仮想プロキシの編集
既存の仮想プロキシを編集できます。
次の手順を実行します。
-
QMC を開く:https://<QPS サーバー名>/qmc
-
QMC スタート ページから、あるいは [スタート] ドロップダウン メニューから [仮想プロキシ] を選択して、概要を表示します。
-
編集する仮想プロキシを選択し、操作バーで [ 編集] をクリックします。1 度に 1 つのプロキシに対する仮想プロキシしか編集できません。
-
[仮想プロキシの編集] ウィンドウでプロパティを編集します。
全項目が必須で、空欄のままにはできません。
ID プロパティ プロパティ 説明 デフォルト値 [説明]
仮想プロキシの名前。 空 [プレフィックス] 各追加パスを定義するプロキシの URI のパス名。例:
https://[node]/[prefix]/
次の点に注意してください。
- プレフィックスでは小文字のみを使用できます。Qlik Sense 3.0 へのアップグレード後、既存の仮想プロキシに含まれるすべての大文字は、自動的に小文字で置き換えられます。
- 使用可能な文字は、次の予約されていない文字のみです。(a-z, 0-9, "-", ".", "_" , "~"。詳細については、次のドキュメントの「非予約文字」のセクションを参照してください:Uniform Resource Identifier (URI): 一般的な構文
空 [タイムアウトまでのセッション アイドル時間 (分)] タイムアウトするまでのアイドル状態の最大時間。この時間が経過すると、セッションは無効となり、ユーザーはシステムからログアウトされます。
30 分間 [セッション クッキー ヘッダー名] セッション クッキーのために使用される HTTP ヘッダー名。既定ではこの値は空欄なので、値を入力する必要があります。
情報メモFebruary 2019 以降のリリースは、ユーザーが http を介してシステムにアクセスすると、セッションの Cookie ヘッダー名にサフィックス (-HTTP) が付加されます。ヒント メモクッキー名のサフィックスとして、上記の [プレフィックス] プロパティの値が含まれていると、役に立ちます。空 認証プロパティ プロパティ 説明 既定値 [匿名アクセス モード] -
匿名ユーザーを拒否: ユーザは、ユーザ ID と資格情報を指定する必要があります。
-
匿名ユーザーを許可: ユーザは匿名で入力しますが、ユーザアカウントで切り替えてログインすることができます。
-
常に匿名ユーザー: ユーザーは常に匿名です。
匿名ユーザーなし [認証方法]
-
[Ticket]: チケットは認証に使用されます。
-
[ヘッダー認証静的ユーザー ディレクトリ]: 静的ヘッダー認証を許可します。QMC でユーザー ディレクトリを設定します。
-
[ヘッダー認証動的ユーザー ディレクトリ]: 動的ヘッダー認証を許可します。ヘッダーからユーザー ディレクトリの情報を取得します。
-
SAML:SAML2 は認証に使用されます。
-
JWT:JSON Web Token は認証に使用されます。
-
OIDC:OpenID Connect は認証に使用されます。
チケット [ヘッダー認証ヘッダー名] ヘッダー認証が許可される場合、ユーザーを識別する HTTP ヘッダー名. ([Authentication method] プロパティに [Header authentication static user directory] または [Header authentication dynamic user directory] のいずれかを選択して) ヘッダー認証を許可する場合、必須です。
情報メモヘッダー認証は US-ASCII のみをサポートしています (UTF-8 はサポートしていません)。空 [ヘッダー認証静的ユーザー ディレクトリ] ヘッダー認証を受けたユーザーの追加情報を取得できるユーザー ディレクトリ名。([Authentication method] プロパティに [Header authentication static user directory] を選択して) 静的ヘッダー認証を許可する場合は必須です。
空 [ヘッダー認証動的ユーザー ディレクトリ] ([Authentication method] プロパティに [Header authentication dynamic user directory] を選択して) 動的ヘッダー認証を許可する場合、必須です。入力するパターンには ’$ud’ や ‘$id’ が含まれ、これらを分離する方法も含まれている必要があります。
ヘッダーの設定および一致の例
$ud\\$id – USERDIRECTORY\userid と一致させます (\を追加して、バックラッシュをエスケープする必要があります)
$id@$ud – userid@USERDIRECTORY と一致させます ($id と $ud の順番は関係ありません)
