Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) は当事者間 (ID プロバイダーとサービス プロバイダー間など) の認証と承認データを交換するための、XML ベース、オープン スタンダードのデータ形式です。SAML は通常ウェブ ブラウザーの single sign-on (SSO) に使用されます。

SAML の動作

ID プロバイダー (IdP) は認証のために使用されます。ID プロバイダーによってユーザー ID が断定されると、サービス プロバイダー (SP) によりサービスへのアクセスがユーザーに付与されます。ID プロバイダーにより SSO が有効化されているため、複数のサービス プロバイダーやアプリケーションに対しても、ユーザーはその都度ログインする必要なしにアクセスできます。

SAML の仕様では次の 3 つの役割が定義されています。

  • プリンシパル: 通常はユーザーをさします
  • IdP: ID プロバイダー
  • SP: サービス プロバイダー

プリンシパルが SP にサービスを要求すると、SP は IdP に ID のアサーション (ID の断定) を要求し、IdP からアサーションを取得します。SP はそのアサーションに基づき、プリンシパルから要求されたサービスを実行するかどうかを判断します。

Qlik NPrintingSAML

Qlik NPrinting では次の場合に SAML V2.0 に対応しています。

  • 外部の ID プロバイダーと統合できるという条件の下で、サービスを実装する
  • SAML 応答において HTTP Redirect BindingHTTP POST Binding をサポートする
  • リソースとデータをアクセス コントロールする上で SAML プロパティをサポートする

制限:

  • Qlik NPrintingSAML の認証要求をサポートしていません。したがって ID プロバイダーで SAML の認証要求の署名が要求されている場合には対応できません。
  • SAML 応答の暗号化には対応していないため、メッセージや属性が暗号化されている場合、Qlik NPrinting では読み取れません。
  • SAML single logout には対応していません。
注:

QlikView ウェブ サーバー上の Qlik NPrinting On-Demand アドオンを使用するには、Windows 認証を有効にする必要があります。

SAML 認証のみを使用する場合は、Microsoft IIS Web Sever 上に構成した QlikView ServerQlik NPrinting On-Demand アドオンをインストールする必要があります。

Qlik NPrinting On-Demand Microsoft IIS がホストする QlikView AccessPoint 上に をインストール

Qlik NPrinting web consoleNewsStand の設定構成

Qlik NPrinting web consoleNewsStand では別々のウェブ アドレスが用いられているため、両方を正しく機能させるには 2 つの異なる SAML 接続を設定する必要があります。

ID プロバイダーにより開始される SSO

ID プロバイダーにより開始される SSO では、ユーザーは ID プロバイダーに直接ログインし、その ID プロバイダーが SSO 認証を行います。

認証の流れが ID プロバイダー側から始まる場合、ユーザーは Qlik NPrinting web consoleQlik NPrinting ダッシュボードあるいは NewsStand のホーム ページにリダイレクトされます。

サービス プロバイダーにより開始される SSO

サービス プロバイダーで開始される SSO では、ユーザーはサービス プロバイダーから操作を始めます。ユーザーがサービス プロバイダー サイトでログインする代わりに、SSO 認証が ID プロバイダーで開始されます。この認証プロセスでは Qlik NPrinting がサービス プロバイダーの役割を果たします。Qlik NPrinting ログイン ページに、SAML 設定に基づいて各 ID プロバイダーを表すボタンがそれぞれ表示されます。該当のボタンをクリックすると、その ID プロバイダー サイトの認証ページにリダイレクトされます。既にログイン済みの場合、ID プロバイダーは Qlik NPrinting のダッシュボードにリダイレクトします。

メタデータ

サービス プロバイダー (Qlik NPrinting) では ID プロバイダーからの設定情報が必要となります。この情報は ID プロバイダーのメタデータ ファイルとしてダウンロードし、サービス プロバイダーに配信できるため、設定操作を容易に実行することができます。ID プロバイダーのメタデータは Qlik NPrinting SAML 設定ページからアップロードできます。

ID プロバイダーの中にはメタデータ ファイルのダウンロードに対応していないものもあります。ダウンロードできない場合はメタデータ ファイルを手動で作成してください。

Qlik NPrinting ではサービス プロバイダー のメタデータをダウンロードできる ID プロバイダーを提供しています。メタデータは SAML 設定ページからダウンロードできます。メタデータには以下の情報が含まれます。

  • Assertion consumer service (ACS) の URL
  • エンティティ ID

Qlik NPrinting では ID プロバイダーのメタデータに次の情報が含まれている必要があります。

  • 証明書
  • エンティティ ID
  • HTTP のリダイレクトの場所
注: SAML 応答署名を確認するために証明書を読み取っているときに、Qlik NPrinting では「署名」属性を含む最初の証明書を使用します。提供された IdP メタデータに「署名」属性を含む証明書が 2 つ以上含まれていて、応答の署名に最初の証明書を使用していない場合は、署名の確認が失敗します。IdP メタデータ ファイルから使用されていない証明書を削除してから、Qlik NPrinting にアップロードする必要があります。