メイン コンテンツをスキップする

Oktaを使用した OIDC の設定

このページ上

Oktaを使用した OIDC の設定

OpenID Connect (OIDC) は、認可フレームワークである OAuth 2.0 の上位の認証層です。OIDCsingle sign-on (SSO) を有効化すると、ユーザーが Web サイトやアプリケーションにアクセスするためにログオンする回数を減らすことができます。OIDC はサードパーティ製品による認証用に構成することができます。

Okta の構成

注: この構成にはサードパーティ製品が含まれているため、構成が本項の説明の通りであると保証することはできません。サードパーティ製品に変更が行われ、弊社が認識していない場合もあります。
  1. 管理者アカウントを使用して、https://www.okta.com/ にログインします。

  2. [セキュリティ] > [API] に移動します。

  3. [承認サーバー] タブで、[承認サーバーの追加] を選択し、承認サーバーの名前、オーディエンス、説明を入力します。

    1. 承認サーバーを作成したら、[クレーム] タブに移動します。

      1. [クレームの追加] をクリックします。

      2. クレームの [名前] を [グループ] として入力します。

      3. [トークン タイプに含める] ドロップダウンで、[ID トークン] と [常に] を選択します。

      4. [値の種類] を [グループ] に設定します。

      5. [フィルター] を [regex .* と一致] に設定します。

    2. [Scopes] (スコープ) タブに移動します。

      1. [Scopes] (スコープ) タブを開きます。

      2. [スコープの追加] をクリックします。

      3. スコープの [名前] を [グループ] として入力します。

      4. [ 公開メタデータに含める] を選択します。

      5. [作成] をクリックします。

    3. [アクセス ポリシー] タブに移動します。

      1. [新しいアクセス ポリシーの追加] をクリックします。新しいポリシーの名前と説明を入力し、[割り当て先] を [すべてのクライアント] オプションに設定したままにします。[ポリシーの作成] をクリックします。

      2. 新しいポリシーが作成されたら、[ルールの追加] をクリックしてポリシーの新しいルールを追加します。ルール名を入力します。すべての項目の既定値をそのままにして、[ルールの作成] をクリックします。

    4. 承認サーバーの [設定] タブにある発行者 URI に注意してください。この URI は次の形式になります: https://<yourOktaDomain>/oauth2/<authServerId>

      注: 上記の変更を行うことにより、新しい認証サーバーを作成する代わりに、Okta で使用可能な既定の認証サーバーを利用できます。
  4. トップ メニューで、[Applications] (アプリケーション) を選択します。

  5. [Add Application] (アプリケーションの追加) をクリックします。

  6. [Create New App] (アプリの新規作成) をクリックします。

  7. [Platform] (プラットフォーム) として [Web] を選択します。

  8. [Sign on method] (サインオン方法) として [OpenID Connect] を選択します。

  9. [作成] をクリックします。

    構成ウィンドウが表示されます。

  10. アプリに Qlik SenseOIDC 設定と名前を付けます

  11. 必要に応じて、ロゴを追加します。

  12. [Login Redirect URI] に、https://<QSEhostname>/<VirtualProxyPrefix>/oidcauthn と入力します。

  13. [保存] をクリックします。

    アプリケーションの詳細 ページが表示されます。

  14. [全般] > [クライアント認証情報] にある、[クライアント ID] と [クライアント シークレット] の値を書き留めます。

  15. 作成した接続をユーザーが使用できるように、ユーザーをアプリに割り当てる必要があります。[Assign to People] (ユーザーへの割り当て) をクリックし、ユーザーを追加します。(ユーザーが Okta アカウントを持っていることが前提となります。)

仮想プロキシの作成および構成

  1. Qlik Management Console (QMC) で、[Virtual proxies] (仮想プロキシ) を開きます。

  2. クリック Create new 新規作成

  3. 右側の [Properties] (プロパティ) で、[Identification] (ID)、[Authentication] (認証)、[Load balancing] (負荷分散)、および [Advanced] (詳細設定) の各セクションを選択していることを確認します。

  4. [Identification] (ID) で、[Description] (説明) と [Prefix] (プレフィックス) に「okta」と入力します。

  5. [Session cookie header name] (セッション クッキー ヘッダー名) で、既存の名前の末尾に「-okta」を追加し、ヘッダー名を X-Qlik-Session-okta にします。

  6. [Authentication method] (認証方法) に [OIDC] を選択します。

  7. [OpenID 接続メタデータ URI] 項目に、Okta の承認サーバー設定から指定された発行者 URI を次の形式で入力します: https://<yourOktaDomain>/oauth2/<authServerId>/.well-known/openid-configuration

  8. メモしたクライアント ID とクライアント シークレットを対応するフィールドに入力します。

  9. Realmに、「okta」と入力します。OIDC 認証によってリポジトリに追加されたユーザーのユーザー ディレクトリ名は 「okta」 に設定されます。

    注: サブジェクト属性値の形式がdomainname\usernameの場合、realmはオプションです。そうでない場合、realm は必須です。
  10. [client_id] (クライアント ID) フィールドで、値を aud に変更します。

  11. [scope] (範囲) フィールドで、値を openid profile email と入力します。

  12. [Load balancing nodes] (負荷分散ノード) で、 [Add new server node] (新しいサーバー ノードの追加) をクリックします。

  13. この仮想プロキシが接続を負荷分散するエンジン ノードを選択します。

  14. [Advanced] (詳細設定) の [Host allow list] (ホスト許可リスト) セクションで、[Add new value] (新しい値の追加) をクリックします。

  15. Okta ([ OpenID Connect Metadata URI] (OpenID 接続のメタデータ URI) で入力したのと同じホスト名) の名前を追加します。

  16. [Apply] (適用) をクリックし、[OK] をクリックしてサービスを再起動します。

  17. 右側の [Associated items] (関連するアイテム) メニューで、[Proxies] (プロキシ) を選択します。

  18. [Link] (リンク) をクリックし、この構成を使用するプロキシ (1 つまたは複数) に仮想プロキシをリンクさせます。

    プロキシ サービスが再起動します。

OpenID Connect Metadata URIhttps://{IdP_hostname}/.well-known/openid-configuration を選択した時に、IdP サーバーで構成した要求とスコープが、 claims_supportedscopes_supported タグで返されることを確認します。

これで Okta の構成が完了しました。