ユーザー ディレクトリ コネクタの作成
ユーザー ディレクトリ コネクタ (UDC) を新規作成できます。
次の手順を実行します。
-
QMC を開く:https://<QPS サーバー名>/qmc
-
QMCスタート ページから、あるいは [Start (スタート)] ドロップダウン メニューから [User directory connectors (ユーザー ディレクトリ コネクタ)] を選択して、概要を表示します。
-
データ マネージャーでテーブルの 新規作成 をクリックします。
利用可能なユーザー ディレクトリ コネクタのタイプを示すダイアログが表示されます。
-
新しいユーザー ディレクトリ コネクタのタイプやそのソースを選択します。以下のタイプを利用できます。
- 汎用 LDAP
- 高度な LDAP
- アクティブ ディレクトリ
- ApacheDS
- ODBC
- Access (ODBC 経由)
- Excel (ODBC 経由)
- SQL (ODBC 経由)
- Teradata (ODBC 経由)
情報メモローカル ユーザーが Qlik Sense にログオンする場合、UDC は不要です。ただし、ローカル ユーザーがアプリにアクセスできるようにするには、アクセスを割り当てる必要があります。ユーザーベースのライセンスでは、プロフェッショナルまたはアナライザーのアクセス ルールを使用できます。トークンベースのライセンスでは、ユーザーまたはログイン アクセス ルールを使用してアクセスを割り当てることができます。あるいは、まずローカル ユーザーがログオンしてユーザーとして認識され、それからトークンが割り当てられるようにすることもできます。 -
プロパティを編集します。
全項目が必須で、空欄のままにはできません。
ID プロパティ プロパティ 説明 名前 QMC で定義された UDC プロパティの名前です。
タイプ UDC タイプです。
ユーザー同期プロパティ プロパティ 説明 既定値 [既存のユーザーのユーザー データの同期] - 選択されている場合は、既存のユーザーのみが同期されます。既存のユーザーは、Qlik Sense にログインしているユーザーや、構成済みディレクトリ サービスから同期されたことのあるユーザーです。
- 選択されていない場合は、UDC のプロパティで定義されているすべてのユーザーが構成済みのディレクトリ サービスから同期されます。選択したユーザーのみを同期する場合は、[Active Directory]、[ApacheDS]、[汎用 LDAP] または [Advanced LDAP] でフィルターを作成できます。
情報メモユーザー属性は、ユーザーがハブにログインするときにのみ同期されます。QMC でユーザーを削除しても、削除されたユーザーに対してアクティブなセッションは引き続き有効です。ハブの更新のみが行われた場合、ユーザーはデータベースに追加されますが、いかなる属性も持ちません。選択値
接続プロパティ プロパティ 説明 既定値 ユーザー ディレクトリ名
ユーザー ディレクトリは一意でなければなりません。一意でないと、コネクタは構成されません。UDC インスタンスの名前 (Active Directory のドメイン名に喩えられる)。ユーザー アカウント名と共に、この名前はユーザーを固有のものにします。
情報メモActive Directory には手動で入力できません。- パス
ディレクトリ サーバーへの接続に使用する URI。SSL をサポートするため、プロトコルを LDAPS として指定します。
情報メモカスタム ポートには対応していません。ldap://company.domain.com [ユーザー名] ディレクトリ サーバーへの接続に使用する、オプションのユーザー ID。空の場合、Qlik Sense リポジトリを実行するユーザーを使用して、ディレクトリ サーバーにログインします。 - [パスワード] ユーザー向けのオプションのパスワード。 - 情報メモユーザーが Active Directory コネクターを作成する場合、Qlik Sense サービスを実行しているユーザーがディレクトリ サーバーへのアクセスを許可されている場合のみ、そのコネクターは動作します。Qlik Sense サービスを実行しているユーザーがディレクトリ サーバーへのアクセスを許可されていない場合、ディレクトリ サーバーにアクセス可能なユーザー名とパスワードを入力する必要があります。情報メモMicrosoft Access Text Driver (*.txt, *.csv) を使用して .txt ファイルをロードする場合、コネクター タイプは [ODBC].ではなく [Access (ODBC 経由)] を使用する必要があります。接続プロパティ プロパティ 説明 既定値 ユーザー ディレクトリ名 ユーザー ディレクトリの名前。ユーザー ディレクトリは一意でなければなりません。一意でないと、コネクタは構成されません。この名前にスペースを含んではいけません。
