Okta を SAML ID プロバイダーとして構成する

このトピックでは、Qlik Cloud の ID プロバイダーとして Okta を設定する方法について説明します。

Okta で SAML アプリケーションを構成する

最初のステップとして、Qlik Cloud テナントをサービス プロバイダー (SP) として信頼するように、Okta で SAML アプリケーションを設定します。

次の手順を実行します。

1. Okta の管理コンソールで、 [アプリケーション] > [アプリケーション] に移動します。

2. [Create App Integration] (アプリ統合を作成) をクリックします。

3. [Sign-in method] (サインイン方法) で [SAML 2.0] を選択して、 [次へ] をクリックします。

4. 必要に応じて統合に関する一般情報を入力して、 [次へ] をクリックします。

5. [SAML Settings] (SAML 設定) で、次の情報を入力します。

   設定	値
   シングルサイン オン URL	元のテナントのホスト名の末尾に /login/saml というパスが追加されたもの
   [Audience URI (SP Entity ID)] (オーディエンス URI (SP エンティティ ID))	元のテナントのホスト名 (パスの追加や末尾のスラッシュなし)
   名前 ID の形式	不特定

   

6. [Attribute Statements] (属性ステートメント) で、名前とメールの属性ステートメントを追加します。
   次の情報を入力します。

   名前	名前の形式	値
   名前	不特定	${user.firstName} ${user.lastName}
   電子メール	不特定	user.email

   ヒント メモOkta は、複数の値を 1 つの属性に統合するための文字列形式の式をサポートしています。ここで提案される値は、名と姓を結合して name 属性にします。

   

7. [Group Attribute Statements] (グループ属性ステートメント) で、グループの属性ステートメントを追加します。
   次の情報を入力します。

   名前	名前の形式	フィルター	値
   group	不特定	正規表現に一致	.+

   ヒント メモここで提案されているフィルターと値では、すべてのユーザー グループを取得します。ユーザーの好みに基づいて、グループの特定のサブセットのみを返すようにフィルターを調整できます。

   

8. Okta の設定を完了するには、 [I'm an Okta customer adding an internal app] (Oktaの顧客で、社内アプリを追加しています) と [This is an internal app that we have created] (これは私たちが作成した社内アプリです) を選択し、 [Finish] (完了) をクリックします。

アプリケーションが作成されたら、Okta で次の 2 つを実行する必要があります。

1. IdP メタデータをダウンロード: メタデータ URL が表示されます。表示されない場合は、アプリケーションの [サイン オン] タブで見つけることができます。URL をコピーしてブラウザーで開き、後で使用できるようにページをファイルとして保存します。(Chrome を使用している場合は、ページを右クリックして [名前を付けて保存] を選択します)

2. ユーザーとグループを追加: [Assignments] (割り当て) タブで、Qlik Cloud テナントへのログインを許可するユーザーとグループを追加します。

Qlik Cloud で IdP 構成を作成する

テナント管理者として Qlik Cloud にログインし、IdP 構成を作成します。

次の手順を実行します。

1. Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動して、 [新規作成] をクリックします。

2. [タイプ] で [SAML] を選択します。

3. [プロバイダー] で [Okta] を選択します。

4. 必要に応じて、IdP 構成の説明を入力します。

5. [IdP メタデータを使用する] を選択します。

6. [SAML IdP メタデータ] で [ファイルをアップロード] をクリックし、Okta の設定中にダウンロードした IdP メタデータ ファイルを選択します。

   

7. [作成] をクリックします。

8. [インタラクティブ ID プロバイダーを作成] ダイアログで、 [IdP を検証] チェックボックスをオフにして、 [作成] をクリックします。
   この操作により、即時検証が実行されずに IdP 構成が作成されます。検証は後の段階で実行されます。

   情報メモ必要に応じて、今すぐ検証できます。ただし、次のセクションを完了して、Okta に証明書ファイルを最初にアップロードすることをお勧めします。

SAML リクエストの署名検証を構成する

Qlik Cloud SAML リクエスト署名証明書をダウンロードして、Okta にアップロードします。

次の手順を実行します。

1. Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

2. SAML IdP 構成で をクリックし、 [View provider configuration] (プロバイダー構成を表示) を選択します。

3. [署名証明書をダウンロード] を選択してから、 [完了] をクリックします。

Okta の SAML アプリケーションに戻ります。

次の手順を実行します。

1. Okta で、アプリケーションの [General] タブに移動します。

2. [SAML Settings] (SAML 設定) で、 [編集] をクリックします。

3. [次へ] をクリックして、 [Configure SAML] (SAML を構成) に進みます。

4. [SAML Settings] (SAML 設定) で、 [Show Advanced Settings] (詳細設定を表示) をクリックします。

5. [Signature Certificate] (署名証明書) の横にある、 [Browse files] (ファイルをブラウズする) をクリックし、署名証明書ファイルをアップロードします。

   アップロードに成功すると、Okta に証明書の詳細が表示されます。

   

6. [Signed Requests] (署名リクエスト) の横にある、[Validate SAML requests with signature certificates] (署名証明書を使用して SAML リクエストを検証する) を選択します。

7. [次へ] をクリックして Okta の設定フローを続行し、変更を保存します。

SAML 要求の署名を検証するように Okta が設定されました。Qlik Cloud に戻って検証を開始します。

Qlik Cloud で ID プロバイダーを検証する

Okta の設定が正常に完了したら、Qlik Cloud で IdP 構成を検証できます。

次の手順を実行します。

1. Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

2. SAML IdP 構成で をクリックして、 [検証] を選択します。

3. 検証ウィザードの手順に従って、Okta アプリケーションに追加されたユーザーとしてログインを実行します。ユーザー プロファイル データが正しいことを確認します。

   ユーザーを Qlik Cloud テナント管理者に昇格させ、IdP をアクティブ化するオプションが表示されます。IdP をアクティブ化すると、テナント内で以前に構成された対話型 ID プロバイダーが非アクティブ化されることに注意してください。