セキュリティ アサーション マークアップ言語 (SAML) シングル サインオン (SSO)
セキュリティ アサーション マークアップ言語 (SAML) は当事者間 (ID プロバイダーとサービス プロバイダー間など) の認証と承認データを交換するための、XML ベース、オープン スタンダードのデータ形式です。SAML は通常ウェブ ブラウザーの シングル サインオン (SSO) に使用されます。
SAML の動作
ID プロバイダー (IdP) は認証のために使用されます。ID プロバイダーによってユーザー ID が断定されると、サービス プロバイダー (SP) によりサービスへのアクセスがユーザーに付与されます。ID プロバイダーにより SSO が有効化されているため、複数のサービス プロバイダーやアプリケーションに対しても、ユーザーはその都度ログインする必要なしにアクセスできます。
SAML の仕様では次の 3 つの役割が定義されています。
- プリンシパル: 通常はユーザーをさします
- IdP: ID プロバイダー
- SP: サービス プロバイダー
プリンシパルが SP にサービスを要求すると、SP は IdP に ID のアサーション (ID の断定) を要求し、IdP からアサーションを取得します。SP はそのアサーションに基づき、プリンシパルから要求されたサービスを実行するかどうかを判断します。
Qlik NPrinting の SAML
Qlik NPrinting は次の方法で SAML 2.0をサポートします:
- 外部の ID プロバイダーと統合できるという条件の下で、サービスを実装する
- SAML 応答において HTTP Redirect Binding と HTTP POST Binding をサポートする
- リソースとデータをアクセス コントロールする上で SAML プロパティをサポートする
制限
- Qlik NPrinting は SAML の認証要求をサポートしていません。したがって ID プロバイダーで SAML の認証要求の署名が要求されている場合には対応できません。
- SAML 応答の暗号化には対応していないため、メッセージや属性が暗号化されている場合、Qlik NPrinting では読み取れません。
- SAML シングル ログアウト には対応していません。
QlikView ウェブ サーバーと Qlik Sense 上の Qlik NPrinting On-Demand アドオンを使用するには、Windows 認証を有効にする必要があります。
JWT 認証のみを使用する場合は、Microsoft IIS Web Server 上に構成した QlikView Server に Qlik NPrinting On-Demand アドオンをインストールする必要があります。
Microsoft IIS がホストする QlikView AccessPoint 上への On-Demand アドオンのインストール
Qlik NPrinting ウェブ コンソール と NewsStand の設定構成
Qlik NPrinting ウェブ コンソール と NewsStand では別々のウェブ アドレスが用いられているため、両方を正しく機能させるには 2 つの異なる SAML 接続を設定する必要があります。
ID プロバイダーにより開始される SSO
ID プロバイダーにより開始される SSO では、ユーザーは ID プロバイダーに直接ログインし、その ID プロバイダーが SSO 認証を行います。
認証の流れが ID プロバイダー側から始まる場合、ユーザーは Qlik NPrinting ウェブ コンソール の Qlik NPrinting ダッシュボードあるいは NewsStand のホーム ページにリダイレクトされます。
サービス プロバイダーにより開始される SSO
サービス プロバイダーで開始される SSO では、ユーザーはサービス プロバイダーから操作を始めます。ユーザーがサービス プロバイダー サイトでログインする代わりに、SSO 認証が ID プロバイダーで開始されます。この認証プロセスでは Qlik NPrinting がサービス プロバイダーの役割を果たします。Qlik NPrinting ログイン ページに、SAML 設定に基づいて各 ID プロバイダーを表すボタンがそれぞれ表示されます。該当のボタンをクリックすると、その ID プロバイダー サイトの認証ページにリダイレクトされます。既にログイン済みの場合、ID プロバイダーは Qlik NPrinting のダッシュボードにリダイレクトします。
メタデータ
サービス プロバイダー (Qlik NPrinting) では ID プロバイダーからの設定情報が必要となります。この情報は ID プロバイダーのメタデータ ファイルとしてダウンロードし、サービス プロバイダーに配信できるため、設定操作を容易に実行することができます。ID プロバイダーのメタデータは Qlik NPrinting SAML 設定ページからアップロードできます。
ID プロバイダーの中にはメタデータ ファイルのダウンロードに対応していないものもあります。ダウンロードできない場合はメタデータ ファイルを手動で作成してください。
Qlik NPrinting ではサービス プロバイダー のメタデータをダウンロードできる ID プロバイダーを提供しています。メタデータは SAML 設定ページからダウンロードできます。メタデータには以下の情報が含まれます。
- Assertion consumer service (ACS) の URL
- エンティティ ID
Qlik NPrinting では ID プロバイダーのメタデータに次の情報が含まれている必要があります。
- 証明書
- エンティティ ID
- HTTP のリダイレクトの場所