$ud:::$id – USERDIRECTORY:::userid と一致させます
空 [Windows 認証パターン] ログイン用に選択された認証パターン。User-Agent ヘッダーに Windows 認証パターン文字列が含まれている場合、Windows 認証が使用されます。一致する文字列がない場合は、フォーム認証が使用されます。
Windows [認証モジュールは URI をリダイレクトします] 外部の認証モジュールを使用する場合、クライアントは認証のため、この URI へリダイレクトされます。 空欄 (既定モジュール: Windows 認証の Kerberos/NTLM) SAML シングル ログアウト SAML シングル ログアウト 用にサービス プロバイダーが開始するフローを有効にする場合は、このチェック ボックスをオンにします。オンにした場合、仮想プロキシ用に生成されたメタデータ ファイルに、POST およびリダイレクト バインディング用のシングル ログアウトの場所が含められます。 空 SAML ホスト URI クライアントに表示されるサーバー名。この名前は、クライアントが QMC などの Qlik サービスにアクセスする際に使用されます。
サーバー名はコンピュータ名と同一である必要はありませんが、ほとんどの場合、同じ名前が使用されます。
URI には http:// または https:// のいずれかを使用できます。http:// を使用するには、仮想プロキシがリンクされているプロキシの編集ページで [Allow HTTP (HTTP を許可)] を選択する必要があります。
([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。
空 SAML エンティティ ID サービス プロバイダーを識別する ID。ID は一意にする必要があります。
([Authentication method] プロパティで SAML を選択することにより) SAML 認証を許可する場合は必須になります。
空 [SAML IdP メタデータ] IdP からのメタデータはサービス プロバイダーの構成に使用され、SAML 認証が正常に動作するために必要です。メタデータの一般的な入手方法は、IdP Web サイトからのダウンロードです。
[参照] ボタンをクリックしてアップロード用に IdP metadata .xml ファイルを開きます。エラーを回避するには、[View content (コンテンツを表示)] をクリックしてファイルのコンテンツと形式が正しいことを確認します。
メタデータがないと構成は未完了になります。
- SAML ユーザー ID に使用する属性 ユーザー ID を説明する属性の SAML 属性名。名前やフレンドリな名前を使用して属性を識別できます。
空 SAML ユーザー ディレクトリに使用する属性 ユーザー ディレクトリを説明する属性の SAML 属性名。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
空
SAML 署名アルゴリズム 署名 SAML 要求に使用されるハッシュ アルゴリズム。SHA-256 を使用するには、関連する秘密キーのプロバイダーが「Microsoft Enhanced RSA and AES Cryptographic Provider」である第三者機関の証明書が必要となります。
- [SAML 属性マッピング] [新しい属性の追加] をクリックして SAML 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
情報メモSAML 応答ベースの属性は、製品監査を実行するときに考慮に入れられます。- JWT 証明書 JWT .X509 パブリック キー証明書を PEM 形式で追加します。パブリック キー証明書の例は次の通りです。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
空 JWT ユーザー ID に使用する属性 ユーザー ID を説明する属性の JWT 属性名。
空 JWT ユーザー ディレクトリに使用する属性 ユーザー ディレクトリを説明する属性の JWT 属性名。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。
- [JWT 属性マッピング] [新しい属性の追加] をクリックして JWT 属性を Qlik Sense 属性にマッピングします。 名前の値がかっこ内にある場合、その値はコンテンツの属性値として使用されます。[例] では定数属性値「例」を提供しています。 空 オプションのOIDC属性を無効化 ユーザーディレクトリコネクタを介してユーザーを同期する場合にのみ使用します。選択されている時は、ユーザーディレクトリコネクタの同期から送られてくる名前、グループ、メール、画像の属性が、OIDC からの属性で上書きされないように保護されます。 OpenID Connectメタデータ URI OpenID Connect プロトコルを使用して ID プロバイダとやり取りする OAuth クライアントに関して、構成情報を提供するエンドポイントへの URL。
