Okta を SAML ID プロバイダーとして構成する
このトピックでは、Qlik Cloud の ID プロバイダーとして Okta を設定する方法について説明します。
Okta で SAML アプリケーションを構成する
最初のステップとして、Qlik Cloud テナントをサービス プロバイダー (SP) として信頼するように、Okta で SAML アプリケーションを設定します。
次の手順を実行します。
-
Okta の管理コンソールで、 [アプリケーション] > [アプリケーション] に移動します。
-
[Create App Integration] (アプリ統合を作成) をクリックします。
-
[Sign-in method] (サインイン方法) で [SAML 2.0] を選択して、 [次へ] をクリックします。
-
必要に応じて統合に関する一般情報を入力して、 [次へ] をクリックします。
-
[SAML Settings] (SAML 設定) で、次の情報を入力します。
設定 値 シングルサイン オン URL 元のテナントのホスト名の末尾に /login/saml というパスが追加されたもの [Audience URI (SP Entity ID)] (オーディエンス URI (SP エンティティ ID)) 元のテナントのホスト名 (パスの追加や末尾のスラッシュなし) 名前 ID の形式 不特定 -
[Attribute Statements] (属性ステートメント) で、名前とメールの属性ステートメントを追加します。
次の情報を入力します。名前 名前の形式 値 名前 不特定 ${user.firstName} ${user.lastName}
電子メール 不特定 user.email ヒント メモOkta は、複数の値を 1 つの属性に統合するための文字列形式の式をサポートしています。ここで提案される値は、名と姓を結合して name 属性にします。 -
[Group Attribute Statements] (グループ属性ステートメント) で、グループの属性ステートメントを追加します。
次の情報を入力します。名前 名前の形式 フィルター 値 group 不特定 正規表現に一致 .+ ヒント メモここで提案されているフィルターと値では、すべてのユーザー グループを取得します。ユーザーの好みに基づいて、グループの特定のサブセットのみを返すようにフィルターを調整できます。 -
Okta の設定を完了するには、 [I'm an Okta customer adding an internal app] (Oktaの顧客で、社内アプリを追加しています) と [This is an internal app that we have created] (これは私たちが作成した社内アプリです) を選択し、 [Finish] (完了) をクリックします。
アプリケーションが作成されたら、Okta で次の 2 つを実行する必要があります。
-
IdP メタデータをダウンロード: メタデータ URL が表示されます。表示されない場合は、アプリケーションの [サイン オン] タブで見つけることができます。URL をコピーしてブラウザーで開き、後で使用できるようにページをファイルとして保存します。(Chrome を使用している場合は、ページを右クリックして [名前を付けて保存] を選択します)
-
ユーザーとグループを追加: [Assignments] (割り当て) タブで、Qlik Cloud テナントへのログインを許可するユーザーとグループを追加します。
Qlik Cloud で IdP 構成を作成する
テナント管理者として Qlik Cloud にログインし、IdP 構成を作成します。
次の手順を実行します。
-
Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動して、 [新規作成] をクリックします。
-
[タイプ] で [SAML] を選択します。
-
[プロバイダー] で [Okta] を選択します。
-
必要に応じて、IdP 構成の説明を入力します。
-
[IdP メタデータを使用する] を選択します。
-
[SAML IdP メタデータ] で [ファイルをアップロード] をクリックし、Okta の設定中にダウンロードした IdP メタデータ ファイルを選択します。
-
[作成] をクリックします。
-
[インタラクティブ ID プロバイダーを作成] ダイアログで、 [IdP を検証] チェックボックスをオフにして、 [作成] をクリックします。
この操作により、即時検証が実行されずに IdP 構成が作成されます。検証は後の段階で実行されます。情報メモ必要に応じて、今すぐ検証できます。ただし、次のセクションを完了して、Okta に証明書ファイルを最初にアップロードすることをお勧めします。
SAML リクエストの署名検証を構成する
Qlik Cloud SAML リクエスト署名証明書をダウンロードして、Okta にアップロードします。
次の手順を実行します。
-
Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動します。
-
SAML IdP 構成で をクリックし、 [View provider configuration] (プロバイダー構成を表示) を選択します。
-
[署名証明書をダウンロード] を選択してから、 [完了] をクリックします。
Okta の SAML アプリケーションに戻ります。
次の手順を実行します。
-
Okta で、アプリケーションの [General] タブに移動します。
-
[SAML Settings] (SAML 設定) で、 [編集] をクリックします。
-
[次へ] をクリックして、 [Configure SAML] (SAML を構成) に進みます。
-
[SAML Settings] (SAML 設定) で、 [Show Advanced Settings] (詳細設定を表示) をクリックします。
-
[Signature Certificate] (署名証明書) の横にある、 [Browse files] (ファイルをブラウズする) をクリックし、署名証明書ファイルをアップロードします。
アップロードに成功すると、Okta に証明書の詳細が表示されます。
-
[Signed Requests] (署名リクエスト) の横にある、[Validate SAML requests with signature certificates] (署名証明書を使用して SAML リクエストを検証する) を選択します。
-
[次へ] をクリックして Okta の設定フローを続行し、変更を保存します。
SAML 要求の署名を検証するように Okta が設定されました。Qlik Cloud に戻って検証を開始します。
Qlik Cloud で ID プロバイダーを検証する
Okta の設定が正常に完了したら、Qlik Cloud で IdP 構成を検証できます。
次の手順を実行します。
-
Qlik Cloud Administration アクティビティ センターで、 [ID プロバイダー] に移動します。
-
SAML IdP 構成で をクリックして、 [検証] を選択します。
-
検証ウィザードの手順に従って、Okta アプリケーションに追加されたユーザーとしてログインを実行します。ユーザー プロファイル データが正しいことを確認します。
ユーザーを Qlik Cloud テナント管理者に昇格させ、IdP をアクティブ化するオプションが表示されます。IdP をアクティブ化すると、テナント内で以前に構成された対話型 ID プロバイダーが非アクティブ化されることに注意してください。