メイン コンテンツをスキップする 補完的コンテンツへスキップ
Qlik リソース

新しい ID プロバイダー構成の作成

Qlik Cloud は、ユーザー ログイン、API アクセス、マルチクラウド設定用の ID プロバイダー (IdP) 構成を提供します。各 Qlik Cloud テナントは、Qlik AccountMicrosoft Entra ID (旧 Azure AD)、OKTA、Auth0、あるいは OpenID Connect (OIDC) または Security Assertion Markup Language (SAML) に準拠した別の IdP などの 1 つのインタラクティブ IdP をサポートします。

テナント管理者は、管理コンソール からさまざまな IdP 構成を作成できます。

  • ユーザー ログインで、インタラクティブ IdP を構成します。ID プロバイダーがサポートする規格に応じて、OIDC または SAML のいずれかを選択します。

    情報メモ一度に 1 つのインタラクティブ IdP のみをアクティブにできます。カスタム インタラクティブ IdP を展開すると、Qlik Account ログイン フローが選択した IdP によって定義された認証プロセスに置き換えられます。

  • API アクセスの場合は、 [マシンツーマシン (M2M) ] 認証を選択します。

  • シームレスなマルチクラウド ID 管理のためには、ローカル ベアラー トークンを使用してマルチクラウド IdP を構成します。

新しいインタラクティブ OIDC IdP 構成の作成

テナント管理者は、新しい IdP 構成を作成できます。インタラクティブ IdP は、一度に 1 つのみ使用できます。すでにアクティブなインタラクティブ IdP がある場合は、新しくアクティブにする前に既存のインタラクティブ IdP を非アクティブにする必要があります。詳細については、「企業 IdP 構成 の変更」を参照してください。

このトピックでは、Qlik Cloud で ID プロバイダー設定を構成する方法について説明します。また、ID プロバイダー側で構成を行う必要があります。これらの構成のウォークスルーについては、次のリソースを参照してください。

次の手順を実行します。

  1. 管理コンソール で、[ID プロバイダー] に移動して、[新規作成] をクリックします。

  2. [タイプ] で [OIDC] を選択します。

  3. [プロバイダー] で、リストから ID プロバイダーを選択するか、特定のプロバイダーがリストにない場合は [汎用] を選択します。

  4. 必要に応じて、IdP 構成の説明を入力します。

  5. [アプリケーション資格情報] で、検出 URL を入力できます。検出 URL を使用できない場合、または適切なメタデータが提供されない場合は、個別の値を手動で入力するオプションもあります。手動構成は、検出 URL が入力されていない場合にのみ使用してください。

    以下のいずれかを行います。

    1. 検出 URL を入力します。これは、OAuth クライアントが OpenID Connect プロトコルを使用して IdP と接続するための構成データを提供するエンドポイントへの URL です。検出 URL の命名規則は、選択したプロバイダーに応じて異なります。

      • ADFS: ADFS 検出 URL

      • Auth0: OpenID 構成

      • Keycloak: Keycloak OpenID エンドポイント構成

      • Okta または汎用 IdP: OpenID Connect メタデータ URI

      • Salesforce: Salesforce 検出 URL

    または

    1. [手動構成] を選択します。

    2. 次の値を入力します。

      • 権限エンドポイント: リソース所有者とやり取りするための URL。リソースにアクセスするための承認を取得します。

      • セッション エンドポイントを終了 (任意): シングル サインアウトをトリガーするために使用される URL。

      • イントロスペクション エンドポイント (任意): 参照トークンまたは JWT を検証するための URL。

      • 発行者: ID プロバイダーの URL。

      • JWKS URI: JSON Web Token (JWT) の検証に使用される公開キーを含む JSON Web Key Set の URI。

      • トークン エンドポイント: アクセス トークンを取得するための URL。

      • ユーザー情報エンドポイント (任意): ユーザー情報を取得するための URL。

    検出 URL を使用した構成と手動構成。

    検出 URL を使用する場合と使用しない場合の構成パネルが表示されます。

  6. [クライアント ID] を入力: インタラクティブ ユーザー認証用に IdP で構成されたクライアントの ID。

  7. [クライアント シークレット] を入力: IdP で構成されたクライアントのシークレット。

  8. 必要に応じて、 [領域] を入力します。これは、IdP に関連付ける名前です。Qlik Sense Enterprise on Windows のドメイン名と同様に、マルチクラウドにおける命名の一貫性を保つために使用されます。

  9. [クレーム マッピング] の項目に入力します。

    クレームは、エンティティ (多くの場合はユーザー) に関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータです。マッピングは、subnamegroupsemailclient_idpictureemail_verified (オプション) で使用できます。

