メイン コンテンツをスキップする

ID プロバイダーの管理

このページ上

ID プロバイダーの管理

Qlik Sense Enterprise SaaS で展開を設定する際に、すでに存在する ID プロバイダー (IdP) を使用できます。Qlik Account の使用を選択することもできます。Qlik Sense Business では、Qlik Account のみ使用できます。

注: ID プロバイダーの設定方法の概要については、ID プロバイダーの設定 を参照してください。

このトピックでは、Qlik Sense Enterprise SaaS で ID プロバイダー設定を構成する方法について説明します。また、ID プロバイダー側で構成を行う必要があります。これらの構成のウォークスルーについては、次のリソースを参照してください。

Qlik Sense Enterprise SaaS の IDP としての Salesforce.com の使用 (OIDC 認証)

Qlik Sense Enterprise SaaS の IDP としての Active Directory フェデレーション サービスの使用

方法: Azure AD を IdP として使用するように Qlik Sense Enterprise SaaS を構成

新しい ID プロバイダー構成の作成

次の手順を実行します。

  1. Management Console で [ID プロバイダー] セクションを開きます。

  2. [新規作成] をクリックします。

    IdP 構成を作成するページが開きます。

  3. IdP のタイプを選択します。

    • ユーザーのログイン用の場合は [インタラクティブ]
    • API アクセス用の場合は [マシンツーマシン (M2M)]
    • ローカル べアラー トークンを入力して ID プロバイダー構成を作成する場合は [Multi-Cloud] 。「MSC - 展開 (英語のみ)」を参照してください。

  4. IdP プロバイダーを選択します。特定の IdP をオプションとして使用できない場合は、[汎用] を選択します。

  5. 必要に応じて、説明を入力します。

  6. [アプリケーション資格情報] セクションの項目に入力します。

    1. 最初の項目は、OpenID Connect プロトコルを使用して IdP とやり取りする OAuth クライアントに関して、構成情報を提供するエンドポイントへの URL です。これは次のようにさまざまな名前で呼ばれています。

      • ADFS:ADFS 検出 URL
      • Auth0:OpenID 構成
      • Keycloak:Keycloak OpenID エンドポイント構成
      • Okta/Generic: OpenID Connect メタデータ URI
      • Salesforce:Salesforce 検出 URL

      手動構成

      検出 URL が使用できない、または適切なメタデータが提供されない場合があります。エンドポイント URL を入力してメタデータを取得する代わりに、対応するデータをフォームに入力します。検出 URL を入力していない場合、使用できるのは手動による構成のみです。

      次の手順を実行します。

      1. [ID プロバイダー構成を作成] パネルで、プロバイダーを選択します。

      2. [手動構成] を有効にします。

        これにより、OpenID 構成項目が無効になり、手動構成用の項目が有効になります。

      3. [発行者] として ID プロバイダーの URL を追加します。

      4. [ 権限エンドポイント] として、リソース所有者とやり取りするための URL を追加します。ここで、リソースへのアクセス権を取得します。

      5. [トークン エンドポイント] として、アクセス トークンを取得するための URL を追加します。

      6. [ユーザー情報エンドポイント] として、ユーザー情報を得るための URL を追加します。

      7. [JWKS URI] として、JSON Web Token (JWT) の検証に使用されるパブリック キーを含む JSON Web Key Set の URI を追加します。

      8. オプションで、[セッション エンドポイントを終了] として、シングル サインアウトのトリガーに使用する URL を追加します。

      9. オプションで、[イントロスペクション エンドポイント] として、参照トークンつまり JWT の検証に使用する URL を追加します。

      10. [クレームのマッピング] セクションの項目を入力します。

        クレームは、エンティティ (多くの場合はユーザー) に関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータです。各エンティティでは、カンマで区切ることで複数の値を使用できます。

        • subnamegroupsemailclient_idpictureemail_verified (オプション) はインタラクティブな目的に使用し、subclient_id はマシン間で使用します。
          グループを受け取るには、グループ クレームが必要です。

      11. あなたの ID プロバイダーで、許可リストにテナント URL を登録してください。設定では、コールバックを許可された URLリダイレクト URI、またはログイン リダイレクト URIというように、異なる名前があります。

        許可リストに登録する際は、テナント アドレスにログイン/コールバックを追加する必要があります。例: https://<テナント名>/login/callback

        注: リダイレクト URI を設定するときは、エイリアス ホスト名ではなく、元のホスト名を使用する必要があります。ホスト名は、[設定] > [テナント] > [ホスト名] にあります。

    2. クライアント ID (インタラクティブのみ): インタラクティブなユーザー認証のため、IdP に構成されているクライアントの ID。

    3. クライアント シークレット (インタラクティブのみ):IdP に構成されているクライアントのシークレット。

    4. 領域 (任意)IdP に関連付ける名前。これは Qlik Sense Enterprise on Windowsドメイン名 と同じで、Multi-Cloud で命名に一貫性を持たせるために使用されます。

  7. [クレームのマッピング] セクションの項目を入力します。

    クレームは、エンティティ (多くの場合はユーザー) に関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータです。各エンティティでは、カンマで区切ることで複数の値を使用できます。

