企業 ID プロバイダーの変更
このトピックでは、現在の IdP 構成を非アクティブにし、新しい IdP 構成をアクティブにすることで、既存の企業 ID プロバイダー (IdP) から新しい ID プロバイダーに切り替える方法について説明します。
重要な考慮事項
-
サポートされる ID プロバイダー: IdP が OpenID Connect (OIDC) または SAML プロトコルをサポートしていることを確認してください。
-
リカバリ アドレス: IdP を変更する際は、変更中に固定化されるリスクを防ぐため、必ずリカバリ アドレスを使用してください。詳細については、「テナントへのアクセス回復」を参照してください。
-
複数のライセンス: 同じライセンスに複数のテナントが関連付けられている場合、重複したライセンス割り当てのリスクを回避するために、すべてに同じ IdP が使用されていることを確認してください。
-
企業 IdP の無効化または削除: 企業 IdP の設定を無効化または削除すると、テナントはQlik Account に戻ります。詳細については、「Qlik Cloud の ID プロバイダー」を参照してください。
企業 IdP を構成する前にセクション アクセス テーブルを削除する
企業 IdP を構成する前に、すべてのアプリのセクション アクセス テーブルを削除またはコメント アウトし、後でリロードを実行します。IdP をアクティブにした後、IdP から提供された新しい ID を使用してセクション アクセス テーブルを再作成します。リロードをもう一度実行して、データ モデル内のテーブルを再アクティブ化します。
詳細については、「Section Access によるデータ セキュリティの管理」を参照してください。
IdP 移行時のコンテンツ管理
企業の IdP を変更すると、ユーザー アクセスとユーザーが所有するコンテンツに混乱が生じる可能性があります。これを最小限に抑えるには、移行後もユーザーのメール アドレスが一貫性を保つようにします。こうすることで、関連付けられたコンテンツを保持できます。既存ユーザー向けコンテンツと新しい企業 ID のマッピングに細心の注意を払ってください。
新しい企業 IdP の構成
次の手順を実行します。
-
Administration アクティビティ センターでインタラクティブ IdP を設定します。「Qlik Cloud の ID プロバイダー」を参照してください。
-
検証フローをテストし、結果が成功することを確認します。テナント管理者として、email および email_verified クレームが存在し、値が true であることを手動で確認します。これは、切り替え後にコンテンツを正常にマッピングするために重要です。まだ IdP をアクティブにしないでください。
-
Administration アクティビティ センターからテナントの [ユーザー] リストを調べます。
-
現在のメール アドレスが企業のメール アドレスと一致しないユーザーを特定します。コンテンツを保持するために IdP を切り替えると、メール アドレスが一致するはずです。
-
一致するメール アドレスを持っていないユーザーの場合、テナント管理者はコンテンツを新しいアカウントに手動で移動する必要があります。
-
繰り返しますが、Administration アクティビティ センターからユーザー リストを確認し、正しい企業のメール アドレスがすべてのユーザーに割り当てられていることを確認してください。
-
インタラクティブを有効にします IdP。
-
既存のログイン セッションとの競合を避けるために、新しいブラウザ インスタンスまたはシークレット ウィンドウを開きます。テナントURL (<tenant>.<region>.qlikcloud.com/login) にアクセスし、新しいインタラクティブ IdP なページに移動することを確認します。
-
ユーザーが以前の企業 IdP コンテンツを引き続き利用できることを確認します。
-
Administration アクティビティ センターを開き、ユーザーの既存のユーザー ID に新しい IdP サブジェクトが割り当てられていることを確認します。
-
Administration アクティビティ センターでのライセンス割り当てが、新しい企業 IdP にログインしたすべてのユーザーに対して正しく設定されていることを確認します。
-
セクション アクセス テーブルを再作成します。企業 ID プロバイダーの変更 を参照してください。