仮想プロキシの作成
仮想プロキシを使用して、認証、セッションの取り扱い、同じ物理サーバーの負荷分散の複数の設定を処理できます。1 つの構成を持つ代わりに、仮想プロキシを使用して必要に応じてサーバー数を減らすことができます。
次の手順を実行します。
-
QMC を開く:https://<QPS サーバー名>/qmc
-
QMC スタート ページから、あるいは [スタート] ドロップダウン メニューから [仮想プロキシ] を選択して、概要を表示します。
-
[新規作成] をクリックします。仮想プロキシを複数のプロキシに同時に追加することはできません。
-
[仮想プロキシの編集] ウィンドウでプロパティを編集します。
全項目が必須で、空欄のままにはできません。
ID プロパティ プロパティ 説明 デフォルト値 [説明]
仮想プロキシの名前。 空 [プレフィックス] 各追加パスを定義するプロキシの URI のパス名。例:
https://[node]/[prefix]/
次の点に注意してください。
- プレフィックスでは小文字のみを使用できます。Qlik Sense 3.0 へのアップグレード後、既存の仮想プロキシに含まれるすべての大文字は、自動的に小文字で置き換えられます。
- 使用可能な文字は、次の予約されていない文字のみです。(a-z, 0-9, "-", ".", "_" , "~"。詳細については、次のドキュメントの「非予約文字」のセクションを参照してください:Uniform Resource Identifier (URI): 一般的な構文
空 [タイムアウトまでのセッション アイドル時間 (分)] タイムアウトするまでのアイドル状態の最大時間。この時間が経過すると、セッションは無効となり、ユーザーはシステムからログアウトされます。
30 分間 [セッション クッキー ヘッダー名] セッション クッキーのために使用される HTTP ヘッダー名。既定ではこの値は空欄なので、値を入力する必要があります。
情報メモFebruary 2019 以降のリリースは、ユーザーが http を介してシステムにアクセスすると、セッションの Cookie ヘッダー名にサフィックス (-HTTP) が付加されます。ヒント メモクッキー名のサフィックスとして、上記の [プレフィックス] プロパティの値が含まれていると、役に立ちます。空 認証プロパティ プロパティ 説明 既定値 [匿名アクセス モード] -
匿名ユーザーを拒否: ユーザは、ユーザ ID と資格情報を指定する必要があります。
-
匿名ユーザーを許可: ユーザは匿名で入力しますが、ユーザアカウントで切り替えてログインすることができます。
-
常に匿名ユーザー: ユーザーは常に匿名です。
匿名ユーザーなし [認証方法]
-
[Ticket]: チケットは認証に使用されます。
-
[ヘッダー認証静的ユーザー ディレクトリ]: 静的ヘッダー認証を許可します。QMC でユーザー ディレクトリを設定します。
-
[ヘッダー認証動的ユーザー ディレクトリ]: 動的ヘッダー認証を許可します。ヘッダーからユーザー ディレクトリの情報を取得します。
-
SAML:SAML2 は認証に使用されます。
-
JWT:JSON Web Token は認証に使用されます。
-
OIDC:OpenID Connect は認証に使用されます。
チケット [ヘッダー認証ヘッダー名] ヘッダー認証が許可される場合、ユーザーを識別する HTTP ヘッダー名. ([Authentication method] プロパティに [Header authentication static user directory] または [Header authentication dynamic user directory] のいずれかを選択して) ヘッダー認証を許可する場合、必須です。
情報メモヘッダー認証は US-ASCII のみをサポートしています (UTF-8 はサポートしていません)。空 [ヘッダー認証静的ユーザー ディレクトリ] ヘッダー認証を受けたユーザーの追加情報を取得できるユーザー ディレクトリ名。([Authentication method] プロパティに [Header authentication static user directory] を選択して) 静的ヘッダー認証を許可する場合は必須です。
空 [ヘッダー認証動的ユーザー ディレクトリ] ([Authentication method] プロパティに [Header authentication dynamic user directory] を選択して) 動的ヘッダー認証を許可する場合、必須です。入力するパターンには ’$ud’ や ‘$id’ が含まれ、これらを分離する方法も含まれている必要があります。
ヘッダーの設定および一致の例
$ud\\$id – USERDIRECTORY\userid と一致させます (\を追加して、バックラッシュをエスケープする必要があります)
$id@$ud – userid@USERDIRECTORY と一致させます ($id と $ud の順番は関係ありません)
