メイン コンテンツをスキップする 補完的コンテンツへスキップ
Qlik リソース

インタラクティブ OIDC IdP 構成の作成

このトピックでは、Qlik Cloud で ID プロバイダー設定を構成する方法について説明します。

ID プロバイダー側の構成

Qlik Cloud の構成に加えて、ID プロバイダー側でも構成を行う必要があります。これらの構成のウォークスルーについては、次のリソースを参照してください。

Qlik Cloud での構成

テナント管理者は、新しい IdP 構成を作成できます。

情報メモインタラクティブ IdP は、一度に 1 つのみ使用できます。すでにアクティブなインタラクティブ IdP がある場合は、新しくアクティブにする前に既存のインタラクティブ IdP を非アクティブにする必要があります。詳細については、「企業 ID プロバイダーの変更」を参照してください。

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動して、[新規作成] をクリックします。

  2. [タイプ] で [OIDC] を選択します。

  3. [プロバイダー] で、リストから ID プロバイダーを選択するか、特定のプロバイダーがリストにない場合は [汎用] を選択します。

  4. 必要に応じて、IdP 構成の説明を入力します。

  5. [アプリケーション資格情報] で、検出 URL を入力できます。検出 URL を使用できない場合、または適切なメタデータが提供されない場合は、個別の値を手動で入力するオプションもあります。手動構成は、検出 URL が入力されていない場合にのみ使用してください。

    以下のいずれかを行います。

    1. 検出 URL を入力します。これは、OAuth クライアントが OpenID Connect プロトコルを使用して IdP と接続するための構成データを提供するエンドポイントへの URL です。検出 URL の命名規則は、選択したプロバイダーに応じて異なります。

      • ADFS: ADFS 検出 URL

      • Auth0: OpenID 構成

      • Keycloak: Keycloak OpenID エンドポイント構成

      • Okta または汎用 IdP: OpenID Connect メタデータ URI

      • Salesforce: Salesforce 検出 URL

    または

    1. [手動構成] を選択します。

    2. 次の値を入力します。

      • 権限エンドポイント: リソース所有者とやり取りするための URL。リソースにアクセスするための承認を取得します。

      • セッション エンドポイントを終了 (任意): シングル サインアウトをトリガーするために使用される URL。

      • イントロスペクション エンドポイント (任意): 参照トークンまたは JWT を検証するための URL。

      • 発行者: ID プロバイダーの URL。

      • JWKS URI: JSON Web Token (JWT) の検証に使用される公開キーを含む JSON Web Key Set の URI。

      • トークン エンドポイント: アクセス トークンを取得するための URL。

      • ユーザー情報エンドポイント (任意): ユーザー情報を取得するための URL。

    検出 URL を使用した構成と手動構成。

    検出 URL を使用する場合と使用しない場合の構成パネルが表示されます。

  6. [クライアント ID] を入力: インタラクティブ ユーザー認証用に IdP で構成されたクライアントの ID。

  7. [クライアント シークレット] を入力: IdP で構成されたクライアントのシークレット。

  8. 必要に応じて、 [領域] を入力します。これは、IdP に関連付ける名前です。Qlik Sense Enterprise on Windows のドメイン名と同様に、マルチクラウドにおける命名の一貫性を保つために使用されます。

  9. [クレーム マッピング] の項目に入力します。

    クレームは、エンティティ (多くの場合はユーザー) に関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータです。マッピングは、subnamegroupsemailclient_idpictureemail_verified (オプション) で使用できます。

    情報メモ

    • 入力項目には、複数の参照値をカンマで区切って入力できます。最初に見つかった null 以外の値が使用されます。

    • グループを受け取るには、groups クレームが必要です。ネストされたグループは Microsoft Entra ID ではサポートされていません。

  10. 必要に応じて、詳細オプションを構成します。詳細については、「詳細オプション」を参照してください。

  11. [作成] をクリックします。

    IdP 構成を検証するオプションを含む確認ダイアログが表示されます。

    • 今すぐ検証するには、 [IdP を検証] を選択し、 [作成] をクリックします。これにより、検証プロセスが開始されます。検証ウィザードの手順に従ってログインを実行し、ユーザー プロファイル データが正しいことを確認します。

    • 今すぐ構成を作成し、後で検証する場合は、 [IdP を検証] チェックボックスをオフにして [作成] をクリックします。IdP 構成で 詳細 をクリックし、 [検証] を選択することで後で検証できます。

    IdP 構成を検証および作成します。

    [IdP を検証] オプションが選択された確認ダイアログ

テナント URL を ID プロバイダーの許可リストに追加する

ID プロバイダーで、許可リストにテナント URL を追加します。この設定には、コールバックを許可された URL、リダイレクト URI、ログイン リダイレクト URI など、さまざまな名前があります。

URL を追加するときは、https://<テナント名>/login/callback のように、テナント アドレスに「login/callback」を追加する必要があります。

情報メモリダイレクト URI を設定するときは、エイリアス ホスト名ではなく、元のテナントのホスト名を使用します。テナントのホスト名は、ユーザー プロファイル メニューの [バージョン情報] セクションにあります。

詳細オプション

詳細オプションにより、特定の ID プロバイダーに追加機能が提供されます。

メール確認済みオーバーライド

この設定を有効にすると、email_verified クレームが常に「true」に設定されます。これにより、メール アドレスを ADFS および Microsoft Entra ID の ID マッピングに使用できるようになります。 IDP を切り替えるときに特に便利で、Administration アクティビティ センターで同じ名前のユーザーを区別するのに役立ちます。

スコープ

OAuth 2.0 仕様に従って、アクセス トークンを発行するときに要求されるアクセス権限がスコープにより定義されます。スペースで区切られた値を入力して、ID プロバイダーに要求する権限を指定します。たとえば、IdP がユーザー グループ機能のサポートを必要とする場合は、グループ スコープを含めます。

ログアウト後リダイレクト URI

この項目を使用して、ログアウト後にユーザーがリダイレクトされる URI を指定します。詳細な手順については、「ログアウト後リダイレクト URI の使用」を参照してください。

offline_access のブロック

ID プロバイダーとして Google ID または OneLogin を使用する場合、この設定を有効にして、offline_access スコープを ID プロバイダーに渡すことをブロックします。これにより、Qlik Sense Mobile SaaS および OAuth 2.0 アプリケーションで構成が正しく機能するようになります。

ID トークン署名アルゴリズム

RSA 署名アルゴリズムは、ID トークンの信頼性と整合性を保証します。Qlik Cloud は、次の 2 つのオプションをサポートしています。

  • RS256 (既定)

  • RS512

セキュリティのニーズに応じてアルゴリズムを選択します。

トークン署名の検証と復号化

署名を検証し、暗号化された JSON Web Token (JWT) を復号化するためのキー ペアを生成します。詳細な手順については、「署名および暗号化された ID トークンのキー ペアの管理」を参照してください。

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。

こちらにフィードバックをお寄せください