- ユーザー テーブル名 ユーザーが一覧表示されているテーブルの名前。 テーブル名にファイル拡張子を含めます。例:Table.csv. 情報メモOracle ODBC ユーザー ディレクトリ コネクターを設定する場合、ユーザー テーブル名および属性テーブル名の前に、それらのテーブルの所有者を付ける必要があります。例: ただの USERS でなく OWNER.USERS。- 属性テーブル名 ユーザー属性を含むテーブルの名前。 テーブル名にファイル拡張子を含めます。例:Table.csv. 情報メモOracle ODBC ユーザー ディレクトリ コネクターを設定する場合、ユーザー テーブル名および属性テーブル名の前に、それらのテーブルの所有者を付ける必要があります。例: ただの USERS でなく OWNER.USERS。- 表示されている接続文字列 データ ソースへの接続に使われる接続文字列関数の表示可能な部分。以下のいずれかを指定します。
- 完全な接続文字列。例: Driver={SQL Server Native Client 11.0};Server=localhost;Database=Users;Trusted_Connection=yes;
- Driverは現在コンピュータにあるドライバを指定する必要があります。[ODBC データ ソース アドミニストレータ] で、指定するドライバーを確認してください。「データ ソース」を検索して、アプリケーションを見つけます。
- Server は接続するサーバーを指定する必要があります。
- Database はテーブルがあるデータベースを指定する必要があります。
- Trusted_Connection=yes は設定によって必要になる場合があります。この例では、必要です。
- 確立されたシステム DNS へのポインタ。例えば、dsn=MyDSN;
情報メモデータベースに接続する場合、2 つの接続文字列関数は単一の接続文字列関数に連結されます。- 暗号化された接続文字列 データ ソースへの接続に使われる接続文字列関数の暗号化された部分。通常、この文字列にはユーザー名とパスワードが含まれます。
次の接続文字列があると見なされます:
Driver={Microsoft Access Driver (.mdb)};Dbq=C:\mydatabase.mdb;Uid=Admin;Pwd=verySecretAdminPassword;
この接続文字列は、そのままデータベースに保存すると秘密のパスワードが表示されてしまうため注意が必要です。パスワードを保護するため以下の手順に従ってください。
最初の部分
(Driver={Microsoft Access Driver (.mdb)};Dbq=C:\mydatabase.mdb;)
を [表示されている接続文字列] 項目に保存し、二番目の部分
(Uid=Admin;Pwd=verySecretAdminPassword;)
を [暗号化された接続文字列] 項目に保存します。このようにすれば二番目の部分がデータベースに暗号化されて保存されるため、後に編集のため UDC で開いても表示されません。
情報メモデータベースに接続する場合、2 つの接続文字列関数は単一の接続文字列関数に連結されます。- 同期タイムアウト (秒) データ ソースからのデータ読み取りのタイムアウト。 240 [詳細設定] プロパティ グループには、Qlik Sense システムの詳細な LDAP コネクタ プロパティが含まれています。
詳細設定プロパティ プロパティ 説明 デフォルト値 [LDAP 追加フィルター] LDAP クエリとして使用し、ディレクトリでユーザーを再取得します。 - 同期タイムアウト (秒) データ ソースからのデータ読み取りのタイムアウト。 240 [検索のページ サイズ] データ ソースからデータを読み取るときに取得する投稿数を指定します。指定した数の投稿が検出されると検索が停止し、結果が返されます。検索を再開すると、停止した位置から検索が続行されます。
ヒント メモユーザーの同期に失敗した場合は、設定値を「0」(ゼロ) にし、ページ指定検索を行わないのと同じ設定にします。2000 (ApacheDS の場合: 1000)
[最適化されたクエリを使用] このプロパティにより、Qlik Sense は、再取得されたユーザーの数に比例する多くのグループを含むディレクトリのクエリを最適化できます。
警告メモ最適化を使用できるようにするには、グループでユーザーを参照するようディレクトリを設定する必要があります。ディレクトリが正しく設定されていない場合、最適化されたクエリは、ユーザーに関連付けられたすべてのグループを検索しません。このプロパティは、汎用 LDAP およびアクティブなディレクトリ検索でのみ表示されます (Active Directory は常に最適化を使用します)。
選択されていない 認証の種類 オプション。LDAP に接続するための認証タイプ。
複数の値はカンマで区切ることができます。
