企業 IdP 構成 の変更
次の手順では、企業 ID プロバイダー (IdP) 構成を別の構成に変更する方法について説明します。変更後の IdP は OpenID Connect (OIDC) または SAML をサポートしている必要があります。
変更には、基本的に既存のインタラクティブ IdP 構成の非アクティブ化と新しいインタラクティブ IdP 構成のアクティブ化が含まれます。現在アクティブな企業 IdP を非アクティブ化すると、Qlik Account に戻ります。ID プロバイダー を参照してください
企業の IdP を変更すると、ユーザーとユーザーが所有するコンテンツに混乱が生じる可能性があります。ただし、ユーザーのメール アドレスが切り替え後も一貫している場合、コンテンツはユーザーに追随します。これを確実に行う方法の詳細については、このトピックを参照してください。
企業を構成する前にセクション アクセス テーブルを削除するIdP
企業 IdP を構成する前に、すべてのアプリからセクション アクセス テーブルを削除またはコメント アウトし、後でリロードを実行する必要があります。
企業 IdP をアクティブにした後、新しく構成された IdP から提供される新しい ID を使用して、削除されたセクション アクセス テーブルを再作成するか、以前に追加されたコメントを削除できます。繰り返しますが、データ モデル内のテーブルを再アクティブ化するにはリロードが必要です。
セクション アクセスの詳細については、「Section Access によるデータ セキュリティの管理」を参照してください。
企業 IdP の構成
しばらく Qlik Account を使用してから企業 IdP を構成するには、企業 IdP に切り替えた招待 Qlik Account ユーザーのコンテンツ(アプリ、スペースなど)をマップするために、次に特に注意する必要があります。
次の手順を実行します。
-
管理コンソール でインタラクティブ IdP を構成します。ID プロバイダー を参照してください。
-
検証フローをテストし、結果が成功することを確認します。テナント管理者として、email および email_verified クレームが存在し、値が true であることを手動で確認します。これは、切り替え後にコンテンツを正常にマッピングするために重要です。まだ IdP をアクティブにしないでください。
-
管理コンソール でテナントのユーザー リストを調べます。
-
現在のメール アドレスが企業のメール アドレスと一致しないユーザーを特定します。コンテンツを保持するために IdP を切り替えると、メール アドレスが一致するはずです。
-
一致するメール アドレスを持っていないユーザーの場合、テナント管理者はコンテンツを新しいアカウントに手動で移動する必要があります。
-
繰り返しますが、管理コンソール でユーザー リストを確認し、正しい企業のメール アドレスがすべてのユーザーに割り当てられていることを確認してください。
-
インタラクティブを有効にします IdP。
-
既存のログイン セッションとの競合を避けるために、新しいブラウザ インスタンスまたはシークレット ウィンドウを開きます。テナントURL (<tenant>.<region>.qlikcloud.com/login) にアクセスし、新しいインタラクティブ IdP なページに移動することを確認します。
-
ユーザーが以前の企業 IdP コンテンツを引き続き利用できることを確認します。
-
管理コンソール を開き、ユーザーの既存のユーザー ID に新しい IdP サブジェクトが割り当てられていることを確認します。
-
管理コンソール でのライセンス割り当てが、新しい企業 IdP にログインしたすべてのユーザーに対して正しく設定されていることを確認します。
-
セクション アクセス テーブルを再作成します。企業を構成する前にセクション アクセス テーブルを削除するIdP を参照してください。