    情報メモ

    • 入力項目には、複数の参照値をカンマで区切って入力できます。最初に見つかった null 以外の値が使用されます。

    • グループを受け取るには、groups クレームが必要です。ネストされたグループは Microsoft Entra ID ではサポートされていません。

  10. 必要に応じて、詳細オプションを構成します。詳細については、「詳細オプション」を参照してください。

  11. [作成] をクリックします。

    IdP 構成を検証するオプションを含む確認ダイアログが表示されます。

    • 今すぐ検証するには、 [IdP を検証] を選択し、 [作成] をクリックします。これにより、検証プロセスが開始されます。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが正しいことを確認します。

    • 今すぐ構成を作成し、後で検証する場合は、 [IdP を検証] チェックボックスをオフにして [作成] をクリックします。IdP 構成で 詳細 をクリックし、 [検証] を選択することで後で検証できます。

    IdP 構成を検証および作成します。

    [IdP を検証] オプションが選択された確認ダイアログ

テナント URL を ID プロバイダーの許可リストに追加する

ID プロバイダーで、許可リストにテナント URL を追加します。この設定には、コールバックを許可された URL、リダイレクト URI、ログイン リダイレクト URI など、さまざまな名前があります。

URL を追加するときは、https://<テナント名>/login/callback のように、テナント アドレスに「login/callback」を追加する必要があります。

情報メモリダイレクト URI を設定するときは、エイリアス ホスト名ではなく、元のテナントのホスト名を使用します。ホスト名は、管理コンソール の [設定] > [テナント] > [ホスト名] にあります。

詳細オプション

詳細オプションにより、一部の IdP の機能を拡張できます。

メール確認済みオーバーライド: ユーザーのメール アドレスを ID マッピングに使用できるようにするために、ADFS および Microsoft Entra ID で使用されます。このオプションは、IdP を切り替えるときだけでなく、管理コンソールで同姓同名の 2 人のユーザーを区別するときにも便利です。

スコープ: アクセス トークンの発行時にアクセス権限を指定するために、OAuth 2.0 の仕様で使用されます。たとえば、 IdP でユーザー グループ機能をサポートするためにグループ スコープが必要な場合は、このオプションを使用してグループ スコープを追加します。

ログアウト後リダイレクト URI: ログアウト後にユーザーを定義された URI にリダイレクトするために使用されます。ログアウト後リダイレクト URI の使用方法の例については、ログアウト後リダイレクト URI の使用 を参照してください。

ID プロバイダーへの「offline_access」スコープの受け渡しのブロック: ID プロバイダーに Google Identity または OneLogin を使う場合、Qlik Sense Mobile SaaS および OAuth 2.0 アプリケーションで機能する構成にするため、この設定をオンにする必要があります。

新しいインタラクティブ SAML IdP 構成の作成

テナント管理者は、新しい IdP 構成を作成できます。インタラクティブ IdP は、一度に 1 つのみ使用できます。すでにアクティブなインタラクティブ IdP がある場合は、新しくアクティブにする前に既存のインタラクティブ IdP を非アクティブにする必要があります。詳細については、「企業 IdP 構成 の変更」を参照してください。

このトピックでは、Qlik Cloud で ID プロバイダー設定を構成する方法について説明します。また、ID プロバイダー側で構成を行う必要があります。これらの構成のウォークスルーについては、次のトピックを参照してください。

次の手順を実行します。

  1. 管理コンソール で、[ID プロバイダー] に移動して、[新規作成] をクリックします。

  2. [タイプ] で [SAML] を選択します。

  3. [プロバイダー] で、リストから ID プロバイダーを選択するか、特定のプロバイダーがリストにない場合は [汎用] を選択します。

  4. 必要に応じて、IdP 構成の説明を入力します。

  5. [構成] で、ID プロバイダーから SAML XML メタデータをアップロードするか、個々の値を手動で入力するかを選択できます。

    以下のいずれかを行います。

    1. [IdP メタデータを使用する] を選択します。

    2. [SAML IdP メタデータ] の [ファイルをアップロード] をクリックし、ID プロバイダーからのメタデータを含むファイルを選択します。あるいは、ID プロバイダーのメタデータがファイルとして使用できない場合は、メタデータをコピーして IdP メタデータ 項目に直接貼り付けることができます。

    または

    1. [証明書への署名] の [ファイルをアップロード] をクリックして、証明書ファイルをアップロードします。
      これは、Qlik Cloud に送信される SAML アサーションに署名するために ID プロバイダーによって使用される証明書です。

    2. ID プロバイダーの [エンティティ ID] を入力します。

    3. [シングルサイン オン URL] を入力します。

      これは、SAML 認証リクエストが送信されるエンドポイントです。認証のためにユーザーがリダイレクトされる URL です。

    4. [名前 ID の形式] を選択します。

    メタデータを使用した構成と手動構成。

    IdP メタデータを使用する場合と使用しない場合の構成パネル

  6. 必要に応じて、 [IdP-initiated ログインを有効化] を選択します。

    既定のログイン フローでは、ユーザーは最初に Qlik Cloud に移動し、次に認証のために IdP にリダイレクトされます。ユーザーが最初に ID プロバイダーにログインしてから Qlik Cloud にリダイレクトされるようにする場合は、IdP-initiated ログインを有効にします。

