新しい ID プロバイダー構成の作成

Qlik Cloud は、ユーザー ログイン、API アクセス、マルチクラウド設定用の ID プロバイダー (IdP) 構成を提供します。各 Qlik Cloud テナントは、Qlik Account、Microsoft Entra ID (旧 Azure AD)、OKTA、Auth0、あるいは OpenID Connect (OIDC) または Security Assertion Markup Language (SAML) に準拠した別の IdP などの 1 つのインタラクティブ IdP をサポートします。

テナント管理者は、Administration アクティビティ センターからさまざまな IdP 構成を作成できます。

• ユーザー ログインで、インタラクティブ IdP を構成します。ID プロバイダーがサポートする規格に応じて、OIDC または SAML のいずれかを選択します。

  情報メモ

  • 一度に 1 つのインタラクティブ IdP のみをアクティブにできます。カスタム インタラクティブ IdP を展開すると、Qlik Account ログイン フローが選択した IdP によって定義された認証プロセスに置き換えられます。

  • 企業 IdP の SSO 障害を処理するには、ID プロバイダーを通じて構成する必要があります。Qlik Cloud はフォールバック リダイレクト URL の構成をサポートしていません。

• シームレスなマルチクラウド ID 管理のためには、ローカル ベアラー トークンを使用してマルチクラウド IdP を構成します。

新しいインタラクティブ OIDC IdP 構成の作成

テナント管理者は、新しい IdP 構成を作成できます。インタラクティブ IdP は、一度に 1 つのみ使用できます。すでにアクティブなインタラクティブ IdP がある場合は、新しくアクティブにする前に既存のインタラクティブ IdP を非アクティブにする必要があります。詳細については、「企業 IdP 構成 の変更」を参照してください。

次の手順を実行します。

1. Administration アクティビティ センターで、 [ID プロバイダー] に移動して、[新規作成] をクリックします。

2. [タイプ] で [OIDC] を選択します。

3. [プロバイダー] で、リストから ID プロバイダーを選択するか、特定のプロバイダーがリストにない場合は [汎用] を選択します。

4. 必要に応じて、IdP 構成の説明を入力します。

5. [アプリケーション資格情報] で、検出 URL を入力できます。検出 URL を使用できない場合、または適切なメタデータが提供されない場合は、個別の値を手動で入力するオプションもあります。手動構成は、検出 URL が入力されていない場合にのみ使用してください。

   以下のいずれかを行います。

   1. 検出 URL を入力します。これは、OAuth クライアントが OpenID Connect プロトコルを使用して IdP と接続するための構成データを提供するエンドポイントへの URL です。検出 URL の命名規則は、選択したプロバイダーに応じて異なります。

      • ADFS: ADFS 検出 URL

      • Auth0: OpenID 構成

      • Keycloak: Keycloak OpenID エンドポイント構成

      • Okta または汎用 IdP: OpenID Connect メタデータ URI

      • Salesforce: Salesforce 検出 URL

   または

   1. [手動構成] を選択します。

   2. 次の値を入力します。

      • 権限エンドポイント: リソース所有者とやり取りするための URL。リソースにアクセスするための承認を取得します。

      • セッション エンドポイントを終了 (任意): シングル サインアウトをトリガーするために使用される URL。

      • イントロスペクション エンドポイント (任意): 参照トークンまたは JWT を検証するための URL。

      • 発行者: ID プロバイダーの URL。

      • JWKS URI: JSON Web Token (JWT) の検証に使用される公開キーを含む JSON Web Key Set の URI。

      • トークン エンドポイント: アクセス トークンを取得するための URL。

      • ユーザー情報エンドポイント (任意): ユーザー情報を取得するための URL。

   

6. [クライアント ID] を入力: インタラクティブ ユーザー認証用に IdP で構成されたクライアントの ID。

7. [クライアント シークレット] を入力: IdP で構成されたクライアントのシークレット。

8. 必要に応じて、 [領域] を入力します。これは、IdP に関連付ける名前です。Qlik Sense Enterprise on Windows のドメイン名と同様に、マルチクラウドにおける命名の一貫性を保つために使用されます。

9. [クレーム マッピング] の項目に入力します。

   クレームは、エンティティ (多くの場合はユーザー) に関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータです。マッピングは、sub、name、groups、email、client_id、picture、email_verified (オプション) で使用できます。

