メイン コンテンツをスキップする

ADFS の設定

ADFS は認証および承認を行うプラットフォームです。

ADFS は、Qlik Sense Enterprise on Kubernetes (QSEoK) および Qlik Sense Enterprise on Windows (QSEfW) で使用する ID プロバイダー (IdP) として構成できます。アプリケーション グループ、サーバー アプリケーション、および Web API を作成し、インタラクティブ ログイン (QSEoK) に使用します。さらに、Active Directory から ID トークンにクレームをマッピングします。

インタラクティブ ログインのために QSEoK で必要とされる ADFS リソースの作成

ADFS を設定する場合、アプリケーション グループとサーバー アプリケーションが必要です。

注: 以下の手順は、ADFS 10 を使用する場合の例です。詳細および最新の手順については、ADFS のドキュメントを参照してください。

アプリケーション グループの追加とサーバー アプリケーションの作成

次の手順を実行します。

  1. [Add Application Group Wizard] (アプリケーション グループの追加ウィザード) を開きます。

  2. アプリケーション グループの名前を入力します。

  3. [Templat] (eテンプレート) で、[Server application] (サーバー アプリケーション) を選択します。

  4. [次へ] をクリックします。

    [Server application] (サーバー アプリケーション) ページが開きます。

  5. アプリケーションの名前を入力します。

    例: 1234567890

  6. アプリケーションのクライアント識別子を入力し、書き留めておきます。クライアント識別子はクライアント ID として使用されます。

    例: https://adfs.elastic.example/1234567890

    注: この例では、https://adfs.elastic.example がテナント ドメインで、1234567890 がアプリケーションを表す一意の識別子です。クライアント識別子は URL でなければなりません。ADFS は、URL ID によってアプリケーションを表す id_token 内にカスタム クレームのみを含みます。詳細については、「Customize claims to be emitted in id_token when using OpenID Connect or OAuth with AD FS 2016」を参照してください。
  7. Redirect URI については、https://<host>/login/callback/ の書式で、テナントのログイン コールバックへのリダイレクト URL を設定します。

    例: https://adfs.elastic.example/login/callback

  8. 必要に応じて、説明を入力します。

  9. [次へ] をクリックします。

    [Configure Application Credentials] (アプリケーションの資格情報の構成) ページが開きます。

  10. [Generate a shared secret] (共有シークレットを生成する) を選択します。このシークレットを書き留めておかないと、後でアクセスできなくなります。このシークレットは、クライアント シークレットとして使用します。

  11. ウィザードを終了します。

アプリケーション グループへの Web API の追加

作成したアプリケーション グループに Web API を追加します。

次の手順を実行します。

  1. あらかじめ作成したアプリケーション グループを開きます。

  2. [Add application] (アプリケーションの追加) > [Web API] (Web API) の順に選択します。

  3. アプリケーション グループから識別子としてクライアント ID を追加します。

  4. [次へ] をクリックします。

    [Choose Access Control Policy] (アクセス制御ポリシーの選択) ページが開きます。

  5. ポリシーを適用し、[次へ] をクリックします。

    [Configure Application Permissions] (アプリケーションの権限の構成) ページが開きます。

  6. [Permitted scopes] (許可されているスコープ) について、allatclaimsemailopenid、および profile を選択します。

  7. ウィザードを終了します。

id_token に対するクレームの構成

次の手順を実行します。

  1. 作成した Web API を編集するアプリケーション グループを開きます。[Issuance Transform Rules] (発行変換規則) を開きます。

  2. ルール テンプレートの [Send LDAP Attributes as Claims] (LDAP 属性を要求として送信) を元にルールを作成します。

  3. [Active Directory] を属性ストアとして選択します。

  4. クレーム マッピングを追加します。必要に応じて、送信クレームを入力します。

  5. [Token-Groups - Unqualified Names] (Token-Groups - 名前の指定なし) を [groups] (グループ) にマッピングします。

  6. [表示名] を [display_name] にマッピングします。

  7. クレームのマッピングを終了します。