[値]:Secure、Encryption、SecureSocketsLayer、ReadonlyServer、FastBind、Signing、Sealing、Delegation、ServerBind。
情報メモ「Active Directory および汎用 LDAP UDC での LDAP チャネル バインディングと LDAP 署名」をサポートするには、次の認証タイプの値を使用します。Secure,Signing。資格情報の設定に基づいて、FastBind または Anonymous。 [詳細設定] プロパティ グループには、Qlik Sense システムの詳細な LDAP コネクタ プロパティが含まれています。
LDAP の詳細なプロパティ プロパティ 説明 既定値 ページ サイズ データ ソースからデータを読み取るときに取得する投稿数を指定します。指定した数の投稿が検出されると検索が停止し、結果が返されます。検索を再開すると、停止した位置から検索が続行されます。
ヒント メモユーザーの同期に失敗した場合は、設定値を「0」(ゼロ) にし、ページ指定検索を行わないのと同じ設定にします。2000 (ApacheDS の場合: 1000)
最適化されたクエリを使用 このプロパティにより、Qlik Sense は、再取得されたユーザーの数に比例する多くのグループを含むディレクトリのクエリを最適化できます。
警告メモ最適化を使用できるようにするには、グループでユーザーを参照するようディレクトリを設定する必要があります。ディレクトリが正しく設定されていない場合、最適化されたクエリは、ユーザーに関連付けられたすべてのグループを検索しません。このプロパティは、汎用 LDAP、高度な LDAP およびアクティブなディレクトリ検索でのみ表示されます (Active Directory は常に最適化を使用します)。
選択されていない タイムアウト (秒) データ ソースからのデータ読み取りのタイムアウト。 400 認証の種類 LDAP に接続するための認証タイプ。
オプション: 匿名、基本、ネゴシエート、NTLM、ダイジェスト、Sicily、DPA、MSN、外部、Kerberos。
- フラグ LDAP 接続セッション設定について言及するフラグ。複数の値をカンマ区切りで指定できます。
Tcpkeepalive: TCP keep-alive を有効にします。
Autoreconnect: Autoreconnect を有効にします。
Rootdsecache: 内部 RootDSE キャッシュを有効にします。
封印: Kerberos 暗号化を有効にします。
セキュア ソケット レイヤーまたは SSL: 接続でセキュア ソケット レイヤーを有効にします。
署名: Kerberos 暗号化を有効にします。
コネクションレス: 接続が UDP かどうかを指定します。
No_fqdn: [ホスト] 項目のホストが IP アドレスとして指定されている場合は、このフラグを使用します。
noclientcert: SSL 接続が確立されたときにクライアント証明書の指定に使用されるデフォルトのコールバック関数をスキップします。
NoCertVerify: SSL 接続が確立されたときにサーバー証明書の検証をスキップします。
情報メモNoCertVerify と Certdebug を一緒に使用しないでください。Certdebug: デバッグのために、特定のサーバー証明書検証エラーがあれば取得します。
AllProps: LDAP オブジェクトのすべての属性を取得します。
enablePaging: ユーザー ディレクトリ サーバーからユーザーを取得する際に、ページネーションを使用します。チャンクの大きさは、ページ サイズ プロパティで定義されます。ページ サイズは、ユーザー ディレクトリ サーバーのMaxPageSize値以下である必要があります。
- ロケーター フラグ DC ロケーターのロケーター フラグ。複数の値をカンマ区切りで指定できます。
なし
ForceRediscovery
DirectoryServiceRequired
DirectoryServicePreferred
GCRequired
PdcRequired
IPRequired
KdcRequired
TimeServerRequired
WriteableRequired
GoodTimeServerPreferred
AvoidSelf
OnlyLdapNeeded
IsFlatName
IsDnsName
ReturnDnsName
ReturnFlatName
- LDAP フィルターの検索 オプションの LDAP フィルター クエリ。 - プロトコル バージョン 使用する LDAP プロトコルのバージョン。 3 Simple Authentication and Security Layer (SASL) メソッド SASL バインディング方式:
gssapi
外部
gss-spnego
digest-md5