クライアント ID ユーザ認証用に ID プロバイダーで設定されたクライアントの ID。
クライアント シークレット ID プロバイダで構成されているクライアントのシークレット。
領域 ID プロバイダーに関連付ける名前で、マルチクラウドでの名前の一貫性に使用されます。
サブジェクト属性値の形式がdomainname\usernameの場合、realmはオプションです。そうでない場合、realm は必須です。
サブジェクト エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
名前 エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
グループ エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
電子メール エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
必須。
client_id: エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
写真 エンティティ/ユーザーに関するステートメント (名前/値のペア) および OpenID Connect サービスに関するメタデータ。カンマで区切られた複数の値を使用できます。
スコープ: アクセス トークンの発行時にアクセス権限を指定するために、OAuth 2.0 の仕様で使用されます。たとえば、 ID プロバイダでユーザー グループ機能をサポートするためにグループ スコープが必要な場合は、このオプションを使用してグループ スコープを追加します。 OIDC 属性マッピング [新しい属性の追加] をクリックして OIDC 属性を Qlik Sense 属性にマッピングして、[必須] を選択することでこれらを必須とするかどうかを定義します。 名前やフレンドリな名前を使用して属性を識別できます。 負荷分散プロパティ プロパティ 説明 既定値 [負荷分散ノード] ノードに負荷分散を追加するには、[Add new server node (新しいサーバー ノードの追加)] をクリックします。 空 粘着性負荷分散 選択すると、粘着性負荷分散機能がラウンド ロビン アルゴリズムに追加されます。プロキシ サービスは、すべてのアプリを開くリクエストを、アプリがすでに開いているエンジンにリダイレクトしようとします。
False (ラウンド ロビン アルゴリズム) エンジン飽和チェック 選択すると、エンジン飽和チェックがラウンド ロビン アルゴリズムに追加されます。エンジンが飽和している場合、アプリを開くリクエストは他の利用可能なエンジンにリダイレクトされます。
False (ラウンド ロビン アルゴリズム) 詳細設定プロパティ プロパティ 説明 デフォルト値 [拡張セキュリティ環境]
この設定を有効にすると、クライアントの環境についての情報(OS、デバイス、ブラウザー、IP) は、セキュリティ ヘッダーで送信されます。
選択されていない場合、ユーザーは、同じエンジン セッションを複数のデバイスで同時に実行できます。
空 [セッション Cookie ドメイン] 既定では、プロキシがインストールされたマシンに対してのみ、セッション Cookie が有効です。この (オプションの) プロパティであれば、より大きいドメインへの有効性を高められます。例:
company.com
空欄 (既定マシン) [Secure 属性あり (https)] Secure 属性を持ち、https を使用するセッション クッキー用のオプション。 選択値 [SameSite 属性 (https)] https 用の SameSite 属性値:
属性なし、None、Lax、Strict
詳しくは「SameSite クッキー属性」を参照してください。
Lax
[Secure 属性あり (http)] Secure 属性を持ち、http を使用するセッション クッキー用のオプション。 空 [SameSite 属性 (http)] http 用の SameSite 属性値:
属性なし、None、Lax、Strict
詳しくは「SameSite クッキー属性」を参照してください。
属性なし 追加の応答ヘッダー クライアントに返す HTTP 応答すべてに付加されるヘッダー。例:
Header1: value1
Header2: value2
空 [ホスト許可リスト] RFC 標準に従ったホスト名のリスト。リテラルの IPv6 アドレスを括弧内に置きます。