   情報メモ

   • 入力項目には、複数の参照値をカンマで区切って入力できます。最初に見つかった null 以外の値が使用されます。

   • グループを受け取るには、groups クレームが必要です。ネストされたグループは Microsoft Entra ID ではサポートされていません。

10. 必要に応じて、詳細オプションを構成します。詳細については、「詳細オプション」を参照してください。

11. [作成] をクリックします。

    IdP 構成を検証するオプションを含む確認ダイアログが表示されます。

    • 今すぐ検証するには、 [IdP を検証] を選択し、 [作成] をクリックします。これにより、検証プロセスが開始されます。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが正しいことを確認します。

    • 今すぐ構成を作成し、後で検証する場合は、 [IdP を検証] チェックボックスをオフにして [作成] をクリックします。IdP 構成で をクリックし、 [検証] を選択することで後で検証できます。

    

テナント URL を ID プロバイダーの許可リストに追加する

ID プロバイダーで、許可リストにテナント URL を追加します。この設定には、コールバックを許可された URL、リダイレクト URI、ログイン リダイレクト URI など、さまざまな名前があります。

URL を追加するときは、https://<テナント名>/login/callback のように、テナント アドレスに「login/callback」を追加する必要があります。

詳細オプション

詳細オプションにより、特定の ID プロバイダーに追加機能が提供されます。

メール確認済みオーバーライド

この設定を有効にすると、email_verified クレームが常に「true」に設定されます。これにより、メール アドレスを ADFS および Microsoft Entra ID の ID マッピングに使用できるようになります。 IDP を切り替えるときに特に便利で、Administration アクティビティ センターで同じ名前のユーザーを区別するのに役立ちます。

スコープ

OAuth 2.0 仕様に従って、アクセス トークンを発行するときに要求されるアクセス権限がスコープにより定義されます。スペースで区切られた値を入力して、ID プロバイダーに要求する権限を指定します。たとえば、IdP がユーザー グループ機能のサポートを必要とする場合は、グループ スコープを含めます。

ログアウト後リダイレクト URI

この項目を使用して、ログアウト後にユーザーがリダイレクトされる URI を指定します。詳細な手順については、「ログアウト後リダイレクト URI の使用」を参照してください。

offline_access のブロック

ID プロバイダーとして Google ID または OneLogin を使用する場合、この設定を有効にして、offline_access スコープを ID プロバイダーに渡すことをブロックします。これにより、Qlik Sense Mobile SaaS および OAuth 2.0 アプリケーションで構成が正しく機能するようになります。

ID トークン署名アルゴリズム

RSA 署名アルゴリズムは、ID トークンの信頼性と整合性を保証します。Qlik Cloud は、次の 2 つのオプションをサポートしています。

• RS256 (既定)

• RS512

セキュリティのニーズに応じてアルゴリズムを選択します。

トークン署名の検証と復号化

署名を検証し、暗号化された JSON Web Token (JWT) を復号化するためのキー ペアを生成します。詳細な手順については、「署名および暗号化された ID トークンのキー ペアの管理」を参照してください。

新しいインタラクティブ SAML IdP 構成の作成

テナント管理者は、新しい IdP 構成を作成できます。インタラクティブ IdP は、一度に 1 つのみ使用できます。すでにアクティブなインタラクティブ IdP がある場合は、新しくアクティブにする前に既存のインタラクティブ IdP を非アクティブにする必要があります。詳細については、「企業 IdP 構成 の変更」を参照してください。

次の手順を実行します。

1. Administration アクティビティ センターで、 [ID プロバイダー] に移動して、[新規作成] をクリックします。

2. [タイプ] で [SAML] を選択します。

3. [プロバイダー] で、リストから ID プロバイダーを選択するか、特定のプロバイダーがリストにない場合は [汎用] を選択します。

4. 必要に応じて、IdP 構成の説明を入力します。

5. [構成] で、ID プロバイダーから SAML XML メタデータをアップロードするか、個々の値を手動で入力するかを選択できます。

   以下のいずれかを行います。

   1. [IdP メタデータを使用する] を選択します。

   2. [SAML IdP メタデータ] の [ファイルをアップロード] をクリックし、ID プロバイダーからのメタデータを含むファイルを選択します。あるいは、ID プロバイダーのメタデータがファイルとして使用できない場合は、メタデータをコピーして IdP メタデータ 項目に直接貼り付けることができます。

   または

   1. [証明書への署名] の [ファイルをアップロード] をクリックして、証明書ファイルをアップロードします。
      これは、Qlik Cloud に送信される SAML アサーションに署名するために ID プロバイダーによって使用される証明書です。

