メイン コンテンツをスキップする 補完的コンテンツへスキップ

SAML 認証

Security Assertion Markup Language (SAML)  は認証と承認のためのデータ形式です。SAML の主なメリットの 1 つは シングル サインオン (SSO) を有効にすることです。これによりユーザーがクラウド アプリケーションや Web サイトにログオンする必要がある回数を最小限に抑えることができます。

認証プロセスには 3 つのエンティティが関与します。

  • ユーザー
  • ID プロバイダー (IdP)
  • サービス プロバイダー (SP)

ID プロバイダーがユーザーを認証します。ID プロバイダーがユーザーの ID を断言すると、サービス プロバイダーはユーザーにサービスへのアクセスが提供できるようになります。ID プロバイダーによって SSO が有効にされているため、ユーザーは各サイトにログインしなくても、複数のサービス プロバイダーのサイトやアプリケーションにアクセスできます。

ID プロバイダーによって開始される SSO

ID プロバイダーによって開始される SSO の場合、ユーザーが ID プロバイダーに直接ログインすると、ID プロバイダーによって SSO 認証が実行されます。

RelayState は常に https://<machine_name>/<vp_prefix>/hub に設定することをお勧めします。RelayState が空の場合、一部の ID プロバイダーでは post 要求の代わりに get 要求が送信されるため、エラーが生じます。

情報メモ RelayState が空の場合、スペルミスがある場合、またはホストの許可リストに含まれていない場合には、ユーザーは自動的にハブにリダイレクトされます。
情報メモIdP から開始する SSO を機能させるには、アサーションに署名する必要があります。

サービス プロバイダーによって開始される SSO

サービス プロバイダーによって開始される SSO の場合、ユーザーはサービス プロバイダー サイトでログインを開始しますが、SP サイトではログインされず、ID プロバイダーによって SSO 認証が開始されます。認証プロセスでは、Qlik Sense がサービス プロバイダーとなります。ユーザーが Qlik Sense にログインすると、ログイン情報は実際の SSO 認証を処理する ID プロバイダーに転送されます。

メタデータ

サービス プロバイダー (Qlik Sense) では、ID プロバイダーからの構成情報が必要になります。この情報は IdP メタデータ ファイルとして利用できます。ユーザーは構成を簡単にするためにこのファイルをダウンロードして、サービス プロバイダーに提供できます。IdP メタデータは QMC からアップロードされます。

情報メモすべての IdPs でメタデータ ファイルのダウンロードがサポートされるわけではありません。ダウンロードがサポートされていない場合、メタデータ ファイルは手動で作成できます。

Qlik Sense はサービス プロバイダーとして ID プロバイダーに QMC からダウンロードした SP メタデータを提供します。メタデータには次の情報が含まれています。

  • Assertion consumer service (ACS) URL
  • エンティティ ID
  • セキュリティ証明書
情報メモ証明書を含まないメタデータ ファイルで仮想プロキシを設定すると、IdP 開始ワークフローは機能しません。

 

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。