Websocket オリジン ホワイト リストに追加されたすべての値は、ボトム レベルから検証されます。たとえば、「domain.com」が追加された場合、「domain.com」で終わるすべての値が承認されます。「subdomain.domain.com」が追加された場合は、「subdomain.domain.com」で終わるすべての値が承認されます。
Cross-Origin Resource Sharing (CORS) の使用時にスイッチング スキーマに対応するには、CORS ポリシーによって要求がブロックされないようにするスキーマが、ホストの許可リストに含まれている必要があります。
安全でない Web サイト (http://subdomain.domain.com) および安全な Web サイト (https://qlik.sense...) を実行する Qlik Sense からマッシュアップをロードしている場合、このスキーマ (http://subdomain.domain.com) がホストの許可リストに記載されている必要があります。
情報メモ許可リストが空の場合でも、Qlik Sense がインストールされたマシンの名前は、表示されませんが許可リストの一部とみなされます。空
統合プロパティ プロパティ 説明 デフォルト値 [セッション モジュール ベース URI] 存在する場合、外部セッション モジュールへのアドレス。 空欄 (既定モジュール: インメモリ) [負荷分散モジュール ベース URI] 存在する場合、ユーザーのセッションのために使用する Qlik Sense エンジンを選択する外部の負荷分散モジュールへのアドレス。 空欄 (既定モジュール: ラウンド ロビン) クライアント認証リンクは、Qlik Sense サーバーに対してクライアントの認証を要求するために使用されます。
情報メモクライアント認証リンクは、QMC 内の任意の仮想プロキシから生成可能です。ただし、クライアント認証リンクをハブから取得する場合は、中央ノードの既定の仮想プロキシからリンクを生成する必要があります。クライアント認証リンクのプロパティ プロパティ 説明 デフォルト値 クライアント認証リンク ホスト URI クライアント認証リンクの一部となる Qlik Sense URI。 空 クライアント認証リンク フレンドリ名 ユーザーがホストを識別するために役立つ名前。フレンドリ名は、クライアント認証リンクの一部となります。 空 クライアント認証リンクの生成 ボタンをクリックすると、コピーしてユーザーに配布できるリンクが生成されます。 - 情報メモ利用可能な QMC タグがない場合、このプロパティ グループは表示されません。テキスト ボックスをクリックすると、利用可能なタグが一覧表示されます。入力を始めると、リストが少なくなります。紐付けられているタグがテキスト ボックスの下に表示されます。
情報メモカスタム プロパティを利用できない場合、このプロパティ グループには何も表示されません (あるいは表示されても空です)。ここで表示する前に、このリソース タイプでカスタム プロパティを利用できるようにする必要があります。 -
[適用] をクリックして変更を保存します。 必須の項目が空欄の場合、[Apply] は無効になります。
-
[Associated items] でフィールドを編集します。
プロキシのプロパティ プロパティ 説明 ノード プロキシ名。 状態 次のテキストのいずれかが表示されます。
-
実行中
サービスは正常に実行中です。
-
停止
サービスは停止されました。
-
無効化
サービスは無効になっています。
ヒント メモ状態の詳細については、[状態] 列で をクリックしてください。サービスの待ち受けポート HTTPS (既定) 既定のプロキシのセキュアな待ち受けポートで、Qlik Sense 通信をすべて管理します。
情報メモポート 443 は他のソフトウェア (Web サーバーなど) によって使用されることがあるため、Qlik Sense Proxy Service (QPS) がこのポートを使用できることを確認してください。HTTP 許可 ステータス値:Yes または No
有効化する: 暗号化されていない通信を許可します。 これは、両方の https (セキュア通信) と (http) の暗号化されていない通信が許可されることを意味しています。
情報メモFebruary 2019 以降のリリースは、ユーザーが http を介してシステムにアクセスすると、セッションの Cookie ヘッダー名にサフィックス (-HTTP) が付加されます。サービスの待ち受けポート HTTP 非暗号化待ち受けポート、HTTP 接続が許可されている場合に使用されます。
認証の待ち受けポート 内部認証モジュールの待ち受けポート。
情報メモ管理者権限のないユーザーとしてこのポートを編集する場合、変更を有効にするには、起動モードでレポジトリを実行する必要があります。参照先:サービスKerberos 認証 ステータス値:Yes または No