   2. ID プロバイダーの [エンティティ ID] を入力します。

   3. [シングルサイン オン URL] を入力します。

      これは、SAML 認証リクエストが送信されるエンドポイントです。認証のためにユーザーがリダイレクトされる URL です。

   4. [名前 ID の形式] を選択します。

   

6. 必要に応じて、 [IdP-initiated ログインを有効化] を選択します。

   既定のログイン フローでは、ユーザーは最初に Qlik Cloud に移動し、次に認証のために IdP にリダイレクトされます。ユーザーが最初に ID プロバイダーにログインしてから Qlik Cloud にリダイレクトされるようにする場合は、IdP-initiated ログインを有効にします。

7. [クレームのマッピング] の項目を変更するか、既定値をそのまま使用します。

   クレームのマッピングは、ID プロバイダーからのユーザー属性が Qlik Cloud ユーザー モデルの項目にどのように関連付けられるかを定義します。マッピングは、sub、name、email、groups、picture で使用できます。組織のニーズと ID プロバイダーからの属性に合わせて値を調整します。

   情報メモ

   • 入力項目には、複数の参照値をカンマで区切って入力できます。最初に見つかった null 以外の値が使用されます。

   • グループを受け取るには、groups クレームが必要です。ネストされたグループは Microsoft Entra ID ではサポートされていません。

8. 必要に応じて、 [詳細オプション] で [ログアウト後リダイレクト URI] を構成します。

   これは、ログアウト後にユーザーを定義された URI にリダイレクトするために使用されます。ログアウト後リダイレクト URI の使用方法の例については、ログアウト後リダイレクト URI の使用 を参照してください。

9. [作成] をクリックします。

   IdP 構成を検証するオプションを含む確認ダイアログが表示されます。

   SAML サービス プロバイダーのメタデータと署名証明書は、IdP 構成の作成後にのみ使用できます。ID プロバイダーの設定にこの情報が必要な場合は、最初は検証なしで IdP を作成し、ID プロバイダーでの構成が完了してから検証を実行できます。

   • 今すぐ検証するには、 [IdP を検証] を選択し、 [作成] をクリックします。これにより、検証プロセスが開始されます。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが有効であることを確認します。

   • 今すぐ構成を作成し、後で検証する場合は、 [IdP を検証] チェックボックスをオフにして [作成] をクリックします。IdP 構成で をクリックし、 [検証] を選択することで後で検証できます。

   

サービス プロバイダーのメタデータを ID プロバイダーにアップロードする

次の手順を実行します。

1. Administration アクティビティ センターで新しく作成した IdP 構成で をクリックし、 [プロバイダー構成を表示] を選択します。

   ダイアログには、サービス プロバイダーのメタデータとメタデータ エンドポイントへの URL が表示されます。

   

2. ID プロバイダーの設定に応じて、メタデータ ファイルをダウンロードするか、URL をコピーして後で使用できるように保存します。必要に応じて、署名証明書ファイルをダウンロードします。[完了] をクリックします。

3. ID プロバイダーで、サービス プロバイダーのメタデータを入力します。次の必要な設定を必ず構成してください。

   • アサーション コンシューマー サービス (ACS) URL。これは、ID プロバイダーが認証後に SAML アサーションを送信する場所です。

   • サービス プロバイダーのエンティティ ID。

   • 認証リクエストを検証するための証明書。これは、サービス プロバイダーの信頼性を検証するために ID プロバイダーによって使用されます。

4. ID プロバイダーでの構成が完了すると、Administration アクティビティ センターで IdP 構成を検証できます。 構成で をクリックし、 [検証] を選択します。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが正しいことを確認します。

グループの自動作成の有効化

グループはユーザーのアクセス制御に使われ、IdP グループから自動的に作成できます。グループの自動作成が有効になっている場合、グループは ID プロバイダーから継承されるため、IdP に存在するユーザーの同じグループにアクセスを許可できます。これにより、一度に 1 人のユーザーにアクセス権を付与するのに比べて、アクセス権の管理を簡素化できます。

ユーザーがログインすると、新しい IdP グループが Qlik Cloud に動的に表示されます。これらのグループはすべて同時にインポートされるわけではなく、IdP グループはログイン プロセス中に検出されます。Qlik Cloud ユーザーに関連付けられたグループのみを使用できます。

グループを構成するには、シングル サインオンを使用し、IdP への管理アクセス権を持っている必要があります。

次の手順を実行します。

1. Administration アクティビティ センターで、 [設定] ページに移動します。
2. [機能の管理] で、 [グループの作成] を選択します。