ID プロバイダーとの統合のための SAML
Security Assertion Markup Language (SAML) は認証と承認のための XML ベースのオープン標準です。SAML の主な利点の 1 つは、シングル サインオン (SSO) が有効になることです。これによりユーザーがクラウド アプリケーションやウェブサイトにログオンする回数を最小限に抑えられます。
認証プロセスには 3 つのエンティティが関与します。
-
アプリケーションまたはサービスへのアクセスを開始するユーザー。
-
Microsoft Entra ID や Okta など、ユーザー認証用の信頼されたシステムを提供する ID プロバイダー (IdP) 。
-
Qlik Cloud など、ユーザーがログインするアプリケーションまたはサービスを提供するサービス プロバイダー (SP) 。
ID プロバイダーはユーザーを認証し、ユーザーの ID をサービス プロバイダーにアサートします。これは、SAML アサーションと呼ばれるデジタル署名された XML ドキュメントを交換することで実行されます。これらのアサーションには、ユーザー、認証ステータス、潜在的な追加属性が含まれます。その後、サービス プロバイダーはユーザーに自社のサービスへのアクセスを許可できます。ID プロバイダーで SSO を有効にすると、ユーザーは各サイトにログインすることなく、複数のサービス プロバイダーのサイトやアプリケーションにアクセスできます。
SP-initiated と IdP-initiated SSO
SAML は、サービス プロバイダー (SP) または ID プロバイダー (IdP) によって開始されるログイン フローをサポートします。
SP-initiated SSO では、ユーザーはサービス プロバイダー サイトから開始しますが、サイトでログインする代わりに、ID プロバイダーを使用して SSO 認証が開始されます。たとえば、ユーザーがサービス プロバイダーである Qlik Cloud にログインすると、ログインは ID プロバイダーに転送され、そこで実際の SSO 認証が処理されます。
IdP-initiated SSO では、ユーザーは ID プロバイダーに直接ログインし、サービス プロバイダーへの SSO 認証を開始するアプリケーションを選択します。
アサーション
アサーションは、標準化された形式の認証および認可情報を含む、XML ベースのステートメントです。アサーションは ID プロバイダーによって生成され、サービス プロバイダーによって検証されます。
ID プロバイダーと統合する場合、SAML アサーションを安全に交換するようにアプリケーションを構成する必要がある場合があります。これには、信頼関係の設定、エンドポイント URL、証明書交換が含まれます。
クレーム
クレームは、ID プロバイダーによってアサートされ、認証プロセス中にサービス プロバイダーに送信されるユーザーに関する情報の一部です。SAML は、名前やメールなどのユーザー属性を含む、一連の標準クレームを定義します。アプリケーションの要件に基づいて、クレームのマッピングを変更できます。
メタデータ
ID プロバイダー (IdP) とサービス プロバイダー (SP) 間のメタデータの交換は、信頼関係を確立し、SAML プロトコルが適切に機能するために不可欠です。
IdP メタデータ
サービス プロバイダーの設定には、ID プロバイダーに関するメタデータが必要です。Qlik Cloud では、この情報を IdP メタデータ ファイルとして、Administration アクティビティ センターからアップロードできます。
ID プロバイダーのメタデータには、次の詳細が含まれます。
-
ID プロバイダーのエンティティ ID。
-
シングル サインオン (SSO) URL。これは、SAML 認証リクエストがサービス プロバイダーからID プロバイダーに送信されるエンドポイントです。認証のためにユーザーがリダイレクトされる URL です。
-
ID プロバイダーがサービス プロバイダーに送信する SAML アサーションに署名するために使用する署名証明書。
SP メタデータ
ID プロバイダー側で構成を設定するには、サービス プロバイダーのメタデータが必要です。この情報は、Qlik Cloud の Administration アクティビティ センターから取得できます。
サービス プロバイダーのメタデータには、次の詳細が含まれます。
-
サービス プロバイダーのエンティティ ID。
-
アサーション コンシューマー サービス (ACS) URL。これは、ID プロバイダーが認証後に SAML アサーションを送信する場所です。
-
サービス プロバイダーが ID プロバイダーに送信する認証リクエストに署名するために使用される署名証明書。