認証方法
認証は、リバース プロキシまたはユーザーを認証するためのフィルタリングを提供する シングル サインオン (SSO) システムと併用して、頻繁に使用されます。
次の手順を実行します。
-
QMC を開く:https://<QPS サーバー名>/qmc
-
QMC スタート ページから、あるいは [スタート] ドロップダウン メニューから [仮想プロキシ] を選択して、概要を表示します。
- 認証を取り扱う仮想プロキシを選択して、[編集] をクリックします。
-
[認証] プロパティ グループで必要事項を選択します。
選択する認証方法によって、追加項目は異なります。
-
匿名ユーザーを拒否: ユーザは、ユーザ ID と資格情報を指定する必要があります。
-
匿名ユーザーを許可: ユーザは匿名で入力しますが、ユーザアカウントで切り替えてログインすることができます。
-
常に匿名ユーザー: ユーザーは常に匿名です。
-
[Ticket]: チケットは認証に使用されます。
-
[ヘッダー認証静的ユーザー ディレクトリ]: 静的ヘッダー認証を許可します。QMC でユーザー ディレクトリを設定します。
-
[ヘッダー認証動的ユーザー ディレクトリ]: 動的ヘッダー認証を許可します。ヘッダーからユーザー ディレクトリの情報を取得します。
-
SAML:SAML2 は認証に使用されます。
-
JWT:JSON Web Token は認証に使用されます。
-
OIDC:OpenID Connect は認証に使用されます。
-
[適用] をクリックして変更を保存します。 必須の項目が空欄の場合、[Apply] は無効になります。
ページの最下部に [更新完了] と表示されます。
プロパティ | 説明 | 既定値 |
---|---|---|
[匿名アクセス モード] |
|
匿名ユーザーなし |
[認証方法] |
|
チケット |
[ヘッダー認証ヘッダー名] |
ヘッダー認証が許可される場合、ユーザーを識別する HTTP ヘッダー名. ([Authentication method] プロパティに [Header authentication static user directory] または [Header authentication dynamic user directory] のいずれかを選択して) ヘッダー認証を許可する場合、必須です。 情報メモヘッダー認証は US-ASCII のみをサポートしています (UTF-8 はサポートしていません)。
|
空 |
[ヘッダー認証静的ユーザー ディレクトリ] |
ヘッダー認証を受けたユーザーの追加情報を取得できるユーザー ディレクトリ名。([Authentication method] プロパティに [Header authentication static user directory] を選択して) 静的ヘッダー認証を許可する場合は必須です。 |
空 |
[ヘッダー認証動的ユーザー ディレクトリ] |
([Authentication method] プロパティに [Header authentication dynamic user directory] を選択して) 動的ヘッダー認証を許可する場合、必須です。入力するパターンには ’$ud’ や ‘$id’ が含まれ、これらを分離する方法も含まれている必要があります。 ヘッダーの設定および一致の例 $ud\\$id – USERDIRECTORY\userid と一致させます (\を追加して、バックラッシュをエスケープする必要があります) $id@$ud – userid@USERDIRECTORY と一致させます ($id と $ud の順番は関係ありません) $ud:::$id – USERDIRECTORY:::userid と一致させます |
空 |
[Windows 認証パターン] |
ログイン用に選択された認証パターン。User-Agent ヘッダーに Windows 認証パターン文字列が含まれている場合、Windows 認証が使用されます。一致する文字列がない場合は、フォーム認証が使用されます。 |
Windows |
[認証モジュールは URI をリダイレクトします] | 外部の認証モジュールを使用する場合、クライアントは認証のため、この URI へリダイレクトされます。 | 空欄 (既定モジュール: Windows 認証の Kerberos/NTLM) |
SAML シングル ログアウト | SAML シングル ログアウト 用にサービス プロバイダーが開始するフローを有効にする場合は、このチェック ボックスをオンにします。オンにした場合、仮想プロキシ用に生成されたメタデータ ファイルに、POST およびリダイレクト バインディング用のシングル ログアウトの場所が含められます。 | 空 |
SAML ホスト URI |
クライアントに表示されるサーバー名。この名前は、クライアントが QMC などの Qlik サービスにアクセスする際に使用されます。 サーバー名はコンピュータ名と同一である必要はありませんが、ほとんどの場合、同じ名前が使用されます。 URI には http:// または https:// のいずれかを使用できます。http:// を使用するには、仮想プロキシがリンクされているプロキシの編集ページで [Allow HTTP (HTTP を許可)] を選択する必要があります。 ([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。 |
空 |
SAML エンティティ ID |
サービス プロバイダーを識別する ID。ID は一意にする必要があります。 ([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。 |
空 |
[SAML IdP メタデータ] |
IdP からのメタデータはサービス プロバイダーの構成に使用され、SAML 認証が正常に動作するために必要です。メタデータの一般的な入手方法は、IdP Web サイトからのダウンロードです。 [参照] ボタンをクリックしてアップロード用に IdP metadata .xml ファイルを開きます。エラーを回避するには、[View content (コンテンツを表示)] をクリックしてファイルのコンテンツと形式が正しいことを確認します。 メタデータがないと構成は未完了になります。 |
- |
SAML ユーザー ID に使用する属性 |
ユーザー ID を説明する属性の SAML 属性名。名前やフレンドリな名前を使用して属性を識別できます。 |
空 |
SAML ユーザー ディレクトリに使用する属性 |
ユーザー ディレクトリを説明する属性の SAML 属性名。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 |
空
|
SAML 署名アルゴリズム |
