SAML 認証

Security Assertion Markup Language (SAML) は認証と承認のためのデータ形式です。SAML の主なメリットの 1 つは single sign-on (SSO) を有効にすることです。これによりユーザーがクラウド アプリケーションや Web サイトにログオンする必要がある回数を最小限に抑えることができます。

認証プロセスには 3 つのエンティティが関与します。

  • ユーザー
  • ID プロバイダー (IdP)
  • サービス プロバイダー (SP)

ID プロバイダーがユーザーを認証します。ID プロバイダーがユーザーの ID を断言すると、サービス プロバイダーはユーザーにサービスへのアクセスが提供できるようになります。ID プロバイダーによって SSO が有効にされているため、ユーザーは各サイトにログインしなくても、複数のサービス プロバイダーのサイトやアプリケーションにアクセスできます。

ID プロバイダーによって開始される SSO

ID プロバイダーによって開始される SSO の場合、ユーザーが ID プロバイダーに直接ログインすると、ID プロバイダーによって SSO 認証が実行されます。

RelayState は常に https://<machine_name>/<vp_prefix>/hub に設定することをお勧めします。RelayState が空の場合、一部の ID プロバイダーでは post 要求の代わりに get 要求が送信されるため、エラーが生じます。

注: RelayState が空の場合、スペルミスがある場合、またはホストのホワイト リストに含まれていない場合には、ユーザーは自動的にハブにリダイレクトされます。
注: IdP から開始する SSO を機能させるには、アサーションに署名する必要があります。

サービス プロバイダーによって開始される SSO

サービス プロバイダーによって開始される SSO の場合、ユーザーはサービス プロバイダー サイトでログインを開始しますが、SP サイトではログインされず、ID プロバイダーによって SSO 認証が開始されます。認証プロセスでは、Qlik Sense がサービス プロバイダーとなります。ユーザーが Qlik Sense にログインすると、ログイン情報は実際の SSO 認証を処理する ID プロバイダーに転送されます。

メタデータ

サービス プロバイダー (Qlik Sense) では、ID プロバイダーからの構成情報が必要になります。この情報は IdP メタデータ ファイルとして利用できます。ユーザーは構成を簡単にするためにこのファイルをダウンロードして、サービス プロバイダーに提供できます。IdP メタデータは QMC からアップロードされます。

注: すべての IdPs でメタデータ ファイルのダウンロードがサポートされるわけではありません。ダウンロードがサポートされていない場合、メタデータ ファイルは手動で作成できます。

Qlik Sense はサービス プロバイダーとして ID プロバイダーに QMC からダウンロードした SP メタデータを提供します。メタデータには次の情報が含まれています。

  • Assertion consumer service (ACS) URL
  • エンティティ ID
  • セキュリティ証明書
注: 証明書を含まないメタデータ ファイルで仮想プロキシを設定すると、IdP 開始ワークフローは機能しません。