리케이션의 도메인을 허용 목록에 추가하세요.

Databricks에서 Workspace 설정 → 보안 → 외부 액세스 로 이동하여 대시보드가 표시될 애플리케이션의 URL을 승인된 도메인 목록에 추가합니다. 개발 목적으로는 https://localhost 를 추가하거나 개발 workspace를 사용하는 경우 모든 도메인을 허용하는 것을 고려해야 합니다.

2. 대시보드 생성 및 게시

평소처럼 AI/BI 대시보드를 빌드합니다. 게시할 때 포함된 인증 정보 없이 게시하도록 선택합니다. 이렇게 하면 대시보드가 항상 Service Principal을 사용하여 실행되므로 query할 수 있는 데이터에 대한 모든 제어 권한을 가질 수 있습니다.

3. 애플리케이션용 Service Principal 만들기

 설정 → ID 및 액세스 → Service Principal 로 이동하여 외부 애플리케이션을 나타내는 새 Service Principal을 만듭니다. OAuth 보안 비밀을 생성하고 안전하게 저장합니다. 이 Service Principal은 Databricks가 대시보드 query를 실행할 때 사용하는 ID입니다.

대시보드에서 참조하는 모든 기본 테이블 또는 뷰에 대해 서비스 주체에 SELECT+ 권한을 부여합니다.

4. 서비스 주체와 대시보드 공유

대시보드를 열고 공유를 선택하여 서비스 주체에 실행 가능 권한을 부여합니다. 이제 서비스 주체는 사용자를 대신하여 대시보드를 실행할 수 있습니다.

5. 애플리케이션에서 OAuth 토큰 생성

이 시점부터는 진행하려면 자체 애플리케이션이 필요합니다. 여기 에서 예제 애플리케이션을 사용하여 자유롭게 따라 해 보세요.

애플리케이션은 대시보드를 방문하는 각 뷰어에 대해 OAuth 토큰을 생성해야 합니다. 예제 애플리케이션에서 코드는 다음과 같습니다.

6. 행 수준 보안 및 뷰어 추적 적용

관찰 가능성을 추가하고 선택적으로 데이터를 개인화하려면 뷰어 식별자 와 선택적 필터 값을 모두 포함하는 범위 지정 토큰을 요청합니다.

• external_viewer_id 는 각 외부 뷰어를 고유하게 식별하며 Databricks audit logs에 자동으로 표시되어, 누가 무엇을 보았는지 완벽하게 파악할 수 있습니다.
• external_value가 지정된 경우, 전역 변수 __aibi_external_value 를 통해 대시보드 SQL에서 참조되어 행 수준 보안을 동적으로 적용 할 수 있습니다. 이는 SQL 기록과 토큰에만 표시됩니다.

 예를 들어, 다음과 같은 접근 방식이 있습니다.

이를 통해 앱에 각 고객의 자체 데이터를 표시할 수 있으므로 대시보드나 데이터세트를 복제할 필요가 없습니다. 이러한 값은 OAuth를 통해 안전하게 서명되므로 애플리케이션 사용자가 변경할 수 없습니다.

7. 애플리케이션에서 대시보드 렌더링

Databricks 클라이언트를 사용하여 애플리케이션에 대시보드를 안전하게 임베드하세요:

이제 고객과 파트너는 Databricks 로그인 없이 실시간 대화형 AI/BI 대시보드를 볼 수 있습니다.

간단하고 확장 가능한 가격 정책

Databricks는 사용자 또는 뷰어 세션당 요금을 부과하지 않습니다. 내부 분석에서와 마찬가지로 대시보드 query를 구동하는 SQL compute에 대해서만 비용을 지불합니다. 따라서 사용자 수가 많거나 예측 불가능한 고객 대상 분석에 매우 적합합니다.

시작하기

자체 애플리케이션에 AI/BI 대시보드를 임베딩해 보려면 예시 애플리케이션을 여기 에서 확인하고 Databricks 문서도 참조하세요. 

단 몇 줄의 코드로 Databricks 기반 인사이트를 제품과 고객 경험에 직접 확장할 수 있습니다. 이는 다른 모든 것을 구동하는 것과 동일한 통합 compute 및 거버넌스 모델을 기반으로 안전하게 대규모로 이루어집니다.

(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)