$ud:::$id – USERDIRECTORY:::userid と一致させます
空 [Windows 認証パターン] ログイン用に選択された認証パターン。User-Agent ヘッダーに Windows 認証パターン文字列が含まれている場合、Windows 認証が使用されます。一致する文字列がない場合は、フォーム認証が使用されます。
Windows [認証モジュールは URI をリダイレクトします] 外部の認証モジュールを使用する場合、クライアントは認証のため、この URI へリダイレクトされます。 空欄 (既定モジュール: Windows 認証の Kerberos/NTLM) SAML シングル ログアウト SAML シングル ログアウト 用にサービス プロバイダーが開始するフローを有効にする場合は、このチェック ボックスをオンにします。オンにした場合、仮想プロキシ用に生成されたメタデータ ファイルに、POST およびリダイレクト バインディング用のシングル ログアウトの場所が含められます。 空 SAML ホスト URI クライアントに表示されるサーバー名。この名前は、クライアントが QMC などの Qlik サービスにアクセスする際に使用されます。
サーバー名はコンピュータ名と同一である必要はありませんが、ほとんどの場合、同じ名前が使用されます。
URI には http:// または https:// のいずれかを使用できます。http:// を使用するには、仮想プロキシがリンクされているプロキシの編集ページで [Allow HTTP (HTTP を許可)] を選択する必要があります。
([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。
空 SAML エンティティ ID サービス プロバイダーを識別する ID。ID は一意にする必要があります。
([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。
空 [SAML IdP メタデータ] IdP からのメタデータはサービス プロバイダーの構成に使用され、SAML 認証が正常に動作するために必要です。メタデータの一般的な入手方法は、IdP Web サイトからのダウンロードです。
[参照] ボタンをクリックしてアップロード用に IdP metadata .xml ファイルを開きます。エラーを回避するには、[View content (コンテンツを表示)] をクリックしてファイルのコンテンツと形式が正しいことを確認します。
メタデータがないと構成は未完了になります。
- SAML ユーザー ID に使用する属性 ユーザー ID を説明する属性の SAML 属性名。名前やフレンドリな名前を使用して属性を識別できます。
空 SAML ユーザー ディレクトリに使用する属性 ユーザー ディレクトリを説明する属性の SAML 属性名。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
空
SAML 署名アルゴリズム 署名 SAML 要求に使用されるハッシュ アルゴリズム。SHA-256 を使用するには、関連する秘密キーのプロバイダーが「Microsoft Enhanced RSA and AES Cryptographic Provider」である第三者機関の証明書が必要となります。
- [SAML 属性マッピング] [新しい属性の追加] をクリックして SAML 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
情報メモSAML 応答ベースの属性は、製品監査を実行するときに考慮に入れられます。- JWT 証明書 JWT .X509 パブリック キー証明書を PEM 形式で追加します。パブリック キー証明書の例は次の通りです。
-----BEGIN CERTIFICATE-----
MIIDYTCCAkmgAwIBAgIJAM/oG48ciCGeMA0GCSqGSIb3DQEBCwUAMEcxEDAOBgNV
BAoMB0NvbXBhbnkxEzARBgNVBAMMCkpvaG4gRG9ubmUxHjAcBgkqhkiG9w0BCQEW
D2pkZUBjb21wYW55LmNvbTAeFw0xNzAzMjAxMjMxNDhaFw0yNzAzMTgxMjMxNDha
MEcxEDAOBgNVBAoMB0NvbXBhbnkxEzARBgNVBAMMCkpvaG4gRG9ubmUxHjAcBgkq
hkiG9w0BCQEWD2pkZUBjb21wYW55LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEP
ADCCAQoCggEBALIaab/y0u/kVIZnUsRVJ9vaZ2coiB3dVl/PCa40fyZdOIK5CvbA
d0mJhuM7m/L4PldKmWh7nsPVC6SHAwgVwXASPHZQ6qha9ENChI2NfvqY4hXTH//Y