    • subnamegroupsemailclient_idpictureemail_verified (オプション) はインタラクティブな目的に使用し、subclient_id はマシン間で使用します。
      グループを受け取るには、グループ クレームが必要です。

  8. あなたの ID プロバイダーで、許可リストにテナント URL を登録してください。設定では、コールバックを許可された URLリダイレクト URI、またはログイン リダイレクト URIというように、異なる名前があります。

    許可リストに登録する際は、テナント アドレスにログイン/コールバックを追加する必要があります。例: https://<テナント名>/login/callback

    注: リダイレクト URI を設定するときは、エイリアス ホスト名ではなく、元のホスト名を使用する必要があります。ホスト名は、[設定] > [テナント] > [ホスト名] にあります。

詳細オプション

詳細オプションでは、いくつかの IdP の機能を拡張できます。

メール確認済みオーバーライド: ユーザーのメール アドレスを ID マッピングに使用できるようにするため、ADFSAzure AD で使用します。このオプションは、IdP を切り替えるときに便利ですが、名前が完全に一致するユーザーを Management Console で区別すること場合も使用できます。

スコープ: アクセス トークンの発行時にアクセス権限を指定するために、OAuth 2.0 仕様で使用されます。たとえば、IdP でユーザー グループ機能をサポートするためにグループ スコープが必要な場合は、このオプションを使用してグループ スコープを追加します。

ログアウト後リダイレクト URI (任意): ログアウト後に定義済みの URI にリダイレクトする場合に、このオプションを使用します。

ログアウト後リダイレクト URI の使用方法の例については、「IdP: ログアウト後リダイレクト URI の使用」を参照してください。

グループの自動作成の有効化

[設定] ページの Management Console で、[グループの自動作成を有効化する] がオンになっています。

グループはユーザーのアクセス制御に使われ、オプションで IdP グループから自動的に作成することもできます。

グループの自動作成の有効化のプロパティ
プロパティ 説明
グループの自動作成を有効化する

有効にすると、グループが ID プロバイダーから継承され、IdP 内に存在するのと同じユーザー グループにアクセス権を付与することができるようになります。これにより、一度に 1 人のユーザーにアクセス権を付与するのに比べて、アクセス権の管理を簡素化できます。

グループを構成するには、シングル サインオンを使用し、IdP への管理アクセス権を持っている必要があります。

ユーザーが Qlik Sense Enterprise テナントにログイン (または再度ログイン) すると、新しい IdP グループが Qlik Sense Enterprise に表示されることに注目してください。IdP グループは、同時にすべてインポートされるわけではありません。その代わりに、IdP グループがログイン時に探索されます。さらに、前述のとおり、Qlik Sense Enterprise でユーザーに関連付けられているグループのみが有効になります。

次の手順を実行します。

  1. Management Console で、[設定] ページに移動します。
  2. [グループ] セクションで、[グループの自動作成を有効化する] ボタンをオンにします。

既存の IdP 構成に変更を加える

既存の IdP 構成に変更を加えることができます。

次の手順を実行します。

  1. Management Console で [ID プロバイダー] セクションを開きます。

  2. 表の右端にある、編集する IdP... をクリックします。

    IdP をアクティブ化/非アクティブ化、検証、編集、および削除するためのオプションを含むサブ メニューが表示されます。

IdP のアクティブ化/非アクティブ化

複数の異なるインタラクティブ IdP を並行して構成できますが、一度にアクティブになるのは 1 つだけです。その他は非アクティブ化または削除する必要があります。インタラクティブ IdP を非アクティブ化すると、自動的に Qlik Account 構成に戻ります。詳しくは「 を削除するIdP」を参照してください。

IdP の検証

検証はインタラクティブな IdP が保存されると自動的に行われますが、例えば IdP を編集した後など、必要に応じて手動で検証をトリガーすることもできます。[検証] を選択すると、ID プロバイダーにログインしてから、一連の他の検証手順が表示されます。

IdP の編集

すべてのタイプの IdP を編集できます。編集後、変更を検証して、IdP が正しく機能していることを確認します。検証オプションは、マシン間構成では使用できません。

を削除するIdP

Qlik Sense Enterprise SaaS では、デフォルト IdPQlik Account です。任意の企業 IdP に変更できます。後で企業 IdP を削除することにした場合は、結果に注意する必要があります。

警告: ID プロバイダーを削除すると、ユーザーがテナントにアクセスできなくなる可能性があります。

企業 IdP を削除すると、テナントは Qlik Account に戻ります。削除された企業 IdP 経由でテナントにアクセスするユーザーはログインできなくなり、作成したコンテンツにアクセスできなくなります。ただし、所有権を調整できる Qlik Account テナント管理者はそのコンテンツを表示できます。

また、これらのユーザーが以前に Qlik Account を使用した場合、企業 IdP と同じメール アドレスで、期間中に Qlik Account で作成されたコンテンツは保持されます。

注: IdP を削除する代わりに、IdP を非アクティブ化できます。次に、テナントは Qlik Account に戻ります。