  7. [クレームのマッピング] の項目を変更するか、既定値をそのまま使用します。

    クレームのマッピングは、ID プロバイダーからのユーザー属性が Qlik Cloud ユーザー モデルの項目にどのように関連付けられるかを定義します。マッピングは、subnameemailgroupspicture で使用できます。組織のニーズと ID プロバイダーからの属性に合わせて値を調整します。

    情報メモ

    • 入力項目には、複数の参照値をカンマで区切って入力できます。最初に見つかった null 以外の値が使用されます。

    • グループを受け取るには、groups クレームが必要です。ネストされたグループは Microsoft Entra ID ではサポートされていません。

  8. 必要に応じて、 [詳細オプション] で [ログアウト後リダイレクト URI] を構成します。

    これは、ログアウト後にユーザーを定義された URI にリダイレクトするために使用されます。ログアウト後リダイレクト URI の使用方法の例については、ログアウト後リダイレクト URI の使用 を参照してください。

  9. [作成] をクリックします。

    IdP 構成を検証するオプションを含む確認ダイアログが表示されます。

    SAML サービス プロバイダーのメタデータと署名証明書は、IdP 構成の作成後にのみ使用できます。ID プロバイダーの設定にこの情報が必要な場合は、最初は検証なしで IdP を作成し、ID プロバイダーでの構成が完了してから検証を実行できます。

    • 今すぐ検証するには、 [IdP を検証] を選択し、 [作成] をクリックします。これにより、検証プロセスが開始されます。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが有効であることを確認します。

    • 今すぐ構成を作成し、後で検証する場合は、 [IdP を検証] チェックボックスをオフにして [作成] をクリックします。IdP 構成で 詳細 をクリックし、 [検証] を選択することで後で検証できます。

    IdP 構成を検証および作成します。

    [IdP を検証] オプションが選択された確認ダイアログ

サービス プロバイダーのメタデータを ID プロバイダーにアップロードする

次の手順を実行します。

  1. 管理コンソール で新しく作成した IdP 構成で 詳細 をクリックし、 [View provider configuration] (プロバイダー構成を表示) を選択します。

    ダイアログには、サービス プロバイダーのメタデータとメタデータ エンドポイントへの URL が表示されます。

    サービス プロバイダーのメタデータ。

    [IdP を検証] オプションが選択された確認ダイアログ

  2. ID プロバイダーの設定に応じて、メタデータ ファイルをダウンロードするか、URL をコピーして後で使用できるように保存します。必要に応じて、署名証明書ファイルをダウンロードします。[完了] をクリックします。

  3. ID プロバイダーで、サービス プロバイダーのメタデータを入力します。次の必要な設定を必ず構成してください。

    • アサーション コンシューマー サービス (ACS) URL。これは、ID プロバイダーが認証後に SAML アサーションを送信する場所です。

    • サービス プロバイダーのエンティティ ID。

    • 認証リクエストを検証するための証明書。これは、サービス プロバイダーの信頼性を検証するために ID プロバイダーによって使用されます。

  4. ID プロバイダーでの構成が完了すると、管理コンソール で IdP 構成を検証できます。構成で 詳細 をクリックし、 [検証] を選択します。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが正しいことを確認します。

新しいマシンツーマシン IdP 構成の作成

マシンツーマシン IdP を構成するには、新しいインタラクティブ OIDC IdP 構成の作成 の手順に従いますが、IdP タイプとして [マシンツーマシン (M2M)] を選択します。

インタラクティブ OIDC 構成と比較すると、一部の設定が異なる: [クライアント ID] 項目と [クライアント シークレット] 項目はこのコンテキストでは適用されず、 [クレームのマッピング] では、subclient_id のマッピングのみが存在します。

グループの自動作成の有効化

グループはユーザーのアクセス制御に使われ、IdP グループから自動的に作成できます。グループの自動作成が有効になっている場合、グループは ID プロバイダーから継承されるため、IdP に存在するユーザーの同じグループにアクセスを許可できます。これにより、一度に 1 人のユーザーにアクセス権を付与するのに比べて、アクセス権の管理を簡素化できます。

ユーザーがログインすると、新しい IdP グループが Qlik Cloud に動的に表示されます。これらのグループはすべて同時にインポートされるわけではなく、IdP グループはログイン プロセス中に検出されます。Qlik Cloud ユーザーに関連付けられたグループのみを使用できます。

グループを構成するには、シングル サインオンを使用し、IdP への管理アクセス権を持っている必要があります。

次の手順を実行します。

  1. 管理コンソール で、[設定] ページに移動します。
  2. [機能の管理] で、 [グループの作成] を選択します。
関連する学習:

詳細を見る

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。

こちらにフィードバックをお寄せください