有効化する: Kerberos 認証を有効にします。
REST API 待ち受けポート プロキシ API の待ち受けポート。
情報メモ管理者権限のないユーザーとしてこのポートを編集する場合、変更を有効にするには、起動モードでレポジトリを実行する必要があります。参照先:サービスSSL ブラウザ証明書捺印 (署名) ブラウザからプロキシへのトラフィックの暗号化を扱う、セキュア ソケット レイヤー (SSL) 証明書の拇印。 プロキシ証明書および管理者権限のないアカウントでの Qlik Sense サービス実行 (「サービス」を参照) を編集する場合、以下のように証明書にプライベートキーのアクセス許可を設定する必要があります (「署名済みサーバー プロキシ証明書への変更」を参照)。
Keep-alive タイムアウト (秒) 接続が切断されるまでの 1 回の HTTP/HTTPS リクエストの最大タイムアウト時間。DoS 攻撃 (サービス拒否攻撃) に対する防御。リクエストがこの時間を超過した場合は、Qlik Sense プロキシによって接続が切断されることを意味しています。ユーザーが接続の遅さと接続の切断で困っている場合は、この値を増やしてください。
ヘッダーの最大サイズ (バイト) ヘッダーの最大合計サイズ。 最大ヘッダー行数 最大ヘッダー行数。 監査アクティビティ ログ レベル レベル: [オフ] または [基本] (制限的なエントリ)
監査セキュリティ ログ レベル レベル: [オフ] または [基本] (制限的なエントリ)
サービス ログ レベル [エラー] から [デバッグ] までの各レベルには前のレベルよりも多くの情報が含まれます。 監査ログ レベル プロキシの呼び出しなど、より詳細なユーザーベース メッセージはこのロガーに保存されます。
[Fatal] から [Debug] までの各レベルには前のレベルよりも多くの情報が含まれます。
パフォーマンス ログ レベル パフォーマンス メッセージはすべて、このロガーに保存されます。 パフォーマンス カウンター、および接続、ストリーム、セッション、チケット、ウェブ ソケットの数、負荷分散情報などです。
[Fatal] から [Debug] までの各レベルには前のレベルよりも多くの情報が含まれます。
セキュリティ ログ レベル 証明書メッセージはすべて、このロガーに保存されます。
[Fatal] から [Debug] までの各レベルには前のレベルよりも多くの情報が含まれます。システム ログ レベル 標準的なプロキシ メッセージはすべて、このロガーに保存されます。
[Fatal] から [Debug] までの各レベルには前のレベルよりも多くの情報が含まれます。パフォーマンス ログ間隔 (分) パフォーマンス ログの間隔。 ID プロキシの ID。 作成日時 プロキシが作成された日時。 最終変更日 プロキシが最後に変更された日時。 変更者 プロキシを最後に変更したユーザー。 <Custom properties> カスタム プロパティがある場合はここに一覧表示されます。 リストを昇順または降順で並べ替えます。並べ替えをサポートしない列もあります。
フィルターする文字列を入力するか、利用可能な場合は組込み値を選択します。フィルター条件に一致した行が表示されます。検索を絞り込むために、同時に複数の列でフィルターを使用できます。フィルターが列に適用されると、 が表示されます。
条件を削除するには、テーブル ヘッダー バーで [Actions] をクリックして、[Clear filters and search] を選択します。
検索とフィルタリングを組み合わせることができます。
編集 選択したプロキシを編集します。 リンクの解除 選択したプロキシからプロキシ サービスのリンクを解除します。
情報メモ仮想プロキシを機能させるためにはプロキシ サービスにリンクさせる必要があります。リンク 選択したプロキシにプロキシ サービスをリンクします。 アイテムをさらに表示 既定の概要では、アイテムのセット数が表示されます。さらに多くのアイテムを表示するためには、リストの最後までスクロールして、[Show more items] をクリックします。アイテムの並べ替えやフィルタリングは、表示中のアイテムだけでなく、常にアイテムの全データベースのリスト上で実行されます。
-
-
操作バーで [適用] をクリックし、変更内容を保存します。
情報メモほとんどの場合、仮想プロキシに変更内容を適用するときにプロキシを再起動する必要があります。仮想プロキシのリンク先プロキシによって処理されているセッションが終了し、ユーザーはログアウトされます。仮想プロキシの次のリソースを変更すると、プロキシは自動的に再起動しません。タグ、カスタム プロパティ、負荷分散ノード。タグ、カスタム プロパティ、および負荷分散ノード。
ページの最下部に [更新完了] と表示されます。