FYaGLuKHD7pE7Jqt7Bhdh1zbBjrzsr1eU4Owwv9W9DxM4tVx3Xx8AUCNRoEWgObz
Oqw9CfYY7/AWB8Hnr8G22X/l0/i4uJhiIKDVEisZ55hiNTEyqwW/ew0ilI7EAngw
L80D7WXpC2tCCe2V3fgUjQM4Q+0jEZGiARhzRhtaceuTBnnKq3+DnHmW4HzBuhZB
CLMuWaJowkKaSfCQMel6u0/Evxc8i8FkPeMCAwEAAaNQME4wHQYDVR0OBBYEFNQ9
M2Y5WlRCyftHlD2oIk12YHyBMB8GA1UdIwQYMBaAFNQ9M2Y5WlRCyftHlD2oIk12
YHyBMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAHO46YLxtcMcanol
PUC5nGdyYchZVHkd4F5MIe82mypwFszXGvpxKQXyAIPMkTIGb1wnE/wbCfB7moxX
oFo+NoASER6wtt6FPHNcCiCXHm3B+2at16nOeMLfDefhQq03Q7qjfoa+7woAYole
C9fTHGAl4TMIPThGSluiVLOLgHFUHpZryI6DdiEutXiH4afXaw0mScG36Z1uvHIq
dPtjb/vDm1b9jvLITe8mZ8c2is1aBCLOdFvNupARxK7U3UD6HzGIh4x7eqo6Q9CK
mKIz25FHrKTkyi1n/0+SAlOGp8PSnWrRZKmHkHbpfY5lpCuIBY9Cu2l1Xeq4QW5E
AqFLKKE=
-----END CERTIFICATE-----
空 JWT ユーザー ID に使用する属性 ユーザー ID を説明する属性の JWT 属性名。
空 JWT ユーザー ディレクトリに使用する属性 ユーザー ディレクトリを説明する属性の JWT 属性名。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
- [JWT 属性マッピング] [新しい属性の追加] をクリックして JWT 属性を Qlik Sense 属性にマッピングします。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 空 オプションのOIDC属性を無効化 ユーザーディレクトリコネクタを介してユーザーを同期する場合にのみ使用します。選択されている時は、ユーザーディレクトリコネクタの同期から送られてくる名前、グループ、メール、画像の属性が、OIDC からの属性で上書きされないように保護されます。 OpenID Connectメタデータ URI OpenID Connect プロトコルを使用して ID プロバイダとやり取りする OAuth クライアントに関して、構成情報を提供するエンドポイントへの URL。
クライアント ID ユーザ認証用に ID プロバイダーで設定されたクライアントの ID。
クライアント シークレット ID プロバイダで構成されているクライアントのシークレット。
領域 ID プロバイダーに関連付ける名前で、マルチクラウドでの名前の一貫性に使用されます。
サブジェクト属性値の形式がdomainname\usernameの場合、realmはオプションです。そうでない場合、realm は必須です。
サブジェクト エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
名前 エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
グループ エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
電子メール エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
client_id: エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
写真 エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
スコープ: アクセス トークンの発行時にアクセス権限を指定するために、OAuth 2.0 の仕様で使用されます。たとえば、 ID プロバイダでユーザー グループ機能をサポートするためにグループ スコープが必要な場合は、このオプションを使用してグループ スコープを追加します。 OIDC 属性マッピング [新しい属性の追加] をクリックして OIDC 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。 負荷分散プロパティ プロパティ 説明 既定値 [負荷分散ノード] ノードに負荷分散を追加するには、[Add new server node (新しいサーバー ノードの追加)] をクリックします。 空 詳細設定プロパティ プロパティ 説明 デフォルト値 [拡張セキュリティ環境]
