Microsoft Entra ID を SAML ID プロバイダーとして構成する
このトピックでは、Qlik Cloud の ID プロバイダーとして Microsoft Entra ID (旧 Azure AD) を設定する方法について説明します。
Microsoft Entra ID で SAML アプリケーションを構成する
最初のステップとして、Qlik Cloud テナントをサービス プロバイダー (SP) として信頼するように、Microsoft Entra ID で SAML アプリケーションを設定します。
次の手順を実行します。
-
Microsoft Entra 管理センターで、 [Enterprise applications] (エンタープライズ アプリケーション) > [New application] (新規アプリケーション) に移動します。
-
[Create your own application] (独自のアプリケーションを作成する) をクリックします。
-
アプリケーションの名前を入力します。
-
[シングル サインオン] に移動し、シングル サインオン方法として [SAML] を選択します。
-
[Set up Single Sign-On with SAML] (SAML を使用したシングル サインオンの設定) ページで、次の情報を入力します。
設定 値 識別子(エンティティID) 元のテナントのホスト名 応答 URL (アサーション コンシューマ サービス URL) 元のテナントのホスト名の末尾に /login/saml というパスが追加されたもの SSO の設定。
-
[Attributes & Claims] (属性とクレーム) セクションに移動し、 [編集] をクリックして表示名とグループを構成します。
-
[Add new claim] (新しいクレームを追加) を選択して、次の情報を入力します。
設定 値 名前 displayname ソース 属性 ソース属性 user.displayname クレームの設定。
-
[保存] をクリックします。
-
[Add a group claim] (グループ クレームを追加) を選択します。
グループ クレームの構成は、グループが管理される場所に応じて異なります。
-
グループがクラウド管理されている場合:
-
関連グループとして [Groups assigned to the application] (アプリケーションに割り当てられたグループ) を選択します。
-
[ソース属性] で、 [Cloud-only group display names] (クラウド専用グループの表示名) を選択します。
情報メモ関連するグループをクレームに表示するには、それらのグループをアプリケーションに割り当てる必要もあります。
-
-
Microsoft Entra Connect を使用している場合:
-
関連グループとして [All groups] (すべてのグループ) を選択します。
-
[ソース属性] で、 [sAMAccountName] を選択します。
-
-
-
[保存] をクリックします。
-
属性とクレームに、次のクレームが一覧表示されているはずです。
-
displayname
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
後で Qlik Cloud テナントで IdP 構成を設定するときに使用できるように、これらの値を保存しておきます。
クレームのマッピング。
-
-
ユーザーとグループを割り当てます。
-
[Users and groups] (ユーザーとグループ) に移動して、 [Add user/group] (ユーザー/グループを追加) をクリックします。
-
ログインにアプリケーションを使用するユーザーとグループを割り当てます。
アプリケーションにユーザーを割り当てます。
-
-
IdP メタデータを取得します。
-
[SAML Certificates] (SAML 証明書) に移動します。
-
Federation Metadata XML をダウンロードします。
このファイルは、後ほど Qlik Cloud の設定中に必要になります。SAML 証明書。
-
Qlik Cloud で IdP 構成を作成して検証する
テナント管理者として Qlik Cloud にログインし、IdP 構成を作成します。
次の手順を実行します。
-
管理コンソール で、[ID プロバイダー] に移動して、[新規作成] をクリックします。
-
[タイプ] で [SAML] を選択します。
-
[プロバイダー] で [Microsoft Entra ID (Azure AD)] を選択します。
-
必要に応じて、IdP 構成の説明を入力します。
-
[IdP メタデータを使用する] を選択します。
-
[SAML IdP メタデータ] で [ファイルをアップロード] をクリックし、Microsoft Entra ID の設定中にダウンロードしたメタデータ ファイルを選択します。
IdP 構成。
-
[クレーム マッピング] で、 [name]、 [email]、 [groups] を Microsoft Entra ID のクレーム名に設定します。
IdP 構成のクレーム マッピング。
-
[作成] をクリックします。
-
[インタラクティブ ID プロバイダーを作成] ダイアログで、 [IdP を検証] チェックボックスをオフにして、 [作成] をクリックします。
この操作により、即時検証が実行されずに IdP 構成が作成されます。検証は後の段階で実行されます。情報メモ必要に応じて、今すぐ検証できます。ただし、次のセクションを完了して、Microsoft Entra ID に証明書ファイルを最初にアップロードすることをお勧めします。
SAML リクエストの署名検証を構成する
Qlik Cloud SAML リクエスト署名証明書をダウンロードして、Microsoft Entra ID にアップロードします。
次の手順を実行します。
-
Qlik Cloud 管理コンソールで、 [ID プロバイダー] に移動します。
-
SAML IdP 構成で
をクリックし、 [View provider configuration] (プロバイダー構成を表示) を選択します。 -
[署名証明書をダウンロード] を選択してから、 [完了] をクリックします。
Microsoft Entra ID の SAML アプリケーションに戻ります。
次の手順を実行します。
-
Microsoft Entra ID で SAML アプリケーションを選択し、 [シングル サインオン] に移動します。
-
[検証証明書 (オプション)] で、 [編集] をクリックします。
検証証明書。
-
[Require verification certificates] (検証証明書を必要とする) を選択します。
検証証明書のアップロード。
-
[Upload Certificate] (証明書のアップロード) をクリックしてから、 署名証明書ファイルを見つけます。
-
[保存] をクリックします。
SAML 要求の署名を検証するように Microsoft Entra ID が設定されました。Qlik Cloud に戻って検証を開始します。
Qlik Cloud で ID プロバイダーを検証する
Microsoft Entra ID の設定が正常に完了したら、Qlik Cloud で IdP 構成を検証できます。
次の手順を実行します。
-
管理コンソール で、 [ID プロバイダー] に移動します。
-
SAML IdP 構成で
をクリックして、 [検証] を選択します。 -
検証ウィザードの手順に従って、Microsoft Entra ID アプリケーションに追加されたユーザーとしてログインを実行します。ユーザー プロファイル データが正しいことを確認します。
ユーザーを Qlik Cloud テナント管理者に昇格させ、IdP をアクティブ化するオプションが表示されます。IdP をアクティブ化すると、テナント内で以前に構成された対話型 ID プロバイダーが非アクティブ化されることに注意してください。