- 証明書のパス 認証のために送信するクライアント証明書のパス。 - ヒント メモ[詳細設定] プロパティ グループで、[LDAP 追加フィルタ] を使用して、ユーザーの選択のみを取得するフィルタを適用します。情報メモディレクトリ エントリ属性は、大文字と小文字を区別します。ディレクトリ入力属性プロパティ プロパティ 説明 デフォルト値 タイプ
ディレクトリ エントリのタイプを特定する属性名 (ユーザーとグループのみを LDAP UDC で使用)。 objectClass [ユーザー ID] ユーザーを識別するディレクトリ エントリの属性値。
inetOrgPerson [グループ ID] グループを識別するディレクトリ エントリの属性値。 group アカウント名 ユーザーがログインに使用する (UDC 内の) 一意のユーザー名。 sAMAccountName メール ディレクトリ エントリの電子メールを含む属性名 (ユーザー)。 mail 表示名 ユーザーまたはグループ ディレクトリ エントリのフルネーム。 名前 グループ メンバシップ この属性は、ディレクトリ エントリがメンバーの直属のグループを示します。ユーザー同期化の間に、間接的なグループ メンバーシップは解消されます。
この設定または下記の設定である [ディレクトリ エントリのメンバー] は、空欄のままにできます。つまり、グループ メンバーシップは、2 つの設定のうちのどちらか 1 つの設定のみを使用して解消されます。
memberOf [ディレクトリ エントリのメンバー] このディレクトリ エントリの直接メンバーへの参照が入っている属性の名前。
上記の [グループ メンバーシップ] の設定も参照してください。
member カスタム属性 (詳細な LDAP のみ) 取得する追加の LDAP オブジェクト属性。カスタム属性は、セキュリティ ルールおよびライセンス割り当てルールで使用できます。
複数のカスタム属性はカンマで区切ります。
カスタム属性の使用例については、「Qlik Sense Enterprise on Windows: 詳細な LDAP で Active Directory からカスタム属性を同期する方法」を参照してください。
- 情報メモディレクトリ エントリ属性は、大文字と小文字を区別します。エントリのプロパティ プロパティ 説明 デフォルト値 [タイプ]
ディレクトリ エントリのタイプを特定する属性名 (ユーザーとグループのみを ApacheDS UDC で使用)。 objectClass [ユーザー ID] ユーザーを識別するディレクトリ エントリの属性値。
inetOrgPerson [グループ ID] グループを識別するディレクトリ エントリの属性値。 groupOfNames [アカウント名] ユーザーがログインに使用する (UDC 内の) 一意のユーザー名。 uid [電子メール] ディレクトリ エントリの電子メールを含む属性名 (ユーザー)。 mail [表示名] ユーザーまたはグループ ディレクトリ エントリのフルネーム。 cn [グループ メンバーシップ] ディレクトリ エントリが直属のグループを示す属性の名前。ユーザー同期化の間に、間接的なグループ メンバーシップは解消されます。
この設定または下記の設定である [ディレクトリ エントリのメンバー] は、空欄のままにできます。つまり、グループ メンバーシップは、2 つの設定のうちのどちらか 1 つの設定のみを使用して解消されます。
- [ディレクトリ エントリのメンバー] このディレクトリ エントリの直接メンバーへの参照が入っている属性の名前。
上記の [グループ メンバーシップ] の設定も参照してください。
member タグ プロパティ プロパティ 説明 [タグ] ヒント メモ利用可能なタグがない場合、このプロパティ グループは空となります。紐付けられているタグがテキスト ボックスの下に表示されます。
[適用] をクリックして変更を保存します。 必須の項目が空欄の場合、[Apply] は無効になります。 -
操作バーで [適用] をクリックして、ユーザー ディレクトリ コネクターを作成および保存します。
ページ最下部に [追加完了] と表示されます。
これで、ユーザー ディレクトリ コネクタを新規作成できました。ユーザー ディレクトリ コネクタの新規のユーザー同期タスクは、デフォルトで作成されます。
コネクタのプロパティの設定が、ユーザー ディレクトリとの通信を有効にしていない場合は、[The User Directory Connector (UDC) is not operational] と表示されます。 この場所で UserManagement_Repository ログを確認します: %ProgramData%\Qlik\Sense\Log\Repository\Trace
[ユーザー ディレクトリ名] がすでに使用されていたり、項目が空欄の場合は、[The User Directory Connector (UDC) is not configured] と表示されます。