Qlik Sense のすべての認証は、Qlik Sense Proxy Service (QPS) によって管理されています。QPS は、Qlik Sense のクライアント タイプに関わらず、すべてのユーザーを認証します。つまり、QPS は Qlik 管理コンソール (QMC) のユーザーも認証します。
情報メモQlik Sense では、認証 (authentication) と承認 (authorization) は明確に区別される、2 つの個別のアクションです。つまり、認証で使用される情報のソースは、承認のそれとは同じである必要はなく、その逆もまた然りです。
Qlik Sense は、ユーザーの身元を確認し、そのユーザーが身元を証明できるか、常時、外部システムに問い合わせます。Qlik Sense と外部 ID プロバイダー間の操作は、認証モジュールが取り扱います。
モジュールが Qlik Sense と通信するには、信頼されている必要があります。トランスポート レイヤー セキュリティ (TLS) および証明書認証は、Qlik Sense と通信する外部コンポーネントを承認するために使用されます。
Qlik Sense では、ユーザー認証は、明確に区別された 3 つのステップから構成されています。
- 認証モジュール: ユーザー ID および資格情報を入手します。
- 認証モジュール: 外部システムに、視覚情報を使用したユーザー ID の確認をリクエストします。
- チケット API、セッション API、ヘッダー、SAML、JWT、または OIDC を使用してユーザーを Qlik Sense へ転送します。
最初の 2 ステップは、常に認証モジュールが扱います。ユーザーを確認する適切な方法は、認証モジュールにより異なります。
3 番目のステップは、次のように実行できます。
- チケット API を使用すると、ワンタイム チケットでユーザーとそのプロパティを転送します。
- セッション API を使用すると、外部モジュールは、ユーザーとQlik Senseへのユーザーのプロパティを識別する Web セッションを転送できます。
- ヘッダーを使用すると、信頼済みシステムは、HTTP ヘッダーを使用してユーザーを転送できます。これは、シングル サインオン (SSO) システムと統合するための共通ソリューションです。
- (例えば、SAML を使って) 匿名ユーザーを許可するためにQlik Senseを構成できます。
情報メモ
「sa_」で始まる名前で特定され、ユーザー ディレクトリが INTERNAL であるデフォルトの内部アカウント (例えば、sa_converter、sa_engine、sa_proxy) を使用して Qlik Sense Enterprise on Windows にログインすることはできません。これらのアカウントは特定のシステム機能に予約されており、直接のユーザー アクセスまたはインタラクティブなログイン用ではありません。