署名 SAML 要求に使用されるハッシュ アルゴリズム。SHA-256 を使用するには、関連する秘密キーのプロバイダーが「Microsoft Enhanced RSA and AES Cryptographic Provider」である第三者機関の証明書が必要となります。 |
- |
[SAML 属性マッピング] |
[新しい属性の追加] をクリックして SAML 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 情報メモSAML 応答ベースの属性は、製品監査を実行するときに考慮に入れられます。
|
- |
JWT 証明書 |
JWT .X509 パブリック キー証明書を PEM 形式で追加します。パブリック キー証明書の例は次の通りです。 -----BEGIN CERTIFICATE----- MIIDYTCCAkmgAwIBAgIJAM/oG48ciCGeMA0GCSqGSIb3DQEBCwUAMEcxEDAOBgNV BAoMB0NvbXBhbnkxEzARBgNVBAMMCkpvaG4gRG9ubmUxHjAcBgkqhkiG9w0BCQEW D2pkZUBjb21wYW55LmNvbTAeFw0xNzAzMjAxMjMxNDhaFw0yNzAzMTgxMjMxNDha MEcxEDAOBgNVBAoMB0NvbXBhbnkxEzARBgNVBAMMCkpvaG4gRG9ubmUxHjAcBgkq hkiG9w0BCQEWD2pkZUBjb21wYW55LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBALIaab/y0u/kVIZnUsRVJ9vaZ2coiB3dVl/PCa40fyZdOIK5CvbA d0mJhuM7m/L4PldKmWh7nsPVC6SHAwgVwXASPHZQ6qha9ENChI2NfvqY4hXTH//Y FYaGLuKHD7pE7Jqt7Bhdh1zbBjrzsr1eU4Owwv9W9DxM4tVx3Xx8AUCNRoEWgObz Oqw9CfYY7/AWB8Hnr8G22X/l0/i4uJhiIKDVEisZ55hiNTEyqwW/ew0ilI7EAngw L80D7WXpC2tCCe2V3fgUjQM4Q+0jEZGiARhzRhtaceuTBnnKq3+DnHmW4HzBuhZB CLMuWaJowkKaSfCQMel6u0/Evxc8i8FkPeMCAwEAAaNQME4wHQYDVR0OBBYEFNQ9 M2Y5WlRCyftHlD2oIk12YHyBMB8GA1UdIwQYMBaAFNQ9M2Y5WlRCyftHlD2oIk12 YHyBMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAHO46YLxtcMcanol PUC5nGdyYchZVHkd4F5MIe82mypwFszXGvpxKQXyAIPMkTIGb1wnE/wbCfB7moxX oFo+NoASER6wtt6FPHNcCiCXHm3B+2at16nOeMLfDefhQq03Q7qjfoa+7woAYole C9fTHGAl4TMIPThGSluiVLOLgHFUHpZryI6DdiEutXiH4afXaw0mScG36Z1uvHIq dPtjb/vDm1b9jvLITe8mZ8c2is1aBCLOdFvNupARxK7U3UD6HzGIh4x7eqo6Q9CK mKIz25FHrKTkyi1n/0+SAlOGp8PSnWrRZKmHkHbpfY5lpCuIBY9Cu2l1Xeq4QW5E AqFLKKE= -----END CERTIFICATE----- |
空 |
JWT ユーザー ID に使用する属性 |
ユーザー ID を説明する属性の JWT 属性名。 |
空 |
JWT ユーザー ディレクトリに使用する属性 |
ユーザー ディレクトリを説明する属性の JWT 属性名。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 |
- |
[JWT 属性マッピング] | [新しい属性の追加] をクリックして JWT 属性を Qlik Sense 属性にマッピングします。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 | 空 |
オプションのOIDC属性を無効化 | ユーザーディレクトリコネクタを介してユーザーを同期する場合にのみ使用します。選択されている時は、ユーザーディレクトリコネクタの同期から送られてくる名前、グループ、メール、画像の属性が、OIDC からの属性で上書きされないように保護されます。 | |
OpenID Connectメタデータ URI |
OpenID Connect プロトコルを使用して ID プロバイダとやり取りする OAuth クライアントに関して、構成情報を提供するエンドポイントへの URL。 |
|
クライアント ID |
ユーザ認証用に ID プロバイダーで設定されたクライアントの ID。 |
|
クライアント シークレット |
ID プロバイダで構成されているクライアントのシークレット。 |
|
領域 |
ID プロバイダーに関連付ける名前で、マルチクラウドでの名前の一貫性に使用されます。 サブジェクト属性値の形式がdomainname\usernameの場合、realmはオプションです。そうでない場合、realm は必須です。 |
|
サブジェクト |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 必須。 |
|
名前 |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 必須。 |
|
グループ |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 |
|
電子メール |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 必須。 |
|
client_id: |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 |
|
写真 |
エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。 |
|
スコープ: | アクセス トークンの発行時にアクセス権限を指定するために、OAuth 2.0 の仕様で使用されます。たとえば、 ID プロバイダでユーザー グループ機能をサポートするためにグループ スコープが必要な場合は、このオプションを使用してグループ スコープを追加します。 | |
OIDC 属性マッピング | [新しい属性の追加] をクリックして OIDC 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。 |