この設定を有効にすると、クライアントの環境についての情報(OS、デバイス、ブラウザー、IP) は、セキュリティ ヘッダーで送信されます。
選択されていない場合、ユーザーは、同じエンジン セッションを複数のデバイスで同時に実行できます。
空 [セッション Cookie ドメイン] 既定では、プロキシがインストールされたマシンに対してのみ、セッション Cookie が有効です。この (オプションの) プロパティであれば、より大きいドメインへの有効性を高められます。例:
company.com
空欄 (既定マシン) [Secure 属性あり (https)] Secure 属性を持ち、https を使用するセッション クッキー用のオプション。 選択値 [SameSite 属性 (https)] https 用の SameSite 属性値:
属性なし、None、Lax、Strict
詳しくは「SameSite クッキー属性」を参照してください。
Lax
[Secure 属性あり (http)] Secure 属性を持ち、http を使用するセッション クッキー用のオプション。 空 [SameSite 属性 (http)] http 用の SameSite 属性値:
属性なし、None、Lax、Strict
詳しくは「SameSite クッキー属性」を参照してください。
属性なし 追加の応答ヘッダー クライアントに返す HTTP 応答すべてに付加されるヘッダー。例:
Header1: value1
Header2: value2
空 [ホスト許可リスト] Websocket オリジン ホワイト リストに追加されたすべての値は、ボトム レベルから検証されます。たとえば、「domain.com」が追加された場合、「domain.com」で終わるすべての値が承認されます。「subdomain.domain.com」が追加された場合は、「subdomain.domain.com」で終わるすべての値が承認されます。
Cross-Origin Resource Sharing (CORS) の使用時にスイッチング スキーマに対応するには、CORS ポリシーによって要求がブロックされないようにするスキーマが、ホストのホワイト リストに含まれている必要があります。
安全でない Web サイト (http://subdomain.domain.com) および安全な Web サイト (https://qlik.sense...) を実行する Qlik Sense からマッシュアップをロードしている場合、このスキーマ (http://subdomain.domain.com) がホストの許可リストに記載されている必要があります。
情報メモ許可リストが空の場合でも、Qlik Sense がインストールされたマシンの名前は、表示されませんが許可リストの一部とみなされます。空
統合プロパティ プロパティ 説明 デフォルト値 [セッション モジュール ベース URI] 存在する場合、外部セッション モジュールへのアドレス。 空欄 (既定モジュール: インメモリ) [負荷分散モジュール ベース URI] 存在する場合、ユーザーのセッションのために使用する Qlik Sense エンジンを選択する外部の負荷分散モジュールへのアドレス。 空欄 (既定モジュール: ラウンド ロビン) クライアント認証リンクは、Qlik Sense サーバーに対してクライアントの認証を要求するために使用されます。
情報メモクライアント認証リンクは、QMC 内の任意の仮想プロキシから生成可能です。ただし、クライアント認証リンクをハブから取得する場合は、中央ノードの既定の仮想プロキシからリンクを生成する必要があります。クライアント認証リンクのプロパティ プロパティ 説明 デフォルト値 クライアント認証リンク ホスト URI クライアント認証リンクの一部となる Qlik Sense URI。 空 クライアント認証リンク フレンドリ名 ユーザーがホストを識別するために役立つ名前。フレンドリ名は、クライアント認証リンクの一部となります。 空 クライアント認証リンクの生成 ボタンをクリックすると、コピーしてユーザーに配布できるリンクが生成されます。 - ヒント メモ利用可能な QMC タグがない場合、このプロパティ グループは表示されません。テキスト ボックスをクリックすると、利用可能なタグが一覧表示されます。入力を始めると、リストが少なくなります。紐付けられているタグがテキスト ボックスの下に表示されます。情報メモカスタム プロパティを利用できない場合、このプロパティ グループには何も表示されません (あるいは表示されても空です)。ここで表示する前に、このリソース タイプでカスタム プロパティを利用できるようにする必要があります。 -
[適用] をクリックして変更を保存します。 必須の項目が空欄の場合、[Apply] は無効になります。
-
操作バーで [適用] をクリックし、変更内容を保存します。
ページの最下部に [更新完了] と表示されます。